כך תמנעו מעילה בארגון
כיצד אפשר לזהות ניסיונות מעילה של עובדים מתוך הארגון?
שלומי אדר
| 09/12/2014
שלומי אדר
חברות משקיעות רבות בטכנולוגיות שיסייעו להם בהתמודדות עם סוגיית שימוש לרעה במידע שברשותן, על מנת להגן על מידע רגיש ולעמוד בתקנים ובדרישות רגולטוריות. נימצא כי אחד הגורמים הבעייתיים המאיימים על חוסנם התדמיתי-כלכלי של כלל הארגונים הוא שימוש לא לגיטימי של עובדים בגניבות מידע פנים ארגוניים ובניגוד גמור למחשבה שהמידע שנגנב בד'כ מתבצע על ידי גופים ואנשים מחוץ לארגון.
אחת הטעויות הנפוצות בקרב ארגונים רבים שאינם מייחסים משקל ראוי ומספק לביצוע תהליכי פיקוח ובקרה על בסיס התפיסה שעיקרה- סיכול ומניעה, עוד בטרם ביצוע מעשה של זליגת מידע, הונאה או מעילה, על ידי המנהלים והעובדים באמצעים הממוחשבים העומדים כמעט בכל ארגון בחברה המודרנית בה אנו חיים.
מסקר שנערך בקרב חברות מובילות הנתונים מראים שאחד מכל 10 עסקים ב-5 השנים האחרונות נעשה שימוש עי' עובד בארגון במידע פנימי לתועלתו האישית לצורך "השלמת הכנסה" בעזרת שימוש לא לגיטימי ואף פלילי במשאבי החברה. מרבית הסיבות שעלו בסקר הן חומריות. המרוץ אחרי תאוות הבצע, והרצון העז של עובדים/מנהלים לשפר את רמת חייהם. מחשבות אלו כדרך הטבע מתרוצצות במוחם של בני האדם ואין זה משנה מהו מעמדם בארגון.
בין המקרים הידועים שפורסמו הינם, הבנק למסחר שהתמוטט בשל גניבות שיטתיות לאורך שנים רבות על ידי עובדת החברה, אתי אלון. מקרה נוסף דומה בדרך פעולתו נגרם על ידי מנהלת מחלקת הנהלת חשבונות בחברת YES אשר גרמה נזק של יותר מ-10 מיליון שקל. לרשימה אפשר להוסיף גם את המקרה של הברוקר ז'רום קרוויאל אשר שרף מיליארדי אירו לבנק סוסייטה ג'נרל.
אילו נורות אדומות ניתן לזהות בקרב עובדים:
מנהלים בכירים/עובדים אשר נמצאים במצוקה כלכלית התחילו הרגל כמו הימורים, סמים או אלכוהול או. בעיה רפואית של בן משפחה וכו'. מנהלים בכירים/עובדים אשר במסגרת תפקידם נוטים יותר להיות חשופים למידע רגיש עלולים להעבירו למתחרים. מנהלים בכירים/עובדים אשר מחליפים בתדירות גבוהה את סיסמאות במחשב ובסמארטפון. מנהלים בכירים/עובדים שמכניסים קודים או הצפנות למידע שבד'כ מוגדר כציבורי.
שימוש יתר של מנהלים בכירים/עובדים בתוכנת הקלטה אוטומטית של שיחות טלפון ומחשב. מעילות רבות מתגלות כשהעובד יוצא לחופשה ועובד אחר מחליף אותו. מנהלים בכירים/עובדים שפועלים במקום עבודתם עם מחשב ו/או טלפון חכם נפרד בנוסף לאמצעים שהארגון מעמיד לרשותם. שימוש בתקציבים ייעודיים עי' מנהלים בכירים/עובדים לצרכים שונים מהגדרתם המקורית.
יציאות תכופות של מנהלים בכירים/עובדים במהלך יום העבודה ושלא במסגרת דרישות תפקידים. הדפסה של מסמכי רכש והזמנות ומחיקתן ממאגר המידע הציבורי של החברה. הוצאה פיזית מוגזמת של מידע ניירת עי' מנהלים בכירים/עובדים מחוץ לארגון.
שימוש בכתובות דוא'ל נוספות לאלו שסופקו עי' הארגון מחשבון בודד בארגון. שימוש תכוף במשרד המנהל/עובד במחשב אישי פרטי או באמצעים נתיקים שאינם ברשת מחשבים של החברה. שימוש יתר בפקס אנלוגי ובשלוחה נפרדת שאינה עוברת דרך המרכזייה ראשית של הארגון.
כל ארגון ראוי שינקוט פעולות שוטפות כדי למזער את הסיכון ולנסות להימנע מתופעות של מעילה, הונאה או זליגת מידע. באחריות הארגון ליצור מנגנוני בקרה וביקורת מתאימים למניעה ולגילוי ואף ולהוביל מהלכים שיפחיתו הרתעתית וטכנולוגית באופן משמעותי את היתכנות לבצע פרצות במערך האבטחה ובכך להגן טוב יותר על נכסי הארגון ועובדיו.
