איזון בין אבטחה חכמה ומבצעיות גבוהה - מיצוב יחידת הביטחון בארגון
איומי האבטחה גברו בשנים האחרונות; יכולת היריב, התחכום והטכנולוגיה התעצמו והם מחייבים מאמצי אבטחה ומוכנות אבטחתית גבוהה עוד יותר. בתוך כך, מנהל הביטחון נאלץ להתמודד עם משימות ואתגרים שונים בתחומי מניעת גישה לתשתיות ולנכסים ארגוניים, אבטחה פיזית, ביטחון שלומם של העובדים, סייבר, מהימנות וטוהר מידות, מוכנות והיערכות לחירום. בין לבין, לא מעט אירועים בשגרה המצריכים מעורבות, קשב ולעיתים מענה מיידי - טורפים את הקלפים שוב ושוב ומשאבי כוח האדם ביחידות הביטחון כוללים, בעיקר, אנשי שטח הצבועים למשימות שגרה ייעודיות.
בתוך כל אלו, נדרש מנהל הביטחון גם למשימות בנוף הניהולי במטרה למצב את יחידת הביטחון ולהוכיח כי הביטחון התפעולי הוא הכרחי בהגנה על האינטרסים של החברה, שהוא מחזיר את ההשקעה ואף רווחי. נוספת על כך התחרות הפוליטית אל מול מנהלי מחלקות אחרים הפועלים, אף הם, מכורח האמונה כי פעילותם היא חיונית לחברה ולארגון. כולם מתחרים על היוקרה והתהודה בארגון, אך יותר מכל על משאבים תקציביים במטרה להשיג נתחים גדולים למחלקתם - מה שיכול להשפיע על המחלקות האחרות בארגון, לרבות צרכי חטיבת הביטחון.
תהליכים אלו, מחייבים את מנהל הביטחון בארגון לכישורים ניהוליים, בינאישיים, פוליטיים ויכולות נוספות שמטרתם למצב את משימות הביטחון על סדר היום הארגוני כמשימות חיוניות וכמשימות ליבה ובכך להשיג את המשאבים כמו גם את ההוקרה הראויה בארגון. זו האחרונה הכרחית ותורמת למיצוב יחידת הביטחון ומנהליה באופן שיאפשר קבלת משאבים גם בעתיד.
יכולתו של מנהל הביטחון לקדם את מטרותיו ולייעל עסקית את יחידת הביטחון תלויה גם בהיבטים הבאים:
■ כפיפות מנהל הביטחון לדרג הנהלה בכיר (מנכ"ל/משנה למנכ"ל)
הקשר הישיר לדרג הנהלה בכיר מבטיח את מעורבות צמרת הארגון בתוכניות העבודה ופעילות יחידת הביטחון. קשר זה, מייצר פעילות ומפגשים שוטפים ממקור ראשון ולא באמצעות גורמי ביניים המתווכים או מדבררים. כפיפות לגורמי ביניים יכולה להיות בעייתית בשל ניגוד עניינים היכול להשליך על התעדוף ועל קבלת ההחלטות. לשיטה זו, כפיפות מנהל הביטחון למנהל התפעול בארגון יכולה להוביל לתעדוף משימות תפעוליות אחרות העשויות לפגוע ביעדיו של מנהל הביטחון בארגון. מאידך הכפיפות והקשר הישיר עם המנכ"ל מאפשר להניח את הצרכים על שולחן מקבל ההחלטות בצורה שוויונית, הוגנת ונטולת אינטרסים. מובן הוא, שגם למנכל ישנם אילוצים ותעדופים, אך בגין קשר זה קיימת היכולת להשפיע ואף לשנות החלטות, אם צריך. את הכפיפות לדרג ההנהלה יש לתחזק ברמת מחויבות גבוהה; יחסי עבודה ורמה מקצועית גבוהה התורמת לארגון, השתתפות ומעורבות בדיוני הנהלה בכירים (מהלך חזק בפני עצמו בכדי למצב את מנהל הביטחון ויחידתו בארגון) ואף תהליכים של קח ותן ופשרה במקומות שניתן לחתוך ולוותר, תוך הבנה הדדית.
■ ROI - יכולות להצדיק תקציבים, יעילות כלכלית והחזר השקעה לארגון
היכולת להוכיח הצדקה לתקציבי האבטחה לרבות בסייבר מורכבת. שכן, לא תמיד ניתן להוכיח כי ההשקעה באבטחה תרמה דה-פקטו או מנעה אירוע אבטחתי. לא פעם נתקל התוקף בחומות אבטחה (הן במימד הפיזי והן במימד הסייבר) המקשות על ביצוע או השלמת המשימה. הגם שמדובר בהצלחה כבירה, אין תמיד את היכולת לשקף זאת ובגין כך אין יכולת למדוד זאת ובכל זאת, קיימים תהליכים כהצלחה שיאפשרו להוכיח כי ההשקעה תניב החזרים משמעותיים לארגון. השימוש בסטטיסטיקות ומודיעין (יידון בפסקה הבאה) מסייע לתקף את האיומים ולהציגם להנהלה באופן שיתמוך את הצורך וההבנה כי המשמעות היא מניעת אירוע לעתיד.
