הסיוט הכי גרוע

כשעובד מועל וגונב מידע, זה איום שקשה מאד לחזות ולטפל בו

1. "הסיוט הכי גרוע של מנהל גוף פיננסי הוא פשיעה של עובדים" - כך אמר לנו היום (א') בכיר במערכת הבנקאית. הבנקים וחברות כרטיסי האשראי משקיעים משאבים רבים באבטחת המידע.

כל תחום הטכנולוגיה מתפתח והולך במערכת הפיננסית, ובד-בבד גם האיומים גדלים והולכים - החל באיומים מצד פושעים שעושים זאת ממניעים כלכליים, כדי למעול בכספים, וכלה באיומי טרור, כדי לעשות מעין פיגוע כלכלי בישראל.

פריצות לגופים פיננסיים אירעו לא אחת בשנים האחרונות, החל בבנקים בארה"ב ואפילו בחברות כרטיסי האשראי בישראל לפני 3 שנים בקירוב (ראו פירוט בתרשים).

אלא שלצד האיומים הגרנדיוזיים והמפחידים, נראה כי נכון להיום האיום הכי ממשי בישראל הוא דווקא האיום מבית. עובד שמחליט לנצל את הגישה שלו, לגנוב מידע או למעול בכספים. מדובר באיום שקשה מאוד לחזות אותו ולטפל בו, שכן העובד מדלג בקלילות מעל חומות האבטחה (הפיזיות והטכנולוגיות), בזכות היותו עובד של המקום ובעל הרשאות.

לפרשת לאומי קארד היה סוף טוב - הנתונים נתפסו בזמן, ככל הנראה מבלי שנגרם נזק כלכלי לחברה או ללקוחות. עם זאת, פרשה זו מהווה תזכורת לכך שכמעט לא משנה כמה חומות הגנה יהיו לבנקים ולחברות כרטיסי האשראי, למרבה הצער בכוחו של עובד סורר לשבור אותן ולגרום נזקים כבדים.

2. בנק ישראל היה מעורב ומעודכן בפרשת גניבת המידע מלאומי קארד. היום לא נשמע קולו בעניין, אך סביר שעוד נשמע בעתיד, וכי יהיה בקשר הדוק עם לאומי קארד. על-פי רוב, בבנק ישראל מעדיפים להמתין לסיום חקירת המשטרה, ואז בדרך-כלל עושים בדיקה משל עצמם.

בבנק ישראל מוטרדים זה זמן מאיומי הסייבר. בדוח שלהם התייחסו לנושא, ובאחרונה אף דרשו מהבנקים למנות גורם רשמי ובעל סמכויות לטיפול בסוגייה.

הפרשה בלאומי קארד היא אמנם לא מקרה סייבר קלאסי, אבל בבנק ישראל רואים גם בכך מעין סיכון סייבר. מבחינתם איום סייבר אינו רק גורם חיצוני הפורץ למערכת, אלא גם עובד שמנצל את סמכויותיו וההרשאות שלו לשימוש שלילי במידע שברשותו.

כאמור, בבנק ישראל מנסים לתקוף את הנושא המורכב הזה מזוויות שונות, ולכן לא נתפלא אם פרשת לאומי קארד תסתיים בעוד הוראות רגולטוריות והנחיות של בנק ישראל בנושאים הקשורים לסייבר ולמעילות של עובדים. השאלה היא האם הנחיות רשמיות הן הדרך היעילה להתמודד עם איום מורכב כמו מעילת עובדים.

גניבות
 גניבות