Van medewerkers die klantgegevens lekken tot werknemers die worden geïntimideerd door criminele organisaties: interne fraude is een complex probleem. Ligt de oplossing in een degelijke screening van het personeel? Of zijn er nog meer middelen nodig?
Door Peter Passenier
Voor de wat oudere dame klonk het allemaal heel geloofwaardig. De bankmedewerker die haar belde, nam alle tijd voor haar en gaf ook bruikbare adviezen: “Als u me nu uw pincode geeft, komt morgen mijn collega uw pas ophalen. Dan krijgt u gelijk een nieuwe en hoeft u zich de komende vijf jaar geen zorgen te maken.”
Het is een verhaal dat we al talloze keren hebben gelezen, en op het eerste gezicht hoort het niet in dit artikel thuis. Ja, dit is fraude, maar geen interne fraude, want het gaat hier hoogstwaarschijnlijk niet echt om een bankmedewerker. Maar aan de andere kant, hoe komt die beller aan het telefoonnummer? En hoe kan hij zijn pijlen richten op die ene dame op leeftijd? Een verklaring: die gegevens staan op een van de adressenlijsten die op internet te koop worden aangeboden. En die zijn mogelijk op die site geplaatst door een crimineel die tot die gegevens toegang had, bijvoorbeeld doordat hij tijdelijk in dienst was bij een callcenter.
Toch interne fraude dus.
> LEES OOK: Wat te doen tegen fraude in bedrijven?
Screening van medewerkers
Hoe kan een werkgever interne fraude stoppen? Vraag het aan Marcel Boekhorst en hij komt met een oplossing: screenen van medewerkers. Geen wonder, want hij is directeur van recherche- en adviesbureau Signum Interfocus en dat bedrijf voert meer dan 1.000 van zulke screenings per jaar uit.
“Daarbij gaat het bijvoorbeeld om een financieel directeur die beweert bepaalde diploma’s te hebben gehaald. Wij gaan dan na of dat werkelijk zo is. In andere gevallen richten we ons op iemands nevenactiviteiten en mogelijke belangenverstrengeling. Kan iemand wel bij een woningbouwcorporatie werken als de partner een baan heeft bij de gemeente waar die corporatie actief is en zich bezighoudt met nieuwbouwprojecten? Tenslotte doen wij ook veel screenings naar mogelijke misstappen in het verleden, als de nieuwe medewerker niet geassocieerd mag worden met welke vorm van fraude dan ook.”
En volgens Boekhorst graven de onderzoekers daarbij dieper dan gebruikelijk. “Veel werkgevers beperken zich tot een VOG, een Verklaring Omtrent het Gedrag. Maar het onderzoek daarachter is relatief oppervlakkig. Zo wordt er niet gesproken met voormalige werkgevers. Dus het zou kunnen dat een kandidaat in zijn vorige baan een misstap heeft begaan en zelfs zware fraude heeft gepleegd. Die vorige werkgever is er misschien wel achter gekomen, maar heeft geen aangifte gedaan. En dus krijgt de medewerker gewoon zijn VOG.”
> LEES OOK: Marcel Boekhorst: Grootschalige factuurfraude
Zware screenings bij vitale infrastructuur
Een echte screening gaat dus dieper. Hoe diep, dat hangt volgens hem af van de functie en mogelijke risico’s binnen de organisatie. “De zwaarste screening zie je onder andere bij de vitale infrastructuur. Logisch, want in bepaalde functies kan iemand voor half Nederland de stroom of het gas afsluiten door één schakelaar om te zetten. Of kwaadwillenden informeren over kwetsbaarheden in het netwerk of toegang verschaffen tot ruimten en systemen. Je ziet dus dat dit soort screenings worden uitgevoerd door de AIVD. Wij doen de niveaus daaronder.”
“Bij onze zwaarste screening voeren we checks and balances uit: niet alleen een VOG, maar ook een BKR, een persoonlijk kredietoverzicht. We bellen referenten en we interviewen de kandidaat zelf. Een niveau daaronder doen we hetzelfde, maar dan zonder interview. Kleine verschillen dus, maar in het algemeen kun je zeggen dat wij ons richten op de hogere functies met bijbehorende risicoprofielen.”
