Zaměstnanci firem se podílejí přibližně na každém druhém podvodu, jako pachatelé i jako pomahači. S covidem přišla možnost více pracovat z domova, dokonce i z jiných zemí, a dostat se k citlivým datům je snazší, ať už jde o soukromý byznys nebo veřejné instituce, typicky zdravotnické. Proto by si šéfové a jejich personalisté měli více prověřovat své budoucí zaměstnance. Ze zkušenosti to říká Petr Moroz, jehož firma SCAUT pomáhá prověřovat kandidáty. Jeho tým umí odhalit, jestli to, co o sobě tvrdí nebo vyplní do dotazníku, je pravda. A setkává se i s cílenými útoky. „Například při kontrolách identity a dokladů se potkáváme s nějakými třemi až pěti procenty problémových případů,“ říká expert, který dříve odhaloval podvody v GE a byl forenzním specialistou poradenské společnosti EY.

Co jste si o mně zjistil před rozhovorem?

Vůbec nic. Zrovna nedávno se mě někdo ptal, jestli si screenuji kamarády a podobně. Nedělám to.

Tak jinak – co byste o mně byl schopen zjistit?

Každý člověk má nějakou webovou historii. Otázka je, co jsem schopen zjistit já a co SCAUT. Kdybych se koukal sám, v prvé řadě bych musel vyjít z vašeho jména a současného zaměstnavatele. Podíval bych se na LinkedIn či jinou síť.

Předpokládám, že s využitím vašeho systému by možnosti byly širší. Co klientům nabízíte, pokud chtějí zjistit více informací o žadateli o práci?

Lidé mají představu, že jim najdeme hrozně moc informací. Tak to není. Pokud firma využije jen základní balíček, jsme schopni zjistit vše, co lze získat z veřejně dostupných zdrojů. K tomu stačí jméno, příjmení a datum narození. Bavíme se tu třeba o živnostenském registru, obchodních rejstřících, jestli má dotyčná osoba exekuce, je v insolvenci, zda po ní není vyhlášeno pátrání, a to kdekoliv na světě, nebo jestli je na nějakém sankčním seznamu. V tomto případě fungujeme jako jednoduchá integrační platforma, která zobrazí všechny tyto informace na jednom místě. Pokud chce ale zaměstnavatel udělat screening, je třeba i e‑mailový kontakt na žadatele o práci. Tu variantu využívá 90 procent našich klientů. Vždy bude záležet na tom, jestli máme k dotyčnému přístup a kdy nám informace o sobě poskytuje.

Řekl byste o sobě, že jste digitální detektiv?

My se tak nevnímáme. Myšlenka naší firmy je udělat komplikované věci jednoduše a na jednom místě. Nečerpáme z nějakých zákulisních zdrojů, kde bychom se pídili, co je dotyčný zač. To nás začne zajímat teprve tehdy, když třeba zjistíme, že má padělaný doklad a koupil ho někde na internetu. V tu chvíli se začneme trošku víc angažovat společně s klientem. To ale není to, co náš nástroj dělá.

Přibližně každý druhý podvod je spáchán zaměstnancem či v součinnosti s ním, respektive s jeho přispěním.

A to je tedy co?

Jednoduchý fact‑checking. Kandidát něco uvedl, my jsme se dotázali do zdrojové databáze, což může být databáze školy či zaměstnavatele nebo obchodní rejstřík. Pak třeba vrátíme informaci s tím, že tady toto nesedí.

Kdybyste měl to, co děláte, říct jednou větou, jak bude znít?

Jednoduše jestli zájemci o práci o sobě říkají pravdu.

Jak jste se k takové činnosti dostal?

