זמן לחשבון נפש
יום הכיפורים הוא יום של חשבון נפש - אישי וכללי. ברמה הכללית, אחד הנושאים שבהם צריכים מנהלים, בעלי תפקידים ודירקטורים לעשות מעין חשבון נפש, הוא נושא אבטחת המידע. בשנה העברית שחלפה היו לא מעט אירועי אבטחה שגרמו לנזקים רבים בארגונים בארץ ובעולם. פרשנויות שונות של אנליסטים וחברות מחקר קבעו, כי לא רק שמגמת האיומים על מערכות מיחשוב ארגוניות וביתיות הולכת וגדלה, אלא שזהות התוקפים ומניעיהם השתנו. מאחורי ההתקפות עומדים גורמים שהמניע שלהם הוא כלכלי טהור. מטרתם היא לגרום נזקים ולגרוף רווחים מאותם נזקים שייגרמו בצורה זו או אחרת. אבל בכל פעם שקורים אירועי אבטחה מתוקשרים ברחבי בעולם, כולל בישראל, יש התרגשות מסוימת. חברות אבטחה ויועצים מספרים על גידול ניכר בפניות של הנהלות ארגונים ומנהלי אבטחה כדי לברר מה ניתן לעשות, אבל לא יותר מזה.
אחרי אסון התאומים, ב-11 בספטמבר 2001, דיברו בכל מקום על החשיבות של DRP, גיבויים, אחסון ועוד. אבל דווקא בשנה-שנתיים הראשונות שאחרי האסון, מניותיהן של חברות איחסון גדולות כגון EMC או היטאצ'י צנחו. ההמונים לא רצו לבורסה להשקיע בהן כשם שהם לא צלצלו למוקדי ההזמנות כדי להזמין הצעות מחיר. כך גם בתחום של אבטחת מידע.
זמן קצר לאחר האירועים, הכל חוזר לקדמותו. מפגשים של מנהלי אבטחת מידע הופכים במידה מסויימת למפגשים של פריקת תסכולים וסיפורים כמעט זהים בכל ארגון וארגון. המכנה המשותף הוא אדישות כמעט מוחלטת של ההנהלות לנושא של אבטחה, הפגנת שלווה וחוסר עניין בכל מה שקשור לאובדן מידע שאורב לחברה כמעט בכל מחשב נייד. בנושא הזה ישראל אינה יוצאת דופן. סקר עדכני שנערך בקרב מנהלי אבטחת מידע בארצות הברית, גילה כי נושא אבטחת המידע ירד בסדרי העדיפויות של הארגונים למקום העשירי בעיני ההנהלה ומקבלי ההחלטות שמתבקשים להשקיע באבטחה בצורה זו או אחרת.
הנהלות רבות עושות את החשבון הקר של ניהול סיכונים בהיבט של רווח והפסד: "כמה כסף נצטרך להשקיע במיגון מערכות המיחשוב והמידע שלנו, ומה הנזק שיגרם לנו אם וכאשר יפרצו לנו למערכות המחשב". בחלק מהארגונים, כנראה שמנהלי הכספים מצליחים למצוא נוסחה שמשכנעת את ההנהלה שהפשע משתלם בשני הכיוונים: מצד אלו שעושים אותו ומצד שני - הקורבנות. הנזק יכנס לאחד מסעיפי הדיווח החשבונאי של החברה ויהיה בו הסבר משכנע על האיומים הכלל עולמיים שקיימים כיום ועוד תירוצים שונים ומשונים.
זה נשמע קפקאי ואולי גם שטחי, אבל מי שישב אתמול במפגש עם מנהלי אבטחת מידע במסגרת מועדון CISO ושמע את הדיון הקצר שהנחה אופיר זילביגר, לא יכול היה להגיע למסקנה אחרת מאשר: בעל הבית השתגע. אבל כמי שמופקדים על תחום האבטחה בארגון, שהולך ונעשה יותר צמוד לאבטחה הפיסית, אסור למנהלי אבטחת המידע להישאר שאננים, להרים ידיים ולהגיד שההנהלה אשמה. ראשית, משום שביום פקודה, במקרה של חלילה אסון אמיתי, הם יצטרכו לתת את מלוא ההסברים, גם אם הסברים אלו יכללו הפניית אצבע מאשימה, צודקת, לממונים עליהם מלמעלה. האחריות היא של ה-CISO.
