לאחרונה נחשפנו לסיכול זליגת הנתונים של 2 מיליון כרטיסי אשראי באמצעות עובד לשעבר בחברת לאומי קארד. על-פי כתב האישום, החשודים דרשו מהנהלת הבנק מיליוני שקלים, ואיימו, כי אם לא ייענו - הם ימכרו את הפרטים למרבה במחיר. לשמחת כולנו פרשייה זאת הסתיימה במעצרם של החשודים ומניעת זליגת פרטי כרטיסי האשראי.
בעיות מסוג זה מתרחשות בארגונים מדי יום ביומו. יישום יעיל של מנגנוני בקרה ופיקוח אחר משתמשי הקצה הוא אחד האתגרים הקשים ביותר העומדים כיום בפני ארגונים פרטיים וציבוריים. הסיבות הן מחסור בטכנולוגיה לזיהוי סיכונים, חשיפה לפגיעה בפרטיות הלקוחות וההסתברות להיווצרותם וחוסר ביכולות מדידה ובחינת השפעתם על ההצלחה העסקית של הארגון.
סקרים שנערכו בשנתיים האחרונות מראים, כי הסכנה העיקרית לנכסי המידע של הארגון מגיעה כיום מתוכו. מעילות ודליפת מידע רגיש על-ידי עובדי הארגון, אשר להם גישה למערכותיו בתוקף תפקידם, מהוות כיום את הסיכון העיקרי בקרב הארגונים.
כיום אין בידי ארגונים היכולת ליישם בקרה בזמן אמת על פעילותם בתהליכים העסקיים כגון תהליכי רכש, הנהלת חשבונות, שירות לקוחות, משאבי אנוש, ניהול מלאי, גזברות וכדומה. יישום בקרות ממוכנות בזמן אמת במערכות הקיימות בארגון אינו ישים במקרים רבים בשל העלויות הכרוכות בכך, או בשל שימוש במערכות מדף או לשכות שירות אשר אינן מאפשרות שינוי במערכות שלהן. אם כן, כיצד ניתן ליישם בקרה בזמן אמת, יעילה וקלה לתפעול?
נדרש תהליך מתמשך
רגולציות פנימיות וחיצוניות, תהליכי ניהול סיכונים ובקרה מחייבים ארגונים לבצע תהליך מתמשך של ניהול ובקרה אחר החוקים העסקיים שנקבעו בהם. לכל ארגון חוקים עסקיים המאפיינים אותו ואת הענף אליו הוא שייך. חוקים אלו משתנים באופן שוטף, במיוחד בענפים מוטי רגולציה, בשל שינויים תדירים ברגולציה ובשל תהליכי ניהול הסיכונים הפנימיים בארגון, אשר מגדירים חוקים חדשים כמענה לסיכונים בפניהם הוא עומד. הצורך בכלים לניהול החוקים והמדיניות הארגונית הולך וגובר, הסיבוכיות הגלומה במדיניות גדלה, כמות החוקים מתרבה, השינויים הופכים תכופים, ובו בזמן התקציב מצטמצם ודרישות השקיפות והבקרה עולות.
לרוב, החברות משקיעות משאבים רבים בניטור, מעקב ובקרה לזיהוי חדירה מחוץ להן, אך אינן מנהלות מנגנוני בקרה מקבילים לניטור הפעילות של משתמשי הקצה השונים ברחביו בעקבות המורכבות העסקית, הניהולית, התפעולית וחוסר הוודאות ההולך וגדל בסביבה הפנימית והחיצונית בה פועל הארגון.
הארגונים נדרשים לעקוב, לנטר ולנהל את מרכיבי הסיכונים הקיימים במערכות המידע בארגון בכלל ואת פעילות משתמשי הקצה בפרט. ניהול לא נכון של סיכונים אלו עלול להביא את הארגון להפסדים ואף לעיתים לפשיטת רגל.
