שימוש לרעה במידע רגיש ומסווג

אילו נורות אדומות ניתן לזהות בקרב עובדים בנוגע לשימוש במידע רגיש

כתב לוקאל 15/05/2019
שלומי אדר
צילום: פרטי

יותר ויותר מקרים מדווחים על עבירות שמתבצעות ע"י עובדים ממקום העבודה. פרשיה חמורה אירעה בחברת NSOוהוגדרה כסכנה ביטחונית. במקרה זה עובד בכיר בחברת NSO לאחר שימוע לפני פיטורים החליט לקחת כונן חיצוני D.O.K ולהוריד מהמחשב תוכן רגיש ולמכור את החומרים לגורם זר, החברה זיהתה נורות אדומות החלה לעקוב אחר העובד, דיווחה למשטרה ובסופו של דבר העובד המפוטר נעצר. 

גניבה של תוכנה שמכילה מידע רגיש מאוד על מוצרי החברה בקרב עובדים הפכה לתופעה של ממש, חברות משקיעות רבות בטכנולוגיות שיסייעו להם בהתמודדות עם סוגיית שימוש לרעה במידע שברשותן, על מנת להגן על מידע רגיש ולעמוד בתקנים ובדרישות רגולטוריות. אך אחת הטעויות הנפוצות בקרב ארגונים רבים שהם אינם מייחסים משקל ראוי לביצוע תהליכי פיקוח ובקרה על בסיס התפיסה של סיכול ומניעה, עוד בטרם ביצוע מעשה גניבת מידע, חומרה, הונאה או מעילה בקרב עובדים באמצעים הממוחשבים העומדים כמעט בכל ארגון בחברה המודרנית בה אנו חיים.

כל אירוע כזה הוא קריטי ומאיים על קיומה של החברה ישנן מספר נורות אדומות שניתן לזהות בקרב עובדים:

1.     עובדים אשר נמצאים במצוקה כלכלית התחילו הרגל כמו הימורים, סמים, אלכוהול או בעיה רפואית של בן משפחה וכו'.

2.     עובדים אשר במסגרת תפקידם נוטים יותר להיות חשופים למידע רגיש עלולים להעבירו למתחרים.

3.     עובדים אשר מחליפים בתדירות גבוהה את סיסמאות במחשב וטלפון חכם עובדים שמשלבים קודים או הצפנות למידע שבדר"כ מוגדר כציבורי

4.     שימוש יתר עי' עובדים בתוכנת הקלטה אוטומטית של שיחות טלפון ומחשב

5.     מעילות רבות מתגלות כשהעובד יוצא לחופשה ועובד אחר מחליף אותו. למרות שהעובדים לא בהכרח מתוגמלים כמו יתר עמיתיהם בתחום  נוצר מצב של הימנעות מיציאה לחופשה. הללו ממעטים לצאת לחופשה מחשש שבעת היעדרותם מעשיהם יחשפו.

6.     עובדים  שפועלים במקום עבודתם עם מחשב ואו טלפון חכם נפרד בנוסף לאמצעים שהארגון מעמיד לרשותם.

7.     שימוש בתקציבים ייעודיים ע"י עובדים לצרכים שונים מהגדרתם המקורית.

8.     יציאות תכופות של עובדים במהלך יום העבודה ושלא במסגרת דרישות תפקידים.

9.     הדפסה של מסמכי רכש והזמנות ומחיקתן ממאגר המידע הציבורי של החברה.

10.  הוצאה פיזית של כמויות גדולות של מידע ניירת עי' עובדים  מחוץ לארגון.

11.   שימוש בכתובות דואר אלקטרוני נוספות לאלו שסופקו עי' הארגון.

12.  שימוש תכוף באמצעות מחשב אישי או באמצעים נתיקים שאינם ברשת מחשבים של החברה.

כל ארגון ראוי שינקוט פעולות שוטפות כדי למזער את הסיכון ולנסות להימנע מתופעות של מעילה, הונאה או זליגת מידע, באחריות הארגון ליצור מנגנוני בקרה וביקורת מתאימים למניעה ולגילוי ואף ולהוביל מהלכים שיפחיתו הרתעתית וטכנולוגית באופן משמעותי את היתכנות לבצע פרצות במערך  האבטחה ובכך להגן טוב יותר על נכסי הארגון ועובדיו.

כאשר בוחנים סוגיות עולם תחת עינו של מומחה אבטחת מידע ניתן לומר כי סוגיות אלו בדר"כ לא מטופלות ע"י גורם בעל אוריינטציה מערכתית כוללת  אלא ע"י מנהל מערכות מידע ושולחיו שאינן בקיאים דיו להתמודד עם מצבים אלו ולא  ולכן ראוי לבחון היעזרות גורמי מקצוע דוגמת משאבי אנוש, מבקרי פנים/חוץ, אבטחת איכות ודומיהן על מנת לספק מענה ראוי מתכלל ומקיף

 הכותב הוא שלומי אדר מומחה בינלאומי לביטחון ואבטחת מידע , מהימנות עובדים ומצבי חירום. בעל ניסיון של 30 שנה בסקטורים העסקיים.

עוד ב
חשבנו שיעניין אותך גם...
דואגים לאם ולילד
מקדמים את הרפואה בדרום
סיור בבתי עסק בקניון רננים
מי משגיח על המשגיחים?
מקדימים כריתה לקריסה
"הילדים שלנו מופקרים ברחובות"
אליניב ברדה בדרך להנפקת דרכון פורטוגלי
אליניב ברדה בדרך לדרכון פורטוגלי
נאור שירי. במקום חנוכה
סבב פיטורין בעיריית הוד השרון
החמישייה הפותחת
החמישייה הפותחת