DrorAviv homepage

יסודות ביקורת מערכות מידע חקירתית [א]

gnitiduA duarF TI

לא קיים מצב של מערכת ממוחשבת בטוחה. rekcah אנונימי.

  1. כללי
  2. הגדרת התחום
    1. הגדרה
    2. מרכיבי ההגדרה
  3. התפתחות הונאות מבוססות מחשב
    1. עד סוף שנות ה-07
    2. שנות ה-08
    3. שנות ה-09
    4. לקראת המאה ה-12
  4. הונאות מחשב - סיווג על-פי יעד ההונאה
    1. כללי
    2. שיבוש קלט - gnirepmaT tupnI
    3. שיבוש עיבוד - gnirepmaT tuphguorhT
    4. שיבוש פלט - gnirepmaT tuptuO
  5. הונאות מחשב - סיווג על-פי מקור ההונאה
    1. כללי
    2. חיצונית
      1. חדירה
      2. חדירה ופגיעה
      3. חדירה ושימוש
    3. פנימית
    4. משולבת
  6. בקרות
    1. כללי
    2. סיווג פונקציונלי
      1. בקרות מרתיעות
      2. בקרות מגלות
      3. בקרות מתקנות
    3. סיווג מיקומי
    1. בקרות מחוץ למערכת המחשב
    2. בקרות בתוך מערכת המחשב
  7. ייחודיות ביקורת מערכות מידע חקירתית בהשוואה לתחומים משיקים
    1. כללי
    2. אבטחת מידע
    3. ביקורת מערכות מידע
    4. ניתוח מערכות
    5. ייחודיות ביקורת מערכות מידע חקירתית
    6. משוואת הפשע
  8. טכניקות ביקורת הונאות מחשב
    1. כללי
    2. איתור מערכות פגיעות
    3. ניתוח מצב קיים
    4. בחינת הבקרות הקיימות
    5. קבילות הראיות הנאספות
  9. יישום
    1. תיאור תהליך העבודה
    2. תמיכת המערכת הממוחשבת בתהליך
  10. סיכום

1. כללי

בסוף שנת 0991 פורסם לראשונה בארץ מאמר בנושא הביקורת החקירתית [ב] , שהניח יסודות לתחום זה בישראל. מאז נצבר ניסיון רב בתחום הביקורת החקירתית, בישראל ובעולם.
ניסיון זה מלמד, שכפי שתחומי החיים הפכו והופכים לממוחשבים, כך המעילות, התרמיות וההונאות, אף הן, ממוחשבות ומסתייעות במחשב.
מטרת המאמר היא להציג את תחום ביקורת מערכות המידע החקירתית .

2. הגדרת התחום [ג]

1.2 הגדרת התחום

איתור, מניעה, אמידה, צמצום סיכונים וסגירת פרצות של הונאות מבוססות מחשב, מעקב אחר ניצול הפרצות והשבת הנזקים, (וכן שימוש באמצעי מיחשוב, המהווים ראייה קבילה בהליך משפטי כלשהו, לצורכי ביצוע ביקורת חקירתית).

2.2 מרכיבי ההגדרה

הונאות
הונאות הן פעולות, שנועדו לשרת מטרות שלא לשמן נועדו תהליכי העבודה והמערכות התומכות בתהליכים אלה. בכלל זה פעולות הפוגעות במערכת או בחלקים ממנה; פגיעה כוללת העתקה.
הונאות מבוססות מחשב
הונאות שלצורך ביצוען יש צורך לבצע מניפולציה במערכת ממוחשבת, או לבצע מניפולציה תוך שימוש במערכת מחשב. מערכת מחשב יכולה לכלול: מחשבים לסוגיהם, חומרה, תוכנה, תווכה, רכיבי תקשורת, מערכות משובצות מחשב ונתונים.
איתור
ניתוח מקדמי של תהליכי עבודה מבוססי מחשב תוך ניסיון לאתר פרצות שניתן לנצלן למטרות שאינן מטרות מערכת המחשב.
מניעה
ציון בקרות, אותן יש להוסיף, הן למערכת המחשב עצמה והן לתהליך העבודה שמסביב למערכת המחשב, ומיקום הוספת הבקרות.
אמידה
הערכה כספית של הנזק העלול להיגרם, או שנגרם, עקב ניצול הפרצות. ההערכה יכולה להיות תיאורטית, קרי: ללא ניצול בפועל של הפרצה, ויכולה להיות בפועל, קרי: מה הנזק שנגרם עקב ניצול הפרצה.
צמצום סיכונים
הגדרת בקרות "רכות", הקשורות במדיניות של הארגון.
סגירת פרצות
הגדרה מפורטת ועיצוב של בקרות "קשות", המשולבות בנוהלי העבודה ובתוכניות המחשב.
מעקב אחר ניצול הפרצות
הגדרה מפורטת של אמצעים (כגון: שאילתות, דוחות, הרחבת קבצים וכיו"ב), כדי לאתר ניצול שנעשה, או ניצול שיעשה בעתיד, של הפרצות.
השבת נזקים
איתור מקורות להשבת הנזקים שנאמדו. המקורות הם היעדים אליהם הועברו פירות ניצול הפרצות.
שימוש באמצעי מיחשוב לביצוע ביקורת חקירתית
שימוש באמצעי מיחשוב שונים (לרבות כלי-תוכנה ייחודיים), כסיוע לעבודת ביקורת של הונאות, שאינן מבוססות מחשב, ובלבד שהכלים, האמצעים ודרכי השימוש בהם יהיו קבילים בהליך משפטי.
יצויין, שמרכיב זה הינו טכני ועם הזמן יתעמם, מכיוון שכל פעילויות הביקורת תהיינה ממוחשבות.

