האיום הפנימי, התוך-ארגוני, הינו אחד האיומים המאתגרים ביותר בכל מוסד, ארגון וחברה. הנזקים יכולים להיות כלכליים, תדמיתיים ובעלי השפעה הרסנית לארגון עצמו או לגוף אחר לו הוא נותן שירות, לחבל ברציפות התפקודית שלו ולעיתים אף לגרום לקריסתו. לשדרת הניהול בארגון קיים תפקיד חשוב בקביעת מדיניות ההתמודדות עם סוגיית האיום הפנימי. סוגיה זו תהיה בין הנושאים המרכזיים שיידונו בכנס האבטחה של ישראל אשר עתיד להתקיים בחודש הבא.
מאת: טל שר-אל
במאמר זה אציג את תפיסת עולמי באשר ליכולת והכלים של מנהל ארגון בכלל, ומנהל הבטחון בפרט, להתמודד טוב יותר עם נושא האיום הפנימי ופוטנציאל הנזק הנובע ממנו. לאחרונה נחשפנו לפרשייה הנקראת "פרשת קצין המודיעין". מהתקשורת ניתן ללמוד כי בחודש ספטמבר 2020 הוגש נגד קצין ששירת ביחידה טכנולוגית באגף המודיעין כתב אישום חמור, והוא נעצר עד תום ההליכים. במהלך שהותו בכלא צבאי, נמצא הקצין מת בתאו. הקצין, בן 25 במותו, היה ילד מחונן. במקביל ללימודיו בתיכון למד מדעי המחשב באוניברסיטה, קיבל תואר ראשון והועסק בחברת הייטק גדולה. עפ"י דובר צה"ל, הקצין ביצע באופן מודע מספר פעולות שפגעו קשות בביטחון המדינה ובחקירתו הודה ברבים מהמעשים שיוחסו לו. עוד העלתה החקירה שהקצין פעל באופן עצמאי, ממניעים אישיים ולא ממניעים אידאולוגיים, לאומניים או כלכליים.
הרמטכ"ל, אביב כוכבי, הבהיר כי אין דמיון בין כליאתו של הקצין לבין פרשת האסיר X, וכי הוא "עשה עבירות חמורות ביותר. הוא עשה אותן בכוונה, מסיבות שאני לא יודע לתאר. הוא כמעט פגע בסוד גדול ועצרנו את זה בדקה ה-90". פרשייה זו מציגה בפנינו את פוטנציאל הנזק החמור העלול להתרחש מאדם בתוך הארגון, המבצע מעשים שיש בהם פוטנציאל פגיעה קשה, שלא מתוך בגידה או בצע כסף אלא ממניעים אישיים. בהסתכלות רחבה על סוגיית המניעים האישיים ניתן לאפיין קשת רחבה מסקרנות וחקירה ועד רצון בנקמה בשל יחס בלתי הולם.
במקום זה נשאלת השאלה: מהו תפקידו ומהם הכלים הנמצאים בידי מנהל בכלל ומנהל האבטחה בפרט בסוגיית ההתמודדות למול האיום הפנימי בתוך הארגון?
הנזק מהאיום הפנימי, אשר נגרם בשוגג או בזדון, במקרים רבים חוצה את הסף הפלילי, הוא נרחב יותר מהמיוחס לו, הן בזהות 'האויב' והן במאפייני "הדפ"א". למעשה מדובר באויב שאינו מוגדר מלכתחילה כ'אויב'. בפועל מדובר באחד העובדים, נותני השירותים, הספקים וגורמים שונים בשרשרת האספקה או כל גורם אחר אשר מקיים ממשקים מול הארגון.
במסגרת ההגנה מפני האיום הפנימי, ארגונים רבים מאמצים את תפיסת ה"אפס אמון" (Zero Trust).
תפיסה זו, אשר לקוחה מתחום הגנת הסייבר, מבוססת על כך שהאבטחה בארגון נותנת אפס אמון (Zero Trust) בעובד ומגביהה את חומות ההגנה של הרשת הפנימית הסגורה. ההנחה הבסיסית הינה כי במסגרת תהליכי העבודה בארגון ובמערכות עצמן ישנן הפרות ופרצות, ולפיכך יש לאמת מחדש כל בקשת כניסה ומעבר בין מערכות פנימיות, ובכלל זאת גם לגורם שכניסתו למערכת אושרה, ולהתייחס לכל כניסה למערכת כאילו מקורה הוא ברשת החיצונית הפתוחה. המשמעות היא שאפס אמון מחייב: אימות תמידי, פילוח ומידור מקסימלי ומתן הרשאות גישה מינימליות.
והנה, למרות ששיטה זו קיימת מזה שנים, קיימת מגמה של גידול באירועים בהם הנזק לארגונים מקורו מתוך הארגון ומקורם של נזקים מסוג זה אינו מוגבל רק לתחום הסייבר. מכון פונמון (Ponemon Institute) הינו מכון מחקר אמריקני, העובד בשיתוף עם ארגונים שונים, ועוסק במחקר וחינוך שמטרתם לקדם שימוש אחראי במידע ושיטות ניהול בתחום הפרטיות בעסקים ומוסדות ממשלתיים.
