מקובל שכאשר מדברים על פאזל הרי מתכוונים ליצירת השלם מחיבור הרמוני של החלקים שלו. לעומת זאת, בתחום אבטחת מידע השאיפה היא להגיע למצב שהעבריין לא יצליח לחבר את פריטי הפאזל ע"מ לסכל את זממו להונות או לגנוב כספים ממערך התשלומים
האמנם? והרי מהותו של הפאזל מביאה בד"כ ליצירת מוצר מושלם ככל שחלקי הפאזל משתלבים באופן הרמוני. וממשחקי שילוב חלקי תמונות שתורמים תרומה משמעותית להתפתחות המוטורית והקוגנטיבית של הילד אומץ מושג זה גם בתחום התהליכים הכלכליים. דהיינו, תכנון יעיל שיביא לסנכרון בין תחנות עבודה שונות בתהליך מגדיל את הסיכויים להגדלת הרווחיות תוך הגברת המכירות או צמצום העלויות. מכאן שיישום יעיל של הפאזל מחייב חיבור תואם של הפער בין שתי יחידות אחרות בפאזל שמשני צדדיה של היחידה המחברת.
כיצד, איפוא, הפאזל המיועד לחבר ולגשר עלול לגרום גם להפלת עסקים? האם זה הגיוני?
והתשובה היא, שכאשר מדובר באבטחת תהליכים פיננסיים זה מאד מאד הגיוני. כלל ברזל בתהליכים אלו הינו הפרדת סמכויות. דהיינו, כל קטע בתהליך מחוייב להתבצע ע"י לפחות שני גורמים שלכל אחד מהם אין הרשאה לבצע את הפעילות של האחר. למשל, גורם אחד מדווח נתוני חש' בנק של הספק וגורם אחר מאשר, לאחר בדיקות, את זכאותו של הספק לתשלום מהארגון. דוגמה נוספת: שידור קובץ התשלומים למס"ב לא יתבצע רק לאחר חתימתו בחתימה אלקטרונית ע"י שני גורמים, בד"כ מנהלים מורשים
את הכלל הזה יודעת גם 'החפרפרת' בארגון שממתינה לשעת כושר לשים ידה על כספי התשלומים ולהמלט למקום מבטחים אקזוטי. דהיינו, אותה 'חפרפרת' לומדת היטב את התהליך תוך חיפוש נקודות תורפה בתהליך התשלומים שיאפשרו לה לשנות בעיתוי המתאים את מספרי חש' הבנק של הספקים ע"מ שכספי התשלומים יעברו לכיסה ולא לחש' הספקים. לצורך כך, צריכה 'החפרפרת' לשחק את משחקי הפאזל ולחבר הרצף בין הפעילויות שאינן מורשות תוך גניבת סיסמאות, למשל. ישנם עוד דרכים לעקוף הסיסמאות תוך זיוף מסמכי בקשות ספקים לשינוי מס' חשבון או אף שינוי מס' חש' בנק ישירות ברשומת קובץ התשלומים
לא זה המקום לפרט עוד ועוד דרכים קרימינליות להונאות כספיות במערך התשלומים העלולות לגרום למכה אנושה לרמת המזומנים של העסק ואף במקרים מסויימים להשבתה של העסק
מהי, איפוא, ההצעה שלי לארגון?
ראשית, אם לא יתגלו פרצות בתהליך יקבל הארגון לידיו את דוח הבדיקות חינם אין כסף
שנית, אני מספק פתרונות פשוטים וזולים ובד"כ אינן מחייבות הקצאת משאבים נוספים.
ועל כך יעידו הארגונים, במגוון עיסוקים שונה, שספקתי להם הפתרונות הנדרשים למניעת הונאות / מעילות במערך התשלומים
אז אם אינכם ממהרים להמר בכספי הארגון, מוזמנים אתם ליצור קשר אתי
ירימי משה - רו'ח / מנמ'מ
נייד: 052-4625590
moshe@syscon4u.com