רגע אחד למחשבה על אבטחה
ברחבי העולם מציינים היום (ה') את יום האבטחה הבינלאומי. המדובר באירוע גלובלי שמטרתו למקד לרגע אחד את תשומת הלב לחשיבות האבטחה של המידע, של המחשבים ושל כל מה שקשור בנושא זה. הרעיון החל לקרום עור וגידים ב-1988, כאשר איגוד הגנת המחשבים ACM, הפועל בארצות הברית, הגיע למסקנה כי יש לקיים פעם בשנה אירועים מקבילים בכל העולם, כדי להגביר את המודעות לנושא האבטחה.
בשנים האחרונות אין צורך להסביר מדוע חשוב לציין את יום האבטחה פעם בשנה, לאור הנתונים על הפגיעויות ההולכות וגדלות מדי חודש בחודשו, כאשר עקומת הנזקים הכספיים הנגרמים לחברות וליחידים הולכת וגדלה. במקור, צויין יום האבטחה הבינלאומי בתאריכים שונים במדינות השונות, בדרך כלל בסמוך לעונת החגים, לקראת סוף שנה האזרחית.
ב-1977 החליטו כל המדינות החברות בארגון להתמקד ביום אחד, שנוח ומתאים לכולם. התאריך שנקבע: ה-30 בנובמבר. הפעילות נעשית בדרך כלל במסגרות אקדמיות ומחקריות, שבהן דנים בנושאים החמים הקשורים לאבטחה. במסגרת האירועים שקשורים ליום זה, ייערך היום בחיפה כנס בנושא הגנת המידע, במרכז הקונגרסים, בשיתוף עם לשכת המסחר בצפון וחברת מטריקס. בגוף המארגן את היום הזה חברות כ-57 מדינות, מלבד ישראל, ביניהן אפילו מדינות כגון איראן ולבנון, לצד מדינות מערביות, דוגמת ארצות הברית וגם הודו ומדינות באסיה.
לא בטוח שאירועי היום הזה יקטינו את מימדי הנוזקות כתוצאה מסיכוני אבטחה שונים, אבל חשוב שבכל ארגון, כולל בישראל, יקדישו היום כמה דקות שבהן ירעננו את זיכרונם ואת השכלתם של העובדים כיצד ניתן, בפעולות פשוטות, לשמור יותר על המידע.
לקראת יום האבטחה, פרסם ארגון ה-ACM באתר האינטרנט שלו, 50 טיפים לפעולות פשוטות שכל אחד יכול וחייב לבצע - פעולות שעשויות להפוך את חיינו לקצת יותר רגועים. ההמלצה הראשונה אומרת להשתמש באלמנטים ויזואליים - פוסטרים וכדומה - שיציגו את יום האבטחה הבינלאומי. ה-ACM עצמו מפרסם בכל שנה פוסטרים שניתנים להורדה בחינם מאתר האיגוד.
פעולות מומלצות נוספות: שנה מדי פעם את הסיסמאות למחשב שלך, בדוק וירוסים במחשבים, דאג שהמחשב שלך יהיה בסביבה בטוחה ככול האפשר ודאג לתקינות ונקיון הדיסקים עליהם אתה נוהג לגבות מידע מדי פעם.
טיפים אחרים מתייחסים כבר למדיניות אבטחת המידע שצריכה להיות נהוגה בכל ארגון וארגון - מדיניות שצריכה להיות מבוססת על נהלים, על הגדרה מפורשת של איזה תוכנות מותר ואסור להתקין על המחשבים, על הגדרה שתחסום באופן מוחלט את הכתיבה על שרתים וספריות רגישים, על הגדרה של בדיקת קודים - וכבר עם סיום יום האבטחה, להתחיל לתכנן את השנה הבאה.
לכאורה מדובר בפעולות שאין בהן חדש, אבל ידועה הסטטיסטיקה שמרבית הנזקים שנגרמים לארגון מגיעים כתוצאה מפעולה זו אחרת של העובדים בו, אם מתוך רשלנות או בזדון. מדיניות האכיפה של האבטחה בארגון היא אתגר לא פשוט למנהל אבטחת המידע, שצריך למצוא את האיזון הדק בין יד חזקה, אוכפת ודורשת משמעת, לבין השגת הבנה ושת"פ בין כל הגורמים, כדי שיפנימו ויבינו את חשיבות ערך האבטחה. למרבה הצער, המצב הוא כיום שבמרבית הארגונים יש הסכמה כי אבטחה זה חשוב, אבל מעטים מאוד הם הארגונים שמעניקים סמכויות של ממש בידי מנהלי האבטחה. בשנת 2006 תפקיד ה-CISO הוא עדיין תפקיד שצריך להסבירו, זאת למרות שהנזקים הכספיים שנגרמים לארגונים כתוצאה מאירועי אבטחה הם ברמה של סכנה קיומית.
