"הונאות ומעילות מקוונות – איום הסייבר שהכי צומח"

"ההונאות והמעילות המקוונות הן האיום שהכי צומח כיום בעולם הסייבר. תפקידנו לא להביט רק אחורה, אלא גם קדימה, ולוודא שהארגון מודע לאיומים ושהוא ערוך ומוכן לקראתם", אמר אלון כהן, מייסד ויו"ר דירקטוריון nsKnox.

כהן דיבר בכנס המקצועי השנתי של הביקורת הפנימית, IIA ישראל. הכנס, בהפקת אנשים ומחשבים, נערך ביום ה' האחרון במרכז הכנסים אבניו, קריית שדה התעופה – בהשתתפות מאות מבקרי פנים מארגונים מובילים במשק.

כהן, יזם היי-טק, שירת שנים רבות בצה"ל, ובתפקידו האחרון היה אחראי תשתיות מחשוב בממר"ם. הוא ממקימי סייברארק, ששווי השוק שלה עומד על 3 מיליארד דולרים, ולאחר שעזב אותה הקים שתי חברות חדשות, לצד nsKnox.

"משימתנו העיקרית", אמר כהן, "היא לחזק את חוסנם של ארגונים, כך שכשהרעים ינסו לפרוץ לאחד – הם ייאלצו לפרוץ לכמה במקביל, כדי לגרום נזק כלשהו. אנו רוצים לתקוף את בעיית ההונאות והמעילות בסייבר".

"כאוס באבטחה"

"אנו נמצאים בעידן מרתק אך מפחיד", ציין, "המפץ הטכנולוגי הגדול מייצר הזדמנויות אדירות, לצד איומים וסכנות חדשים. יש כאוס טכנולוגי באבטחה: כל יום צצות טכנולוגיות חדשות, אינך יודע איזו טכנולוגיה מוטמעת – ואיפה". כך, אמר כהן, "ג'יי.פי. מורגן משקיע מאות מיליוני דולרים בהגנה – ונפרץ. נתונים מסווגים נגנבו מה-NSA, הסוכנות לביטחון לאומי. האקרים מצפון קוריאה פרצו למערכת ה-SWIFT בניו יורק וגנבו כמאה מיליון דולרים מהבנק המרכזי של בנגלדש".

"הסיכון", אמר כהן, "הוא בהונאות ומעילות בהעברות כספים בין ארגונים. עד היום, ארגונים סברו שהתפקיד הכי חשוב הוא להגן על המידע. מסתבר שלא פחות חשוב לשמור על הכסף. זה קל וזו לא שאלה של רצון – רק של יכולת. פעמים רבות איום שכזה הוא מדינתי, כמו במקרה של קבוצת ההאקרים לזרוס מצפון קוריאה. תפקיד מבקרי הפנים: לזהות את האיומים החדשים, להתריע ולוודא שהארגון ערוך לקראתם".

כהן ציטט את האנליסטים של וויילס פארגו, לפיהם, "הונאות בסייבר הם האיום הכי 'חם' על ארגונים. לפי ג'יי.פי.מורגן, 78% מהארגונים בארה"ב נפגעו מהונאות וממעילות סייבר, ואני אוסיף – יתכן שגם אחרים נפגעו, אך אינם מודעים לכך".

כהן אמר שאיומים אלה נחלקים לשני סוגים. האחד, הנדסה חברתית, כמו במקרה של האקר ליטאי ששכנע מנהלי רכש בגוגל ופייסבוק להעביר 120 מיליון דולרים לחשבונו, באמתלה של בעיות מס. הסוג השני הוא "תקיפות על מערך ה-IT של הארגון. מסתבר שנורא קל לגנוב כסף, כל שנדרש הוא להגיע למודול הכספים ב-ERP, לשנות נתונים, ולהפנות הכספים לחשבון בנק אחר".

"יש מגוון רחב של תקיפות", אמר כהן, "לכן, עלינו לשמור על הכסף ולא רק לסמוך על הבנק, שאינו מכיר את עסקנו ולא מסוגל לשמור עלינו".

עשרת הכללים להגנה

כהן פירט עשרה כללים שארגונים צריכים לבצע להגנתם: "החשוב ביותר, שה-CISO מבין שתפקידו לא רק לשמור על המידע – אלא גם על הכסף, ולמנוע מצב שהנושא נופל בין הכיסאות; הרבה משיטות האימות של העבר, אינן רלוונטיות. יש לוודא שההנחיות לתשלום אמיתיות ולא מזויפות. נדרשות אותנטיקציה ואימות בסייבר – להגנה גם על הכספים; חייבים לוודא שהבקרות הן בזמן אמת ומקצה לקצה, כדי להגן על ביצוע ההעברות; מערכי ההגנה צריכים להיות עצמאיים וממורכזים, לטובת בקרה ופיקוח אחודים; יש לקבוע מדיניות, שמלווה בכלי בקרה ואימות – ולאכוף אותה בנושא התשלומים. קשה לאכוף זאת כיום בגלל ביזור ותלות בנקודת כשל אחת; יש לתחום את הנזק ולהגביל אותו. אם חברת הניקיון אמורה לקבל 150 אלף דולרים בשנה, לא הגיוני להעביר לה שלושה מיליון; יש לעשות מהפכה בתהליך 'הכר את הלקוח', להקשיח אותו, בדיוק כפי שהבנק עושה; יש לטפל בתהליך ההקמה של ספקים, כמו גם בשינויים בחשבונות בנקים ולפקח כהלכה על השינויים; יש לטפל באחת ההונאות השכיחות, 'הונאת מנכ"ל', במסגרתה מייל מזויף שולח הוראה מהמנכ"ל, לביצוע תשלומים שלא בהליך מסודר ובלא בקרה. מפתיע כמה ארגונים נופלים להונאה שכזו; יש לוודא שאין נקודת כשל יחידה בשרשרת".

"עלינו לפתח כלים ושיטות שיתמודדו עם נקודות החולשה הארגוניות, אותם האקרים מזהים בקלות", סיכם כהן, "הפתרון שפיתחנו, TxAuthority, נותן מענה טכנולוגי לאיומים אלה, הוא קל להטמעה ומסייע בקיום רגולציית SOX באופן בלתי תלוי, לאורך כל תהליך התשלום – מתחילתו ועד סופו".