אלו בדיקות חיוני לאמץ ולבצע בארגון:
עריכת ביקורת חיצונית עי' גורם בלתי תלוי ולא רק פנימית, פעולה שעשויה לשמש כגורם הרתעה משמעותי שאינו נתון למרות המנהלים/עובדים בתוך הארגון. ביצוע בדיקות פוליגרף מדגמיות ככלי התרעתי. נוסף לגיטימי בארגון. עריכת ביקורות אקראיות על רשימות מלאי, ביצוע ביקורות חשבונאיות , הצלבות מידע מול דיווחי מנהלי מחסנים/רכש, ביקושים וכו'.
ניטור כניסה ויציאה של עובדים (באמצעות כרטיס חכם / ביומטרי) ושימוש מושכל במצלמות עמ' לוודא שהם לא נמצאים במקום העבודה בשעות בהן הארגון לא פעיל. בדומה למעשה בבנקים/מוסדות אחרים ביצוע פעילות יזומה שעיקרה קביעת מנגנון קבוע ורנדומלי אשר מאפשר תחלופה של עובדים בתפקידים רגישים לעיתים ללא הודעה מוקדמת (כך שאם מתרחש תהליך רמייה / הונאה סביר להניח שעובד אחר יחשוף זאת בדרך מקרה)
יצירתם של מנגנוני פיקוח אשר אינם מאפשרים ביצוע פעולה משמעותית במידע עי' עובד בודד אלא על ידי ביזור פעילות שמחייבת הפעלתם של 3-4 עובדים עמ' להשלים את המשימה (כדי למנוע מזימה של איש אחד או שניים ולהקשות על פעולות כאלו).
ביצוע ביקורות מדגמיות בחלונות זמן משתנים של אותם מערכות המחשב של החברה לרבות ניטור של מערכות דוא'ל – עמ' אפילו בלי להיכנס לתוכן המייל אלא רק ע"ב נתוני מסגרת. לבחון שאין תכתובת מול מתחרים וכו' .
הכותב הינו מומחה בעל שם ליישום אסטרטגיות ניהוליות בסקטור העסקי בתחום היערכות ומוכנות לחירום, אירועי אפר"ן (אירועי פתע רבי נפגעים) ובחינת תהליכי עבודה והתאמתם לארגון. בעל ניסיון של מעל 25 שנה במגזרי התעשייה, חברות היי-טק ותשתיות.
כיצד אפשר לזהות ניסיונות מעילה של עובדים מתוך הארגון?
שלומי אדר
חברות משקיעות רבות בטכנולוגיות שיסייעו להם בהתמודדות עם סוגיית שימוש לרעה במידע שברשותן, על מנת להגן על מידע רגיש ולעמוד בתקנים ובדרישות רגולטוריות. נימצא כי אחד הגורמים הבעייתיים המאיימים על חוסנם התדמיתי-כלכלי של כלל הארגונים הוא שימוש לא לגיטימי של עובדים בגניבות מידע פנים ארגוניים ובניגוד גמור למחשבה שהמידע שנגנב בד'כ מתבצע על ידי גופים ואנשים מחוץ לארגון.
אחת הטעויות הנפוצות בקרב ארגונים רבים שאינם מייחסים משקל ראוי ומספק לביצוע תהליכי פיקוח ובקרה על בסיס התפיסה שעיקרה- סיכול ומניעה, עוד בטרם ביצוע מעשה של זליגת מידע, הונאה או מעילה, על ידי המנהלים והעובדים באמצעים הממוחשבים העומדים כמעט בכל ארגון בחברה המודרנית בה אנו חיים.
מסקר שנערך בקרב חברות מובילות הנתונים מראים שאחד מכל 10 עסקים ב-5 השנים האחרונות נעשה שימוש עי' עובד בארגון במידע פנימי לתועלתו האישית לצורך "השלמת הכנסה" בעזרת שימוש לא לגיטימי ואף פלילי במשאבי החברה. מרבית הסיבות שעלו בסקר הן חומריות. המרוץ אחרי תאוות הבצע, והרצון העז של עובדים/מנהלים לשפר את רמת חייהם. מחשבות אלו כדרך הטבע מתרוצצות במוחם של בני האדם ואין זה משנה מהו מעמדם בארגון.
בין המקרים הידועים שפורסמו הינם, הבנק למסחר שהתמוטט בשל גניבות שיטתיות לאורך שנים רבות על ידי עובדת החברה, אתי אלון. מקרה נוסף דומה בדרך פעולתו נגרם על ידי מנהלת מחלקת הנהלת חשבונות בחברת YES אשר גרמה נזק של יותר מ-10 מיליון שקל. לרשימה אפשר להוסיף גם את המקרה של הברוקר ז'רום קרוויאל אשר שרף מיליארדי אירו לבנק סוסייטה ג'נרל.