מתוך הממצאים הלקוחים מדו"ח שנערך על ידי מכון המחקר, בחסות חברת OBSERVEIT ו-IBM, עולה שבמהלך השנתיים שבין 2018 לבין 2020, כמות המקרים בהם ארגונים חוו נזקים מאת גורמים פנימיים נסקה ב-47%. ישנו קונצנזוס בלתי ניתן להזמה שהאיום הפנימי קיים, והסכנה מפניו יכולה להיות קיומית. ובכל זאת, בהיותנו אנושיים קשה לנו להתמודד איתו ברמה האישית, מאחר ולעיתים הדבר מצריך מאיתנו להטיל חשד ודופי בחברים לעבודה, שחלקם אפילו מהווים חלק מהחוג החברתי שלנו בשעות הפנאי.
ההתנהלות במציאות של משבר הקורונה, המצב במשק והמציאות בה עבודה מרחוק הופכת לשכיחה יותר, מציבה אותנו בפני הדרישה "להוציא" את מערך המחשוב אל מחוץ לכותלי הארגון. במצב זה אנו מגדילים אף יותר את פוטנציאל הנזק מצד 'אויבים' פנימיים. מחקר שערכה חברת Code 42, בשיתוף עם מכון פונמון, העוסק בסוגיית האיום הפנימי 2021, מדגיש את הצורך לאמץ גישה חדשה בתחום אבטחת המידע והצורך להשקיע בטכנולוגיית Insider Risk מודרנית.
המחקר חשף את הגורמים המובילים לבעיה ההולכת וגוברת של האיום הפנימי, כולל ניתוח אובדן נתונים לאחר COVID-19 והאתגרים שבבניית תוכנית לטיפול בסיכונים אלה.
הממצאים העיקריים של המחקר מצביעים על כך ש:
כיווני פעולה נדרשים:
כשלב ראשון בהתמודדות עם סוגיית האיום הפנימי, על דרגי ההנהלה בארגון להכיר בכך שאכן קיים פוטנציאל שכזה ולהבין את הצורך לתת מענה לאיום מסוג זה. מנהלים בכלל, ומנהלי הבטחון בפרט, חייבים להציף סימני שאלה:
פתרונות לצמצום הנזקים מצד האיומים הפנימיים ניתנים ליישום רק אחרי בחינה וניתוח של הארגון, לרבות מהות הארגון, כח האדם, מדרג התפקידים, התהליכים, והנהלים. הבחינה תתבצע מהפנים אל החוץ, כלומר הגורמים אשר מקיימים יחסי גומלין עם הארגון, בכל הרמות. ניתוח כזה יציף את החוליות החלשות והפערים, נקודות התורפה, והפרצות. סימון מוקדם של נקודות תורפה אלה יאפשר להנהלה להתמקד ב:
התשובות לשאלות הללו הן המפתח להתמודדות אסטרטגית וטקטית אל מול האיום הפנימי.
לאור ממצאי המחקרים ניכר כי השיטה של 'אפס אמון', אשר מציגה תפיסה מחמירה ביותר של האבטחה בארגון, בייחוד מול האיומים הפנימיים, אינה נותנת מענה מספק ולמעשה על הנהלת הארגון לראות בה מרכיב אחד בשרשרת האמצעים להגנה והתמודדות למול האיום הפנימי ולא כמרכיב היחיד או המרכזי בהגנה על הארגון.
מנהל הביטחון, שאמון על תחום זה, צריך לבנות תוכנית המבוססת על סקירה, בחינה וניתוח תקופתיים של החוליות החלשות של פוטנציאל האיום, על מנת לאפשר התמודדות שוטפת מולן.
יש ליזום מהלכים תקופתיים שהינם בבחינת "שב"ש", כגון: ביצוע שינויים במבנה הארגוני, שינויים בשיבוץ התפקידים, בשיבוץ הלקוחות למול עובדים, בהליך אישור הספקים, וכן בנהלים ובהנחיות.
לצד זאת, על מנהל הבטחון לדאוג לשגרה ארגונית בתחום 'האיום הפנימי', שגרה הכוללת:
הדרכה:
בנייה ויישום של תוכנית הדרכה שנתית לעובדים על מנת להגביר את ערנותם לנושא האיום הפנימי, ולהקנות כלים ונהלים במטרה לצמצמו. יש להדגיש, כי ביצוע הדרכה או תרגול בודד, ברמת 'יציאה ידי חובה', הינה בלתי אפקטיבית, הן ברמת קבלת תמונה מהימנה יותר של השטח והן בהשפעה הרתעתית על העובד, שחש כי מדובר בפעולה שמטרתה סימון ווי בשורת הביצוע. מנהל הביטחון צריך ליישם תוכנית אשר תשמר ותחזק את הדריכות לאורך זמן, כך שזו תהיה חלק מהשגרה.