Poprvé jsem se s background screeningem setkal, když jsem byl zodpovědný za vyšetřování podvodů a fraud management v největší bance GE, respektive v její české dceři GE Money. Z mého pohledu to byla moje největší škola. Můj tým měl na starost všechny klientské podvody nad půl milionu korun a veškeré zaměstnanecké podvody. Pracovali jsme na odhalování podvodů páchaných managementem v regionu střední a východní Evropy. Tam mi začalo docházet, že za každým druhým podvodem stojí zaměstnanec. Od té doby jsem to v žádné firmě nikdy neviděl v tak detailní podobě.

Proč zrovna název SCAUT?

Je to zkratka pro screening automat, ale vtipné je, že doménu scaut.com jsme získali od amerických skautů.

Zakládal jste firmu rovnou po konci v GE?

Ne. Tam jsem končil někdy v roce 2009 a hned poté jsem nastoupil na tři roky do EY, kde jsem byl v oddělení forenzního auditu a taktéž jsem vyšetřoval podvody. Tam jsem poznal oblast compliance a zavádění bezpečnostních standardů, firemní kultury a etiky. Naučil jsem se, že je to hrozně důležité, a proto se sami snažíme o maximální transparentnost, jak vůči kandidátům, tak klientům.

Proč hrozně důležité?

Zejména v postkomunistických státech může být získávání informací velmi negativně vnímáno. Vezměte si slova jako lustrace, prověrka a podobně. My se v tomhle smyslu snažíme působit pozitivně, jsme transparentní, na webu jasně jmenujeme všechny věci, které děláme a prověřujeme. Nikdy neděláme nic, co by kandidát nevěděl. Dokonce umožňujeme, aby zaškrtl, že si nepřeje, abychom pro referenci kontaktovali bývalého či současného zaměstnavatele. V posledním kroku musí podepsat potvrzení, že ho prověřujeme. Pak zkontrolujeme, jestli všechno sedí.

Odkud se berou vaši klienti?

Je velký rozdíl mezi Českem a zahraničím. V anglosaském světě jde o standard a spíš nenajdete firmu, která by tohle nedělala. V Česku je personalista jen uživatel, kterému někdo řekl, ať prověřuje, sám by to v 99 procentech případů nedělal. Máme stále zažité, že když vám někdo něco řekne a podáte si ruce, věříte mu a nechcete ho kádrovat. To je fajn jen do doby, než si uvědomíte, že když se ten člověk dostane k počítači, má neomezenou moc a už ho nikdo nekontroluje. My se fakticky snažíme držet tyto černé ovce mimo firmu. Nejčastěji tak o naše služby má v Česku zájem oddělení compliance, firemní právník či majitel. Najímají nás IT firmy, farmaceutické společnosti a finanční sektor.

Kolik klientů máte doma a kolik je z ciziny?

Asi 85 procent jsou firmy mimo Česko, popřípadě jsou to lokální pobočky zahraničních firem, po kterých to jejich matky vyžadují. Aktuálně máme 160 až 170 klientů, kteří nás aktivně využívají. Máme obrat kolem 10 milionů korun ročně.

Petr Moroz

Expert na řízení rizik a zakladatel start‑upu SCAUT. Přes 10 let působil jako bezpečnostní manažer pro mezinárodní korporace General Electric, Marriott a EY. Nasbírané zkušenosti využil v roce 2011, kdy založil vlastní konzultační společnost Screening Solutions, která se stala nejvýznamnější lokální firmou v oblasti vyšetřování podvodného jednání a nastavování compliance managementu v ČR a SR. V roce 2020 založil SCAUT, který se specializuje na background screening.

Petr Moroz
Foto: Matej Slávik

Věříte vy sám lidem, když vám něco o sobě sdělí?

Až moc. Nejsem postižený prací. Na druhou stranu, pokud mi někdo přinese dokument, umím se na něj podívat a dokážu velmi pravděpodobně říci, jestli je to bluf, nebo ne. Všímám si detailů, kterých by si normální člověk nevšiml. Inkoust, barva, velikost, to je ono.

Říkáte, že každého druhého podvodu se účastní zaměstnanec. Co je k tomu vede?