בתחילת השבוע נערך כנס הלקוחות של קומסק, שאחת התובנות העיקריות שעלו ממנו היתה ש-92% מאיומי האבטחה עלולים לפגוע ביישומים ארגוניים. את הכנס הזה פתח נסים בר-אל, מומחה האבטחה הוותיק ביותר בישראל, שסיפר על אירוע בו השתתף לפני כמה שבועות, שממנו ניתן ללמוד על מעמדו של מנהל האבטחה בארגון. בר-אל סיפר, כי בישיבת ההנהלה של בנק, התפתח עימות בין מנהל האבטחה, שדרש מהנהלת הבנק לשנות בצורה מהותית חלק מתוכנית ארגונית עליה החליט, שיש לה משמעות כספית גדולה. בר-אל, שהשתתף כצופה מהצד בדיון, אמר כי נדיר לראות שבפורום כל כך בכיר, יועץ אבטחה פנימי מעז לצאת נגד מנהלים בכירים ואף לגרום לכך שהנהלת הבנק תעצור את התוכנית ותקים ועדת היגוי שתמליץ על ההמשך. בר-אל יודע היטב, כמו כולנו, כי זהו באמת מקרה חריג. בישראל, כמו במדינות רבות אחרות, מעמדו של ה-CISO לא מוגדר ופעמים רבות אין ביכולתו לעצור תהליכים בארגון שלדעתו עלולים לסכן את ביטחון המידע בו.
שאלת מיליון הדולר, היא האם במקרים כאלו על מנהל האבטחה להלחם עד הסוף, תוך סיכון מעמדו ועבודתו, או להתיישר עם הקו לאחר שווידא כי הזהיר את מי שהזהיר על הסכנות הצפויות.
ואם נחזור ליום האבטחה הבינלאומי: אם כל אחד מאיתנו בכל ארגון יקדיש יום אחד בשנה למחשבה בנושאי האבטחה, ויעשה את הפעולות הדרושות להגנה על הנתונים שלו, תמונת המצב בתחום האבטחה עשויה להיות קצת יותר ורודה.
שיהיה לכם יום בטוח.
שי בייליס (רשתות)תלוש פיקטיבי - המנכ"ל שהוציא תלוש לאשתו ומה העונש?
פורמולה וונצ'רס רשמה שכר של קרוב ל-1 מיליון שקל לאשתו של שי בייליס, בעל השליטה, למרות מעולם לא עבדה בחברה; ובכך העבירה החברה כסף לקרובו של בעל השליטה וגם הפחיתה את חבות המס בחברה
הדרכים להפחתת המס מרובות. חלק מהן במסגרת תכנון מס לגיטימי, חלק אחר אפור, אבל אפשרי וחלק אחר כבר חוצה את הקו האדום. בהתחלה מנסים לתכנן בהתאם לחוק, ואז במקרים לא מעטים גולשים ועוברים את הגבול. לפעמים זו מעידה קלה ורשות המס מוותרת על הליך פלילי, אבל קובעת כופר. הנה מקרה של הגדלת הוצאות באופן פיקטיבי שמבטא גם העברת כספים גדולה של 1 מיליון שקל לבעל השליטה מבלי שהוא צריך לשלם על זה מס.
המקרה של פורמולה וונצ'רס ויו"ר ומנכ"ל החברה שי בייליס - על פי פרסום רשמי של רשות המסים, בין השנים 2017 ל-2022 רשמה החברה בספריה תשלומי שכר בסך כולל של קרוב ל-1 מיליון שקל לאשתו של בעל השליטה - מינה בייליס. על אף שמעולם לא עבדה בפועל בחברה. כלומר, הכסף שולם ללא כל תרומה עסקית מצידה. המהלך הזה סיפק לחברה 'תועלת כפולה' - אך לא חוקית: העברת כסף למקורב, במקרה זה, לאשתו של בעל השליטה, מבלי שנדרשה לבצע עבודה בפועל. ובכך היא ביצעה הפחתה של חבות המס, הרי ששכר עבודה נחשב כהוצאה מוכרת לצורכי מס. כשהחברה רושמת הוצאה כזו, היא מקטינה את ההכנסה החייבת שלה, וכך משלמת פחות מס לקופת המדינה. אלא שהמשמעות בפועל היא פגיעה כפולה: מצד אחד, המדינה, כלומר הציבור - מקבל פחות הכנסות ממסים. אבל מצד שני, והחמור יותר - משקיעי החברה רואים חלק מהכסף שלהם מנותב למטרות שאין להן ערך עסקי אמיתי. ולא נועדו כדי להצמיח את החברה אלא כדי להונות את המשקיעים באופן של תרמית מתוחכמת כביכול, והפעם במקרה שלנו - היא יצאה מזה עם קנס של פחות מ-300 אלף שקל.