3. התפתחות הונאות מבוססות מחשב

1.3 עד סוף שנות ה-07

בשנים אלה, ובשנים שקדמו להן, המחשבים היו בשירותי גופים ממשלתיים ותאגידים גדולים. מערכות המחשב היו אוטונומיות ולא היו מקושרות ביניהן. בשל החשש שמא יאבד הביטחון במערכות המחשב אם יוודע שהן נפרצו, היתה נטייה להסתיר הונאות מחשב.
בשנים אלה השימוש במחשב הצריך ידע ומיומנות, ורק העוסקים בתחום המחשב, כדוגמת: תוכניתנים, מפעילים ומנתחי מערכות יכלו להכיר את הפרצות ולנצלן לטובתם.
בין הונאות המחשב הגדולות, שהתפרסמו בשנים אלה ניתן למנות את gnidnuF ytiuqE. [ד]

2.3 שנות ה-08

שנים אלה אופיינו בכניסת המחשב האישי ורשתות התקשורת, ובהפצת יכולת המיחשוב ברבים.
בשנים אלה הידע במחשבים הפך לנחלת רבים, ויותר אנשים למדו את המקצועות הקשורים למחשב.
שנים אלה אופיינו בגישות לא מורשות ובהפצת וירוסים.
במהלך שנים אלה, מהיבט של ניצול מערכות המידע, עבר מרכז הכובד מאנשי יחידת המחשב בארגון אל אנשים אחרים בארגון.

3.3 שנות ה-09

רשתות התקשורת לסוגיהן מתרבות ומשפיעות על המערכות הממוחשבות.
השימוש בפעילות עסקית באמצעות התקשורת מתרחב. IDE, TFE [1] משמשים את הסביבה הפיננסית. לקוחות יכולים להתחבר למחשב הבנק מהמחשב האישי שבביתם.
גובר השימוש במאגרי מידע, ובכללם מאגרים המכילים מידע אישי ומידע קריטי לארגונים.
השימוש ברשת האינטרנט הופך לפופולארי.
עקב כך, ליותר גורמים מחוץ לארגון יש ענין ויכולת לחדור למערכות.

4.3 לקראת המאה ה-12

התקשורת והמיחשוב הופכים ליותר ניידים, ליותר זמינים, וליותר ידידותיים.
הפעילויות הופכות ליותר ויותר ממוחשבות, תוך שימוש ברכיבי חומרה זעירים וחכמים.
המערכות הופכות ליותר מתוחכמות, והתלות בהן כמעט מוחלטת. השימוש באינטרנט, באינטרה-נט ובאקסטרה-נט יהפוך לנפוץ.
המושגים ecremmoc-E, yenom-E, יהפכו ליומיומיים.
חדירה למערכות וניצולן מחייב ידע הן בתקשורת והן בתפעול המערכות.

4. הונאות מחשב - סיווג על-פי יעד ההונאה [ה]

1.4 כללי

סיווג על-פי יעד ההונאה הוא סיווג, הנחשב לסיווג קלאסי, ומתמקד בשלב בתהליך הממוחשב, המהווה יעד להונאה.

2.4 שיבוש קלט - gnirepmaT tupnI

בקטגוריה זו נכללות ההונאות שבבסיסן הקלדת נתונים כוזבים למחשב. גורם המכיר את המערכת ואופן תפקודה, מזרים לתוכה נתונים כוזבים, כך שתוצאת פעילות המערכת הממוחשבת תשרת מטרה שלו.
מנסיוננו ומהספרות בתחום, רוב ההונאות הן הונאות מסוג זה.
לדוגמא: הזרמת ספק פיקטיבי או עובד פיקטיבי, המקבלים תשלומים לחשבון בנק של מזרים הנתונים הפיקטיביים.

3.4 שיבוש עיבוד - gnirepmaT tuphguorhT

בקטגוריה זו נכללות הונאות בהן מעורבים תוכניתנים המשנים קוד תוכנה, בהתאם למטרות ההונאה.
כיום הונאות מסוג זה אינן שכיחות.
יצויין, שישנן הונאות שהן גניבת תוכנות וביצוע שינויים מסויימים בהן, תוך הסוואת העובדה שהן בעצם נגנבו. תוכנות אלה בעיקרן עוסקות בתחומים מסויימים, הדורשים ידע ומומחיות ספציפיים. [2]
לדוגמא: שינוי העיבוד כך ששיעור ריבית בגין הלוואה מסויימת יהיה קטן יותר מהמוגדר בתנאי ההלוואה. [3]
כיום, במסגרת ביצוע פרוייקטי ההסבה לשנת 0002 ("באג 0002"), נמסרים קודי תוכנה לגופים חיצוניים לביצוע תיקונים. חלק מהגופים החיצוניים אף אינם מארצות בהן יש מודעות לרגישויות ולבעייתיות שבהוצאת קודי תוכנה לגופים חיצוניים. יתירה מזאת, חלק מבתי-תוכנה אלה הם מארצות הידועות בתעשיית הוירוסים שלהן.

4.4 שיבוש פלט - gnirepmaT tuptuO

שיבוש פלט כולל בתוכו גניבת פלטים לסוגיהם על-גבי מדיות שונות.
דוגמאות:
א. תוכניות אסטרטגיות, תוכניות מחקר ופיתוח וכיו"ב.
ב. וירוסים המשבשים את ההדפסות, כך שהן נראות תקינות אך התוכן המודפס אינו התוכן שנועד להדפסה.
ג. שיבוש מידע רפואי בבתי-חולים ובקופות החולים, שיבוש תוצאות בדיקה במעבדה, שיבוש המידע הרפואי במחשב המרכזי של קופת החולים, עלולות לגרום להחלטת רופא שגויה ואף קטלנית.

5. הונאות מחשב - סיווג על-פי מקור ההונאה

1.5 כללי

סיווג זה מתבסס על מקור ההונאה, האם הוא חיצוני לארגון או האם הוא פנימי.

2.5 חיצונית

1.2.5 חדירה

ההונאה הנפוצה כיום, ולמרבה הצער זוכה להילה ציבורית [4] , היא תופעת ה-gnikcaH. ההאקרים למיניהם, בדרך-כלל צעירים, נכנסים למערכת תוך כדי נסיונות חוזרים ונשנים (בדרך-כלל בעזרת תוכנות ייעודיות) לאתר ססמאות.
ככל שהמערכת נתפסת כמוגנת יותר כך האתגר לחדור לתוכה גדול יותר.
בדרך-כלל מסתפקים ההאקרים בציון (ואפילו פרסום) העובדה שהם חדרו למערכת.
למעשה, הנזק העיקרי מתופעה זו הוא נזק תדמיתי וגניבת זמן מחשב. אמנם אין להקל ראש בנזקים אלה, אך הם קטנים בהשוואה לנזקים, הנגרמים מסוגי הונאה אחרים.

2.2.5 חדירה ופגיעה

התופעה היותר חמורה היא חדירה למערכת והחדרת וירוסים שונים.
למעשה יש כאן שתי תופעות: האחת תעשיה של פיתוח וירוסים והשניה תעשיה של פיתוח אמצעי חדירה.
במצב זה, נעשה שימוש בשתי תעשיות אלה. [5]
תופעה נוספת היא חדירה מסיבית, היוצרת שיתוק של המערכת אליה בוצעה החדירה. משמעות הדבר היא "הפצצה" של המערכת בתשדורות, עד שהיא קורסת, כי אינה יכולה לעמוד בעומס. [6]

3.2.5 חדירה ושימוש

התפתחות מדאיגה בתחום ההונאות החיצוניות, הוא חדירה למערכות ושימוש בהן. הונאות אלה מוכרות היטב לחברות כרטיסי האשראי ולחברות הטלפוניה (הן הקווית והן הסלולרית).
למעשה, החודרים למערכת אינם מחפשים רק לאתגר את עצמם או להזיק לארגון אליו חדרו, אלא הם מעוניינים להפיק תועלת כספית.
גופים אלה משקיעים מאמצים רבים להתגונן, על ידי עיבוי מחלקת הביטחון, רכישת אמצעי הגנה שונים ופיתוח אמצעים. מיותר לציין שעלויות אלה מועמסות על לקוחות חברות אלה.
להערכתנו, עם הרחבת השימוש בשירותים בנקאיים באמצעות מערכות תקשורת מרוחקות, ינסו גורמים להיכנס למערכות אלה, כדי לנסות "ליהנות" משירותים בנקאיים.

3.5 פנימית

הונאה, שמקורה באנשים שהם פנימיים לארגון לו שייכת המערכת. לענייננו, אין הבדל אם מדובר בעובדים של הארגון או בעובדים של גוף אחר, הנותן שירותים לארגון.
הונאה זו היא הונאה, הנעשית על-ידי אנשים, המקבלים באופן פורמלי ומוכר שם משתמש וססמה, כדי שיוכלו לבצע את עבודתם ותפקידם בארגון.
בדרך-כלל מדובר בעובדים ותיקים, אשר עברו מספר תפקידים, ובמהלך עבודתם למדו תהליכים שונים במערכת המחשב. עם הזמן אף צברו הרשאות, המאפשרות להם לבצע מספר שלבים בתהליך. שלבים אלה במקורם היו אמורים להתבצע על-ידי אנשים שונים ("הפרדת תפקידים"), אך מנסיבות שהזמן גרמן, אדם אחד מסוגל לבצעם.
לדוגמא: בעל תפקיד במחלקת הרכש שעבר לגזברות, יכול לאשר חשבונית ספק וגם לאשר תשלום לספק, משום שההרשאות שלו במחלקת הגזברות נוספו להרשאותיו במחלקת הרכש, ולא החליפו אותן.
התרחיש האופייני בנושא מתן הרשאות וססמאות, הוא שמוגדרות קבוצות של עובדים, המקבלות הרשאות לפעילויות, למשל: מנהלי-חשבונות, מחסנאים, גזברים וכיו"ב. כל קבוצה מקבלת הרשאה לתפריטים מסויימים, המאפשרים פעולות מסויימות. בפועל התפריטים משתנים, ובעלי התפקיד מבצעים פעולות שאינן לגמרי זהות לקבוצה אליה שויכו. בעלי תפקיד אלה פונים לאפשר להם להיכנס לתפריטים נוספים. תפריטים נוספים אלה הם חלק מקבוצה אחרת של תפריטים, ומרגע שבעל התפקיד הורשה להיכנס לתפריטים הנוספים, הוא הורשה, מבלי משים, אף לכל קבוצת התפריטים אליה שייכים התפריטים.
מובן, שעם הזמן אותו בעל תפקיד יכיר את כל התפריטים.
יצויין, שבמסגרת עבודות של אבטחת המידע נהוג לדרוש עריכת סקר פעילויות והמידע הנדרש לביצוען. סקר זה בוחן כל תפקיד לגופו, תחומי אחריותו והמידע לו הוא נזקק (wonk ot deen). סקר זה מורכב, ובדרך-כלל גופים מבצעים אותו (אם בכלל) באופן שטחי. [7]
לדאבוננו, כל עוד שיטת הגדרת ההרשאות היא שיטה של קבוצות (שכמוה כרשת דייג בעלת חורים גדולים מאוד), הנוחה וקלה לתפעול על-ידי אנשי אבטחת המידע, כך יהיה נוח וקל לקבל הרשאות לתוכניות מחשב רבות, המאפשרות ביצוע פעולות ללא הפרדת תפקידים.
נציין שוב, שהונאות אלה מחייבות הכרת המערכות ואופן השימוש בהן.
הונאות מסוג זה הן הנפוצות ביותר, והן הגורמות את הנזק הרב ביותר.

4.5 משולבת

הונאה זו משלבת הונאה חיצונית והונאה פנימית.
בתוך הארגון נמצא אדם, המכיר את התהליכים ואת אופן השימוש במערכות, ואינו יכול לעבור את מחסום ההרשאות.
מחוץ לארגון נמצא אדם היודע לפרוץ את מחסום ההרשאות.
שיתוף פעולה בין השניים יכול להיטיב עם שניהם, ולפגוע קשות בארגון.
יתירה מזאת, כדי לנסות לפגוע בארגון אפשר להחדיר פנימה עובד, שילמד את תהליכי העבודה ויבצע פעילויות שונות, תוך סיוע של גורם חיצוני, הפורץ את מחסומי ההרשאות.
מאמר זה החל להיכתב בשנת 6991, ופורסם בחודש 9991/2.
ביום 00/4/11 נגזר דינו של דימיטרי גרינברג ל-7 חודשי מאסר בפועל + תנאי (ת"פ(תא) 99/7715), מכיוון שערך וירוס ומסר אותו לחברתו טניה בירמן, כדי שתחדיר אותו למחשבים שביחידתה בצה"ל. פעולה ששיתקה את מערך המחשבים של הבסיס הצבאי כחודש ימים.
טניה בירמן נשפטה בבית-דין צבאי (ביד"צ מטכ"ל מט/99/65) ל-9 חודשי מאסר בפועל.
האם אלה ניצנים ראשונים של הונאה משולבת?

6. בקרות

1.6 כללי

ככלל, הבקרות [8] הן מכלול האמצעים לוודא [9] , כי הפעולות, הנעשות במערכת, מבוצעות על-פי המטרות שנקבעו להן ובהתאם למטרות המערכת.
הבקרות כוללות:

להלן יובאו 2 סיווגים של הבקרות:

2.6 סיווג פונקציונלי

1.2.6 בקרות מרתיעות

בקרות מרתיעות [10] נועדו להרתיע מלנסות לבצע הונאה תוך שימוש במחשב.
ככל שתהיה ידיעה שיש הרבה בקרות, וככל שיהיו בקרות מתוחכמות, כך ייקשה על בעלי הכוונות הלא רצויות למצוא פירצה ואולי אף יימנעו מלנסות לבצע הונאה.
דוגמאות:

  1. בעת ביצוע תשלומים, המערכת לא תאפשר לגזבר לבצע תשלום באמצעות המחשב ללא קיומה של רשומת הוראת תשלום מאושרת.
  2. בעת הזרמת המשכורת, המערכת לא תאפשר לחשב המשכורות להזרים משכורת לעובד שאינו מופיע במערכת כוח-אדם.
  3. מיחשוב מאזני "גשר" כך, שהשומר בשערי המחסן לא יוכל לשבש את נתוני כניסת חומרי-הגלם למחסן.
  4. מניעת החלפת המחאות דחויות בהמחאות דחויות יותר.

2.2.6 בקרות מגלות

בקרות אלה מגלות בדיעבד, שנעשה ניסיון להונאה או שנעשתה הונאה.
דוגמאות:

  1. שאילתה או דוח, המשווים כפילויות של חשבוניות ספק, לפי פרמטרים שונים, כגון: מספר חשבונית, תאריך, סכום וכיו"ב.
  2. השוואת לוג כניסה למערכת לקובץ חופשות העובדים, לאיתור כניסות של עובדים בימים שהם בחופשה.
  3. ניתוח מחירי כניסה של מלאי לאורך זמן ובהשוואה בין ספקים לאיתור כניסות במחירים גבוהים במיוחד.
  4. איתור פעולות בסכומים שהם בגובה (או קרוב לגובה) המגבלה הכספית המותרת לעובד (לאיתור פיצול חשבוניות לשם התחמקות ממכרז), או לשם תשלום סכום הגבוה מהמותר לעובד, המאשר את התשלום.
  5. פעולות "גלגול" (gnippaL) של יתרות לקוחות.
  6. ניתוח קובץ המחאות דחויות לאיתור "גלגול" המחאות דחויות, על-ידי החלפתן בהמחאות הנושאות תאריך למועד מאוחר יותר.

3.2.6 בקרות מתקנות

הבקרות המתקנות אינן ממש מתקנות פעולות שנעשו במערכת. בקרות אלה הן בקרות תמידיות ה"מנדנדות" לגורמים שונים בארגון על כך שישנן אינדיקציות להונאות ("דגלים אדומים"), וכל עוד לא טופלה הבעיה הדוחות ימשיכו להופיע.
דוגמאות:

  1. הבקרות המגלות שצויינו לעיל, כשהן מופעלות מידי תקופה ללא הפסק, החל ממועד כלשהו בעבר באופן מצטבר (גם המחאות ש"גולגלו" לפני שנתיים מופיעות בדוחות).
  2. שדות המוספים לקבצים שונים, ומקבלים ערכים רק אם מתרחשים ארועים מסויימים, כגון: תאריך ושעת שינוי פרטי בנק של ספק.

3.6 סיווג מיקומי

1.3.6 בקרות מחוץ למערכת המחשב

בקרות אלה קשורות יותר באבטחה הפיסית של המערכת ובבקרות הקשורות בנוהל הזרמת נתונים והפצת הפלטים.
דוגמא:

  1. נוהל הזרמת פטור מניכוי מס במקור לספק, על-פי אישור בר תוקף ועדכני מפקיד השומה.
  2. נוהל הזרמת שיעור המס הנובע מתיאום מס שערך עובד, על-פי אישור מפקיד השומה.
  3. נוהל הזרמת פרטי ספק חדש, על-פי הסכם התקשרות או מסמכי מכרז שאושרו על-ידי מחלקת רכש.

איתור בקרות אלה והגדרת בקרות נוספות מחייב הכרת תהליכי העבודה ושיטות עבודה מתחום הנדסת תעשייה וניהול.

2.3.6 בקרות בתוך מערכת המחשב

בקרות אלה מוטמעות בתוך תוכניות המחשב ונועדו לוודא תקינות ושלמות הקלטים העיבודים והפלטים.
איתור הבקרות הקיימות והגדרת בקרות נוספות, מחייבים הכרת המערכת ושיטות עבודה מתחום ניתוח המערכות.

