עבריינות מחשב תעסוקתית בראי הביקורת הפנימית

• מבוא

נדמה כי בצד יתרונותיה הברורים, אין גורם סיכון גדול יותר לארגונים מאשר מערכת המחשב. עם השנים הפכו מערכות המחשוב למקיפות יותר (כגון מערכות ERP), אך במקביל החלו להיחשף עוד ועוד מקרים של פגיעה בארגונים באמצעות שימוש במערכות מחשוב, נזקים שהתרבו ככל שמהפכת התקשוב והאינטרנט הכתה גלים. היקפם של נזקים אלה הוא כה רב עד שכיום העבירות המבוצעות באמצעות מחשב או אינטרנט(Cyber-Crime)  נמנות על ארבעת העבירות הכלכליות השכיחות ביותר במגזר הארגוני(PwC, 2011) .

אך לא רק גורמים חיצוניים (כגון האקרים) פוגעים בארגונים. התמורות והעלייה בהיקף השימוש במערכות מחשוב הביאו גם לעלייה בשימוש לרעה במחשבים על ידי עובדים. שימוש לרעה זה בא לידי ביטוי בחדירה בלתי חוקית למאגרי מידע חסויים, גניבה באמצעות ניצול לרעה של מערכות מחשוב ועוד. כך לדוגמה, מנתונים שהתפרסמו על ידי Computer Security Institute עולה כי עד כמחצית מפשעי סייבר מתבצעים על ידי אנשים מתוך הארגון (CSI, 2011). תימוכין לכך נמצא במחקרים כדוגמת זה של Carnegie Mellon University המצביעים על כך שהנזקים הנגרמים על ידי גורמים פנים ארגוניים חמורים בהרבה מאלה המתבצעים על ידי גורמים חוץ ארגוניים[1] . לאור היקפה, תופעה זו זכתה לכינוי "עבריינות מחשב תעסוקתית".

אך מיהו עובד שגורם למעבידו לנזקים? האם ניתן לאפיין אותו? האם ניתן לקבוע נייר לקמוס לזיהוי עובדים עם נטייה או פוטנציאל לדפוס התנהגות כזה?

לאור מהות תפקידם, שאלות אלו רובצות מטבע הדברים לפתחם של מבקרי הפנים.

מחברי רשימה זו מבקשים להציג בפני העוסקים במקצוע את תחום עבריינות המחשב התעסוקתית, תוך סקירת ההיבטים הפסיכולוגיים והאחרים המביאים לכך והצגה של כמה מכלי האיתור הקיימים. אין ספק כי לאור היקף התופעה, מבקרי פנים יוכלו להמשיך ולהוסיף ערך לארגונים אם הם יבחנו גם את מוכנות ארגונם לאיתור ומניעה של עבריינות מחשב תעסוקתית.

• הצגת הנושא והמסגרת לבחינה

בעשורים האחרונים "עבריינות המחשב" החלה להתפתח כתופעה כפי שאנו מכירים אותה כיום, כאשר בקצה הסקלה קיימים הפשעים חמורים ביותר של פגיעה מכוונת כדי לפגוע בסדר החברתי הנובעים מתוך רצון להרוס (הכט, 2004).

מקובל לחלק את מעשי הפגיעה בארגון באמצעות הטכנולוגיה הזו לשלושה תחומים עיקריים:

1. מחשב כמטרה – עבירות מחשב כהגדרתן בחוק המחשבים, שבהן המחשב משמש כ"קורבן" העבירה ויעד לתקיפה. בין העבירות: חדירות ופריצות למחשב, ייצור והפצה של וירוסים, שיבוש מידע וגניבת מידע ממחשבים.
2. מחשב ככלי – עבירות "רגילות" שבעבר נעשו ללא מחשב. בעבירות אלה המחשב משמש ככלי לביצוע העבירה. לדוגמה: סחר בסמים, זיוף, עבירות ביטחוניות וכו'.
3. כל עבירה אחרת – המחשב משמש ככלי קיבול לראיות היכולות לקשור את החשודים לעבירות המיוחסות להם ולהוכיח באמצעות המידע האגור בו את אשמתם (או חפותם) של חשודים.