במקום לנהל הליך פלילי שיכול להיגרר שנים, לרשות המסים יש אפשרות להציע לנישום הסדר כופר - תשלום קנס מוסכם שמחליף את ההליך הפלילי. זה לא 'פיצוי' בלבד, אלא סוג של עסקת טיעון אזרחית-מנהלית: הנישום לא מודה באשמה בבית משפט, אבל משלם סכום שנקבע, ומנקה את התיק הפלילי הספציפי הזה. במקרה של פורמולה וונצ'רס, ההסדר הזה הסתיים בתשלום כופר של 275 אלף שקל לרשות המסים. מבחינת המדינה, זה חוסך זמן, משאבים ודיונים משפטיים; מבחינת החברה, זה סוגר את הפרשה בלי להגיע לכתב אישום - אך כמובן לא מונע את הצורך לשלם את חבות המס האמיתית, שכוללת גם ריבית וקנסות. רשות המסים לא מסתפקת בקריאת דוחות שנתיים. היא משווה נתוני שכר מול ביטוח לאומי, בודקת היתכנות מקצועית (האם ה''עובד' מדווח במקביל על משרה אחרת, האם יש לו כתובת דואר אלקטרוני פעילה בחברה, האם הוא נוכח בפגישות), ולעיתים מקבלת מידע פנימי מעובדים או שותפים לשעבר.
פערים חריגים בין שכר לבין תרומה ממשית לחברה הם בדרך כלל הדגל האדום שמפעיל חקירה. העסקת עובדים פיקטיביים או רישום הוצאות שכר כוזבות אינה תופעה חדשה. בשנות ה-90 ותחילת שנות ה-2000 זה היה כלי נפוץ בחברות קטנות ובינוניות, ולעיתים אף בחברות ציבוריות, להעברת כספים לבעלי עניין. החקיקה והאכיפה התקדמו מאז, אך המקרים ממשיכים לצוץ, לעיתים בסכומים גבוהים מאוד. ההשלכות הן לא רק פליליות. ברגע שחברה נחשדת או נתפסת בעבירות כאלה, היא מסתכנת בנזק תדמיתי קשה, בפגיעה ביחסים עם משקיעים ובבעיות מול גופים מממנים. החוק מטיל אחריות ישירה גם על מנהלים ודירקטורים, ולא רק על החברה. בעצם מדובר על 'הרמת מסך' שבה חברה אשר כביכול היא 'חברה בע"מ' ובעלי המניות בה חסינים. עד למקרה כזה של תרמית ופגיעה ישירה במשקיעים וברשות המסים. המשמעות היא שגם אם העבירה בוצעה ב'דרג נמוך', מנהלים בכירים שלא פיקחו או שלא מנעו את ההפרה יכולים להיחשב אחראים לה. המקרה של שי בייליס ופורמולה וונצ'רס ממחיש עד כמה רישום משכורות פיקטיביות הוא לא 'טריק חשבונאי' אלא עבירה שיכולה להגיע גם למאסר בפועל. מדובר במעשה שפוגע בציבור, בחברה עצמה ובשוק ההון כולו.
מסלול של 'הסדר כופר'
על פי פקודת מס הכנסה, רישום כוזב של הוצאות - ובכלל זה שכר לעובד פיקטיבי, מוגדר כ'עבירה פלילית חמורה', כאשר סעיפים מוגדרים בפקודה קובעים כי במקרים של כוונה להתחמק ממס מדובר בעבירה שעונשה עד שבע שנות מאסר, לצד קנסות כבדים. במקרים מסוימים בתי המשפט אף שלחו נאשמים למאסר בפועל, במיוחד כשנמצא דפוס פעולה שיטתי והיקפים כספיים גבוהים. במקביל, רשות המסים יכולה לבחור במסלול של 'הסדר כופר' - תשלום מוסכם שמחליף את ההליך הפלילי. פתרון שחוסך זמן ומשאבים לשני הצדדים, אך מונע הכרעת דין פומבית ואינו מרתיע כמו הרשעה.