7. ייחודיות ביקורת מערכות מידע חקירתית בהשוואה לתחומים משיקים [ו]

1.7 כללי

תחום ביקורת מערכות מידע חקירתית משיק למספר תחומים. כדי לחדד את ההבדלים בין תחום זה לבין התחומים המשיקים, יובאו כאן תיאורי התחומים המשיקים.

2.7 אבטחת מידע

לצרכינו, נגדיר את תחום אבטחת המידע כתחום העוסק במניעה ובאיתור של כניסה לא מורשית למערכת. התחום עוסק בהגנות מפני חדירות ונזקים למערכת, וזאת באמצעות אמצעי תוכנה וחומרה.
התחום נוגע הן להיבטי האבטחה הפיסית והן להיבטי האבטחה הלוגית (בכללם מערכי הרשאות).

3.7 ביקורת מערכות מידע

לצרכינו, נגדיר את תחום ביקורת מערכות המידע כתחום העוסק בבדיקת הבקרות שבתהליכי העבודה במערכות. מבחינת תחום זה, נבחנת השאלה (בהנחה שמי שנכנס למערכת מורשה לפעילויות שהוא מבצע), האם הפעילויות מתבצעות באופן תקין על פי הגדרות המערכת. התחום עוסק בבחינת הלימות הבקרות, ובהוספת בקרות.

4.7 ניתוח מערכות

תחום זה עוסק בהגדרת צורכי המידע ובמאפייני המערכת. התחום עוסק בתכנון המערכות ובבנייתן.

5.7 ייחודיות ביקורת מערכות מידע חקירתית

תחום אבטחת מערכות המידע אכן עוסק בתחום של חדירה למערכת וכניסה לא מורשית. עם זאת תחום זה אינו עוסק בבקרות שבתוך תהליכי העבודה והעיבוד שבמערכות.
תחום ביקורת מערכות המידע אינו עוסק בנושא החדירה (אם כי מתקיימות ביקורות על נושאי אבטחת המידע). התחום עוסק בבקרות, יותר מהיבט של מניעת טעויות ואיתור חריגים ופחות מניצול לא מורשה של המערכות. [11]
תחום ניתוח המערכות, אינו עוסק בבקרות, ודי אם נזכיר את הדיונים והמאמרים בנושא שיתוף מבקרי מערכות מידע ואנשי אבטחת מערכות מידע בציוותי היגוי של פרוייקטי מיחשוב, כדי להטמיע בקרות ואמצעי אבטחה כבר במועד ביצוע הפרוייקט [12] .
למעשה, תחום אבטחת המידע הוא היחיד הבוחן את המערכות מנקודת ראות של "זדון" וחדירה לא מורשית. ביקורת מערכות מידע וניתוח מערכות אינם עוסקים במערכות מהיבט של "זדון" וכוונה לפגוע או לנצל את המערכות.

ביקורת מערכות מידע חקירתית משלבת את שלושת התחומים תוך בחינת המערכות מהיבט של "זדון" ושימוש במערכות לצרכים לא להם נועדו המערכות.
ביקורת מערכות מידע חקירתית מבצעת:

  • ניתוח מערכות ובחינה של התהליכים המתבצעים בהן ובאמצעותן;
  • בחינת הבקרות המוטמעות במערכות;
  • בחינת ההגנות מפני חדירה.

פעולות אלה נעשות מנקודת ראות של גורמים המנסים לנצל את המערכות או לפגוע בהן.

4.7 משוואת הפשע

משוואת הפשע כוללת את הרכיבים הבאים:

  • מניע;
  • מטרה;
  • הזדמנות;
  • גישה.

תחום אבטחת המידע עוסק במרכיב הגישה, תחום ביקורת מערכות המידע עוסק (במידה מסויימת) בהזדמנות, תחום ביקורת מערכות המידע החקירתית עוסק בכל מרכיבי המשוואה.

8. טכניקות ביקורת הונאות מחשב

1.8 כללי

כפי שצויין, ביקורת מערכות מידע חקירתית משלבת בתוכה מספר תחומים, ובוחנת את הדברים מנקודת ראות "זדונית".
מטבע הדברים, כדי שיקל להשיב את הנזקים, יש צורך להשתמש בטכניקות בצורה זהירה ביותר, תוך תיעוד מפורט של העבודה שהתבצעה, ואימות תוצאות מכמה מקורות.

2.8 איתור מערכות פגיעות

ככלל, עבודת ביקורת חקירתית מתחילה, בהיעדר מידע מסויים, בסקר פגיעות, שנועד לבחון עד כמה מערכות ותהליכי עבודה חשופים להונאות.
בדרך-כלל מערכות החשופות להונאות הן מערכות ה"קורצות" לגורמים המעוניינים. מובן שמערכות כספיות מעניינות את הגורמים יותר ממערכות שאינן כספיות.
דוגמא:
מערכת הפקת המחאות, בדרך-כלל רגישה יותר מאשר מערכת יומני הפגישות. אפילו אם היומנים יהיו גלויים וכל אחד יוכל לראותם, הם לא יעניינו את העבריינים הפוטנציאליים לבצע הונאה. מערכת הפקת ההמחאות, ואפילו היא מוגנת ומלאת בקרות ואמצעי אבטחה, תעניין את הגורמים ה"זדוניים" יותר.

אחת הטכניקות לאתר מערכות ה"קורצות לגנב" היא מיפוי המערכות תוך שימוש בתרשים גורם-תוצאה ("עצם דג").
המטרה היא כסף. ככל שהמערכת יותר קרובה להפקת הכסף כך היא "קורצת" יותר. לדוגמא, מערכת העברת המשכורות לעובדים קרובה יותר לכסף, מאשר מערכת כוח-אדם, הכוללת נתונים לפיהם מחושבות המשכורות.
להלן תרשים זרימה, הממחיש את האמור.

 

 

3.8 ניתוח מצב קיים

במערכות קיימות מתבצע ניתוח של מצב קיים, הכולל, בין היתר:

  • מערכת ההפעלה;
  • פרוטוקולי התקשורת;
  • מסד הנתונים;
  • קבצים עיקריים ומבניהם;
  • הקשרים הלוגיים בין הקבצים;
  • אופן זרימת המידע בין הקבצים;
  • הרשאות ואימותן;
  • בקרות מרכזיות בזרימת הנתונים.

המידע נאסף בהתבסס, בין היתר, על:

  • ראיונות עם מנתחי מערכות, מנהלי המערכות, תוכניתנים ומשתמשים;
  • עיון בספרי המערכת, ובספרי ההדרכה למשתמש;
  • עיון בנוהלי עבודה.

4.8 בחינת הבקרות הקיימות

לצורך בחינת הבקרות נעשה שימוש בטכניקות מתחום ביקורת מערכות המידע, כגון:

  • ניתוח קבצים לאיתור חריגים ו"דגלים אדומים", לדוגמא: ניתוח קובץ כרטיסי חשבון הבנק במשך 7 שנים, מתוכו נבנה תזרים המזומנים לפעולות מעל 000,001$, ניתוח זה איפשר לביקורת החקירתית לאתר שני ספקים, ששמשו כיסוי לעובדים בכירים;
  • השוואה בין קבצים ממערכות שונות;
  • קליטת דוחות במדיה מגנטית מגורמים מחוץ למערכת הנבדקת, והשוואתם לקבצים מתוך המערכת;
  • הזרמת נתונים לסביבה הקרובה לסביבת העבודה ("סביבת הייצור");
  • בדיקת קודי התוכנה של עיבודים מורכבים וביצוע סימולציות באמצעות כלי-תוכנה חלופיים. [ז]

יצויין, שכדי לכמת הונאות, יש צורך לנתח קבצים בשלמותם, ולא נגזרת חלקית שלהם.
להלן מספר דוגמאות:

  1. דוחות, המתקבלים מגופים תורמים, מושווים לקבצים, שאצל הגופים המקבלים את התרומות.
  2. דוחות מספקי חומרי גלם מושווים לדוחות ממערכת השקילה בשערי המפעל הנבדק.
  3. השוואת עובדים במערכת השכר לעובדים במערכת כוח-אדם.

5.8 קבילות הראיות הנאספות

כדי שהראיות, הנאספות במהלך עבודת ביקורת מערכות המידע החקירתית, תהינה קבילות בהליך משפטי כלשהו יש לבצע את העבודה בזהירות מירבית, כדי לא לפגום בקבילותן.
זהירות זו נדרשת בין אם ההונאה עצמה מבוססת מחשב ובין אם לא.
להלן מספר דגשים:

  • אין לנתח את הקובץ המקורי אלא את העתקו המדוייק;
  • אם הקובץ נגוע בוירוס, ניקוי הוירוס עלול לפגום בקבילות הראיה;
  • יש לתעד כל שלב בעבודה;
  • כאשר נבדקים קבצים גדולים, מומלץ לבדוק מספר מצומצם של רשומות לפני ביצוע בדיקה על כל הרשומות;
  • יש להסתייע במקורות נוספים ולאמת את המידע, הנאסף מתוך הקובץ, במקורות אלה; מקורות אלה יכולים להיות מסמכי מקור ותשאול.

9. יישום

1.9 תיאור תהליך העבודה

המעילה המתוארת במאמר זה קשורה בתהליך רכש.
להלן העובדים, המעורבים בתהליך העבודה, מתהליך כתיבת הסכם הרכש ועד ההעברה הבנקאית אל חשבון הספק.

הקניין - הקניין מגיע להסכם רכש עם הספק הכולל פרטים על מועד הגעת הסחורה, סוג הסחורה, תעריפים, פרטי חשבון הבנק של הספק ואישור עסקאות גופים ציבוריים. הקניין שולח את תמצית ההסכם לחשב.
המחסנאי - המחסנאי מקבל את הסחורה, מודיע על כך לחשב, ומספק לו נתונים על כמויות הסחורה. יש לציין, כי המחסנים מפוזרים גיאוגרפית. הסחורה מגיעה למקומות מסויימים במועדים מסויימים.
החשב - עליו לוודא כי קיים הסכם תקף אצל הקניין, לוודא שהסחורה הגיעה למחסנים, ולחשב את התשלום לספק. החשב לוקח את הסכומים מההסכמים מכפיל אותם בכמויות שניתנו לו מן המחסנים, ומכין הוראת תשלום המועברת לגזבר.
הגזבר - מקבל הוראת תשלום מן החשב ומבצע העברה בנקאית לחשבון של הספק.

להלן מובאים תרשים כללי ותרשים מפורט של התהליך.

2.9 תמיכת המערכת הממוחשבת בתהליך

1.2.9 טבלת ספקים

המערכת כוללת טבלת ספקים ובה פרטי הספק, כולל חשבון בנק, ושיעור ניכוי מס במקור. החשב מעביר לגורם האחראי על הטבלאות במערכת מיזכר, הכולל פרטים אלה כדי שיקליד אותם. החשב אינו מצרף אסמכתאות מקוריות למיזכר.

2.2.9 הוראת תשלום

החשב פותח במערכת הוראת תשלום מיוחדת, שאינה מתבססת על חשבונית ספק. מזרים לתוכה את מספר הספק והנתונים הכמותיים. המערכת בודקת את סבירות הכמויות. אם הכמויות אכן סבירות, מכינה המערכת הוראת תשלום בצורה אוטומטית, המבוססת על הנתונים כשהם מוכפלים בנתונים שבטבלת הספקים.
הוראת התשלום היא רשומה בקובץ הוראות תשלום וגם פלט נייר, הנחתם על-ידי החשב ועל-ידי הממונה עליו.
הוראת התשלום מועברת לגזבר, המבצע העברה בנקאית באמצעות המסלקה הבין-בנקאית (מס"ב). פעולת הגזבר מוחקת את הרשומה מקובץ הוראות התשלום ורושמת רשומה בקובץ תשלומים (מעין ספר תקבולים ותשלומים) ויוצרת פקודת יומן (חובת הוצאות וזכות בנק).