בצד עבירות המחשב הנזכרות, החלה להתפתח תופעה שלאור היקפה זכתה להתייחסות נפרדת וכינויה הוא עבריינות תעסוקתית (המבוצעת באמצעות מחשב). כדי להמחיש את גודל התופעה נציין כי על פי הערכות, תאגידים במדינות מערביות מפותחות מפסידים בממוצע כ-5% מהכנסותיהם כתוצאה מעבריינות תעסוקתית. היקף הנזקים מסוג עבריינות זו הוא כה דומיננטי עד שבמחקר שנערך ב-2010 על ידי information week analysis נקבע כי "עובדי הארגון מהווים את האיום הכי גדול לארגון".

הסבר לתופעה זו מציגה תיאוריית ,Work place deviance שלפיה גורמים סביבתיים (הקשורים להתרחשויות במקום העבודה) מחד, ואישיותם של מבצעי העבירה מאידך, מסבירים (ומכאן מנבאים) התנהגות חריגה. התנהגות חריגה במקום העבודה מוגדרת כהתנהגות וולונטרית שמפרה נורמות ארגוניות משמעותיות ובכך מהווה איום על שלומו של הארגון, על חבריו או על שניהם גם יחד. האינטראקציה בין שני המשתנים (סביבתיים ואישיותיים) יכולה להצביע על התנהגות חריגה ואף לנבא אותה. כך לדוגמה, אינטראקציה בין מאפייני האדם ומאפייני הסביבה יכולים להוביל לפשעי מחשב Robinson, Bennett 1995)).

• קווי מתאר לעבריין מחשב תעסוקתי

עד כה למדנו על התופעה, ממדיה ועל המסגרת התיאורטית המבקשת להסבירה, אך האם ניתן לאתר מקרים של עבריינות מחשב תעסוקתית, או שמא ארגונים נידונו להשלים עם קיומה ונזקיה?

מחקרים בתחום זה שהושפעו מתיאוריית ,work place deviance קובעים כי אם נזהה את הגורמים שתורמים להתנהגות חריגה נוכל לערוך סינון מוקדם או תוך כדי העבודה באמצעות מנגנונים פנימיים שיאפשרו לארגון לשפר ביצועים. גורמים אלה מוכרים כ) Big 5-ואליהם נוסף גם גורם נוסף – הדימוי העצמי (Everton, W.J., et al. (2007). מודל זה מבוסס על תיאוריות ומחקרים שעל פיהם רוב התכונות האנושיות יכולות להתכנס לחמישה ממדים אישיותיים, זאת ללא קשר לשפה או לתרבות, ובהם:

• פתיחות – פתיחות לחוויות. ממד זה מאופיין בסקרנות, מקוריות, אופקים רחבים, אינטליגנציה גבוהה ורגישות אומנותית. הקצה השני בסולם זה הוא שמרנות.
• מצפוניות – ממד זה מאופיין בזהירות, יסודיות, אחריות, ארגון, התמדה ומשמעת עצמית. הקצה השני בסולם הוא העדר מצפוניות.
• נעימות – ממד זה מאופיין באדיבות, גמישות, ביטחון, אמון, מזג נוח, שיתוף פעולה, סלחנות וסובלנות. הקצה השני בסולם הוא אנטגוניזם ועוינות.
• נוירוטיות – ממד זה מאופיין בחרדה, דיכאון, כעס, מבוכה, דאגה, רגשנות וחוסר ביטחון. הקצה השני של הסולם הוא יציבות רגשית.
• מוחצנות – ממד זה מאופיין על ידי צורך חברתי גבוה, יכולת התחברות, אסרטיביות, נטייה לדברנות ופעלתנות. הקצה השני של הסולם הוא מופנמות.

כיום קיימת טכנולוגיה המאפשרת להתריע באופן ממוחשב על מקרים של סטייה מנורמה, הן ביחס לקבלת עובדים לעבודה והן ביחס לביצוע מבדקים תקופתיים לעובדים קיימים. ואכן, "פתרון ראשון מסוגו בתעשייה לגילוי מוקדם של מתקפות נעשה באמצעות בנייה אוטומטית של פרופיל התנהגותי לחשבונות פריבילגיים[2] (users accounts) בארגון" (יואל צפריר, 2014). דברים אלה שנאמרו ביחס לפעילות חוץ ארגונית, יפים גם לגורמים פנים ארגונים.

בנוסף, לצורך זיהוי סטייה מנורמה אפשר לעשות שימוש במאפייני הפרופיל (profiling). כלומר, ניתן לעשות שימוש ביצירת קווי מתאר דיוקני כדי לסייע לארגונים לזהות עבריינים (לאחר המעשה) ואף לסייע במניעת עבירות עתידיות (לפני מעשה). מעבר לכך בתחום זה יש הסכמה כי ניתן לבנות פרופילים לעברייני מחשב בכלל ,(Rodgers, 2003) ואף יש הטוענים כי ניתן לעשות כן לעברייני מחשב תעסוקתיים בפרט  (Nickodym et al, 2005)[3].

• מבקרי פנים וזיהוי מוקדם

מבקרי פנים מהווים, מכוח הגדרת המקצוע, פונקציה מקצועית "בלתי תלויה ואובייקטיבית של הבטחה (assurance) וייעוץ, אשר מיועדת להוסיף ערך ולשפר את פעולות הארגון".

כדי לעשות כן נדרשת הביקורת לפעול באופן "שיטתי וממוסד, לשם הערכה ושיפור האפקטיביות של תהליכי ניהול סיכונים, בקרה, פיקוח ושליטה" (תקני IIA).

ואכן, מבקרי הפנים נדרשים לסייע לארגון לחשוף עבור הנהלה מוקדי סיכון. לשם כך הם לא רק נדרשים לקבוע את נושאי הביקורת על פי ממצאי סקר סיכונים, אלא גם לבצע ביקורת פנימית מבוססת סיכונים (אלון קוחלני, 2012).

לאור היקף התופעה וממדי הנזקים, עריכת ביקורת בראי סיכונים עלולה מטבע הדברים לגעת גם בתחום מוכנות הארגון לאיתור ומניעה של עבריינות מחשב תעסוקתית. שימוש במתודולוגיה זו יכולה לסייע למבקרים הן באיתור חריגות וסטיות מנורמה והן בבחינת יעילות מערך הבקרה בארגון. כך לדוגמה יכולים מבקרי פנים לבחון את יעילות הבקרות בהליכי קבלת עובדים לעבודה ולאתר דפוסים חריגים באופן התנהגותם של עובדים בתחומים רגישים (כגון קופאים ואנשי IT). לשם כך עליהם להכיר לא רק את הנסיבות לבעיה והגורמים לה, אלא גם לעשות שימוש ואף להמליץ על פיתוח ושכלול מודלים של פרופילים כדי לסייע לארגון להקטין את החשיפה לסיכונים. לימוד נושאים אלה יאפשר למבקר הפנים לסייע בשיפור הבקרה ובהקטנת הסיכונים שמקורם בעבריינות מחשב תעסוקתית.

• סיכום

בימינו היקף החדירה של טכנולוגיית התקשוב לארגונים הוא כה רב עד שמחשבים יכולים להוות "חרב פיפיות", ובין אלה העושים בכך שימוש לרעה יש "אויבים" מבית, כלומר עובדי החברה או הארגון. היקפן של פגיעות אלה הוא כה משמעותי עד שארגונים חייבים להקצות לכך משאבים כדי לשרוד. מעבר להיקף ורמת התחכום, התקפות מחשב נעשות כיום ממוקדות יותר ומקצועיות הרבה יותר (לפי יובל אלדד, 2014).

ברשימה זו הצגנו ממעוף הציפור את תחום עבריינות המחשב התעסוקתית, על הנדבכים והכלים הקיימים כדי להתמודד עמה.

