אמצעי בקרה מתקדמים למניעת מעילות והונאות בזמן אמת

בימים האחרונים נחשפנו לפרשיית סיכול זליגת מיליוני כרטיסי אשראי באמצעות עובדים לשעבר מחברת כרטיסי האשראי לאומי קארד. לפי החשד, החשודים דרשו מהנהלת הבנק כופר בסך מיליוני שקלים, ואיימו כי אם לא ייענו לדרישתם הם ימכרו לכל המרבה במחיר את פרטי מיליוני כרטיסי האשראי של לקוחות החברה. לשמחת כולנו פרשייה זאת הסתיימה במעצרם של החשודים ומניעת זליגת פרטי כרטיסי האשראי.

בעיות מסוג זה מתרחשות בארגון מידי יום ביומו, יישום יעיל של מנגנוני בקרה ופיקוח אחר משתמשי הקצה הוא אחד האתגרים הקשים ביותר העומדים כיום בפני ארגונים פרטיים וציבוריים וזאת עקב מחסור בטכנולוגיה לזיהוי סיכונים, חשיפה לפגיעה בפרטיות הלקוחות וההסתברות להיווצרותם וכן חוסר ביכולות מדידה ובחינת השפעתם על ההצלחה העסקית של הארגון.

סקרים שנערכו בשנתיים האחרונות מראים כי הסכנה העיקרית לנכסי המידע של הארגון מגיעה כיום מתוך הארגון. מעילות פנימיות ודליפת מידע רגיש על ידי עובדי הארגון, אשר להם גישה למערכות הארגון בתוקף תפקידם, מהוות כיום את הסיכון העיקרי בקרב הארגונים.

כיום אין בידי ארגונים את היכולת ליישם בקרה בזמן אמת על פעילות הארגון בתהליכים העסקיים שלו כגון תהליכי רכש, הנהלת חשבונות, שירות לקוחות, משאבי אנוש, ניהול מלאי, גזברות וכד'. יישום בקרות ממוכנות בזמן אמת במערכות הקיימות בארגון אינו ישים במקרים רבים בשל העלויות הכרוכות בכך או בשל שימוש במערכות מדף או לשכות שירות אשר אינן מאפשרות שינוי במערכות שלהן. אם כן, כיצד ניתן ליישם בקרה בזמן אמת יעילה וקלה לתפעול?

רגולציות פנימיות וחיצוניות, תהליכי ניהול סיכונים ובקרה מחייבים ארגונים לבצע תהליך מתמשך של ניהול ובקרה אחר החוקים העסקיים שנקבעו בארגונים. לכל ארגון חוקים עסקיים המאפיינים אותו ואת הענף אליו הוא שייך. חוקים אלו משתנים באופן שוטף, במיוחד בענפים מוטי רגולציה, בשל שינויים תדירים ברגולציה ובשל תהליכי ניהול הסיכונים הפנימיים בארגון אשר מגדירים חוקים חדשים כמענה לסיכונים בפניהם עומד הארגון. הצורך בכלים לניהול החוקים והמדיניות הארגונית הולך וגובר, הסיבוכיות הגלומה במדיניות גדלה, כמות החוקים מתרבה, השינויים הופכים תכופים ובו בזמן התקציב מצטמצם ודרישות השקיפות והבקרה עולות.

לרוב, החברות משקיעות משאבים רבים בניטור, מעקב ובקרה לזיהוי חדירה מחוץ לארגון אך אינם מנהלים מנגנוני בקרה מקבילים לניטור הפעילות של משתמשי הקצה השונים ברחבי הארגון בעקבות המורכבות העסקית, הניהולית, התפעולית וחוסר הוודאות ההולך וגדל בסביבה הפנימית והחיצונית בה פועל הארגון.

הארגונים נדרשים לעקוב, לנטר ולנהל את מרכיבי הסיכונים הקיימים במערכות המידע בארגון בכלל ואת פעילות משתמשי הקצה בפרט. ניהול לא נכון של סיכונים אלו עלול להביא את הארגון להפסדים ואף לעיתים לפשיטת רגל.