אבל מנהלי אבטחת המידע צריכים לעשות גם הם בדק בית ולראות האם באמת עשו את כל הנדרש כדי להסביר למנהליהם את מהות האיומים. האם לא נכשלו בהסברה כוללת, בהצגת הבעיה ואולי לא תקפו אותה מהצד הנכון?
גם המנכ"לים צריכים לעשות חשבון נפש: "מה עשינו היום כדי להגן טוב יותר על הארגון שלנו, שמשרת לקוחות רבים? מה עשינו כדי שההון האנושי שלנו, שחלקו טמון בידע ובמידע שלנו, לא ילך לטימיון. מה עשינו כדי שהמודיעין של המתחרה יצטרך לעבוד קשה יותר כדי להשיג עלינו מידע".
מנהלי האבטחה חייבים לקחת את היוזמה בידיהם. הם יכולים להיעזר בספקים השונים, כדי לצייר בפני המנהל הרלבנטי תמונה אמיתית, נכונה וחדה בנוגע לאילו סיכונים הוא נוטל על עצמו ועל החברה שלו, בכך שהוא מחליט לא להשקיע באבטחת מידע או להשקיע פחות משנים קודמות.
גם במלחמת לבנון השניה, כאן בישראל, חלק גדול ממחדלי העורף ברמה הארגונית-עסקית נבעו מהעדר מודעות לאבטחת מידע והשקעה ראויה בכלים ובמתודולוגיה שתגן על הלקוחות. ארגונים, בעיקר ממשלתיים, פיננסים וביטחוניים, שמכוח החוק מגנים על עצמם בכלים ובשיטות הכי נכונות, הדפו את כל ההתקפות של ארגוני הטירור שניצלו את המלחמה לנסות ולפתוח חזית נוספת נגד ישראל. אבל החלק האחר של העורף - המגזרים המסחריים והעסקיים - נותרו במידה רבה חשופים. על חלק מהם לא נדע לעולם - גם כי הם עסקים פרטיים וגם בגלל העובדה שלמרבה המזל הם לא נפגעו, למרות שלא היו מוגנים.
שי בייליס (רשתות)תלוש פיקטיבי - המנכ"ל שהוציא תלוש לאשתו ומה העונש?
פורמולה וונצ'רס רשמה שכר של קרוב ל-1 מיליון שקל לאשתו של שי בייליס, בעל השליטה, למרות מעולם לא עבדה בחברה; ובכך העבירה החברה כסף לקרובו של בעל השליטה וגם הפחיתה את חבות המס בחברה
הדרכים להפחתת המס מרובות. חלק מהן במסגרת תכנון מס לגיטימי, חלק אחר אפור, אבל אפשרי וחלק אחר כבר חוצה את הקו האדום. בהתחלה מנסים לתכנן בהתאם לחוק, ואז במקרים לא מעטים גולשים ועוברים את הגבול. לפעמים זו מעידה קלה ורשות המס מוותרת על הליך פלילי, אבל קובעת כופר. הנה מקרה של הגדלת הוצאות באופן פיקטיבי שמבטא גם העברת כספים גדולה של 1 מיליון שקל לבעל השליטה מבלי שהוא צריך לשלם על זה מס.
המקרה של פורמולה וונצ'רס ויו"ר ומנכ"ל החברה שי בייליס - על פי פרסום רשמי של רשות המסים, בין השנים 2017 ל-2022 רשמה החברה בספריה תשלומי שכר בסך כולל של קרוב ל-1 מיליון שקל לאשתו של בעל השליטה - מינה בייליס. על אף שמעולם לא עבדה בפועל בחברה. כלומר, הכסף שולם ללא כל תרומה עסקית מצידה. המהלך הזה סיפק לחברה 'תועלת כפולה' - אך לא חוקית: העברת כסף למקורב, במקרה זה, לאשתו של בעל השליטה, מבלי שנדרשה לבצע עבודה בפועל. ובכך היא ביצעה הפחתה של חבות המס, הרי ששכר עבודה נחשב כהוצאה מוכרת לצורכי מס. כשהחברה רושמת הוצאה כזו, היא מקטינה את ההכנסה החייבת שלה, וכך משלמת פחות מס לקופת המדינה. אלא שהמשמעות בפועל היא פגיעה כפולה: מצד אחד, המדינה, כלומר הציבור - מקבל פחות הכנסות ממסים. אבל מצד שני, והחמור יותר - משקיעי החברה רואים חלק מהכסף שלהם מנותב למטרות שאין להן ערך עסקי אמיתי. ולא נועדו כדי להצמיח את החברה אלא כדי להונות את המשקיעים באופן של תרמית מתוחכמת כביכול, והפעם במקרה שלנו - היא יצאה מזה עם קנס של פחות מ-300 אלף שקל.