בנוסף לכך, ציות לרגולציות חדשות מהווה אתגר משמעותי הכרוך במאמצים ניכרים לכל ארגון. יישום מנגנוני אכיפה הוא אתגר במיוחד עבור ארגונים אשר מתבססים על מערכות מידע שפותחו לפני עשור או שניים, בהן לא קיימות הבקרות הנדרשות מהוראות ודירקטיבות חדשות אשר פורסמו בשנים האחרונות. לרוב, לארגונים אין הידע או כוח האדם להטמעת בקרות חדשות ביישומי המערכות הקיימות. כתוצאה מכך, מערכות אלו, בצורה אופיינית, יוצרות סיכונים ואינן ממלאות בצורה מלאה אחר דרישות הציות.
אחד העקרונות החשובים ביותר בבקרה פנימית נאותה בארגון הוא היכולות לנהל ולנטר את פעילות משתמשי הקצה וליישם את עקרון הפרדת התפקידים. מערך ההרשאות במערכות המידע בארגון צריך לעמוד בעיקרון "הצורך לדעת" - הגבלת הגישה למידע לבעלי התפקידים הזקוקים לו בלבד - ועמידה בעקרון הפרדת תפקידים. עיקרון זה קובע הפרדה בין הגורמים השונים האחראים לביצוען של פעולות בארגון, כגון הפרדה בין גורם מבצע, מאשר ומבקר.
למעקב אחר משתמשי מערכות המידע בארגון יש חשיבות רבה, כיוון שקיים פוטנציאל רב להשיג גישה לא-מורשית לנתונים או לשנות נתונים מבלי שניתן יהיה לעקוב אחריהם. עובד בעל גישה לנתונים אשר אינם דרושים לו לביצוע תפקידו, חושף את הארגון לאפשרות ביצוע של מגוון פעולות אשר אינן עולות בקנה אחד עם הגדרת תפקידו ועם עקרון הפרדת התפקידים.
הפרויקט בבית המשפט האמריקני
כבר בתחילת שנות ה-90, מערכת בתי המשפט באחת ממדינות ארה"ב הייתה הראשונה להטמיע מערכת מידע לניהול הידע בין מערכות החוק השונות (משטרה מקומית וארצית, משרד התובע המחוזי, הסניגוריה הציבורית). מטרת הקמת המערכת הייתה לאפשר לנציגי רשויות החוק השונות לקבוע את סטאטוס הטיפול בתיק ותיעוד הנתונים, ולאפשר להם גישה לנתונים היסטוריים, תנאי מעצר ועוד.
הגישה למערכת המידע אובטחה בכלי אבטחה שונים ורק למשתמשים מורשים התאפשרה גישה וכניסה אליה. אולם, כלי האבטחה השונים לא ביצעו ניטור על פעולות המשתמשים ולא התריעו או מנעו שימוש לרעה של המשתמשים במידע.
האתגרים אשר ניצבו בפני מנהלי המערכת היו הסיכון שהמשתמשים ינצלו לרעה את המידע המצוי במערכת ודליפת מידע חסוי. ככל שעבר הזמן, גברו החששות לשימוש לרעה במידע הקיים במערכת באמצעות מורשי גישה.
הנהלת בתי המשפט שם החליטה להטמיע את הפתרון המספק מענה מקיף להתמודדות עם האתגרים שתוארו. תחילה כלל הפרויקט סט פעולות שמטרתו לבצע הקלטה מלאה וניטור בזמן אמת על פעולות המשתמשים, ובכך לאפשר למבקרים להתחקות אחר פעולות המשתמשים. האמצעי מזהה את דפוסי ההתנהגות של המשתמשים ובונה פרופיל התנהגות לכל משתמש. המערכת מתריעה בזמן אמת על חריגה מהפעולות שהוגדרו לפרופיל המשתמש ונשלחת התרעה למבקרים.
הטמעת הפתרון הביאה להפחתה של יותר מ-90% מהזמן הנדרש לתחקור פעולות המשתמשים. זמן תחקור הפעולות התקצר מחצי שנה לכ-20 דקות. כמו-כן, התאפשר למחלקת הביקורת לטפל בכל פנייה, שכן הצורך לתעדף בין בקשות של רשויות גדולות וקטנות לא היה קיים לפני כן.