Ano. Buď se ho sám dopustí, nebo je podvod spáchán v součinnosti s ním, respektive s jeho přispěním. Například když někomu řekl o bezpečnostní chybě ve firmě, sdělil někomu své heslo či předal informaci, kdy se převáží peníze. Může jít i o maličkosti typu, že banka nabízí bonusy za doporučení klienta a úřednice na přepážce tam vyplní číslo účtu svého manžela. Pak na ta­kovém účtu vidíte čtyřnásobný příjem oproti jiným. Podstatou vždy bylo hledat chybu v systému, statisticky ji najít, identifikovat toho, kdo to možná provedl, a pak vše vyšetřit. Každý, kdo spáchá podvod, má důvod. Buď svůj vlastní, například když je v exekuci, nebo to dělá kvůli někomu jinému. Osobou propouštěnou kvůli podvodu je často paní v pokročilém věku, která má manžela gamblera či dítě na drogách. Snaží se udržet rodinu pohromadě za cenu toho, že si v práci bere peníze z kasy a dělá manko. Nejde jí o to obohatit se. Proto je dobré člověka prověřit, pochopit jeho osobní vazby, poznat motivace.

Znamená tedy background screening, že firma může chtít zkoumat u zaměstnanců i poměry v rodině a její příslušníky?

Ne. Ukáže ale třeba někoho, kdo v něčem zalže, a tomu pak nelze věřit. V typickém případě se zeptáme, jestli má prověřovaná osoba exekuci. V dotazníku stojí, že ne, jenže se ukáže, že má třeba i čtyři. Takový člověk porušil princip důvěry a těžko mu někdo dá přístup do systému a řekne: tak a teďka budeš IT správce. Když se ho nezeptám a on mi o exekucích neřekne, tak nelhal, a to se SCAUT snaží eliminovat. Taky zjišťujeme, jestli někdo není alkoholik nebo neměl něco s omamnými látkami. Obecně je důležité si říct, co je pro kterou pozici důležité, a to pak prověřit. Děláme to pro klienta, ale kandidátům o práci tím vlastně nabízíme, že za ně získáme výpisy z rejstříku trestů, kontaktujeme školu a potvrdíme absolvované studium či získání diplomu.

Jak zjistíte, že je někdo alkoholik?

Třeba referencemi u předchozího zaměstnavatele.

Podvodníky jsou často Severokorejci. Vláda tyto aktivity financuje, mají potřebné znalosti a jsou schopni projít pohovorem.

Sledujete také, jestli mají lidé dluhy po splatnosti například u operátora. Není to už přes míru?

Prověřování nebankovních registrů, jako je SOLUS, nabízíme v balíčku rozšířená kredibilita. Kupuje si ho tři až pět procent zaměstnavatelů. Nad rámec toho, co je veřejně dostupné, zjišťujeme výpis z trestního rejstříku. Každý si ho může stáhnout na Portálu občana. Kdo ale ověří, jestli to PDF neupravil, jestli v něm něco nezamazal? To je mimochodem poměrně častý nález služby SCAUT, častější, než bych si býval sám myslel. My to ale ověřujeme přímo s vydavatelem dokumentu, anebo máme technologický postup a vidíme, jestli PDF nebylo upravené. Na tohle neexistuje jiná kontrola. Zaměstnavatel vlastně spoléhá na papír, který mu někdo donesl. Že to má kulaté razítko? To umí udělat každé dítě na digitální tiskárně.

Jak často zjistíte nějaké falšování údajů?

Například při kontrolách identity a dokladů se potkáváme s nějakými třemi až pěti procenty problémových. Nejčastější je, že dotyčný nafoukne svou odpovědnost nebo pozici v předchozím zaměstnání. V extrémním případě se vydává za někoho jiného.

Dá se odhadnout, kolik je v Česku, popřípadě v Evropě ve firmách špionů?

