הרשות להגנת הפרטיות: כך תעבדו מהבית ותשמרו על המידע שלכם

הרשות להגנת הפרטיות במשרד המשפטים פרסמה היום (ד') מסמך ובו דגשים למנהלים ולעובדים לגבי מדיניות עבודה מרחוק אל מול הרשת הארגונית. זאת, במטרה לשמור על הגנת פרטיות המידע ואבטחת המידע גם בימי משבר אלה.

על פי הרשות, "אלה‏ ימים מורכבים, ‏אשר ‏עוברים ‏על ‏כולנו. ‏הניסיון ‏לבלום ‏את ‏התפשטות ‏נגיף ‏הקורונה ‏משפיע‏ באופן ‏משמעותי ‏על ‏ההתנהלות ‏המקצועית ‏ועל‏ חיי ‏היומיום ‏של ‏כולנו. ארגונים ‏רבים ‏במשק ‏נקטו ‏בצעדים ‏מהירים ‏וחריגים ‏כדי מחד ‏לבודד ‏את ‏העובדים ‏ומאידך לאפשר ‏רציפות ‏תפקודית, ‏ופעלו ‏במהירות ‏על ‏מנת ‏לאפשר ‏לעובדיהם ‏עבודה ‏מרוחקת, ‏לרבות‏ ממחשבים ‏ביתיים.‏ אם פעולות ‏אלה ‏נעשו בלי ‏ביצוע ‏הערכת ‏סיכונים ‏מסודרת, ‏יש ‏בכך‏ כדי להגדיל ‏את ‏הסיכוי ‏להתרחשותו ‏של ‏אירוע ‏אבטחת ‏מידע. על ‏כן, יש ‏להקפיד ‏ולוודא ‏כי ‏גם ‏במצבי ‏קיצון‏ ובמציאות‏ דינמית ‏ניתנת ‏תשומת ‏הלב ‏הנדרשת ‏לנושא ‏ההגנה ‏על ‏פרטיות ‏המידע ‏ואבטחת ‏המידע".

"‏המצב החדש", נכתב, "‏מציב ‏בפני ‏הארגון סכנות רבות, לדוגמה גניבה או אבדן‏ של‏ מחשב, או ‏מכשיר ‏נייד ‏המכיל ‏חומר ‏רגיש, ‏ואפשרות ‏גישה ‏לרשת ‏הארגונית ‏באמצעות ‏אמצעי ‏זיהוי‏ הנשמרים‏ עליו; ‏חוסר יכולת אכיפה של מדיניות אבטחה ארגונית;‏ גישה ‏מרחוק ‏דרך ‏מכשיר לא מאובטח, ‏המהווה ‏נקודת ‏תורפה ‏אבטחתית ‏חמורה; ‏ניהול עובד שיצא לחל"ת, שחלה או שעזב‏ ושמכשירו‏ האישי ‏נשאר ‏בידיו, ‏ובו ‏מידע ‏ארגוני ‏רגיש ‏ואפשרות ‏גישה ‏למשאבי ‏הארגון ‏ולמערכותיו; ריבוי טכנולוגיות ‏המייצר ‏עומס ‏על ‏צוותי ‏התמיכה ‏והאבטחה ‏וחוסר ‏היכרות ‏עם ‏הסיכונים‏ הגלומים ‏במגוון ‏רב ‏של ‏מערכות ‏הפעלה ‏וסוגי ‏מכשירים".

עקב המצב, כאשר העובדים עובדים על מחשב של הארגון ומתחברים לרשת הארגונית מביתם, אומרים ברשות שחשוב ‏למלא ‏אחר ‏כמה כללים. "ברמת ההנהלה: נושא ‏הגישה ‏מרחוק ‏יתווסף ‏מידית ‏לניהול ‏הסיכונים ‏הארגוני, ‏תוך ‏גיבוש ‏מדיניות‏ אבטחה ‏ארגונית ‏לטובת ‏השימוש ‏בגישה ‏מרחוק ‏ובמכשירים ‏אישיים; רצוי ‏להשקיע ‏במערכות ‏ובטכנולוגיות ‏ייעודיות ‏להתמודדות ‏עם‏ הסיכונים ‏אשר‏ מציבים‏ מכשירים ‏אישיים".

כמה כללים לעבודה בטוחה יותר מהבית. צילום אילוסטרציה: BigStock

"ברמה הטכנולוגית", נכתב, "יש ליצור ‏שכבות ‏הגנה ‏שימנעו ‏גישה‏ ממכשירים ‏אישיים ‏לא ‏מאובטחים ‏מספיק‏ לנכסים‏ הקריטיים ‏של ‏הארגון; להגדיר ‏נהלי ‏שימוש ‏בגישה ‏לרשת ‏באמצעות ‏מכשירים ‏אישיים, ‏ונהלי ‏שמירת ‏ואבטחת‏ המכשירים ‏בעת ‏שלא ‏נעשה ‏בהם ‏שימוש; להגביר את הניטור ‏והבקרה ‏על ‏הגישה ‏מרחוק ‏בפעולות ‏המבוצעות ‏אל ‏מול ‏משאבי ‏הארגון; להגביר את ‏המודעות ‏בקרב ‏העובדים ‏לשימוש ‏בתוכנות ‏אבטחה ‏ולעבודה ‏מאובטחת במכשירים ‏הפרטיים ‏שלהם, להדריך ולהנחות באשר ‏לפעולות ‏שעל ‏העובד ‏לבצע ‏לשם‏ הקטנת ‏סיכוני ‏האבטחה; להגדיר ‏אמצעי ‏גישה ‏מאובטחים ‏למערכות ‏המשרדיות, ‏ובכלל ‏זה ‏הפעלת מנגנון ‏הזדהות‏ חזק ‏בכניסה ‏לרשת – MFA, או 2FA. זאת, לצד חובת ‏הגדרת ‏סיסמת ‏אבטחה ‏מוקשחת, ‏אכיפת אפשרויות ‏העתקת ‏ושמירת ‏מידע ‏רגיש ‏במכשיר ‏הביתי, ‏הגדרת ‏חובת ‏ניתוק ‏חיבור ‏לאחר‏ פרק ‏זמן ‏של ‏חוסר ‏פעילות ‏בגישה ‏מרחוק, ‏ביטול ‏האפשרות ‏לעבודה ‏עם ‏תוכנות ‏השתלטות מרחוק‏ כדוגמת TeamViewer ו-Anydesk‏, ועוד".

שימוש ב-"מחשב זר" בעת גישה לרשת המשרדית

ברשות להגנת הפרטיות ציינו כי "המחשבים הביתיים לא בהכרח מוגנים תמיד, גם אם המידע ‏שיעובד‏ בהם ‏יהיה ‏רגיש ‏באותה‏ המידה. יש ‏לוודא ‏כי ‏המחשב הביתי ‏בו ‏נעשה ‏שימוש ‏כזה ‏כולל ‏מערכת הפעלה ‏מעודכנת ‏ותוכנת אנטי וירוס ‏פעילה, ‏שכן ‏מערכת ‏ההפעלה ‏הינה ‏אחד ‏מהיעדים ‏המבוקשים ‏ביותר ‏על ‏ידי האקרים. על ‏הרשת הביתית ‏‏להיות ‏מאובטחת ‏על ‏ידי ‏תוכנת פיירוול ‏מעודכנת ‏ונתב מאובטח ