פרשת ההונאה באינטל ישראל, שבמסגרתה הואשמו עובדת לשעבר וספק חיצוני במעילה בסך של 3 מיליון שקל, מדגישה את הפער המהותי בין התקדמות טכנולוגית לבין אבטחת מערכות הבקרה בארגונים. אין מדובר בעוד מקרה של הונאה פנים-ארגונית, אלא בתזכורת כואבת לכך שגם מערכות משוכללות אינן חסינות מפני תחבולות אנושיות מתוחכמות.
המנגנון היה פשוט ומתוחכם בעת ובעונה אחת: העובדת, שהייתה אחראית להזמנות, ביקשה אישור לרכישת "רכיבים", ולאחר קבלת האישור שינתה את סיווג ההזמנה ל"שירותים". לו הוזמן השירות מלכתחילה, הבקשה לא הייתה מאושרת – כיוון שהספק לא הוסמך לספק שירותים אלה. המערכת, שנסמכה על דיווחים אמינים מצד העובדת, לא דרשה מסמכי קבלה עבור שירותים, ובכך איפשרה עקיפת הבקרות.
נתון מטריד במיוחד הוא העובדה שרוב החשבוניות היו על סך 20,000 דולר – בדיוק גבול האשראי שהוקצה לעובדת. זהו דפוס שהיה אמור לעורר חשד במערכות הניטור. בכך נחשף ליקוי ביכולת הארגון לזהות חריגות סטטיסטיות, אף על פי שכלים לכך זמינים וזולים יחסית.
היעדר צורך באישור נוסף איפשר הקטנה של מעגל המעורבים, והפך את המעילה לנגישה ונסתרת יותר. בכך מתחדדת הנקודה המרכזית: הפער האמיתי איננו טכנולוגי – אלא מושגי. כשמערכות מתוכננות לפעול על פי כללים קבועים מראש, הן הופכות פגיעות דווקא במצבים לא צפויים.
עולם ה-Big Data מספק כיום יכולות אנליטיות מגוונות, ודווקא בשל כך מתמיה מדוע לא הופעלו התרעות לדפוסים כמו תדירות חריגה של הזמנות מספק מסוים, או ריבוי עסקאות על גבול האשראי. יישום אלגוריתמים פשוטים של זיהוי חריגות היה עשוי למנוע את הנזק.
היכרות מוקדמת בין העובדת לספק, כפי שהתברר, שימשה מנוף לביצוע ההונאה. קשרים אישיים מהווים חוליה רגישה במיוחד במניעת מעילות, ולכן יש להקפיד על יישום עקרון הפרדת תפקידים, לא רק בתרשימים ארגוניים אלא גם בשטח.
מניסיוני בחקירת מקרה דומה, בתחום המכירות, נתקלתי בעובדת שהוסיפה פריטים במחיר אפס להזמנות קיימות, תוך עקיפת המנגנונים האוטומטיים. גם אז, שיתוף פעולה בין גורם פנימי לחיצוני איפשר את העבירה.
המסקנה המתבקשת היא הצורך בגישה דינמית: מערכות הבקרה צריכות להתאים את עצמן לאיומים משתנים, ולשלב בין כללים מוקדמים לניתוח שוטף של התנהגויות. ביקורת מתמשכת, מבוססת בינה מלאכותית וסטטיסטיקה מתקדמת, צריכה להפוך לנורמה.
זאת ועוד, יש להפנים שהאיום הפנימי – עובדים המכירים את המערכת מבפנים – מסוכן בהרבה מהאקרים חיצוניים. הכלים הנדרשים להתמודדות קיימים: ניטור התנהגותי, מערכות דיווח אנונימיות, והכשרות בתחום האתיקה. החוכמה היא לשלבם במערך מקיף שיתפקד לא רק בזמן אמת – אלא גם למניעה מראש.
פרשת אינטל מזכירה לנו שביטחון טכנולוגי שאינו מגובה במחשבה מערכתית הוא אשליה. היצירתיות האנושית גוברת לעיתים על כל מערכת אוטומטית – במיוחד כשזו אינה מתוחזקת ומאותגרת. ההגנה האפקטיבית היחידה היא זו המתעדכנת, נבחנת מחדש, ונבנית על ערנות, שקיפות והבנה עמוקה של התנהגות ארגונית.
מערכת בקרה טובה אינה מערכת שאינה טועה – אלא כזו הלומדת, משתנה ומגיבה. רק ארגונים שמבינים זאת באמת, יוכלו לשרוד בעידן שבו כללים נכתבים – אך גם נעקפים – במהירות.
הכותב: רו"ח שי מדינה, מנהל מחלקת הביקורת החקירתית בפאהן קנה ניהול בקרה GT Israel