■ מנהל הביטחון, כיתר המנהלים בארגון, חייב לשלב בזרגון היומיומי מושגים וערכים פיננסיים, כדוגמת:
ROI - כחלק מתהליך הערכת כדאיות פעולה או השקעה הכרוכה בכסף או משאב אחר. כך, לדוגמה, שילוב מערכת ביומטרית המבצעת תהליך סריקה תוך כדי תנועה על פני מערכת המצריכה מגע פיזי הכרוך בעיכוב של הנבדק, זמן תחזוקה לחיטוי וכד'. שילוב מערכת כזו תאפשר תנועה מהירה בידוק מהיר יותר של קהל האורחים ושיפור הביצועים בסינון הקהל, ומכאן כדאיות הפעולה ו/או ההשקעה.
■ Trade Off שקלול תמורות - מצב הגורם להפסד באיכויות מסוימות, בכמויות מסוימות או בהיבטים מסוימים, אך בתמורה גורם לרווח באיכויות, בכמויות או בהיבטים אחרים. לדוגמה: הצבת מצלמה באזור מסוים כתחליף אפשרי לכח אנושי.
■ Cost Effective כדאיות כלכלית - לא פעם, עיון ולמידת סקר הסיכונים יעלה כי קיימים מספר סיכונים ארגוניים בזירות שונות ששילוב בקרה או מערכת ייעודית נותן מענה רוחבי לצרכים נוספים ממערכת אחת. לדוגמה: הצטיידות במצלמת אבטחה מתקדמת הכוללת גם יכולת של מדידת חום ומדידת מרחק בקהל היא כדאית בשל העובדה שהיא נותנת מענה למספר צרכים ולפיכך קיימת כדאיות כלכלית גבוהה החוסכת משאבים לארגון.
השימוש בטרמינולוגיה הנכונה ובמושגים אלו, יאפשר תהליכי הצטיידות יעילים ברוח הארגון.
■ בניית תוכנית עבודה ריאלית ע“י תיקוף באמצעות מודיעין סקטוריאלי ותרגילי משבר וחירום:
תוכניות העבודה, על משמעויות המשאבים כמו גם עמידה ביעדים, נבחנות גם ע“י מקבלי ההחלטות בארגון. קיימת ציפייה, להצדקת היעדים והצורך במשאבים. אי לכך, חייב מנהל הביטחון לדייק ולהציב בראש סדר העדיפויות צרכים חיוניים של ממש. כאשר מדובר במשתנים התלויים גם בסובייקטיביות המשימה לשם דיוק היעדים אזי היא לא פשוטה. באופן טבעי, מנהל אבטחה בעל זיקה לטכנולוגיה ישקיע במערכות טכנולוגיות, מנהל אבטחה בעל זיקה לעולם המהימנות ישאף השקיע באיום מבפנים ואילו מנהל אבטחה בעל זיקה לעולם הלחימה ישאף להשקיע בעיקר במאבטחים ואמצעי לחימה.
איזה מהם הוא המדויק ביותר?
במשאבי תקציב מוגבלים האם נבחר לחזק את יכולות האבטחה ע“י הצטיידות בנשקים חדשים או שנשקיע במערכות אנליטיקה לאיתור פוטנציאל של איום פנימי?
השימוש במודיעין וסטטיסטיקות יכולים לשמש כתהליך שיטתי התומך את ההחלטות; איסוף תובנות מודיעין בסקטור מסוים היכולות להצביע על איומים מפנים הארגון אל מול מודיעין בסקטור אחר אשר יעלה דווקא איומים חיצוניים, שלא מתוך הארגון עצמו. בהקשר זה נציין, כי גם המערכות הטכנולוגיות בתוך הארגון כחלק מה-Big Data מייצרות לא מעט מידע שיכול לתמוך גם את הצרכים, היעדים ותוכניות העבודה.
תרגילי חירום המתבצעים ע“י גורמים מקצועיים הם כלי עזר שיכול להצביע ולכוון לצרכים וליעדים. תרגילים אלו, שעורכים סימולציה על מצבי אמת, נערכים ע“י גורמים מומחי תוכן בעלי ניסיון היודעים לאמוד את הפערים ולסכמם בדו“ח שמטרתו לתמוך את תוכנית העבודה העתידית במטרה לגשר על פערים אפשריים.
■ אימוץ המושג אבטחה חכמה ויעילה לצד חדשנות טכנולוגית:
כטבעה, האבטחה גורמת לעיתים לאי נוחות לקהל העובדים, המנהלים או המבקרים. משכך, יכולה להיתפס לעיתים כמסורבלת ולא יעילה בהכרח. אימוץ המושג אבטחה חכמה יסייע בידי מנהל הביטחון בוויסות משאבי הביטחון באופן יעיל ונכון (אם כי צריך לזכור לא לייצר דפוסי עבודה קבועים בראיית התוקף). המושג, תפס תאוצה בעיקר בעולם התעופה וההבנה כי היכולת להתמודד עם קהל נוסעים רב (אלפים ביום) בשדות תעופה רק הולך וגובר.
לשם המחשת המושג וגזירת תובנות, נתרכז בניתוח והניסיון הנצבר בהטמעת אבטחה חכמה בשדות התעופה. ההבנה כי בדיקת מאות נוסעים באמצעות שיטות הבידוק הקלאסיות עלולה לפגוע בחוויית הנוסעים ולעכבם וכן לגרום להפסדים כספיים (לרבות תביעות משפטיות), הביאו לכך כי המשאבים תביעות משפטיות לתשומות האבטחה בשדות התעופה כוונו בהתאמה לסיכון (סיכון מותאם אישית).
בהתאם לכך, שולבו טכנולוגיות ייעודיות שמטרתן, לאתר את החשודים בשלבים המוקדמים עוד לפני תהליכי הבידוק בשדות התעופה. טכנולוגיות אלו מתבססות על רשת האינטרנט OSINT
(Open-Source Intelligence)ניתוח קשרים, ידיעות ופוסטים ברשתות החברתיות, הצלבת שמות במאגרים שונים בהקשרי פח“ע וטרור. הן גם כוללות יכולות של ניתוח המטא-דאטה שמטרתו להפיק מידע ערכי נוסף מהמידע הרלוונטי (מידע על המידע(. יכולות אלו מאפשרת גם מבט רטרוספקטיבי על רצף האירועים, קשרים בין ישויות, פעילויות ברשתות החברתיות, מידע על עסקאות פיננסיות (כדוגמת רכישת כרטיסי טיסה באופן לא שגרתי), דפוסי נסיעות, פעילות גלישה באינטרנט ועוד. זאת ועוד, אתגר האבטחה בשדות תעופה הופך להיות גדול יותר משיש צורך בתהליכי בדיקה קפדניים המתבצעים, לרוב, ללא מגע יד אדם ובאופן שלא ”מטריד“, פוגע או מעכב את הנוסעים והשבים.
כך, לדוגמה, חברת התעופה Airlines Delta, מבצעת פיילוט המשלב טכנולוגיה חדשה לזיהוי פנים במטרה לצמצם את הזמן בין ההגעה לשדה התעופה ועד להושבת הנוסעים במושביהם.
אבטחה יעילה וחכמה היא נגזרת של ניתוח איומים וצרכים הנשענת על שילוב של טכנולוגיות אבטחה ויכולות למיצוי מידע רלוונטי מה-Data Big ובשנים האחרונות שילוב גובר של AI (בינה מלאכותית(. אופן שימוש שכזה הוא כמכפיל כח בתהליכי אופטימיזציה לסיכונים אפשריים וייעול תהליכים. מימוש שכזה, מסייע ותומך החלטות כמו גם מפחית עלויות תפעוליות ומשאבים ומצמצם את החיכוך האנושי עם גורמי האבטחה (גם בהיבטים הבריאותיים שהכתיבה הקורונה). מובן הוא, שיש לשלב תהליכי שבירת שגרה במטרה למנוע דפוסים קבועים, או ”הנחות“ אפשריות בתהליכי העבודה לניצול בראיית התוקף. יש לשלב גם תהליכי אדם בממשקים עם גורמי האבטחה האנושיים (מאותן סיבות).
כותב המאמר: אור שלום, מרצה באוניברסיטת אריאל – לימוד ביטחון, מומחה ויועץ לאבטחה, ביטחון וסייבר.
רשימת מקורות
ע"פ נתוני) UNWATO ארגון התיירות העולמי של האו"ם(, כ- 1.45 מיליארד בני אדם עברו בשדות התעופה בשנת 2019.
https://i-hls.com/he/archives/105391
https://www.shabak.gov.il/heritage/affairs/pages/april1986.aspx
איומי האבטחה גברו בשנים האחרונות; יכולת היריב, התחכום והטכנולוגיה התעצמו והם מחייבים מאמצי אבטחה ומוכנות אבטחתית גבוהה עוד יותר. בתוך כך, מנהל הביטחון נאלץ להתמודד עם משימות ואתגרים שונים בתחומי מניעת גישה לתשתיות ולנכסים ארגוניים, אבטחה פיזית, ביטחון שלומם של העובדים, סייבר, מהימנות וטוהר מידות, מוכנות והיערכות לחירום. בין לבין, לא מעט אירועים בשגרה המצריכים מעורבות, קשב ולעיתים מענה מיידי - טורפים את הקלפים שוב ושוב ומשאבי כוח האדם ביחידות הביטחון כוללים, בעיקר, אנשי שטח הצבועים למשימות שגרה ייעודיות.
בתוך כל אלו, נדרש מנהל הביטחון גם למשימות בנוף הניהולי במטרה למצב את יחידת הביטחון ולהוכיח כי הביטחון התפעולי הוא הכרחי בהגנה על האינטרסים של החברה, שהוא מחזיר את ההשקעה ואף רווחי. נוספת על כך התחרות הפוליטית אל מול מנהלי מחלקות אחרים הפועלים, אף הם, מכורח האמונה כי פעילותם היא חיונית לחברה ולארגון. כולם מתחרים על היוקרה והתהודה בארגון, אך יותר מכל על משאבים תקציביים במטרה להשיג נתחים גדולים למחלקתם - מה שיכול להשפיע על המחלקות האחרות בארגון, לרבות צרכי חטיבת הביטחון.
תהליכים אלו, מחייבים את מנהל הביטחון בארגון לכישורים ניהוליים, בינאישיים, פוליטיים ויכולות נוספות שמטרתם למצב את משימות הביטחון על סדר היום הארגוני כמשימות חיוניות וכמשימות ליבה ובכך להשיג את המשאבים כמו גם את ההוקרה הראויה בארגון. זו האחרונה הכרחית ותורמת למיצוב יחידת הביטחון ומנהליה באופן שיאפשר קבלת משאבים גם בעתיד.
יכולתו של מנהל הביטחון לקדם את מטרותיו ולייעל עסקית את יחידת הביטחון תלויה גם בהיבטים הבאים:
■ כפיפות מנהל הביטחון לדרג הנהלה בכיר (מנכ"ל/משנה למנכ"ל)
הקשר הישיר לדרג הנהלה בכיר מבטיח את מעורבות צמרת הארגון בתוכניות העבודה ופעילות יחידת הביטחון. קשר זה, מייצר פעילות ומפגשים שוטפים ממקור ראשון ולא באמצעות גורמי ביניים המתווכים או מדבררים. כפיפות לגורמי ביניים יכולה להיות בעייתית בשל ניגוד עניינים היכול להשליך על התעדוף ועל קבלת ההחלטות. לשיטה זו, כפיפות מנהל הביטחון למנהל התפעול בארגון יכולה להוביל לתעדוף משימות תפעוליות אחרות העשויות לפגוע ביעדיו של מנהל הביטחון בארגון. מאידך הכפיפות והקשר הישיר עם המנכ"ל מאפשר להניח את הצרכים על שולחן מקבל ההחלטות בצורה שוויונית, הוגנת ונטולת אינטרסים. מובן הוא, שגם למנכל ישנם אילוצים ותעדופים, אך בגין קשר זה קיימת היכולת להשפיע ואף לשנות החלטות, אם צריך. את הכפיפות לדרג ההנהלה יש לתחזק ברמת מחויבות גבוהה; יחסי עבודה ורמה מקצועית גבוהה התורמת לארגון, השתתפות ומעורבות בדיוני הנהלה בכירים (מהלך חזק בפני עצמו בכדי למצב את מנהל הביטחון ויחידתו בארגון) ואף תהליכים של קח ותן ופשרה במקומות שניתן לחתוך ולוותר, תוך הבנה הדדית.
■ ROI - יכולות להצדיק תקציבים, יעילות כלכלית והחזר השקעה לארגון
היכולת להוכיח הצדקה לתקציבי האבטחה לרבות בסייבר מורכבת. שכן, לא תמיד ניתן להוכיח כי ההשקעה באבטחה תרמה דה-פקטו או מנעה אירוע אבטחתי. לא פעם נתקל התוקף בחומות אבטחה (הן במימד הפיזי והן במימד הסייבר) המקשות על ביצוע או השלמת המשימה. הגם שמדובר בהצלחה כבירה, אין תמיד את היכולת לשקף זאת ובגין כך אין יכולת למדוד זאת ובכל זאת, קיימים תהליכים כהצלחה שיאפשרו להוכיח כי ההשקעה תניב החזרים משמעותיים לארגון. השימוש בסטטיסטיקות ומודיעין (יידון בפסקה הבאה) מסייע לתקף את האיומים ולהציגם להנהלה באופן שיתמוך את הצורך וההבנה כי המשמעות היא מניעת אירוע לעתיד.
■ מנהל הביטחון, כיתר המנהלים בארגון, חייב לשלב בזרגון היומיומי מושגים וערכים פיננסיים, כדוגמת:
ROI - כחלק מתהליך הערכת כדאיות פעולה או השקעה הכרוכה בכסף או משאב אחר. כך, לדוגמה, שילוב מערכת ביומטרית המבצעת תהליך סריקה תוך כדי תנועה על פני מערכת המצריכה מגע פיזי הכרוך בעיכוב של הנבדק, זמן תחזוקה לחיטוי וכד'. שילוב מערכת כזו תאפשר תנועה מהירה בידוק מהיר יותר של קהל האורחים ושיפור הביצועים בסינון הקהל, ומכאן כדאיות הפעולה ו/או ההשקעה.
■ Trade Off שקלול תמורות - מצב הגורם להפסד באיכויות מסוימות, בכמויות מסוימות או בהיבטים מסוימים, אך בתמורה גורם לרווח באיכויות, בכמויות או בהיבטים אחרים. לדוגמה: הצבת מצלמה באזור מסוים כתחליף אפשרי לכח אנושי.
■ Cost Effective כדאיות כלכלית - לא פעם, עיון ולמידת סקר הסיכונים יעלה כי קיימים מספר סיכונים ארגוניים בזירות שונות ששילוב בקרה או מערכת ייעודית נותן מענה רוחבי לצרכים נוספים ממערכת אחת. לדוגמה: הצטיידות במצלמת אבטחה מתקדמת הכוללת גם יכולת של מדידת חום ומדידת מרחק בקהל היא כדאית בשל העובדה שהיא נותנת מענה למספר צרכים ולפיכך קיימת כדאיות כלכלית גבוהה החוסכת משאבים לארגון.
השימוש בטרמינולוגיה הנכונה ובמושגים אלו, יאפשר תהליכי הצטיידות יעילים ברוח הארגון.
■ בניית תוכנית עבודה ריאלית ע“י תיקוף באמצעות מודיעין סקטוריאלי ותרגילי משבר וחירום:
תוכניות העבודה, על משמעויות המשאבים כמו גם עמידה ביעדים, נבחנות גם ע“י מקבלי ההחלטות בארגון. קיימת ציפייה, להצדקת היעדים והצורך במשאבים. אי לכך, חייב מנהל הביטחון לדייק ולהציב בראש סדר העדיפויות צרכים חיוניים של ממש. כאשר מדובר במשתנים התלויים גם בסובייקטיביות המשימה לשם דיוק היעדים אזי היא לא פשוטה. באופן טבעי, מנהל אבטחה בעל זיקה לטכנולוגיה ישקיע במערכות טכנולוגיות, מנהל אבטחה בעל זיקה לעולם המהימנות ישאף השקיע באיום מבפנים ואילו מנהל אבטחה בעל זיקה לעולם הלחימה ישאף להשקיע בעיקר במאבטחים ואמצעי לחימה.
איזה מהם הוא המדויק ביותר?
במשאבי תקציב מוגבלים האם נבחר לחזק את יכולות האבטחה ע“י הצטיידות בנשקים חדשים או שנשקיע במערכות אנליטיקה לאיתור פוטנציאל של איום פנימי?
השימוש במודיעין וסטטיסטיקות יכולים לשמש כתהליך שיטתי התומך את ההחלטות; איסוף תובנות מודיעין בסקטור מסוים היכולות להצביע על איומים מפנים הארגון אל מול מודיעין בסקטור אחר אשר יעלה דווקא איומים חיצוניים, שלא מתוך הארגון עצמו. בהקשר זה נציין, כי גם המערכות הטכנולוגיות בתוך הארגון כחלק מה-Big Data מייצרות לא מעט מידע שיכול לתמוך גם את הצרכים, היעדים ותוכניות העבודה.
תרגילי חירום המתבצעים ע“י גורמים מקצועיים הם כלי עזר שיכול להצביע ולכוון לצרכים וליעדים. תרגילים אלו, שעורכים סימולציה על מצבי אמת, נערכים ע“י גורמים מומחי תוכן בעלי ניסיון היודעים לאמוד את הפערים ולסכמם בדו“ח שמטרתו לתמוך את תוכנית העבודה העתידית במטרה לגשר על פערים אפשריים.
■ אימוץ המושג אבטחה חכמה ויעילה לצד חדשנות טכנולוגית:
כטבעה, האבטחה גורמת לעיתים לאי נוחות לקהל העובדים, המנהלים או המבקרים. משכך, יכולה להיתפס לעיתים כמסורבלת ולא יעילה בהכרח. אימוץ המושג אבטחה חכמה יסייע בידי מנהל הביטחון בוויסות משאבי הביטחון באופן יעיל ונכון (אם כי צריך לזכור לא לייצר דפוסי עבודה קבועים בראיית התוקף). המושג, תפס תאוצה בעיקר בעולם התעופה וההבנה כי היכולת להתמודד עם קהל נוסעים רב (אלפים ביום) בשדות תעופה רק הולך וגובר.
לשם המחשת המושג וגזירת תובנות, נתרכז בניתוח והניסיון הנצבר בהטמעת אבטחה חכמה בשדות התעופה. ההבנה כי בדיקת מאות נוסעים באמצעות שיטות הבידוק הקלאסיות עלולה לפגוע בחוויית הנוסעים ולעכבם וכן לגרום להפסדים כספיים (לרבות תביעות משפטיות), הביאו לכך כי המשאבים תביעות משפטיות לתשומות האבטחה בשדות התעופה כוונו בהתאמה לסיכון (סיכון מותאם אישית).
בהתאם לכך, שולבו טכנולוגיות ייעודיות שמטרתן, לאתר את החשודים בשלבים המוקדמים עוד לפני תהליכי הבידוק בשדות התעופה. טכנולוגיות אלו מתבססות על רשת האינטרנט OSINT
(Open-Source Intelligence)ניתוח קשרים, ידיעות ופוסטים ברשתות החברתיות, הצלבת שמות במאגרים שונים בהקשרי פח“ע וטרור. הן גם כוללות יכולות של ניתוח המטא-דאטה שמטרתו להפיק מידע ערכי נוסף מהמידע הרלוונטי (מידע על המידע(. יכולות אלו מאפשרת גם מבט רטרוספקטיבי על רצף האירועים, קשרים בין ישויות, פעילויות ברשתות החברתיות, מידע על עסקאות פיננסיות (כדוגמת רכישת כרטיסי טיסה באופן לא שגרתי), דפוסי נסיעות, פעילות גלישה באינטרנט ועוד. זאת ועוד, אתגר האבטחה בשדות תעופה הופך להיות גדול יותר משיש צורך בתהליכי בדיקה קפדניים המתבצעים, לרוב, ללא מגע יד אדם ובאופן שלא ”מטריד“, פוגע או מעכב את הנוסעים והשבים.
כך, לדוגמה, חברת התעופה Airlines Delta, מבצעת פיילוט המשלב טכנולוגיה חדשה לזיהוי פנים במטרה לצמצם את הזמן בין ההגעה לשדה התעופה ועד להושבת הנוסעים במושביהם.
אבטחה יעילה וחכמה היא נגזרת של ניתוח איומים וצרכים הנשענת על שילוב של טכנולוגיות אבטחה ויכולות למיצוי מידע רלוונטי מה-Data Big ובשנים האחרונות שילוב גובר של AI (בינה מלאכותית(. אופן שימוש שכזה הוא כמכפיל כח בתהליכי אופטימיזציה לסיכונים אפשריים וייעול תהליכים. מימוש שכזה, מסייע ותומך החלטות כמו גם מפחית עלויות תפעוליות ומשאבים ומצמצם את החיכוך האנושי עם גורמי האבטחה (גם בהיבטים הבריאותיים שהכתיבה הקורונה). מובן הוא, שיש לשלב תהליכי שבירת שגרה במטרה למנוע דפוסים קבועים, או ”הנחות“ אפשריות בתהליכי העבודה לניצול בראיית התוקף. יש לשלב גם תהליכי אדם בממשקים עם גורמי האבטחה האנושיים (מאותן סיבות).
כותב המאמר: אור שלום, מרצה באוניברסיטת אריאל – לימוד ביטחון, מומחה ויועץ לאבטחה, ביטחון וסייבר.
רשימת מקורות
ע"פ נתוני) UNWATO ארגון התיירות העולמי של האו"ם(, כ- 1.45 מיליארד בני אדם עברו בשדות התעופה בשנת 2019.
https://i-hls.com/he/archives/105391
https://www.shabak.gov.il/heritage/affairs/pages/april1986.aspx
איזון בין אבטחה חכמה ומבצעיות גבוהה - מיצוב יחידת הביטחון בארגון
איומי האבטחה גברו בשנים האחרונות; יכולת היריב, התחכום והטכנולוגיה התעצמו והם מחייבים מאמצי אבטחה ומוכנות אבטחתית גבוהה עוד יותר. בתוך כך, מנהל הביטחון נאלץ להתמודד עם משימות ואתגרים שונים בתחומי מניעת גישה לתשתיות ולנכסים ארגוניים, אבטחה פיזית, ביטחון שלומם של העובדים, סייבר, מהימנות וטוהר מידות, מוכנות והיערכות לחירום. בין לבין, לא מעט אירועים בשגרה המצריכים מעורבות, קשב ולעיתים מענה מיידי - טורפים את הקלפים שוב ושוב ומשאבי כוח האדם ביחידות הביטחון כוללים, בעיקר, אנשי שטח הצבועים למשימות שגרה ייעודיות.
בתוך כל אלו, נדרש מנהל הביטחון גם למשימות בנוף הניהולי במטרה למצב את יחידת הביטחון ולהוכיח כי הביטחון התפעולי הוא הכרחי בהגנה על האינטרסים של החברה, שהוא מחזיר את ההשקעה ואף רווחי. נוספת על כך התחרות הפוליטית אל מול מנהלי מחלקות אחרים הפועלים, אף הם, מכורח האמונה כי פעילותם היא חיונית לחברה ולארגון. כולם מתחרים על היוקרה והתהודה בארגון, אך יותר מכל על משאבים תקציביים במטרה להשיג נתחים גדולים למחלקתם - מה שיכול להשפיע על המחלקות האחרות בארגון, לרבות צרכי חטיבת הביטחון.
תהליכים אלו, מחייבים את מנהל הביטחון בארגון לכישורים ניהוליים, בינאישיים, פוליטיים ויכולות נוספות שמטרתם למצב את משימות הביטחון על סדר היום הארגוני כמשימות חיוניות וכמשימות ליבה ובכך להשיג את המשאבים כמו גם את ההוקרה הראויה בארגון. זו האחרונה הכרחית ותורמת למיצוב יחידת הביטחון ומנהליה באופן שיאפשר קבלת משאבים גם בעתיד.
יכולתו של מנהל הביטחון לקדם את מטרותיו ולייעל עסקית את יחידת הביטחון תלויה גם בהיבטים הבאים:
■ כפיפות מנהל הביטחון לדרג הנהלה בכיר (מנכ"ל/משנה למנכ"ל)
הקשר הישיר לדרג הנהלה בכיר מבטיח את מעורבות צמרת הארגון בתוכניות העבודה ופעילות יחידת הביטחון. קשר זה, מייצר פעילות ומפגשים שוטפים ממקור ראשון ולא באמצעות גורמי ביניים המתווכים או מדבררים. כפיפות לגורמי ביניים יכולה להיות בעייתית בשל ניגוד עניינים היכול להשליך על התעדוף ועל קבלת ההחלטות. לשיטה זו, כפיפות מנהל הביטחון למנהל התפעול בארגון יכולה להוביל לתעדוף משימות תפעוליות אחרות העשויות לפגוע ביעדיו של מנהל הביטחון בארגון. מאידך הכפיפות והקשר הישיר עם המנכ"ל מאפשר להניח את הצרכים על שולחן מקבל ההחלטות בצורה שוויונית, הוגנת ונטולת אינטרסים. מובן הוא, שגם למנכל ישנם אילוצים ותעדופים, אך בגין קשר זה קיימת היכולת להשפיע ואף לשנות החלטות, אם צריך. את הכפיפות לדרג ההנהלה יש לתחזק ברמת מחויבות גבוהה; יחסי עבודה ורמה מקצועית גבוהה התורמת לארגון, השתתפות ומעורבות בדיוני הנהלה בכירים (מהלך חזק בפני עצמו בכדי למצב את מנהל הביטחון ויחידתו בארגון) ואף תהליכים של קח ותן ופשרה במקומות שניתן לחתוך ולוותר, תוך הבנה הדדית.
■ ROI - יכולות להצדיק תקציבים, יעילות כלכלית והחזר השקעה לארגון
היכולת להוכיח הצדקה לתקציבי האבטחה לרבות בסייבר מורכבת. שכן, לא תמיד ניתן להוכיח כי ההשקעה באבטחה תרמה דה-פקטו או מנעה אירוע אבטחתי. לא פעם נתקל התוקף בחומות אבטחה (הן במימד הפיזי והן במימד הסייבר) המקשות על ביצוע או השלמת המשימה. הגם שמדובר בהצלחה כבירה, אין תמיד את היכולת לשקף זאת ובגין כך אין יכולת למדוד זאת ובכל זאת, קיימים תהליכים כהצלחה שיאפשרו להוכיח כי ההשקעה תניב החזרים משמעותיים לארגון. השימוש בסטטיסטיקות ומודיעין (יידון בפסקה הבאה) מסייע לתקף את האיומים ולהציגם להנהלה באופן שיתמוך את הצורך וההבנה כי המשמעות היא מניעת אירוע לעתיד.
■ מנהל הביטחון, כיתר המנהלים בארגון, חייב לשלב בזרגון היומיומי מושגים וערכים פיננסיים, כדוגמת:
ROI - כחלק מתהליך הערכת כדאיות פעולה או השקעה הכרוכה בכסף או משאב אחר. כך, לדוגמה, שילוב מערכת ביומטרית המבצעת תהליך סריקה תוך כדי תנועה על פני מערכת המצריכה מגע פיזי הכרוך בעיכוב של הנבדק, זמן תחזוקה לחיטוי וכד'. שילוב מערכת כזו תאפשר תנועה מהירה בידוק מהיר יותר של קהל האורחים ושיפור הביצועים בסינון הקהל, ומכאן כדאיות הפעולה ו/או ההשקעה.
■ Trade Off שקלול תמורות - מצב הגורם להפסד באיכויות מסוימות, בכמויות מסוימות או בהיבטים מסוימים, אך בתמורה גורם לרווח באיכויות, בכמויות או בהיבטים אחרים. לדוגמה: הצבת מצלמה באזור מסוים כתחליף אפשרי לכח אנושי.
■ Cost Effective כדאיות כלכלית - לא פעם, עיון ולמידת סקר הסיכונים יעלה כי קיימים מספר סיכונים ארגוניים בזירות שונות ששילוב בקרה או מערכת ייעודית נותן מענה רוחבי לצרכים נוספים ממערכת אחת. לדוגמה: הצטיידות במצלמת אבטחה מתקדמת הכוללת גם יכולת של מדידת חום ומדידת מרחק בקהל היא כדאית בשל העובדה שהיא נותנת מענה למספר צרכים ולפיכך קיימת כדאיות כלכלית גבוהה החוסכת משאבים לארגון.
השימוש בטרמינולוגיה הנכונה ובמושגים אלו, יאפשר תהליכי הצטיידות יעילים ברוח הארגון.
■ בניית תוכנית עבודה ריאלית ע“י תיקוף באמצעות מודיעין סקטוריאלי ותרגילי משבר וחירום:
תוכניות העבודה, על משמעויות המשאבים כמו גם עמידה ביעדים, נבחנות גם ע“י מקבלי ההחלטות בארגון. קיימת ציפייה, להצדקת היעדים והצורך במשאבים. אי לכך, חייב מנהל הביטחון לדייק ולהציב בראש סדר העדיפויות צרכים חיוניים של ממש. כאשר מדובר במשתנים התלויים גם בסובייקטיביות המשימה לשם דיוק היעדים אזי היא לא פשוטה. באופן טבעי, מנהל אבטחה בעל זיקה לטכנולוגיה ישקיע במערכות טכנולוגיות, מנהל אבטחה בעל זיקה לעולם המהימנות ישאף השקיע באיום מבפנים ואילו מנהל אבטחה בעל זיקה לעולם הלחימה ישאף להשקיע בעיקר במאבטחים ואמצעי לחימה.
איזה מהם הוא המדויק ביותר?
במשאבי תקציב מוגבלים האם נבחר לחזק את יכולות האבטחה ע“י הצטיידות בנשקים חדשים או שנשקיע במערכות אנליטיקה לאיתור פוטנציאל של איום פנימי?
השימוש במודיעין וסטטיסטיקות יכולים לשמש כתהליך שיטתי התומך את ההחלטות; איסוף תובנות מודיעין בסקטור מסוים היכולות להצביע על איומים מפנים הארגון אל מול מודיעין בסקטור אחר אשר יעלה דווקא איומים חיצוניים, שלא מתוך הארגון עצמו. בהקשר זה נציין, כי גם המערכות הטכנולוגיות בתוך הארגון כחלק מה-Big Data מייצרות לא מעט מידע שיכול לתמוך גם את הצרכים, היעדים ותוכניות העבודה.
