המציאות החדשה שנוצרה עקב משבר 'הקורונה' משפיע על אבטחת המידע של ארגונים רבים במשק. מחד, יש לבדד את העובדים ומאידך, עדיין לאפשר רציפות תפקודית. הרשות להגנת הפרטיות מודה בכך במסמך מיוחד שהוציאה לאחרונה (24.03.2020) אגב המשבר. במסמך מפרטת הרשות את הנחיותיה למעסיק בהפעלת מדיניות עבודה מרחוק אל מול הרשת הארגונית, בעת התמודדות המשק עם המצב המיוחד.
בפתח המסמך מדגישה הרשות, כי האתגר בדבר שינוי אופן התנהלות הארגונים והאפשרות לעבוד מרחוק במכשירים זרים למערכת הארגונית, מציב סכנות רבות: גניבה או אבדן של מחשב או מכשיר נייד המכיל חומר רגיש, חוסר יכולת אכיפה של מדיניות אבטחה ארגונית, גישה מרחוק דרך מכשיר לא מאובטח, ניהול עובד שיצא לחל"ת, שחלה או שעזב ושמכשירו האישי נשאר בידיו ובו מידע ארגוני רגיש, ריבוי טכנולוגיות המייצר עומס על צוותי התמיכה והאבטחה וכו'. משכך, על מנת למזער את הסיכון חשוב למלא אחר הכללים.
לדעת הרשות על הנהלה של ארגון לגבש מדיניות אבטחה ארגונית, לטובת השימוש בגישה מרחוק ורצוי להשקיע במערכות טכנולוגיות ייעודיות להתמודדות עם הסיכונים. ברמת הטכנולוגיה, על ארגון ליצור שכבות הגנה שימנעו גישה ממכשירים אישיים לא מאובטחים מספיק, יש להגדיר נהלי שימוש בגישה לרשת על-ידי מכשירים אישיים, יש להגביר את הניטור והבקרה על גישה מרחוק וכן להגדיר אמצעי גישה מאובטחים למערכות המשרדיות. יתרה מכך, יש להגביר את המודעות בקרב העובדים לשימוש בתוכנת אבטחה ולעבודה מאובטחת במכשירים הפרטיים שלהם.
רמת המיגון של מחשב "זר" נמוכה ביחס למחשב בסביבה הארגונית ולכן בשימוש כזה, מדגישה הרשות, יש לוודא כי המחשב הביתי כולל מערכת הפעלה מעודכנת ותוכנת Antivirus פעילה. גם הרשת הביתית בה נעשה שימוש נדרשת להיות מאובטחת על-ידי תוכנת חומת אש Firewall) (מעודכנת ונתב מאובטח- בו מומלץ לשנות את שם המשתמש והסיסמא. יש לוודא כי המחשב והשירותים השונים מצוידים בסיסמאות חזקות למחשב, כדי למנוע גישה לתוקף. תוכנות המותקנות על המחשב יכולות להוות נקודות חולשה, כמו Flash, Web Browsers ועל כן יש לוודא כי גם תוכנות אלה מעודכנות בעדכוני האבטחה.
הרשות מדגישה עוד במסמך שהופץ כי יש סיכון רב בהעברת מידע ארגוני, בוודאי מידע חסוי או רגיש, ברשתות חברתיות, במערכות למסרים מידיים או במייל פרטי, ובדרך כלל העברה כזו של מידע אישי על תשתית פומבית אסורה. נדרש להגביר את תשומת הלב ולבדוק היטב את הנמענים ואת רגישות התוכן המועבר. כמו כן, לבדוק את כתובת הנמענים ויש להשים לב במיוחד לפעולות של "גיבוי" או העתקת מידע ממערכות ארגוניות לסביבת העבודה המקומית, אשר יכולות לגרום- אף ללא כוונה או ידיעה- להעתקה של המידע לשרתי קבצים חיצוניים ולא מאובטחים (כגון גוגל דרייב).
באשר לניהול פגישות ושיחות על ידי שימוש בכלים דוגמת זום ZOOM cloud) meetings ), יש לקחת בחשבון כי מדובר בסביבת עבודה לא מאובטחת העלולה לגרום לחשיפה לא מבוקרת של מידע רגיש. המידע האישי של המשתתפים עשוי להיות מצולם או מוקלט ועלול להיות משותף גם עם גורמים אחרים. המידע שנאסף (לרבות פרטי קשר של משתמש, מידע על עבודתו, פרטי אשראי ותשלום), מועלה פעמים רבות לענן ומסופק לחברות צד שלישי המספקות לפלטפורמה שירותים נוספים, כגון אחסון, עיבוד, ניתוח ועוד. כיוון שהענן נמצא לרוב מחוץ לגבולות ישראל, יש לוודא עמידה בהוראות תקנות הגנת הפרטיות(העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001.
הרשות להגנת הפרטיות רואה כי לאור המצב הנוכחי קיימים דפוסים רבים של פעילויות הונאה על ידי ניסיונות דיוג שנועדו לאסוף פרטי מידע לצורך ביצוע הונאות והוצאת כספים במרמה. פרסום זה על-ידי הרשות, בזמן התקופה מורכבת, מעניק דגשים חשובים בהתנהלות טכנולוגית של ארגונים ובהתנהלות העובד בפרט מחוץ לכותלי הארגון.
קישור למסמך שפרסמה הרשות מצורף בלינק הבא:
https://www.gov.il/BlobFolder/reports/corona_work/he/WORK%D6%B9PRIVACY%D6%B9CORONA.pdf