בנוסף לכך, ציות לרגולציות חדשות מהווה אתגר משמעותי הכרוך במאמצים ניכרים לכל ארגון. יישום מנגנוני אכיפה, מהווה אתגר במיוחד עבור ארגונים אשר מתבססים על מערכות מידע אשר פותחו לפני עשור או שניים, בהן לא קיימות הבקרות הנדרשות מהוראות ודירקטיבות חדשות אשר פורסמו בשנים האחרונות. לרוב, לארגונים אין את הידע או את כוח האדם להטמעת בקרות חדשות ביישומי המערכות הקיימות. כתוצאה מכך, מערכות אלו, בצורה אופיינית, יוצרות סיכונים ואינן ממלאות אחר דרישות הציות באופן מלא.
  
אחד העקרונות החשובים ביותר בבקרה פנימית נאותה בארגון הינו היכולות לנהל ולנטר את פעילות משתמשי הקצה ויישום עיקרון הפרדת התפקידים. מערך ההרשאות במערכות המידע בארגון נדרש שיעמוד בעקרון "הצורך לדעת" הגבלת הגישה למידע לבעלי התפקידים הזקוקים לו בלבד ועמידה בעיקרון הפרדת תפקידים. עקרון זה קובע הפרדה בין הגורמים השונים האחראים לביצוען של פעולות בארגון, כגון הפרדה בין גורם מבצע, מאשר ומבקר. למעקב אחר משתמשי מערכות המידע בארגון חשיבות רבה כיוון שהפוטנציאל להשיג גישה לא מורשית לנתונים או לשנות נתונים מבלי שניתן יהיה לעקוב אחריהם גדול. עובד בעל גישה לנתונים אשר אינם דרושים לו לביצוע תפקידו חושף את הארגון לאפשרות ביצוע של מגוון פעולות אשר אינן עולות בקנה אחד עם הגדרת תפקידו ועם עיקרון הפרדת התפקידים.

מערכת בתי המשפט בארה"ב

כבר בתחילת שנות התשעים מערכת בתי המשפט באחת ממדינות ארה"ב הייתה הראשונה להטמיע מערכת מידע לניהול הידע בין מערכות החוק השונות (משטרה מקומית וארצית, משרד התובע המחוזי, הסנגוריה הציבורית).

מטרת הקמת המערכת הייתה לאפשר לנציגי רשויות החוק השונות לקבוע את סטאטוס הטיפול בתיק ותיעוד הנתונים וכן, ניתנה גישה לנתונים היסטוריים, תנאי מעצר ועוד. 

הגישה למערכת המידע אובטחה בכלי אבטחה שונים ורק למשתמשים מורשים התאפשרה גישה וכניסה למערכת. אולם, כלי האבטחה השונים לא ביצעו ניטור על פעולות המשתמשים ולא התריעו או מנעו שימוש לרעה של המשתמשים במידע.

אתגרים והתמודדות

האתגרים אשר ניצבו בפני מנהלי המערכת הינם הסיכון שהמשתמשים ינצלו לרעה את המידע המצוי במערכת ודליפת מידע חסוי. ככל שעבר הזמן גברו החששות לשימוש ברעה במידע הקיים במערכת באמצעות מורשי גישה.

הנהלת בתי המשפט בארה"ב החליטו להטמיע את הפתרון המיוצג ומיושם על ידינו בישראל. הפתרון מספק מענה מקיף להתמודדות עם האתגרים שתוארו. תחילת הפרויקט כלל סט פעולות שמטרתו לבצע הקלטה מלאה וניטור בזמן אמת על פעולות המשתמשים ובכך לאפשר למבקרים להתחקות אחר פעולות המשתמשים. האמצעי מזהה את דפוסי ההתנהגות של המשתמשים ובונה פרופיל התנהגות לכל משתמש. בזמן אמת המערכת מתריעה על חריגה מהפעולות שהוגדרו לפרופיל המשתמש ונשלחת התרעה למבקרים.

הטמעת הפתרון הביאה להפחתה של יותר מ- 90% מהזמן הנדרש לתחקור פעולות המשתמשים. זמן תחקור הפעולות התקצר מחצי שנה לכ-20 דקות. וכן, התאפשר למחלקת הביקורת לטפל בכל פנייה והצורך לתעדף בין בקשות של רשויות גדולות וקטנות לא היה קיים.

