שוב: הגורם האנושי במוקד

פרשת ניסיון הסחיטה, לכאורה, שביצעו עובדים לשעבר של לאומי קארד תויגה באמצעי התקשורת כאירוע הסייבר הגדול ביותר שהיה כאן. נכון הוא שסייבר היא מילה מאוד סקסית ושנוהגים לקשור אותה לכל אירוע של מעילה או אבטחה, במיוחד בארגונים פיננסיים, אלא שהפעם לא מדובר במתקפת סייבר. בטיוטת הנחיות שחוברה על ידי בנק ישראל ומתייחסת לנושא יש כמה קריטריונים להגדרה מהו איום סייבר: שיבוש, הפרעה או השבתה של פעילות, גניבת נכס, איסוף מודיעין ופגיעה באמון הציבור. מהמעט שידוע עד כה על הפרשה, אף אחד מהקריטריונים האלה לא קיים בה.

מסתמן שמדובר כאן בעוד אירוע אבטחה פנים ארגוני שקשור לגורם האנושי – זה לא בהכרח סייבר, אבל דבר חמור ומאתגר בפני עצמו.  מחקרים שונים בתחומי האבטחה מעלים שחלק גדול מאירועי האבטחה בארגון, כולל גניבות ופריצות, נובעים מגורמים פנימיים. בשרשרת הזו תמיד מגיעים בסופו של דבר לאותו קומץ עובדים, חלק מבעלי טווח ההרשאות הגדול ביותר. אלה אנשים שרמת האמון בהם מטעם הארגון היא הגבוהה והרגישה ביותר. למעשה, הם משולים לאיש התחזוקה הארגוני שיש לו מפתחות לכל חדר ולכל תא. האבסורד הוא שבדרך כלל, אותם אנשים הם גם אלה שאמונים על אכיפת חוקי המידע בארגון ועל הגנה מפני תקיפה.

הדילמה אינה פשוטה: מצד אחד, הארגון מבקש לתת חופש פעולה, גמישות ואחריות לעובדים בכירים, כדי שיוכלו למלא את תפקידם בצורה הטובה ביותר. כתוצאה מכך, מפקידים בידיהם את ההרשאות הרגישות ביותר. אלה פותחות פתח לאותם בעלי תפקידים לעשות שימוש לרעה בסמכות שלהם, בדיוק כמו שכל פקיד בנק ממוצע יכול לבצע מעילה, ולפעמים לוקח זמן רב עד שעולים על זה. אמנם, מאז פרשת אתי אלון, נהלי הבקרה והפיקוח במוסדות פיננסיים הוחמרו והשתנו, וגם הטכנולוגיה השתנתה, אבל לעולם תישאר הפרצה שדרכה עובדים ימעלו באמון שנתנו בהם ויסכנו את הארגון.

איך פותרים את זה?

הפתרון למציאות זו אינו אחיד. הוא נוגע בהיבט הטכנולוגי, על ידי יישום כלי בקרה ומעקב אחרי פעולות חריגות של עובדים ומידע שיש ברשותם, ואולי גם הגבלת הגישה שלהם. במקביל, הטיפול הוא פנים ארגוני. נדרש לבצע מיון נכון יותר של עובדים, עם יכולת ניבוי טובה יותר לגבי האפשרות או החשש שיום אחד ימעלו באמון. רצוי גם לפזר סיכונים ברמה כזו שלא תאפשר לכל בעלי ההרשאות הרגישות לגשת לכלל המידע בצורה שווה, אלא למדר חלק מהנתונים כך שאחד יהיה תלוי בשני. במקרה שלנו מדובר בקבוצה של עובדים שהתארגנו לצורך ביצוע העבירות. מכאן שייתכן שמדובר במקרה חריג.

אם מסתכלים על החצי המלא של הכוס, גורמי האבטחה בלאומי קארד, חברות אבטחת המידע והמשטרה פעלו במקרה זה בצורה מקצועית ומהירה יחסית, הצליחו לעצור את החשודים והכי חשוב – הצליחו למנוע נזקים חמורים.

המסקנה מהאירוע היא שהמודעות לאבטחת מידע בארגונים כמו לאומי קארד חייבת להיות תמיד ברמה גבוהה. נדרשים כוננות יום יומית, יצירתיות ועיניים פקוחות. אלה הם כלים שטובים גם להגנה מפני מתקפות סייבר, שיכולות לקרות בכל רגע, וטוב לדעת שיש מי ששומר עלינו.