עובדים רבים בארגונים ובחברות חשופים למידע רגיש וסודי. האם האמון שניתן בהם מוצדק? לא תמיד. לאחרונה הוגש כתב אישום נגד עובד לשעבר בחברה המתמחה בלוחמת סייבר בגין גניבת תוכנה וניסיון למכור אותה לגורם זר. בין יתר סעיפי האישום החמורים, שכללו פגיעה בביטחון המדינה וביצוע פעולת שיווק ביטחוני ללא רישיון, נטען לשיבוש או הפרעה לחומר מחשב, עבירה שעונשה הוא עד שלוש שנות מאסר. את המעשים, נטען, עשה העובד משום שעמד בפני פיטורים.
מכאן עולות שאלות מהותיות, כיצד יכול מעסיק להגן על עצמו מפני אפשרות של שימוש חריג של עובד במידע המצוי במערכות הארגון? כיצד יכול מעסיק להגן על עצמו מפני אפשרות של גניבת מידע על ידי עובדים? מהם הכלים המשפטיים העומדים לרשותו?
לפני מספר שבועות נכנסו לתוקף תקנות אבטחת מידע חדשות, העוסקות באופן נרחב בהגנה על המידע הנמצא במערכות ארגונים וחברות, גם מפני העובדים עצמם. תקנות אלו חלות על כל הגופים במשק הישראלי, החל מעסקים קטנים, דרך עמותות ומלכ"רים וכלה בתאגידי ענק. להלן הצעדים שיש לנקוט בכדי להגן על המידע הרגיש בחברה בכל הקשור לעובדים:
- מיון וקבלת העובדים לארגון
הבסיס להגנה על המידע מפני עובדי הארגון עצמם, הוא לקבל לארגון את העובדים הנכונים. תקנות אבטחת המידע החדשות קובעות חובה לכל ארגון לנקוט באמצעים סבירים בעת מיון העובדים ושיבוצם, כדי לנסות ולצמצם את האפשרות שגורם שאינו מתאים לכך יהיה בעל הרשאת גישה למידע. אמצעים מקובלים כאלה הינם מבחני אמינות, תשאול מעסיקים לשעבר ופעולות דומות אחרות שמטרתן לצמצם את האפשרות שגורמים לא ראויים יתקבלו לעבודה בארגון.
- ניהול חכם של הרשאות הגישה
דבר שעובד אינו יכול לראות, הוא גם לא יוכל להדליף. ניהול חכם של הרשאות הגישה יבטיח, שעובד יראה רק את המידע הנחוץ לו לעבודתו ולא מבער לכך. הדבר אף עולה מהוראות תקנות אבטחת המידע, הדורשות מכל ארגון לנהל בצורה מסודרת את הרשאות הגישה למאגרי המידע ולדאוג לעדכן את ההרשאות, עת עובד עוזב או עובר תפקיד.
- נוהל תיעוד ובקרה
כאשר דולף מידע מארגון, אחת השאלות הראשונות שעולות הינה, מי היה חשוף למידע. מנגנון תיעוד ובקרה בארגון יכול לספק מידע אמין ומלא בעת בדיקה או תחקור, בכדי ליצור תמונת מצב מפורטת אחר האירועים השונים שהתרחשו. בנוסף לכך משמש מנגנון כזה גם אמצעי הרתעה.
- נוהל זיהוי, אימות וסיסמאות
יש להקפיד על ניהול נכון של הסיסמאות על-ידי העובדים במגמה למנוע מעובד להיכנס למערכת תחת סיסמה של עובד אחר. במסגרת כך יש לוודא כי אופן הזיהוי יתבצע, ככל האפשר, על בסיס אמצעי פיזי הנתון לשליטתו הבלעדית של המשתמש, כגון כרטיס חכם באמצעותו יזדהה מול המערכת; יש לאסור על חשיפת הסיסמא האישית לאדם אחר ויש לאסור על שימוש בסיסמא זהה עבור קבוצות משתמשים; להורות כי יש להחליף את הסיסמא הראשונית שהוקצתה על ידי מנהל הרשת מיד עם ביצוע Log-in ראשון.
- איסור על שימוש בהתקנים ניידים ותוכנות לא מורשות
אחת הדרכים להוציא מידע מארגון היא באמצעות התקנים ניידים (כגון דיסק און קי). לכן יש לאסור על שימוש בהתקנים ניידים בארגון, למעט שימוש בפיקוח של איש מערכות המידע ולמטרה מוגדרת מראש על-ידי הארגון. יש אף לאסור על שימוש בתוכנות לא מורשות ולקבוע איסור מוחלט להתקין במחשבי הארגון תוכנות בלתי מורשות, כגון תוכנות פרטיות וללא רישיון. תכונות כאלה יכולות להחדיר לארגון "סוס טרויאני" שישמש מנוף להוצאת מידע מהארגון. כדי למנוע אפשרות של הוצאת מידע, ארגון אף צריך לאסור על עובדים להחזיק מידע בהתקנים המצויים במחשבים המצויים בעמדת העבודה שלהם, ככל ויש כאלו.
- נוהל אבטחה פיזית וסביבתית
ראוי שארגון יגדיר ויתווה את נהלי בקרת הכניסה והאבטחה הפיזית והסביבתית במתחמי החברה למנוע כניסה של גורמים לא מורשים לאזורים המאפשרים גישה למידע.
- הדרכות והתחייבויות לאבטחת מידע
על ארגון להקפיד לקיים פעילות הדרכה תקופתית לבעלי הרשאות הגישה למאגרי המידע שלו, בדבר הוראות אבטחת המידע בארגון ולהחתימם על נוהל אבטחה והוראות אבטחת המידע שעל הארגון לקבוע לעצמו.
- האם חברה יכולה לתבוע עובד שהדליף/השתמש בחומרים שלא למטרה לשמה יועדו?
עובד שעבר על נהלי החברה והדליף בזדון מידע ממאגרי המידע שלה, חשוף בין היתר גם לתביעה של החברה. זו תוכל לתבוע אותו בגיזן נזקיה וגם לגלגל אלין (במסגרת הודעת צד שלישי) תביעות שיוגשו נגדה.
- האם ניתן לתבוע את החברה על מחדלי אבטחה שקרו בה?
חברה אשר ימצא כי מידע דלף ממנה על-ידי עובד וכי התרשלה בשמירה על המידע ביחסיה עם העובדים, יכולה למצוא את עצמה נתבעת על-ידי אותם אנשים, שמידע עליהם דלף. רשלנות כזו יכולה להיות, למשל, מקום בו לעובד הייתה הרשאת גישה למידע שדלף, אשר לא הייתה נחוצה לו לצרכי עבודתו.
אין האמור מחליף כל חוות דעת, ייעוץ וליווי משפטי, וכל האמור בגדר המלצה בלבד.