במקום לנהל הליך פלילי שיכול להיגרר שנים, לרשות המסים יש אפשרות להציע לנישום הסדר כופר - תשלום קנס מוסכם שמחליף את ההליך הפלילי. זה לא 'פיצוי' בלבד, אלא סוג של עסקת טיעון אזרחית-מנהלית: הנישום לא מודה באשמה בבית משפט, אבל משלם סכום שנקבע, ומנקה את התיק הפלילי הספציפי הזה. במקרה של פורמולה וונצ'רס, ההסדר הזה הסתיים בתשלום כופר של 275 אלף שקל לרשות המסים. מבחינת המדינה, זה חוסך זמן, משאבים ודיונים משפטיים; מבחינת החברה, זה סוגר את הפרשה בלי להגיע לכתב אישום - אך כמובן לא מונע את הצורך לשלם את חבות המס האמיתית, שכוללת גם ריבית וקנסות. רשות המסים לא מסתפקת בקריאת דוחות שנתיים. היא משווה נתוני שכר מול ביטוח לאומי, בודקת היתכנות מקצועית (האם ה''עובד' מדווח במקביל על משרה אחרת, האם יש לו כתובת דואר אלקטרוני פעילה בחברה, האם הוא נוכח בפגישות), ולעיתים מקבלת מידע פנימי מעובדים או שותפים לשעבר.
פערים חריגים בין שכר לבין תרומה ממשית לחברה הם בדרך כלל הדגל האדום שמפעיל חקירה. העסקת עובדים פיקטיביים או רישום הוצאות שכר כוזבות אינה תופעה חדשה. בשנות ה-90 ותחילת שנות ה-2000 זה היה כלי נפוץ בחברות קטנות ובינוניות, ולעיתים אף בחברות ציבוריות, להעברת כספים לבעלי עניין. החקיקה והאכיפה התקדמו מאז, אך המקרים ממשיכים לצוץ, לעיתים בסכומים גבוהים מאוד. ההשלכות הן לא רק פליליות. ברגע שחברה נחשדת או נתפסת בעבירות כאלה, היא מסתכנת בנזק תדמיתי קשה, בפגיעה ביחסים עם משקיעים ובבעיות מול גופים מממנים. החוק מטיל אחריות ישירה גם על מנהלים ודירקטורים, ולא רק על החברה. בעצם מדובר על 'הרמת מסך' שבה חברה אשר כביכול היא 'חברה בע"מ' ובעלי המניות בה חסינים. עד למקרה כזה של תרמית ופגיעה ישירה במשקיעים וברשות המסים. המשמעות היא שגם אם העבירה בוצעה ב'דרג נמוך', מנהלים בכירים שלא פיקחו או שלא מנעו את ההפרה יכולים להיחשב אחראים לה. המקרה של שי בייליס ופורמולה וונצ'רס ממחיש עד כמה רישום משכורות פיקטיביות הוא לא 'טריק חשבונאי' אלא עבירה שיכולה להגיע גם למאסר בפועל. מדובר במעשה שפוגע בציבור, בחברה עצמה ובשוק ההון כולו.
מסלול של 'הסדר כופר'
על פי פקודת מס הכנסה, רישום כוזב של הוצאות - ובכלל זה שכר לעובד פיקטיבי, מוגדר כ'עבירה פלילית חמורה', כאשר סעיפים מוגדרים בפקודה קובעים כי במקרים של כוונה להתחמק ממס מדובר בעבירה שעונשה עד שבע שנות מאסר, לצד קנסות כבדים. במקרים מסוימים בתי המשפט אף שלחו נאשמים למאסר בפועל, במיוחד כשנמצא דפוס פעולה שיטתי והיקפים כספיים גבוהים. במקביל, רשות המסים יכולה לבחור במסלול של 'הסדר כופר' - תשלום מוסכם שמחליף את ההליך הפלילי. פתרון שחוסך זמן ומשאבים לשני הצדדים, אך מונע הכרעת דין פומבית ואינו מרתיע כמו הרשעה.