Screenings bij lagere functies
Dat brengt ons terug naar het voorbeeld waar we mee begonnen: de criminelen die zich lieten inhuren als callcentermedewerker om lijsten met persoonsgegevens te verzamelen. Zullen medewerkers op hun niveau dus niet zo snel worden gescreend? Misschien toch wel, zegt Rens Lambert, themaspecialist cyberweerbaarheid bij Platform Veilig Ondernemen. “Kijk naar de Rotterdamse haven. Daar komen natuurlijk duizenden containers binnen en sommige daarvan bevatten ‘iets extra’s’: bijvoorbeeld cocaïne. De uithalers die dat spul moeten verzamelen, kunnen dat alleen doen als ze weten waar de betreffende container staat. En die informatie komt van collega’s, reguliere werknemers die af en toe een foto maken van de betreffende gegevens en die doorsturen. Reken maar dat de werkgever dat in dit geval scherp in de gaten houdt en dat mensen daar worden gescreend.”
Intimidatie
Maar dit is volgens hem alleen een eerste stap. “In zo’n omgeving als een haven gaat het niet eens zozeer om infiltratie, maar vaak om intimidatie. Als jij een functie hebt in de buurt van die container, is het heel goed mogelijk dat je wordt benaderd door criminelen. Die kennen je zwakke plekken. Je hebt bijvoorbeeld gokschulden of iets waarvan je niet wilt dat het naar buiten komt. Als je dan ook nog een flink geldbedrag krijgt voor het maken van een paar foto’s, is de verleiding vaak moeilijk te weerstaan.” Juist dat is volgens hem zeer belangrijk.
Criminelen kennen de zwakke plekken van medewerkers
“De gouden regel is: je hebt maar één gelegenheid om nee te zeggen en dat is de allereerste keer. Weiger je op het aanbod in te gaan, dan laten ze je in de meeste gevallen met rust. Maar zeg je één keer ja, dan ben je van hen; dan kun je niet meer terug. En als je dat toch probeert, komen ze met foto’s van je partner of kinderen. Vandaar dat het zo belangrijk is om die medewerkers te ondersteunen met weerbaarheidstrainingen, bijvoorbeeld van Platform Veilig Ondernemen. Daar leer je hoe je je tegen dit soort praktijken kunt wapenen.”
> LEES OOK: Nieuwe digitale fraudevormen zorgen voor meer schade
Met Windows-icoontje plus L toetsenbord vergrendelen
En wat is de juiste koers bij grote callcenters? Waarschijnlijk zullen die niet iedere medewerker op een hoog niveau willen screenen, maar volgens Lambert zijn er alternatieven. “Ten eerste kun je je afvragen of je van alle klanten alle gegevens moet verzamelen, inclusief het adres, telefoonnummer en de geboortedatum. En als je dat al doet, moet je die zeker niet toegankelijk maken voor je hele personeel. Voorzie elk van je medewerkers dus van een unieke inlogcode, en zorg dat ze niet op een slinkse manier toegang krijgen tot gegevens van hun collega’s. Dat betekent in de praktijk: ook als je even koffie gaat halen, moet je je scherm meteen vergrendelen. Het Windows-icoontje plus L op je toetsenbord waarmee je je pc vergrendelt, is een belangrijk instrument tegen fraude.”
Gevoelig onderwerp
Tot slot nog een gevoelig onderwerp: hoe ga je om met medewerkers uit landen als Iran of Rusland? “Sommige van deze mensen hebben toegang tot gevoelige informatie”, vertelt Boekhorst. “En het komt voor dat die opeens een bericht krijgen uit hun moederland: ‘Je familie en vrienden wonen nog steeds binnen onze grenzen. Als je hun veiligheid wilt garanderen, moet je ons enkele diensten bewijzen.’ Dat stelt zo’n medewerker natuurlijk voor een vreselijk dilemma. Een oplossing zou kunnen zijn om mensen uit die landen bepaalde functies niet te geven, maar dat komt weer neer op discriminatie. Kortom: een heel lastig probleem en een heel lastige discussie.”
Volg Security Management op LinkedIn