3.2.9 תאור המעילה

לחלק מהספקים הסתיים החוזה. החשב לא עדכן את טבלת הספקים (תאריך סיום החוזה), אלא הגיש מיזכר לאחראי על הטבלאות לשינוי מספר חשבון בנק של הספקים למספר חשבון בנק אחר (חשבון בנק של החשב).
באישורי קבלת הסחורה השאירו המחסנאים שורות ריקות. שורות אלה מולאו על-ידי החשב בנתונים פיקטיביים אודות כניסת סחורה מהספקים, שהחוזה עימם הסתיים.
הונאה זו היא מסוג שיבוש קלט (gnirepmaT tupnI) ומסוג הונאה פנימית, (שינוי מספר חשבון בנק, הוספת ספק פיקטיבי, הכנסת נתונים כוזבים, הנעשים על-ידי אדם מתוך הארגון המכיר את תהליכי העבודה).

4.2.9 אופן גילוי המעילה

בעקבות עדכון תעריפים רטרואקטיבי, שבוצע על כל קובץ התשלומים, נוצרו הוראות תשלום בלתי סבירות ומכיוון שהחשב לא נכח (היה חולה) לא היה מי שיתן הסבר מידי, וכך התגלתה המעילה.

5.2.9 נקודות תורפה בתהליך

העדר הפרדת תפקידים - אדם אחד, החשב, יכול לגרום לפתיחת רשומות ספקים פיקטיביות בטבלת הספקים ללא כל בקרה, יכול להוסיף נתוני כניסת סחורה ואף יכול לפתוח הוראות תשלום פיקטיביות ללא כל בקרה.
העדר בקרה על הזרמת נתוני ספק - הקלדת נתוני ספק ושינויים בנתוני ספק במערך הטבלאות (בטבלת הספקים) תלויה במיזכר ששולח החשב ללא סימוכין מקוריים.
העדר בקרה חשבונאית על חשבוניות הספק - היעדר רישום הולם של חשבוניות הספק, והיעדר בדיקה של התשלומים לעומת החשבוניות.
העדר בקרה על המלאי - אין השוואה בין דיווחי כניסת הסחורה למלאי לבין דיווחי המחסנאים לחשב. יתירה מכך, היה רצוי ל"שאוב" את נתוני כניסות הסחורה ישירות לחישובי התשלומים.
העדר הקפדה על קבלות - אין הקפדה על דרישת קבלה מהספק.
העדר דוחות חריגים - העדר דוחות, המנתחים התפתחות של העברות לכל ספק על פני ציר הזמן, והעדר דוחות הבודקים קיום חשבונות בנק כפולים.

6.2.9 בקרות למניעת המעילה

העברת עדכון פרטי ספק מהקניין ישירות לאחראי הטבלאות - רשומות הספק יעודכנו על ידי פנייה של הקניין כשהן מלוות במסמכים כגון אישור עסקאות גופים ציבוריים, ואישור הבנק על נכונות חשבון הבנק.
מילוי פרטי כניסת סחורה למחסן ומחיקת שורות ריקות - יש להקפיד, שהמחסנאים ימלאו באופן מלא ושלם את טופס קבלת הסחורה, תוך מחיקת שורות ריקות. יש לבצע, אחת לתקופה, בדיקה בעין וספירת מלאי של הסחורה.
השוואת כניסות המלאי למערכת המלאי - יש להקפיד על השוואת הכניסות המדווחות למערכת המלאי. רצוי להגדיר תוכנית שתקלוט באופן אוטומטי את הכניסות ממערכת המלאי למערכת הוראות התשלום לשם חישוב הסכום לתשלום.
בקרה חשבונאית - יש ליצור פקודת יומן, המתייחסת לכרטיס הנהלת חשבונות של הספק. כרטיס זה יושאר פתוח כל עוד לא התקבלה קבלה מהספק על-פי הוראות ניהול ספרים. ניתן לפתוח חשבון מקביל (מעבר) לספק, אשר בו תרשם הקבלה. [ח] יודגש, כי על-פי הוראות ניהול ספרים, חובה על המקבל להוציא קבלה מיד עם היוודע לו, כי זוכה חשבונו בבנק. יש לבצע השוואה בין חשבוניות הספק לבין הוראות התשלום.
דוחות חריגים - יש להפיק דוחות חריגים המתארים גרפית את התפלגות התשלומים לכל ספק על פני ציר הזמן. כל ניתן לדוגמא לאתר ספקים להם גדלה תדירות התשלום או שסכומי התשלום גדלו.
מעקב שינויים בטבלת ספקים - יש לקיים מעקב אחר שינויים בטבלת הספקים וביחוד מספר חשבון בנק (על-ידי הוספת שדה תאריך ושעת השינוי), ואיתור חשבונות בנק כפולים.

כמו כן, יש להקפיד על יישום הנהלים הרגילים המוכרים מהספרות הקלאסית, כגון: חופשות, רוטציה, הפרדת סמכויות וכיו"ב.

01. סיכום

מאמר זה מציג את תחום ביקורת מערכות המידע החקירתית.
"טרון", הנחשב לאחד מגדולי ההאקרים אמר, כי " להיות האקר, משמעו להיות הרפתקן. לא לקבל דבר כמובן מאליו". [ט]

כמו ההאקר, כך גם מבקר מערכות המידע החקירתי צריך להיות הרפתקן, ולנסות לגלות את מסתרי מערכות המידע לפני ההאקרים ומחפשי האוצרות האחרים.