הפתרון

מניסיוננו אנו למדים כי ניהול מעקב אחר פעילות המשתמשים ויישום אפקטיבי לעיקרון הפרדת התפקידים הינו נושא חשוב במיוחד שכן מדובר במערכות המרכזות מידע לגבי כל חלקי הארגון. ניצול לרעה או טעויות במקרים אלו עלולים להיות הרסנים לארגון. פעמים רבות משקיעים ארגונים משאבים רבים בהטמעת מערכות שונות אך אינם מקפידים ליישם ולנהל באופן הולם את נושא ניהול ומעקב אחר פעולות משתמשי המערכת. לרוב הדבר נובע מקושי ליישם ולנהל מערך ומעקב אחר המשתמשים ועיקרון הפרדת התפקידים במערכות כה מורכבות הבנויות ממספר גדול של משתמשים, פרמטרים וטרנזקציות.

BDO מספקת מענה מקיף ויעיל לניהול ובקרה אחר החוקים העסקיים בארגונים בזמן אמת, באמצעות שימוש בטכנולוגיה ייחודית למעקב, ניטור, הקלטה והתראה אחר כל פעילות משתמשי הקצה בארגון הכוללת מענה גם לנושאים הבאים:
• איתור פעילות הלבנת הון.
• איתור מעילות והונאות פנים ארגוניות בזמן אמת. 
• דלף מידע - הגנה על נתוני לקוחות ונתונים רגישים אחרים מפני הדלפות מידע בשוגג או בזדון בזמן אמת.
• הגנת הפרטיות, צנעת הפרט ושמירת מידע אישי.

רגולציות רבות דורשות מעקב ונתיב ביקורת מפורט של גישת משתמשים למידע רגיש ברחבי הארגון. מילוי דרישות הרגולטור יכול להפוך ליקר שכן ייתכן ויידרשו שינויים באלפי תוכניות אפליקציה או ייצוב של לוגים קיימים בתצורות שונות ובמיקומים שונים.

הפתרון הינו ייחודי ביכולת ניטור פעילות לא מורשית או בלתי-חוקית במערכת ובכך ניתן לקיים בזמן אמת מעקב איכותי וכמותי אחר הפעילות העסקית של הארגון במערכת מחשב מרכזי מבלי לשנות שורה אחת של קוד.

המערכת מאפשרת לאנשי אבטחת מידע וסייבר, ביקורת פנים ומנהלי הסיכונים בארגון להתמקד במשתמשי קצה המבצעים פעילות חשודה ולצפות בהם בזמן אמת ולשחזר את כל פעולותיהם בכל רגע נתון.

פתרון ניטור המידע של המערכת מספק לארגונים שונים בכל העולם את הדרך המהירה ביותר לעמוד בתנאים הרגולטורים החדשים למניעת הונאות ודליפת מידע.
דרך בחינת התהליכים העסקיים וישום מנגנוני החוקים במערכת וניהולם הקפדני ניתן לשפר באופן ניכר את הביצועים העסקיים של הארגון, לציית להוראות רגולטוריות באופן מלא וליישם מנגנוני מעילות והונאות שוטפות ואפקטיביות בחברה. 

למערכת תאימות גבוהה לדרישות חוק ורגולציה - היכולת לבצע מעקב על דרישות החוק ולזהות אי התאמה לדרישות חוקיות, ובכך להקטין את החשיפה המשפטית והחוקתית. מחקרים מוכיחים כי בקרב לקוחות שהטמיעו את המערכת, המענה לאיתור ומניעת ביצוע פעולות בלתי מורשות היה מהיר ביותר. 
המערכת מספקת להנהלה אמצעי לזיהוי אירועים העלולים לגרום נזק לארגון ומזעור סיכונים והפסדים כספיים כגון יכולת זיהוי של אירועים העלולים לגרום לנזקים, הסיכונים בגינם והבקרה לניהול סיכונים אלה. כתוצאה מכך גדלה יכולת ההנהלה לנהל אי-וודאויות ולהקטין את הנזק הפוטנציאלי מאירועים אלה.

לסיכום, אנו רואים כיום הפנמה של ההבחנה כי מתן פתרון לניהול ומעקב יחידני או מקומי אינו מספק. הבנה זו מביאה לנטייה גוברת והולכת ליישום מדיניות מובנית. אין ספק כי כל ארגון חייב להכיר וליישם מענה הולם לניהול מעקב אחר החוקים העסקיים, לשרידות עסקית ואבטחת מערך המידע. לאור ההתפתחויות בתחום, מומלץ להתעדכן ולהתכונן.

הירשם לניוזלטר

Please fill out the following form to access the download.