כרטיס אשראי

 

בקרב מנהלי ביטחון, האסוציאציה הראשונה למונח 'אויב' תהיה 'מחבל'. דמות של תוקף חסר שם וחסר פנים. אויב מבחוץ.

רוב הגופים המאובטחים, בטח המונחים מביניהם, מסמנים את האויב מבחוץ ומגבשים תוכנית אבטחה המספקת הגנה בפני שלל האיומים הנגזרים ממנו. כלל יסוד הוא 'פנים החוצה' בניסיון לאתר את החשוד או החריג, וקווי ההגנה מתפקדים בהתאם – מאבטח צופה סורק, מוקד צופה, מיגון פיזי, נוהל כניסה מבוקרת וכו'. האויב הוא בחוץ ויש להשאיר אותו שם.

מאידך, קיים גם אויב פוטנציאלי אשר מקבל התייחסות פחותה, בטווח שבין מינימלית לבין אפסית – האויב מבפנים. התמודדות מול אויב פוטנציאלי מבפנים קשה יותר, מנטלית ואפילו רגשית. יש לו שם, יש לו פנים, ואפילו יש לו קשרים אישיים. קשה לייחס פוטנציאל סיכון לאדם איתו נפגשים מידי יום, יוצאים איתו לסיגריה מזדמנת, מזמינים לחתונה של הבת.

נכון, ישנם גופים מאובטחים בהם איום הייחוס הראשון ברשימה מפנה את הזרקור לאויב הפוטנציאלי מבפנים והמשאבים מוקצים בהתאם, אבל בהם גם ניהול הסיכונים וסדר הקדימויות שונים (מוסדות פיננסיים, טכנולוגיים וכד'). בראייה הוליסטית של תחום האבטחה, ברור שהזווית הזו מוזנחת ביחס לנזק הפוטנציאלי.

מהו הנזק הפוטנציאלי? ההתאחדות הגלובלית לבוחני הונאות (ACFE) פרסמה נתונים לפיהם ארגונים מצהירים שהנזק אותו הם סופגים במסגרת הונאות פנימיות הוא בסביבות חמישה אחוזים מסך הרווחים מידי שנה. יש לחדד שהנתונים הללו משקפים נזקים מוצהרים בלבד ומוכרים בלבד. סביר להניח שהנתון האמיתי גבוה אף יותר. בארגונים מסוימים או בנסיבות מסוימות, נזק שכזה הוא בגדר איום קיומי. במקרים רבים, ההונאה מתגלה רק מאוחר מידי ומשאירה את הארגון לדמם בימי גסיסתו.

מלבד הנזק הכלכלי הישיר, במקרים רבים מתלווה גם נזק תדמיתי. נסו לדמיין מקרה בו שומר לילה בבניין משרדים נכנס במהלך הסיור לאחד מהם ומחטט במגירות, גם בלי לקחת מהן דבר. נסו לדמיין מקרה בו מחסנאי במרכז לוגיסטי לוקח מהמדף הביתה פריט אחד מידי יום, במשך שנים. נסו לדמיין מקרה בו מתכנת בחברת פיתוח מוכר קוד של לקוח אחד למתחרה. האמון הבסיסי בין הצדדים (גם צד ג') הופר ונשבר, ובלתי סביר שיהיה בר תיקון. גם ארגון אשר מסוגל לספוג נזק כלכלי, יתקשה לשקם נזק תדמיתי.

לאור פוטנציאל הנזק, רצוי להתייחס בתוכנית האבטחה גם לאויב מבפנים. אחריות מנהל הביטחון להכיר גם באיום זה ולספק הגנה מפניו.