יו"ר ועד אל על נגד רגב: "מהלך שירסק את התעופה הישראלית"
שרון בן יצחק יצא נגד כוונת שרת התחבורה להקים בישראל בסיס פעילות לחברת הלואו קוסט וויז אייר, שיהיה בנתב"ג ויכלול צוותים ישראליים. לדבריו, "המשמעות היא העברת יעדים לחברות זרות, קריסה של החברות הקטנות, צמצום דרמטי של אל על ולבסוף השתלטות זרה על השוק, שתביא דווקא לעליית מחירים לציבור"
יו"ר ועד עובדי אל על, שרון בן יצחק, יוצא במתקפה חריפה על שרת התחבורה מירי רגב, בעקבות היוזמה שלה להקים בישראל בסיס פעילות לחברת הלואו-קוסט ההונגרית וויז אייר. לדבריו, מדובר בצעד פופוליסטי וחסר אחריות שעלול להמיט פגיעה קשה על ענף התעופה המקומי.
בשלב זה, קבעה רגב כבר שיחות עם מנכ"ל וויז אייר והיא בוחנת את הקמת הבסיס בנמל התעופה בן‑גוריון. המהלך הוגדר על ידה כ"מהלך שובר שוק", שבמרכזו הקמת בסיס של ממש, שיכלול מטוסים ויכלול צוותים ישראליים, כולל טייסים ודיילים. לדברי רגב, התוכנית צפויה להוביל לירידה משמעותית במחירי הכרטיסים, להתרחבות היצע היעדים הבינלאומיים - בין היתר להודו, מרוקו ואף מזרח הרחוק - ולתחרות מוגברת בשוק המקומי. כתנאי למהלך, השרה דרשה שוויז אייר תתחייב להמשיך ולהפעיל טיסות גם בעתות חירום, כפי שנדרש מחברות תעופה ישראליות - מה שיכול לשפר את הקיימות והרציפות התעופתית במצבי סיכון. בשבועות האחרונים התקיימו דיונים אינטנסיביים במשרד התחבורה, בהם השתתפו אנשי מקצוע, רשות שדות התעופה והרשות לתעופה אזרחית. למרות התנגדויות נחרצות מצד גורמי רגולציה וכמה חברות תעופה ישראליות, הוחלט להמשיך ולמקד את המהלך, ולבצע עבודת מטה שתבחן לעומק את ההשלכות הכלכליות והרגולטוריות. המשרד אף הנחה לקדם פגישה עם הנהלת וויז אייר העולמית בהקדם.
בן יצחק טוען כי משרד התחבורה "זורע חול בעיני הציבור" כשהוא מציג את המהלך כפתרון להורדת מחירי הטיסות. לדבריו, גם אם השרה מבטיחה כרטיסי טיסה זולים - בפועל המחירים לא יירדו. במקום להתמודד עם הבעיה האמיתית, שהיא סירובן של חברות זרות רבות לשוב ולטוס לישראל מזה שנה וחצי בעקבות המצב הביטחוני, בוחרת רגב לקדם מהלך שעלול להחליש עוד יותר את חברות התעופה הישראליות. הוא הוסף כי הקמת מערך ובסיס קבוע של וויז אייר בישראל יוצרת אפליה ברורה מול החברות המקומיות, שכן החברה הזרה לא תחויב באותם כללים רגולטוריים ושיקולי ביטחון. "זהו תקדים מסוכן שאין לו אח ורע בעולם", התריע בן יצחק. "המשמעות היא העברת יעדים לחברות זרות, קריסה של החברות הקטנות, צמצום דרמטי של אל על ולבסוף השתלטות זרה על השוק, שתביא דווקא לעליית מחירים לציבור".
בן יצחק אף הרחיב את הביקורת מעבר לענף התעופה, ואמר כי מדובר במדרון חלקלק: "אם מאפשרים לחברה זרה לפעול בלי חובות רגולטוריות, מחר זה יכול לקרות גם במערכת הבריאות, בבנקאות ובתחומים נוספים. לפי השיטה הזו, כל עובד ישראלי ניתן להחלפה בעובד זול ממזרח אירופה". בהתייחסו לעבר, הזכיר יו"ר הוועד כי עובדי אל על היו אלה ששמרו על רצף תעופתי בתקופת הקורונה וגם בזמן המלחמה הנוכחית, כשחברות זרות הפסיקו את פעילותן בארץ. "אנחנו הוכחנו שאין לישראל על מי לסמוך מלבד על עצמה", אמר. לסיום, קרא בן יצחק לשרת התחבורה לעצור את המהלך: "אם תתעקש להמשיך בדרך הזו - היא תיזכר לדיראון עולם כמי שפגעה במו ידיה בתעופה הישראלית".
