<
יום ראשון , נובמבר 19 2017
מבזקים

הקרב הדיגיטלי

מאת: ניב רז

ניב רז

ניב רז

כל סיכוני הסייבר מוכרים לכם? אתם בטוחים שאין ערוץ כניסת והוצאת מידע שאתם לא מכירים? אתם חושבים שארגון ללא אינטרנט מוגן הרמטית? ארגונים משקיעים רבות בסיכול יכולתם של גורמים עוינים להסב נזק לארגונן, אם אתם בטוחים שבכך ארגונים אכן מוגנים בפני סיכוני סייבר, אז תחשבו שוב

בזמן שארגונים מוסיפים מערכות, מוצרים ומעבים את מעגלי האבטחה בכדי למנוע או לפחות לעכב מגורמים עוינים להסב נזק לארגון, הם מזניחים נקודות תורפה מהותיות. ארגונים לא מייחסים משקל מתאים לסיכון נוסף שהוא בעל יכולת למימוש מהירה ורמת סיכון גבוהה, שהוא כמובן העובד בארגון, האיום שמבפנים.

ביררתי עם עמיתיי בענף ומצאתי שלמרות שארגונים מודעים לפוטנציאל האיום הם בוחרים לא לתת לו משקל זהה בהשוואה לשאר האיומים, הם בוחרים לא להשקיע דיי בצמצומו או מניעתו. מהעולם הממשי, כאשר רוצה אדם זר להיכנס פיזית לבניין של ארגון, יעצור אותו השומר ויתשאל אותו מי הוא, למי הוא מוזמן, הוא יבצע אימות מול האדם בארגון שאכן האורח מגיע אליו, אך עובד מן המניין או אדם בעל כרטיס זיהוי של עובד מן המניין, ברוב יכול להיכנס ולצאת מבניין הארגון מבלי שיפריעו לו. גורמים עוינים רוצים להסב נזק לארגונים ומדינות ללא משנה מה המטרה שלהם רווח כלכלי, ריגול תעשייתי, גאו-פוליטי, דתי. הדרכים הנפוצות הן באמצעות גניבת מידע, מניעת שירות, נזק תדמיתי, השתלטות על נכסים וירטואלי. זכרו גורמים עוינים יודעים לאתר בקלות רבה עובדים בארגונים בזכות הרשתות החברתיות שהפכו לפנקס העובדים הגדול בעולם ובכך הם מגדירים מטרה באיתור העובדים מתאימים שיסייעו להם להשיג את מטרתם.

ניב-סייבר1אתיקה כנגד זכות הגנה

מדוע אנו מתקשים ואף נמענים מהשאלה כיצד למנוע או לפחות לצמצם את הסיכון, כנראה מהסיבה שכל פעולה של הגברת מעקב ובקרה אחרי פעילותם של העובדים דורשת חדירה לפרטיות העובד? ארגונים מייחסים לשאלה זאת היבט מוסרי עמוק האם זה לגיטימי לחדור לפרטיותו של העובד?, אך כיצד ארגונים יכולים לצמצם ואף למנוע את הסיכון ללא פגיעה בפרטיות?, רצונו הטוב של העובד? לקוות שאצלם זה לא יקרה? או פשוט מזל? המקום שבו עובר הגבול בין צורך ההגנה לפרטיות העובד ארגונים חייבים להגדיר גבול בין זכות העובד לפרטיות בעבודתו לבין הצורך במעקב ובקרה בכדי להגן על הקניין של המעסיק בין אם מדובר בגורם חיצוני שינצל זהות של עובד או בכוונה זדונית של עובד.

היבט משפטי

לא ארחיב בהיבטים המשפטיים וכן נדרש לפנות לייעוץ משפטי על-מנת להבטיח שהארגון מחוסה מהיבט משפטי מכל מעקב, בקרה על העובדים. מדובר בצומת דרכים מורכבת מחוק יסוד כבוד האדם וחירותו שממנו נגזרת הזכות לפרטיות של העובד לבין זכות הקניין של המעסיק שנגזרת גם כן מאותו חוק היסוד. פסיקות מעטות שקראתי בהכנת הכתבה נראה שבית המשפט גם כן לא החלטתי בנושא.

סוגי האיומים 

את אותם עובדים מן הארגון אחלק ל-2 קטגוריות העובד העבריין, העובד שטעה:

העובד העבריין

עובד מן המניין הוא אדם בעל גישה למאגרי מידע עסקיים בעלי ערך בזכות עבודתו בארגון, אם מדובר בעובד בעל הרשאות עודפות הוא בוודאי בעל גישה למאגרי מידע רגישים ויתכן גם לנתונים טכנולוגיים. יתכן ועובד שהיה נורמטיבי יהפך לעבריין בעקבות אירועים שונים בחייו האישים או אכזבה מקצועית על אי קידום (ראה דוגמא: מקרה לאומי קארד), עובד שמעוניין להסב נזק או לסחוט את הארגון בגלל טעמים כלכליים, נקמה, אישיים, בעל יתרון משמעותי ונקודת ההתחלה שלו מתקדמת בהשוואה לגורם חיצוני, שכן הוא כבר בעל גישה וידע רלוונטי למאגרי מידע אשר הגורם החיצוני צריך עבודה רבה וארוכה בכדי להגיע לאותם מאגרי מידע האיכותיים. ארגונים עונים את התשובה השכיחה של אנו עוקבים אחרי התנהגות עובדים אשר מבצעים גישות חריגות או גישה לרשומות מידע רבות, אך האמת היא שהיכולת לזהות התנהגות עבריינית של עובדים שניגשים לאותו מידע על בסיס יומי מורכבת ואף מוגבלת. כיום היכולת לתת שוחד לעובדים או לסחוט עובדים קלה מאוד, כספים לא צריכים לעבור בערוצים הרשמיים כמו בנקים ואשראי, התפתחות ושכיחות השימוש במטבעות וירטואליים ייצר קרקע פורייה להעברת כספים בין גורמים ללא יכולת מעקב של רשויות ממשלתיות וגופי חקירה שונים אשר מתקשים לאתר עסקאות אלו ובכך למנוע או להיות מודעים לעסקאות אלו.

 העובד שטעה

טעות של עובד חושפת את הארגון לאירוע של דלף מידע, נזק תקשורתית, פגיעה באמינות, תדמית הציבורית ולתביעות משפטיות. עובד מן המניין איננו בעל ידע טכנולוגי מספק וידע מספק באבטחת מידע שיסייע לו מפני ליפול למרמה של גורם חיצוני. ארגונים אינם משקיעים באופן מספק בהדרכה, תרגול והכשרת העובדים בנושאים אלו ומסתפקים לרוב בכללי זהירות נקודתיים שידועים לכל. עובדים עלולים בקלות להוציא מידע עסקי לגורם הלא נכון (כפי שנאמר מי שלא טועה לא עובד), כיצד ארגונים צריכים להתמודד עם הסיכון הזה, ארגונים אינם מקיימים מעגלי אבטחה שמונעים את הטעות הם לרוב מבקרים (התראות בדיעבד). עובד אשר מקיים יחסי עבודה קבועים עם ארגון אחר, מנהלו האישי או לקוח, רגיל לשתף מידע עם הגורם וגם מורגל לפתוח צרופות ממנו ולכן לא יחשוד בו ויפתח בזריזות כל צרופה שמתקבלת בדואר אלקטרוני שכמובן עלולה לכלול פוגען 0-ימים, לדוגמא נושא נפוץ כמו "חשבונית על שירותים או Invoice" שכמובן כתובת השולח היא מזויפת אך נראית לגיטימית.

 סיכום והמלצות

ראשית ארגונים חייבים להחזיק במיפוי עדכני ומפורט לכלל ערוצי הוצאת והכנסת מידע ולקדם הרחבת, הפעלת פיקוח ומניעה על הערוצים הללו, את המיפוי יש לבקר לעיתים קרובות ע"מ להבטיח את מהימנותו ועדכניותו. נדרש לקבוע מדיניות סדורה בנושא מעקב ובקרה על מערכות המידע והפעולות בהם, יש לאשרר את המדיניות בהתאם למדיניות הארגונית והגורמים המשפטיים, ארגונים רבים אף מחתימים את העובדים על מסמך הצהרה שהוא מודע לכך שהארגון רשאי ומבצע מעקב ובקרה. יישום מנגנוני פיקוח ובקרה על פעילויות העובדים חייב לכלול מנגנון לזיהוי אנומליות בגישה למידע על מנת לקבל התראות איכותיות ככל שניתן. יישום מלכודות דבש בדמות שתילת מידע רגיש (כביכול). הקמת מערך הדרכה ייעודי לנושאי אבטחת מידע, פרסום חומרי הדרכה באופן תדיר לעובדי הארגון, חומרי ההדרכה צריכים לכלול הסבר ומשמעויות הסיכונים, דוגמאות עם תוצאתם של מקרים שהתרחשו לאחרונה, את הפרסום יש לבצע כמעין סרטונים אינטראקטיביים שמצריכים מהעובד להשתתף במענה על שאלות. על ארגונים לאמץ מדיניות תרגול עובדי הארגון באופן תדיר, מומלץ לתת תגמול לעובדים מן המניין אשר לוקחים (נאמני סייבר) חלק בהדרכת וסיוע לעובדים שמתקשים, תגמול יכול להתפרש גם כשובר קפה ומאפה או מעבר, לטובת החדרת מוטיבציה בעובדים.

 

 

אודות מערכת ITNEWS מאיר עשת

מנהל/עורך אתר ITNEWS. בוגר כלכלה ומנה"ס באונ' בן גוריון ו- MBA בירושליים. בעבר: כהן כיועץ כלכלי מטעם המדינה בהולנד ובהודו. היה סמנכ"ל שיווק בברדר, משנה למנכ"ל בסטארטאפ TVNGO, מנהל IT מגזין של גלובס בשנתיים האחרונות.