חשיבות להפרדת התפקידים
מנסיוננו אנו למדים, כי ניהול מעקב אחר פעילות המשתמשים ויישום אפקטיבי לעקרון הפרדת התפקידים הוא נושא חשוב במיוחד, שכן מדובר במערכות המרכזות מידע לגבי כל חלקי הארגון. ניצול לרעה או טעויות במקרים אלו עלולים להיות הרסנים לארגון. פעמים רבות משקיעים ארגונים משאבים רבים בהטמעת מערכות שונות, אך אינם מקפידים ליישם ולנהל באופן הולם את הניהול והמעקב אחר פעולות משתמשי המערכת. לרוב הדבר נובע מקושי ליישם ולנהל מערך ומעקב אחר המשתמשים ועקרון הפרדת התפקידים במערכות כה מורכבות, הבנויות ממספר גדול של משתמשים, פרמטרים וטרנזקציות.
הפתרון מספק מענה מקיף ויעיל לניהול ובקרה אחר החוקים העסקיים בארגונים בזמן אמת, באמצעות שימוש בטכנולוגיה ייחודית למעקב, ניטור, הקלטה והתראה אחר כל פעילות משתמשי הקצה בארגון, הכוללת מענה גם לנושאים הבאים:
- איתור מעילות והונאות פנים-ארגוניות בזמן אמת.
- הגנה על נתוני לקוחות ונתונים רגישים אחרים מפני הדלפות מידע בשוגג או בזדון בזמן אמת.
- הגנת הפרטיות, צנעת הפרט ושמירת מידע אישי.
רגולציות רבות דורשות מעקב ונתיב ביקורת מפורט של גישת משתמשים למידע רגיש ברחבי הארגון. מילוי דרישות הרגולטור יכול להפוך ליקר, שכן ייתכן שיידרשו שינויים באלפי תוכניות אפליקציה או ייצוב של לוגים קיימים בתצורות שונות ובמיקומים שונים.
פתרון ניטור המידע
פתרון ניטור המידע של המערכת מספק לארגונים שונים בכל העולם את הדרך המהירה ביותר לעמוד בתנאים הרגולטורים החדשים למניעת הונאות ודליפת מידע. דרך בחינת התהליכים העסקיים ויישום מנגנוני החוקים במערכת וניהולם הקפדני, ניתן לשפר באופן ניכר את הביצועים העסקיים של הארגון, לציית להוראות רגולטוריות באופן מלא וליישם מנגנוני מעילות והונאות שוטפות ואפקטיביות בחברה.
למערכת תאימות גבוהה לדרישות חוק ורגולציה - היכולת לבצע מעקב על דרישות החוק ולזהות אי-התאמה לדרישות חוקיות, ובכך להקטין את החשיפה המשפטית והחוקתית. מחקרים מוכיחים, כי בקרב לקוחות שהטמיעו את המערכת, המענה לאיתור ומניעת ביצוע פעולות בלתי מורשות היה מהיר ביותר.
המערכת מספקת לדירקטוריון ולהנהלה אמצעי לזיהוי אירועים העלולים לגרום נזק לארגון ומזעור סיכונים והפסדים כספיים, כגון יכולת זיהוי של אירועים העלולים לגרום לנזקים, הסיכונים בגינם והבקרה לניהול סיכונים אלה. כתוצאה מכך גדלה יכולת ההנהלה לנהל אי-ודאויות ולהקטין את הנזק הפוטנציאלי מאירועים אלה.
לסיכום: אנו רואים כיום הפנמה של ההבחנה, כי מתן פתרון לניהול ומעקב יחידני או מקומי אינו מספק. הבנה זו מביאה לנטייה גוברת והולכת ליישום מדיניות מובני. על הדירקטוריון לבחון האם במסגרת מדיניות ניהול הסיכונים ניתן דגש גם על העמידה בדרישות הרגולציה ומה הם הפתרונות המוצעים.
אין ספק, כי כל ארגון חייב להכיר וליישם מענה הולם לניהול מעקב אחר החוקים העסקיים, לשרידות עסקית ואבטחת מערך המידע. לאור ההתפתחויות בתחום, מומלץ להתעדכן ולהתכונן.