יו"ר ועד אל על נגד רגב: "מהלך שירסק את התעופה הישראלית"
שרון בן יצחק יצא נגד כוונת שרת התחבורה להקים בישראל בסיס פעילות לחברת הלואו קוסט וויז אייר, שיהיה בנתב"ג ויכלול צוותים ישראליים. לדבריו, "המשמעות היא העברת יעדים לחברות זרות, קריסה של החברות הקטנות, צמצום דרמטי של אל על ולבסוף השתלטות זרה על השוק, שתביא דווקא לעליית מחירים לציבור"
יו"ר ועד עובדי אל על, שרון בן יצחק, יוצא במתקפה חריפה על שרת התחבורה מירי רגב, בעקבות היוזמה שלה להקים בישראל בסיס פעילות לחברת הלואו-קוסט ההונגרית וויז אייר. לדבריו, מדובר בצעד פופוליסטי וחסר אחריות שעלול להמיט פגיעה קשה על ענף התעופה המקומי.
בשלב זה, קבעה רגב כבר שיחות עם מנכ"ל וויז אייר והיא בוחנת את הקמת הבסיס בנמל התעופה בן‑גוריון. המהלך הוגדר על ידה כ"מהלך שובר שוק", שבמרכזו הקמת בסיס של ממש, שיכלול מטוסים ויכלול צוותים ישראליים, כולל טייסים ודיילים. לדברי רגב, התוכנית צפויה להוביל לירידה משמעותית במחירי הכרטיסים, להתרחבות היצע היעדים הבינלאומיים - בין היתר להודו, מרוקו ואף מזרח הרחוק - ולתחרות מוגברת בשוק המקומי. כתנאי למהלך, השרה דרשה שוויז אייר תתחייב להמשיך ולהפעיל טיסות גם בעתות חירום, כפי שנדרש מחברות תעופה ישראליות - מה שיכול לשפר את הקיימות והרציפות התעופתית במצבי סיכון. בשבועות האחרונים התקיימו דיונים אינטנסיביים במשרד התחבורה, בהם השתתפו אנשי מקצוע, רשות שדות התעופה והרשות לתעופה אזרחית. למרות התנגדויות נחרצות מצד גורמי רגולציה וכמה חברות תעופה ישראליות, הוחלט להמשיך ולמקד את המהלך, ולבצע עבודת מטה שתבחן לעומק את ההשלכות הכלכליות והרגולטוריות. המשרד אף הנחה לקדם פגישה עם הנהלת וויז אייר העולמית בהקדם.
בן יצחק טוען כי משרד התחבורה "זורע חול בעיני הציבור" כשהוא מציג את המהלך כפתרון להורדת מחירי הטיסות. לדבריו, גם אם השרה מבטיחה כרטיסי טיסה זולים - בפועל המחירים לא יירדו. במקום להתמודד עם הבעיה האמיתית, שהיא סירובן של חברות זרות רבות לשוב ולטוס לישראל מזה שנה וחצי בעקבות המצב הביטחוני, בוחרת רגב לקדם מהלך שעלול להחליש עוד יותר את חברות התעופה הישראליות. הוא הוסף כי הקמת מערך ובסיס קבוע של וויז אייר בישראל יוצרת אפליה ברורה מול החברות המקומיות, שכן החברה הזרה לא תחויב באותם כללים רגולטוריים ושיקולי ביטחון. "זהו תקדים מסוכן שאין לו אח ורע בעולם", התריע בן יצחק. "המשמעות היא העברת יעדים לחברות זרות, קריסה של החברות הקטנות, צמצום דרמטי של אל על ולבסוף השתלטות זרה על השוק, שתביא דווקא לעליית מחירים לציבור".
בן יצחק אף הרחיב את הביקורת מעבר לענף התעופה, ואמר כי מדובר במדרון חלקלק: "אם מאפשרים לחברה זרה לפעול בלי חובות רגולטוריות, מחר זה יכול לקרות גם במערכת הבריאות, בבנקאות ובתחומים נוספים. לפי השיטה הזו, כל עובד ישראלי ניתן להחלפה בעובד זול ממזרח אירופה". בהתייחסו לעבר, הזכיר יו"ר הוועד כי עובדי אל על היו אלה ששמרו על רצף תעופתי בתקופת הקורונה וגם בזמן המלחמה הנוכחית, כשחברות זרות הפסיקו את פעילותן בארץ. "אנחנו הוכחנו שאין לישראל על מי לסמוך מלבד על עצמה", אמר. לסיום, קרא בן יצחק לשרת התחבורה לעצור את המהלך: "אם תתעקש להמשיך בדרך הזו - היא תיזכר לדיראון עולם כמי שפגעה במו ידיה בתעופה הישראלית".