מיהו האויב מבפנים? האפשרויות הן רבות כמניין האנשים הקשורים בארגון ומחזיקים במידות מספקות של גישה ואמון – שכירים ואף ספקים. פוטנציאל הסיכון רלוונטי ומשתנה לגבי כל אחד מהם, ובכל יום נתון. בהמשך לכך, תהליך בדיקות ובקרות היושרה נדרש להתחיל בקשר הראשוני בין הארגון לבין האדם. החל בשלב הראיון, דרך ליווי רצוף במשך כל התקופה, בייחוד בכניסה לתפקידים חדשים או בקבלה של הרשאות חדשות, אל יומו האחרון.

מנהל הביטחון, או הגורם הממונה בארגון לתחום ההונאות הפנימיות, נדרש לבחון את 'המשולש' (מאת דונלד קרייסי) – שלושה מאפיינים אשר מגדילים את פוטנציאל הסיכון של איום פנימי:

  1. לחץ – סיבות מגוונות כגון מצוקה כלכלית, חשש מאובדן המשרה או מפיחות המוניטין, קורבנות סחיטה וכד'.
  2. הזדמנות – גישה ואמון המספקים תפקידים, הרשאות ואף ותק או יחסים אישיים. שינויים ארגוניים פנימיים המקדימים החלה של נהלים ובקרות ובכך מייצרים פרצות.
  3. רציונליזציה – הצדקה פנימית של אקט ההונאה, כגון "אני ראוי לשכר גבוה יותר" או "אני גונב מהחברה שגונבת מלקוחותיה" וכד'.

בידי הארגון שליטה גבוהה רק במאפיין השני – ההזדמנות. בנייה נכונה של תהליך הגיוס והקידום (ראיונות, בדיקות ברשת האינטרנט, שיחות ממליצים, תשאולים, בדיקות מהימנות, בדיקות פוליגרף וכו'), לצד יישום נהלים ובקרות, יהיו הגנה בהיבט זה. מרחב ההזדמנויות יצומצם למינימום. מצד שני, המאפיינים האחרים מחייבים דריכות וקשב ברמות גבוהות. סימנים לגבי אחד או יותר מבין המאפיינים במשולש ההונאה מחייב תגובה מיידית בניסיון לאמת או להזים את החשד.

בשלב זה, אסייג ואדגיש – הרוב המובהק של האנשים הוא נורמטיבי וחף, אבל בדומה לחיפוש סימנים מחשידים בקרב קהל מסוים, המטרה היא לאתר את ה-אחד שיש בו כדי לסכן את היתר. בדיקות ובקרות היושרה צריכות להיות חלק מהתרבות הארגונית, להבדיל ממהלך נקודתי אשר מחשיד ומכתים אדם אחד. בדומה לבידוק תיקים בכניסה לקניון – יש למסד את המדיניות ואת הסטנדרטים, ואז אנשים יקבלו אותם בהבנה ובהסכמה, בלי חשש פן הם הוחשדו באופן אישי. תהליך בדיקות ובקרות היושרה חייב להוכיח יחס שקוף, הוגן ומכבד.

לסיכום, אחריות מנהל הביטחון נמתחת, בטח בימינו בהם הטכנולוגיה פותחת פרצות חדשות בתדירות גבוהה, גם להגנה מפני אויבים מבפנים, מהבית. זוהי חריגה מהגבולות הקלאסיים של האבטחה הפיזית המסורתית, אבל תפקיד מנהל הביטחון בארגונים הולך ומקבל נפח גדול יותר ויותר, ויש לברך זאת.

במאמר המשך נציג את ארגז הכלים שיש בידי מנהל הביטחון לצורך התמודדות מול האויב מבפנים.

תגובה
  1. קישורים מומלצים בהמשך למאמר:

    אתר האינטרנט של כריסטופר הדנגי, מומחה בתחום:
    https://www.social-engineer.com

    מצגת של סוכנות ביון נגדי בארצות הברית אשר מלמדת חיילים אמריקאים כיצד להתגונן מפני ניסיונות גיוס של גורמים זרים:
    https://www.youtube.com/watch?v=6QRGIGepyWk

תגובה חדשה