מבקרי פנים, כפונקציה מקצועית האמונה על חשיפת מוקדי סיכון עבור ההנהלה, חייבים להיות מודעים לתופעות אלה, ואף להשכיל לרכוש כלים כדי לבחון האם הארגון מאתר, מזהה ומתריע במועד על שימוש לא מורשה במערכות המחשוב הארגוניות. יש לכך משנה תוקף כאשר אנו עוסקים בעבריינים פנים ארגוניים.

במציאות הטכנולוגית של המאה ה-21 מבקרי פנים ישכילו להוסיף ערך לארגון אם יקצו משאבים לתחום עתיר סיכון זה של עבריינות מחשב תעסוקתית.

ביבליוגרפיה :

אלדד יובל, הגנה על מידע בעולם ללא גבולות? Yes you can!, עיתון הארץ, ספטמבר 2014.

הכט יעקב, תרבות דיגיטלית, האקרים: בין טכנופיליה לפשיעה וירטואלית, נובמבר 2004, פורסם במגזין ברשת של איגוד האינטרנט הישראלי.

צפריר יואל, לשים את האקרים על הכוונת, לא את התוכנות שלהם,  עיתון הארץ, ספטמבר 2014

קוחלני אלון, ביקורת פנימית מבוססת סיכונים – ניהול סיכונים ככלי לעריכת ביקורת פנימית, הוצאת. ג'י.אר.סי יועצים, 2012.

התקנים המקצועיים המקובלים של לשכת המבקרים הפנימיים העולמית IIA (אתר איגוד מבקרים פנימיים בישראל www.theiia.org.il).

"Report to the nations on occupational fraud and abuse", Association of Certified Fraud Examiners (ACFE),in  www.acfe.com, 2012.

"Report to the nations on occupational fraud and abuse", Association of Certified Fraud Examiners (ACFE),in www.acfe.com,  2010.

Common Sense Guide to Mitigating Insider Threats, Carnegie- Mellon University Reports- 3 and 4 editions,  2012.

"2010/2011 Computer Crime and Security Survey", CSI (Computer Security Institute) , 2011.

531. E. Schultz, "A framework for understanding and predicting insider attacks", Computers and Security, Volume 21, Issue 6, 2002 pp. 526-531.

Marcus K. Rogers "The role of criminal profiling in the computer forensics process", Computers & Security 01/2003; 22:292-298.

Nick Nykodym, Robert Taylor & Julia Vilela  "Criminal profiling and insider cyber-crime",  Computer Law & Security Report (2005) 21, 408-414.

"Cybercrime: protecting against the growing threat. Global Economic Crime Survey", PwC publication, November 2011.

Schultz, E., & Shumway, R. (2001). "Incident response: a strategic guide to handling System and network security breaches Sams, Indianapolis, IN.

“Behavioral Risk Indicators of Malicious Insider Theft of Intellectual Property: Misreading the Writing on the Wall”,  Symantec Corp publication, 2011.

Stephanie E. Hastings Thomas A. O'Neill , the University of Western Ontario, Rm 7418 social science center London Ontario Canada n6a.

.4 ראה: https://www.heinz.cmu.edu/faculty-and-research/research/index.aspx

[2] . חשבונות פריבילגיים – חשבונות מחשב המקנות לאוחזים בהם הרשאת גישה למערכות מחשב (users account).

[3]. מעבר לכך יש מחקרים המנתחים עבריינים תעסוקתיים מאופיינים בדיעבד לאור משתנים סוציו-דמוגרפיים ו/או אינדיקטורים התנהגותיים .(ACFE, 2012; Symantec, 2011) במחקרים נוספים הוצעו מודלים לניבוי עבירות תעסוקתיות ,(Schultz, 2002) אך עד כה לא נמצא מודל שנבחן והוכח כמותית.

אודות הכותב/ת

אורית בז'רנו שפירא

עו"ד
מבקרת עיריית כפר-יונה

אודות הכותב/ת

אלון קוחלני

עו"ד