SETONTOOF

[1] egnahcretnI ataD cinortcelE ,refsnarT dnuF cinortcelE העברת כספים וביצוע עסקאות באמצעות תקשורת. [kcab]

[2] נראה כי שיבוש קוד תוכנה מחייב הכרה של כל ההשלכות האפשריות לקוד זה. עם זאת, יתכן שבעידן התכנות מוכוון-האובייקטים (deteirO tcejbO) יוכל תוכניתן ליצור אובייקטים, היורשים תכונותיהם מאובייקטים קיימים, ולהוסיף להם תכונות (פונקציות) או להעמיס פונקציות לצרכיו. [kcab]

[3] תוכנת "דוקטור", ששימשה רופאי שיניים, איפשרה להפעיל קוד תוכנה, שנכלל בה, ועל-ידי כך להוציא קבלה ללקוח על-פי התקבול האמיתי, בעוד רישום הכנסות הוא בסכום נמוך יותר, כדי לצמצם תשלומי מס. [kcab]

[4] הילה זו, לא רק שאין לה על מה לסמוך, אלא שהיא גובה מחיר כבד. הפרסום מגביר את ההילה ומדרבן את ההאקרים. הגופים נאלצים להשקיע בהגנה על המערכות והמחיר מועמס על הלקוחות ומשלמי המסים. [kcab]

[5] כמו שתעשיית התוכנה מתפתחת בקצב מואץ, והופכת להיות מתוחכמת יותר ויותר, כך תעשיית הוירוסים ותוכנות החדירה הולכת ומשתכללת (יותר ידידותיות למשתמש, יותר קלות הפעלה וביצועים יותר מרשימים. [kcab]

[6] יצוין שבחג המולד 89/21 נחשף וירוס חדש ומסוכן, החודר לקובצי ההרשאות ומשבש אותם. [kcab]

[7] יצויין, שבמסדי הנתונים יש כלי אבטחה (בדרך-כלל ברמת הקובץ/הטבלה ולא ברמת שדה או רשומה), היכולים להוות מסננת נוספת לפני הגישה לנתונים, אלא שאף כלים אלה מנוצלים באופן חלקי. [kcab]

[8] כיום, קיימים מודלים רבים של בקרות ובהם: OSOC מארה"ב, OCOC מקנדה, YRUBDAC מאנגליה, TIBOC בענין ביקורת מערכות מידע וכן תקנים ומודלים של אבטחת מידע. [kcab]

[9] המילה "לוודא" שבהגדרה היא מילה המקפלת בתוכה רמת ביטחון גבוהה עד כדי %001. בדרך-כלל, הספרות המקצועית בתחום הביקורת משתמשת במונח רמת ביטחון סבירה. להערכתנו, כדי להתמודד עם הסיכונים של מערכות המידע יש לשאוף לרמת ביטחון יותר גבוהה מרמה סבירה. אם השאיפה והמטרה יהיו יותר גבוהות, בשל אילוצי המציאות, אולי נצליח להגיע לרמה סבירה. [kcab]

[10] נעשה שימוש במילה "להרתיע" ולא במילה ל"מנוע", כי כאשר קיימת כוונה לבצע הונאה, יעשו נסיונות רבים לעקוף את הבקרה או לנטרלה. ככל שיהיו יותר בקרות, כך תהיה רתיעה מלהתמודד עם הבקרות. המילה "למנוע" מתאימה יותר למניעת טעויות, כאשר אין כוונה לאתר פירצה ולבצע הונאה. [kcab]

[11] יצויין, כי על-פי גילוי דעת 8 של האיגוד הישראלי לביקורת ואבטחת מערכות מידע בנושא שיקולי ביקורת במצב של אי-סדרים, ועל-פי הצעת תקן ביקורת מערכות מידע של ACASI בנושא אי-סדרים, על מבקר מערכות המידע לבצע סקר סיכונים לצורך הערכת סיכונים להתרחשות אי-סדרים וכן לבצע בדיקות, שניתן לצפות מהן באופן סביר שתגלינה חשיפות לאי-סדרים. [kcab]

[12] תקן 2 של האיגוד הישראלי לביקורת ואבטחת מערכות מידע ולש ACASI קובעים, כי מבקר מערכות מידע, המשתתף בליווי פרוייקט אינו פוגע באי-תלותו. [kcab]

SETONDNE

[א] gnitiduA duarF TI. במהלך השנים, עם התפתחות הטכנולוגיה, שונה שם התחום המקצועי החל מ-PDE דרך SIC וכיום TI (ygolonhceT noitamrofnI). גילוי דעת 66 של לשכת רואי חשבון בישראל קבע את המינוח "מערכות מידע ממוחשבות" (ממ"מ). יצויין, שבפרקטיקה השתרש המונח "ענ"א" (עיבוד נתונים אלקטרוני). [kcab]

[ב] "ביקורת חקירתית", יהודה ברלב רואה חשבון, רואה החשבון לט(6) עמ' 073, דצמבר 0991. [kcab]

[ג] לענין הגדרת התחום ניתן לראות התייחסות במקורות הבאים:
I. Thornhill, T. H. (1995) Forensic Accounting - How to Investigate Financial Fraud New York: Irwin - Professional Publishing.
II. Institute of Fraud Examiners (1998) Manual of Fraud Examination, 3 edition.
III. Root, S. J. (1996) ,Internal Auditing Manual New York: Warren, Gorham & Lamont. [kcab]

[ד] Seidler, Lee J., Andrews Fredrick, Epstein,Marc J., The Equity Funding Papers - The Anatomy of Fraud New York: John Willey & Sons. [kcab]

[ה] Thornhill, T. H. (1995) Forensic Accounting - How to Investigate Financial Fraud New York: Irwin - Professional Publishing. [kcab]

[ו] Parker, B. Donn (1998) Fighting Computer Crime New York: John Willey & Sons. [kcab]

[ז] על כשלון עיבודים מורכבים ומודלים פיננסיים ראו KEEW SSENISUB מיום 12 בספטמבר 8991, עמוד 95 Gary Weiss, When Computer Models Slip On The Runway [kcab]

[ח] להרחבה בנושא בקרות חשבונאיות ראו
Bologna, G. Jack, Linquist, J. Robert, (2 edition, 1995) Fraud Auditing And Forensic Accounting New York: John Willey & Sons. [kcab]

[ט] ידיעות אחרונות 42 בינואר 9991. [kcab]