מדריך למעסיקים מפני גנבת מידע על-ידי עובדים

עובדים רבים בארגונים ובחברות חשופים למידע רגיש וסודי. האם האמון שניתן בהם מוצדק? לא תמיד. לאחרונה הוגש כתב אישום נגד עובד לשעבר בחברה המתמחה בלוחמת סייבר, בגין גנבת תוכנה וניסיון למכור אותה לגורם זר. בין יתר סעיפי האישום החמורים, שכללו פגיעה בביטחון המדינה וביצוע פעולת שיווק ביטחוני ללא רישיון, נטען לשבוש או הפרעה לחומר מחשב, עבירה שעונשה הוא עד שלוש שנות מאסר. את המעשים, נטען, עשה העובד משום שעמד בפני פיטורים.

מכאן עולות שאלות מהותיות – כיצד יכול מעסיק להגן על עצמו מפני אפשרות לשימוש חריג של עובד במידע המצוי במערכות הארגון? כיצד יכול מעסיק להגן על עצמו מפני אפשרות של גנבת מידע על ידי עובדים? מהם הכלים המשפטיים העומדים לרשותו?

לפני מספר שבועות נכנסו לתוקף תקנות אבטחת מידע חדשות, העוסקות באופן נרחב בהגנה על המידע הנמצא במערכות ארגונים וחברות, גם מפני העובדים עצמם. תקנות אלו חלות על כל הגופים במשק הישראלי, החל מעסקים קטנים, דרך עמותות ומלכ"רים וכלה בתאגידי ענק. להלן הצעדים שיש לנקוט בכדי להגן על המידע הרגיש בחברה בכל הקשור לעובדים:

מיון וקבלת העובדים לארגון
הבסיס להגנה על המידע מפני עובדי הארגון עצמם הוא לקבל לארגון את העובדים הנכונים. תקנות אבטחת המידע החדשות קובעות חובה לכל ארגון לנקוט באמצעים סבירים בעת מיון העובדים ושיבוצם, כדי לנסות ולצמצם את האפשרות שגורם שאינו מתאים לכך יהיה בעל הרשאת גישה למידע. אמצעים מקובלים כאלה הינם מבחני אמינות, תשאול מעסיקים לשעבר ופעולות דומות אחרות, שמטרתן לצמצם את האפשרות שגורמים לא ראויים יתקבלו לעבודה בארגון.

ניהול חכם של הרשאות הגישה
דבר שעובד אינו יכול לראות, הוא גם לא יוכל להדליף. ניהול חכם של הרשאות הגישה יבטיח שעובד יראה רק את המידע הנחוץ לו לעבודתו ולא מעבר לכך. הדבר אף עולה מהוראות תקנות אבטחת המידע, הדורשות מכל ארגון לנהל בצורה מסודרת את הרשאות הגישה למאגרי המידע ולדאוג לעדכן את ההרשאות, עת עובד עוזב או עובר תפקיד.

נוהל תיעוד ובקרה
כאשר דולף מידע מארגון, אחת השאלות הראשונות שעולות הינה, מי היה חשוף למידע. מנגנון תיעוד ובקרה בארגון יכול לספק מידע אמין ומלא בעת בדיקה או תחקור, בכדי ליצור תמונת מצב מפורטת אחר האירועים השונים שהתרחשו. בנוסף לכך משמש מנגנון כזה גם כאמצעי הרתעה.

נוהל זיהוי, אימות וסיסמאות
יש להקפיד על ניהול נכון של הסיסמאות על-ידי העובדים, במגמה למנוע מעובד להיכנס למערכת תחת סיסמה של עובד אחר. במסגרת כך יש לוודא כי אופן הזיהוי יתבצע, ככל האפשר, על בסיס אמצעי פיזי הנתון לשליטתו הבלעדית של המשתמש, כגון כרטיס חכם באמצעותו יזדהה מול המערכת; יש לאסור על חשיפת הסיסמה האישית לאדם אחר ויש לאסור על שימוש בסיסמה זהה בעבור קבוצות משתמשים; כמו כן יש להורות כי יש להחליף את הסיסמה הראשונית שהוקצתה על ידי מנהל הרשת מיד עם ביצוע ה-Log-in הראשון.

איסור על שימוש בהתקנים ניידים ותוכנות לא מורשות
אחת הדרכים להוציא מידע מארגון היא באמצעות התקנים ניידים (כגון דיסק און קי). לכן יש לאסור על שימוש בהתקנים ניידים בארגון, למעט שימוש בפיקוח של איש מערכות המידע ולמטרה מוגדרת מראש על-ידי הארגון. יש אף לאסור על שימוש בתוכנות לא מורשות ולקבוע איסור מוחלט להתקין במחשבי הארגון תוכנות בלתי מורשות, כגון תוכנות פרטיות וללא רישיון. תכונות כאלה יכולות להחדיר לארגון "סוס טרויאני" שישמש מנוף להוצאת מידע מהארגון. כדי למנוע אפשרות של הוצאת מידע, ארגון אף צריך לאסור על עובדים להחזיק מידע בהתקנים המצויים במחשבים שנמצאים בעמדת העבודה שלהם, ככל שיש כאלו.

נוהל אבטחה פיזית וסביבתית
ראוי שארגון יגדיר ויתווה את נהלי בקרת הכניסה והאבטחה הפיזית והסביבתית במתחמי החברה, כדי למנוע כניסה של גורמים לא מורשים לאזורים המאפשרים גישה למידע.

הדרכות והתחייבויות לאבטחת מידע
על ארגון להקפיד לקיים פעילות הדרכה תקופתית לבעלי הרשאות הגישה למאגרי המידע שלו, בדבר הוראות אבטחת המידע בארגון, ולהחתימם על נוהל אבטחה והוראות אבטחת המידע שעל הארגון לקבוע לעצמו.

האם חברה יכולה לתבוע עובד שהדליף/השתמש בחומרים שלא למטרה שלשמה יועדו?
עובד שעבר על נהלי החברה, והדליף בזדון מידע ממאגרי המידע שלה, חשוף בין היתר גם לתביעה של החברה. זו תוכל לתבוע אותו בגין נזקיה וגם לגלגל אליו (במסגרת הודעת צד שלישי) תביעות שיוגשו נגדה.

האם ניתן לתבוע את החברה על מחדלי אבטחה שקרו בה?
חברה אשר ימצא כי מידע דלף ממנה על-ידי עובד וכי התרשלה בשמירה על המידע ביחסיה עם העובדים עלולה למצוא את עצמה נתבעת על-ידי אותם אנשים שמידע עליהם דלף. רשלנות כזו יכולה להיות, למשל, מקום שבו לעובד הייתה הרשאת גישה למידע שדלף, אשר לא הייתה נחוצה לו לצורכי עבודתו.

 אין האמור מחליף כל חוות דעת, ייעוץ וליווי משפטי, וכל האמור בגדר המלצה בלבד.

הכותב הוא עו"ד ממשרד דן חי ושות', המתמחה בייעוץ והסדרת מוכנות משפטית בנושא ניהול מאגרי מידע, אבטחת מידע, סייבר ופרטיות וכן ייצוג בהליכים מנהליים ופליליים בגין שימוש אסור במאגרי מידע וניהולם