בקרה וביקורת:
בנייה ויישום של תוכנית ביקורת שנתית, במסגרות וברמות שונות של בדיקה, אשר תבחן את הארגון בקשת רחבה ומגוונת של תרחישים. ביקורת תאפשר לזהות חוליות חלשות בזמן אמת, ובמקביל, לשמר ולחזק את הדריכות.
תחקיר:
על מנהל הביטחון, בגיבוי הנהלת הארגון, להשריש תרבות ארגונית של ביצוע תחקירים שמטרתם למידה ושיפור ולא "חיפוש אשמים". ביצוע תחקירים בזמן אמת יכול להביא לשיפור תהליכים וצמצום נקודות חולשה בארגון. על התחקיר להתבצע גם במקרים של "כמעט וקרה" ולא רק לאחר שקרה הנזק.
טכנולוגיה:
שימוש בטכנולוגיות הגנה למיניהן, אשר מסוגלות לבצע ניטור בזמן אמת במקרים של הפרות וחריגות בהתנהלות העובדים והגורמים האחרים בשרשרת האספקה. שילוב טכנולוגיה מתאימה יכול להפחית באחוזים גבוהים את פוטנציאל הנזק העלול להיגרם מצד גורמי פנים.
לסיכום, ההתמודדות מול האיום הפנימי היא קשה ואף סיזיפית, היות שהיריב הוא מתוך הבית. במקרים רבים הוא שקוף, ואף נראה בלתי מאיים. כ-61% מהנזקים הנגרמים מתוך גורמים פנים ארגוניים מתרחשים בשוגג, החל בשגיאות, מתוך היסח דעת, בשל הזנחה, דרך רשלנות וזלזול בנהלים. פוטנציאל הנזקים שמקורם בגורמים פנימיים הוא גדול, ובמקרים קיצוניים יש בו כדי לחבל ברציפות התפקודית של הארגון ואף לגרום לקריסתו. באמצעות תוכניות שנתיות, מובנות ושיטתיות, ניתן לצמצם את פוטנציאל האיום והנזק. עם זאת חשוב לציין, שללא ההכרה של הנהלת הארגון בעצם העובדה שקיים איום פנימי וללא מתן גיבוי לגורמים האמונים על יישום תוכניות העבודה בתחום זה בארגון, ובכלל זאת מנהלי הביטחון, היכולת להחיל את הנהלים, ההנחיות והמדיניות הינה מוגבלת. על כן, ההכרה בקיומו של האיום ופוטנציאל הנזק ושיתוף פעולה בהתמודדות עמו, הם הבסיס להתמודדות יעילה ואיכותית עם הנושא.
הכותב הינו טל שר-אל, פרש ממשרד ראש הממשלה לאחר שירות של למעלה מ-30 שנה, ובעל ניסיון עשיר ומגוון במערכת הביטחון הממלכתית בארץ ובחו"ל, בתפקידי ניהול ופיקוד שונים. בעל ניסיון עשיר בביטחון תעופה, אישים ומתקנים, כתיבת נהלים, תכנון פעולות ביטחוניות ופיתוח שיטות תקיפה. במסגרת תפקידו אימן והדריך אנשי ביטחון ישראלים ויחידות ביטחון זרות במדינות שונות בעולם. בתפקידו האחרון ערך ביקורות מבצעיות והערכות סיכונים ואיומים לגופי הביטחון הישראליים בארץ ובעולם. כיום משמש כמייסד וכמנכ"ל חברת GRAPHENWAY, חברה המתמחה בחדשנות וקידום טכנולוגיות, הכשרות בתחום החוסן הארגוני וביצוע הערכות סיכון בשילוב "צוות אדום". טל שופך לתוך פעילותו חשיבה יצירתית ומקורית ונקודת מבט ייחודית, המאתגרת את התפיסות הביטחוניות של הגופים והלקוחות מולם הוא פועל. חבר ב-ASIS וב-ISRM. טלפון: 050-3991338, דוא"ל: tal@graphenway.com
אתר מונגש
אנו רואים חשיבות עליונה בהנגשת אתר האינטרנט שלנו לאנשים עם מוגבלויות, וכך לאפשר לכלל האוכלוסיה להשתמש באתרנו בקלות ובנוחות. באתר זה בוצעו מגוון פעולות להנגשת האתר, הכוללות בין השאר התקנת רכיב נגישות ייעודי.
סייגי נגישות
למרות מאמצנו להנגיש את כלל הדפים באתר באופן מלא, יתכן ויתגלו חלקים באתר שאינם נגישים. במידה ואינם מסוגלים לגלוש באתר באופן אופטימלי, אנה צרו איתנו קשר
רכיב נגישות
באתר זה הותקן רכיב נגישות מתקדם, מבית all internet - בניית אתרים. רכיב זה מסייע בהנגשת האתר עבור אנשים בעלי מוגבלויות.