תרגילי חירום המתבצעים ע“י גורמים מקצועיים הם כלי עזר שיכול להצביע ולכוון לצרכים וליעדים. תרגילים אלו, שעורכים סימולציה על מצבי אמת, נערכים ע“י גורמים מומחי תוכן בעלי ניסיון היודעים לאמוד את הפערים ולסכמם בדו“ח שמטרתו לתמוך את תוכנית העבודה העתידית במטרה לגשר על פערים אפשריים.
■ אימוץ המושג אבטחה חכמה ויעילה לצד חדשנות טכנולוגית:
כטבעה, האבטחה גורמת לעיתים לאי נוחות לקהל העובדים, המנהלים או המבקרים. משכך, יכולה להיתפס לעיתים כמסורבלת ולא יעילה בהכרח. אימוץ המושג אבטחה חכמה יסייע בידי מנהל הביטחון בוויסות משאבי הביטחון באופן יעיל ונכון (אם כי צריך לזכור לא לייצר דפוסי עבודה קבועים בראיית התוקף). המושג, תפס תאוצה בעיקר בעולם התעופה וההבנה כי היכולת להתמודד עם קהל נוסעים רב (אלפים ביום) בשדות תעופה רק הולך וגובר.
לשם המחשת המושג וגזירת תובנות, נתרכז בניתוח והניסיון הנצבר בהטמעת אבטחה חכמה בשדות התעופה. ההבנה כי בדיקת מאות נוסעים באמצעות שיטות הבידוק הקלאסיות עלולה לפגוע בחוויית הנוסעים ולעכבם וכן לגרום להפסדים כספיים (לרבות תביעות משפטיות), הביאו לכך כי המשאבים תביעות משפטיות לתשומות האבטחה בשדות התעופה כוונו בהתאמה לסיכון (סיכון מותאם אישית).
בהתאם לכך, שולבו טכנולוגיות ייעודיות שמטרתן, לאתר את החשודים בשלבים המוקדמים עוד לפני תהליכי הבידוק בשדות התעופה. טכנולוגיות אלו מתבססות על רשת האינטרנט OSINT
(Open-Source Intelligence)ניתוח קשרים, ידיעות ופוסטים ברשתות החברתיות, הצלבת שמות במאגרים שונים בהקשרי פח“ע וטרור. הן גם כוללות יכולות של ניתוח המטא-דאטה שמטרתו להפיק מידע ערכי נוסף מהמידע הרלוונטי (מידע על המידע(. יכולות אלו מאפשרת גם מבט רטרוספקטיבי על רצף האירועים, קשרים בין ישויות, פעילויות ברשתות החברתיות, מידע על עסקאות פיננסיות (כדוגמת רכישת כרטיסי טיסה באופן לא שגרתי), דפוסי נסיעות, פעילות גלישה באינטרנט ועוד. זאת ועוד, אתגר האבטחה בשדות תעופה הופך להיות גדול יותר משיש צורך בתהליכי בדיקה קפדניים המתבצעים, לרוב, ללא מגע יד אדם ובאופן שלא ”מטריד“, פוגע או מעכב את הנוסעים והשבים.
כך, לדוגמה, חברת התעופה Airlines Delta, מבצעת פיילוט המשלב טכנולוגיה חדשה לזיהוי פנים במטרה לצמצם את הזמן בין ההגעה לשדה התעופה ועד להושבת הנוסעים במושביהם.
אבטחה יעילה וחכמה היא נגזרת של ניתוח איומים וצרכים הנשענת על שילוב של טכנולוגיות אבטחה ויכולות למיצוי מידע רלוונטי מה-Data Big ובשנים האחרונות שילוב גובר של AI (בינה מלאכותית(. אופן שימוש שכזה הוא כמכפיל כח בתהליכי אופטימיזציה לסיכונים אפשריים וייעול תהליכים. מימוש שכזה, מסייע ותומך החלטות כמו גם מפחית עלויות תפעוליות ומשאבים ומצמצם את החיכוך האנושי עם גורמי האבטחה (גם בהיבטים הבריאותיים שהכתיבה הקורונה). מובן הוא, שיש לשלב תהליכי שבירת שגרה במטרה למנוע דפוסים קבועים, או ”הנחות“ אפשריות בתהליכי העבודה לניצול בראיית התוקף. יש לשלב גם תהליכי אדם בממשקים עם גורמי האבטחה האנושיים (מאותן סיבות).
כותב המאמר: אור שלום, מרצה באוניברסיטת אריאל – לימוד ביטחון, מומחה ויועץ לאבטחה, ביטחון וסייבר.
רשימת מקורות
ע"פ נתוני) UNWATO ארגון התיירות העולמי של האו"ם(, כ- 1.45 מיליארד בני אדם עברו בשדות התעופה בשנת 2019.
https://i-hls.com/he/archives/105391
https://www.shabak.gov.il/heritage/affairs/pages/april1986.aspx
English
French
Spanish
Portuguese
Deutsch
Turkish
Dutch
Russian
Romaian
Portuguese (Brazil)
Greek
Hebrew