פרצה קוראת לגנב - כך תמנעו מעילה בארגון

חברות משקיעות רבות בטכנולוגיות שיסייעו להם בהתמודדות עם סוגיית שימוש לרעה במידע שברשותן, על-מנת להגן על מידע רגיש ולעמוד בתקנים ובדרישות רגולטוריות. נימצא כי אחד הגורמים הבעייתיים המאיימים על חוסנם התדמיתי-כלכלי של כלל הארגונים הוא שימוש לא לגיטימי של עובדים בגניבות מידע פנים ארגוניים ובניגוד גמור למחשבה שהמידע שנגנב בד'כ מתבצע על-ידי גופים ואנשים מחוץ לארגון. אחת הטעויות הנפוצות בקרב ארגונים רבים שאינם מייחסים משקל ראוי ומספק לביצוע תהליכי פיקוח ובקרה על בסיס התפיסה שעיקרה - סיכול ומניעה, עוד בטרם ביצוע מעשה של זליגת מידע, הונאה או מעילה, על-ידי המנהלים והעובדים באמצעים הממוחשבים העומדים כמעט בכל ארגון בחברה המודרנית בה אנו חיים.

מסקר שנערך בקרב חברות מובילות הנתונים מראים שאחד מכל 10 עסקים ב-5 השנים האחרונות נעשה שימוש ע"י עובד בארגון במידע פנימי לתועלתו האישית לצורך "השלמת הכנסה" בעזרת שימוש לא לגיטימי ואף פלילי במשאבי החברה, לצורך ביצוע מעילות כספיות ע"י שימוש לכאורה לגיטימי בתקציבים שמטרתם פעולות נדרשות של הארגון אך בהפנייתן למטרות אישיות. מרבית הסיבות שעלו בסקר הן חומריות, המרוץ אחרי תאוות הבצע, והרצון העז של עובדים/מנהלים לשפר את רמת חייהם עכשיו ומיד, מחשבות אלו כדרך הטבע מתרוצצות במוחם של בני האדם ואין זה משנה מהו מעמדם בארגון מחשבות אלו מייצרות במידה רבה אינפלציה בכמות ובהיקף המעילות במקומות עבודה.

בין המקרים הידועים שפורסמו הינם, הבנק למסחר שהתמוטט בשל גניבות שיטתיות לאורך שנים רבות ע"י עובדת החברה, אתי אלון, מקרה נוסף דומה בדרך פעולתו נגרם עי' מנהלת מחלקת הנח'ש בחברת yes אשר גרמה נזק של יותר מ-10 מיליון שקל עי' גניבה שיטתית לאורך זמן מהחברה בה הועסקה וכן ידוע על הברוקר ז'רום קרוויאל אשר שרף מיליארדי אירו לבנק סוסייטה ג'נרל.

האחריות למנוע את ההיתכנות הפוטנציאלית של שימוש לרעה במאגרי המידע של הארגון מוצע סרגל כלים המכיל מספר נורות אזהרה שראוי לאמצן ולהפעילן בשום שכל על בסיס החשיבה המבוססת על פעילות מונעת של סיכול ומניעה כדבר שבשגרה בשונה ממצב בו התגלה האירוע דבר המחייב את הארגון לפעול באילוץ ולא כפעולה מונעת כלומר טפלו לפני המעשה ולא אחריו!

אילו נורות אדומות ניתן לזהות בקרב עובדים:

• מנהלים בכירים/עובדים אשר נמצאים במצוקה כלכלית התחילו הרגל כמו הימורים, סמים או אלכוהול או. בעיה רפואית של בן משפחה וכו'.

• מנהלים בכירים/עובדים אשר במסגרת תפקידם נוטים יותר להיות חשופים למידע רגיש עלולים להעבירו למתחרים.

• מנהלים בכירים/עובדים אשר מחליפים בתדירות גבוהה את סיסמאות במחשב ובסמארטפון

• מנהלים בכירים/עובדים שמכניסים קודים או הצפנות למידע שבד'כ מוגדר כציבורי

• שימוש יתר עי' מנהלים בכירים/עובדים בתוכנת הקלטה אוטומטית של שיחות טלפון ומחשב

• מעילות רבות מתגלות כשהעובד יוצא לחופשה ועובד אחר מחליף אותו,למרות שהעובד /מנהל לא בהכרח מתוגמלים כמו יתר עמיתיהם בתחום נוצר מצב של הימנעות מיציאה לחופשה. הללו ממעטים לצאת לחופשה מחשש שבעת היעדרותם מעשיהם יחשפו.