אילו נורות אדומות ניתן לזהות בקרב עובדים:
מנהלים בכירים/עובדים אשר נמצאים במצוקה כלכלית התחילו הרגל כמו הימורים, סמים או אלכוהול או. בעיה רפואית של בן משפחה וכו'. מנהלים בכירים/עובדים אשר במסגרת תפקידם נוטים יותר להיות חשופים למידע רגיש עלולים להעבירו למתחרים. מנהלים בכירים/עובדים אשר מחליפים בתדירות גבוהה את סיסמאות במחשב ובסמארטפון. מנהלים בכירים/עובדים שמכניסים קודים או הצפנות למידע שבד'כ מוגדר כציבורי.
שימוש יתר של מנהלים בכירים/עובדים בתוכנת הקלטה אוטומטית של שיחות טלפון ומחשב. מעילות רבות מתגלות כשהעובד יוצא לחופשה ועובד אחר מחליף אותו. מנהלים בכירים/עובדים שפועלים במקום עבודתם עם מחשב ו/או טלפון חכם נפרד בנוסף לאמצעים שהארגון מעמיד לרשותם. שימוש בתקציבים ייעודיים עי' מנהלים בכירים/עובדים לצרכים שונים מהגדרתם המקורית.
יציאות תכופות של מנהלים בכירים/עובדים במהלך יום העבודה ושלא במסגרת דרישות תפקידים. הדפסה של מסמכי רכש והזמנות ומחיקתן ממאגר המידע הציבורי של החברה. הוצאה פיזית מוגזמת של מידע ניירת עי' מנהלים בכירים/עובדים מחוץ לארגון.
שימוש בכתובות דוא'ל נוספות לאלו שסופקו עי' הארגון מחשבון בודד בארגון. שימוש תכוף במשרד המנהל/עובד במחשב אישי פרטי או באמצעים נתיקים שאינם ברשת מחשבים של החברה. שימוש יתר בפקס אנלוגי ובשלוחה נפרדת שאינה עוברת דרך המרכזייה ראשית של הארגון.
כל ארגון ראוי שינקוט פעולות שוטפות כדי למזער את הסיכון ולנסות להימנע מתופעות של מעילה, הונאה או זליגת מידע. באחריות הארגון ליצור מנגנוני בקרה וביקורת מתאימים למניעה ולגילוי ואף ולהוביל מהלכים שיפחיתו הרתעתית וטכנולוגית באופן משמעותי את היתכנות לבצע פרצות במערך האבטחה ובכך להגן טוב יותר על נכסי הארגון ועובדיו.
אלו בדיקות חיוני לאמץ ולבצע בארגון:
עריכת ביקורת חיצונית עי' גורם בלתי תלוי ולא רק פנימית, פעולה שעשויה לשמש כגורם הרתעה משמעותי שאינו נתון למרות המנהלים/עובדים בתוך הארגון. ביצוע בדיקות פוליגרף מדגמיות ככלי התרעתי. נוסף לגיטימי בארגון. עריכת ביקורות אקראיות על רשימות מלאי, ביצוע ביקורות חשבונאיות , הצלבות מידע מול דיווחי מנהלי מחסנים/רכש, ביקושים וכו'.
ניטור כניסה ויציאה של עובדים (באמצעות כרטיס חכם / ביומטרי) ושימוש מושכל במצלמות עמ' לוודא שהם לא נמצאים במקום העבודה בשעות בהן הארגון לא פעיל. בדומה למעשה בבנקים/מוסדות אחרים ביצוע פעילות יזומה שעיקרה קביעת מנגנון קבוע ורנדומלי אשר מאפשר תחלופה של עובדים בתפקידים רגישים לעיתים ללא הודעה מוקדמת (כך שאם מתרחש תהליך רמייה / הונאה סביר להניח שעובד אחר יחשוף זאת בדרך מקרה)
יצירתם של מנגנוני פיקוח אשר אינם מאפשרים ביצוע פעולה משמעותית במידע עי' עובד בודד אלא על ידי ביזור פעילות שמחייבת הפעלתם של 3-4 עובדים עמ' להשלים את המשימה (כדי למנוע מזימה של איש אחד או שניים ולהקשות על פעולות כאלו).
ביצוע ביקורות מדגמיות בחלונות זמן משתנים של אותם מערכות המחשב של החברה לרבות ניטור של מערכות דוא'ל – עמ' אפילו בלי להיכנס לתוכן המייל אלא רק ע"ב נתוני מסגרת. לבחון שאין תכתובת מול מתחרים וכו' .
הכותב הינו מומחה בעל שם ליישום אסטרטגיות ניהוליות בסקטור העסקי בתחום היערכות ומוכנות לחירום, אירועי אפר"ן (אירועי פתע רבי נפגעים) ובחינת תהליכי עבודה והתאמתם לארגון. בעל ניסיון של מעל 25 שנה במגזרי התעשייה, חברות היי-טק ותשתיות.
