Kas ostuarvete lai kinnitusring firmas maandab kõik arvete küberpettustega seotud riskid?

Kas ostuarvete lai kinnitusring firmas maandab kõik arvete küberpettustega seotud riskid?

Juba enamikes Eesti ettevõtetes on tänaseks sisse seatud raamatupidamise sise-eeskirjad, mis sätestavad reeglid, kuidas toimub dokumentide haldus ja ostuarvete menetlus. Sageli läbib ostuarvete kinnitamise protsess pika otsustajate jada enne kui jõuab otseste ülemuste, osakonnajuhtide või suuremate kulusummade puhul ka tegevjuhi töölauale. Dokumentide lai kinnitusring on oluliselt vähendanud olukordi, kus ettevõtted tasuvad arveid, mis tegelikkuses neile tasumiseks ei kuulu, toonitab Eesti Finantsteenuste Agentuuri (EFTA) raamatupidamise valdkonna arendusjuht Margit Põldmaa.

Enne lepingu sõlmimist uue kliendi või hankijaga hindab enamik ettevõtteid uue koostööpartneriga seonduvaid võimalikke riske ning tehakse põhjalik taustakontroll. Pikaajalise koostööpartneri puhul menetletakse ja kinnitatakse dokumente ilma võimalike ohte ette nägemata. Aga vaatamata paika pandud sise-eeskirjadele on ka sellisel juhul suur tõenäosus langeda küberpettuse ohvriks.

„Hädaoht loob korra“
19. sajandil elanud maailmakuulus prantsuse kirjanik Victor Hugo

Mullu aastal puutusime kokku väga professionaalselt ette valmistatud küberkuriteoga

Pettuse ohvriks langes Eesti tootmisettevõte, kes tellis oma pikaajaliselt koostööpartnerilt Šveitsis tootmisega seotud materjale, sagedusega 5-6 korda aastas. Suhtlus käis enamasti e-kirja teel, kuhu oli kaasatud Eesti ettevõttest logistikajuht ja Šveitsi ettevõttest klienditeenindus- ja  müügijuht. Ostutellimused kinnitati alati kooskõlastatult mõlema osapoolega ja lepingujärgne maksetähtaeg oli 30 päeva. Kauba saabudes kontrolliti kauba vastavust ostuarve ja ostutellimusega.

Antud juhtumi puhul saabus koos viimase ostuarvega e-kirja kaudu hankija ettevõtte kontaktisiku poolt väljastatud teadaanne arveldusarve muutumise kohta ja samuti palve kanda  edaspidi kõik ostuarvete tasumised uuele arveldusarvele. Selle kohta vahetati koostööpartneri ja hankija vahel paar kinnitavat e-kirja ja täpsustati veel üle maksete ülekande kuupäevad.

Ostuarve tasuti ära õigeaegselt. Üllatus tekkis, kui koostööpartner saatis meeldetuletuse laekumata arve kohta. Raamatupidamises tehti väljavõte/maksekorraldus antud ostuarve tasumise kohta, mille tulemusel selgus, et arveldusarve, kuhu raha kanti, ei kuulu hankija ettevõttele. Kuna tegemist oli 5-kohalise summaga, siis nii finantsiline kui ka moraalne kahju mõlemale osapoolele oli märkimisväärne.

Mis täpsemalt juhtus Eesti tootmisettevõttega?

Tegemist on nn BEC (inglise keeles Business Email Compromise) pettuse skeemiga. Küberkelmid häkivad sisse ettevõtete kirjavahetusse ja teevad kindlaks äripartnerid, kellega e-posti teel arveid vahetatakse. Ühe teatava perioodi jooksul ei tea kumbki osapool, et meilivahetus on kaaperdatud. Edasi esineb kurjategija juba ettevõtte töötajana ja raha lastakse kanda enda pangakontole, kust see liigub edasi eraisikutele ja ettevõtetele eri riikides. Seejärel võetakse sularahana välja. Sellist skeemi toetab ka asjaolu, et alates 2018. a puudub pankadel kohustus kontrollida, kas ülekande saaja nimi ja arvelduarve number klapivad.

Kuidas vältida küberpettuse ohvriks langemist?

  • Esmalt üle vaadata ettevõtte IT-turvalisus.
  • Kaheastmeline autentimine.
  • Ostudokumentide menetlejate ja ülekannete eest vastutavate isikute teadlikkuse suurendamine ja sisemiste lisareeglite kehtestamine.

 

BEC-skeemi puhul on tegemist raskesti äratuntava petuskeemiga, sest näiliselt tulevad kirjad justkui koostööpartnerilt endalt. Kui ettevõte on rakendanud oma ettevõttes ostuarvete ja ettetellimuste kinnitusringi, siis justkui kõik allkirjastajad võtavad kohustuse, et antud dokument on õiguspärane. Ühekordsete tehingute ja väiksemate summade puhul eelmainitud pettuse skeeme tõenäoliselt ei rakendata, kuna selle kasutegur on petjate jaoks väike.

Suuremate tehingute ja hankijatega koostöölepingute sõlmimise  puhul peab aga ettevõttes olema väga kindel protseduurireeglistik. Koostöölepingus peavad  sisalduma punktid, et kui lepingupartnerid muudavad lepingus kokkulepitud tingimusi (k.a arveldusarve vahetamine), siis toimub lepingu muudatus (lepingu lisana) ja kinnitajateks on ettevõtte allkirjaõiguslikud isikud.

Kuigi eesti on e-riik ja digiallkirjastamine on üldlevinud dokumentatsiooni kinnitamise vahend, siis kahjuks mujal maailmas k.a EU riikides see nii ilmselge ei ole. Seega tuleks välishankijate arvelduskonto muutuste korral sisse viia täiendav kontroll enne kui raha hakatakse üle kandma. On see siis pangast väljastatud arveldusarve kinnitus, lisa telefonikõne kontaktisikule, partneri kodulehelt saadud info vm. Alati jääb oht, et kõike on võimalik võltsida ja järele teha.  Kui me tegutseme teadlikult andmeid üle kontrollides, siis võimalus pettuse ohvriks langeda on minimaalne.  

Ole kursis Sinu äri mõjutavate

OLULISTE FINANTSTEEMADE ja -UUDISTEGA!

Nõustun privaatsustingimustega