• מנהלים בכירים/עובדים שפועלים במקום עבודתם עם מחשב ו/או טלפון חכם נפרד בנוסף לאמצעים שהארגון מעמיד לרשותם.

• שימוש בתקציבים ייעודיים עי' מנהלים בכירים/עובדים לצרכים שונים מהגדרתם המקורית.

• יציאות תכופות של מנהלים בכירים/עובדים במהלך יום העבודה ושלא במסגרת דרישות תפקידים.

• הדפסה של מסמכי רכש והזמנות ומחיקתן ממאגר המידע הציבורי של החברה.

• הוצאה פיזית מוגזמת של מידע ניירת עי' מנהלים בכירים/עובדים מחוץ לארגון.

• אף על-פי שעיקר פעילותם של העובד אמורה להיות בתוך הארגון פעילות לא סבירה בעליל של מנהלים בכירים/עובדים שהעתיקו את עבודתם מחוץ לארגון (בבית/בתי קפה וכד') אף על-פי שעיקר פעילותם של העובד אמורה להיות בתוך הארגון.

• שימוש בכתובות דוא'ל נוספות לאלו שסופקו עי' הארגון מחשבון בודד בארגון.

• שימוש תכוף במשרד המנהל/עובד במחשב אישי פרטי או באמצעים נתיקים שאינם ברשת מחשבים של החברה.

• שימוש יתר בפקס אנלוגי ובשלוחה נפרדת שאינה עוברת דרך המרכזייה ראשית של הארגון

כל ארגון ראוי שינקוט פעולות שוטפות כדי למזער את הסיכון ולנסות להימנע מתופעות של מעילה, הונאה או זליגת מידע, באחריות הארגון ליצור מנגנוני בקרה וביקורת מתאימים למניעה ולגילוי ואף ולהוביל מהלכים שיפחיתו הרתעתית וטכנולוגית באופן משמעותי את היתכנות לבצע פרצות במערך האבטחה ובכך להגן טוב יותר על נכסי הארגון ועובדיו.

אלו בדיקות חיוני לאמץ ולבצע בארגון:

• עריכת ביקורת חיצונית עי' גורם בלתי תלוי ולא רק פנימית, פעולה שעשויה לשמש כגורם הרתעה משמעותי שאינו נתון למרות המנהלים/עובדים בתוך הארגון.

• ביצוע בדיקות פוליגרף מדגמיות ככלי התרעתי. נוסף לגיטימי בארגון

• עריכת ביקורות אקראיות על רשימות מלאי, ביצוע ביקורות חשבונאיות, הצלבות מידע מול דיווחי מנהלי מחסנים/רכש, ביקושים וכו'

• ניטור כניסה ויציאה של עובדים (באמצעות כרטיס חכם / ביומטרי) ושימוש מושכל במצלמות עמ' לוודא שהם לא נמצאים במקום העבודה בשעות בהן הארגון לא פעיל.

• בדומה למעשה בבנקים/מוסדות אחרים ביצוע פעילות יזומה שעיקרה קביעת מנגנון קבוע ורנדומלי אשר מאפשר תחלופה של עובדים בתפקידים רגישים לעיתים ללא הודעה מוקדמת (כך שאם מתרחש תהליך רמייה / הונאה סביר להניח שעובד אחר יחשוף זאת בדרך מקרה)

• יצירתם של מנגנוני פיקוח אשר אינם מאפשרים ביצוע פעולה משמעותית במידע עי' עובד בודד אלא על-ידי ביזור פעילות שמחייבת הפעלתם של 3-4 עובדים עמ' להשלים את המשימה(כדי למנוע מזימה של איש אחד או שניים ולהקשות על פעולות כאלו).

• ביצוע ביקורות מדגמיות בחלונות זמן משתנים של אותם מערכות המחשב של החברה לרבות ניטור של מערכות דוא'ל - עמ' אפילו בלי להיכנס לתוכן המייל אלא רק ע"ב נתוני מסגרת. לבחון שאין תכתובת מול מתחרים וכו'.