Díky zkušenosti v bankovnictví jsem si uvědomil, kolik organizovaných skupin se snaží systematicky do banky nabourat. Dříve se tito lidé pokoušeli sbalit pokladní, která měla manžela, brali ji na rande, vozili drahými auty a pak ji vydírali, aby jim řekla o spících účtech, kde jsou peníze a nikdo je dlouho nevybral. Dnes je jednodušší propašovat do firmy ajťáka, který se dostane poměrně rychle k nějaké infrastruktuře.

Jak je to časté?

Na to neexistuje statistika. Poukázal bych na počet ransomware útoků, který roste. Útočník zamkne síť například v nemocnici či bance a pak instituci vydírá. Kdo tam propašoval ten škodlivý kód? Byl to vzdálený útočník z Izraele, Ománu či Nigérie, nebo to byl člověk, který jim spravoval síť, ale nechoval se na ní bezpečně? Nedokážeme spojit počty útoků na banky či jiné instituce s lidskou chybovostí. Tohle je přesně ten důvod, proč je v Americe nebo v anglosaském světě personální bezpečnost, tedy prověření lidí, vnímaná jako zásadní. Musím vědět, koho pouštím k informacím či k datům nebo ke strojům. Protože stroj sám nezaútočí. U nás jsme zvyklí utrácet za antiviry, log management, firewally a podobně. Jenže kdo sedí u toho počítače a fakticky na něm dělá, už nás netrápí. Navíc teď chybí lidé, není dostatek dobrých kandidátů, nebo minimálně ne za ty ceny, které jsme jim ochotní platit, protože všechny vyprodáváme na Západ. Pro personalistu je klíčové rychle obsadit pozici, ale už ne jak bezpečně.

Můžete říct, jaký byl váš největší úlovek, kdy se vám podařilo nějakou naplánovanou infiltraci do firmy přes personální oddělení odhalit?

Šlo o kandidáta, který nastupoval do jednoho velmi úspěšného českého IT start‑upu. Jmenoval se Denis Los a měl to být Dán s velmi dobrým CV. Když ho zadali do systému SCAUT, první věcí, která z prověrky vypadla, bylo, že jeho dokumenty nemohly projít automatizovaným ověřovacím procesem.

To znamená, že měl falešný doklad?

Ano, pas měl koupený, obrázek vygenerovaný online. Jen pro představu, takový pas lze vygenerovat za devět dolarů. Není to jen fotka, ale fakticky video, respektive 3D obrázek s perfektní animací. Tenhle Los se hlásil pod jménem Matěj Lorenčík i do jedné firmy na Slovensku. Tam použil existující ukradenou identitu. Jenže bylo podezřelé, že na dokladu chyběly u jména háčky a čárky, takže firma hned zpozorněla. Problém je, že ajťáci často nastupují jako freelanceři, ičaři, takže ve většině případů neprocházejí standardním HR procesem. IT služby se mnohdy kupují jako služba od třetí strany. Proto často proklouznou i takoví s nevěrohodnými doklady.

Jaký vliv na tento stav měl covid, nástup home officu?

Obrovský. To, co se nejvíc změnilo za poslední tři roky, je právě nábor na dálku a práce z domova. Nejhorší na tom je, že nejčastěji outsourcované pozice, kde se pracuje vzdáleně, jsou v IT, digitálním marketingu a v péči o zákazníky. Tito lidé nejčastěji přistupují k osobním údajům. Jde také o call centra. Sedí tam 60 lidí, ale možná že vůbec nesedí v Evropě. Důležité je si uvědomit, že většinou je špionem člověk, a ne nějaký robot.

Lze říct, jaké národnosti jsou podvodníci nejčastěji? Nás by asi jako první napadly Čína, Rusko.

Spíš to vypadá, že to jsou Severokorejci. Souvisí to i s tím zmiňovaným ransomwarem. Jednou z často financovaných aktivit severokorejské vlády jsou právě kyberútoky. Problém je, že ti lidé mají skutečně potřebné IT znalosti a jsou mnohdy schopni projít pohovorem.

Související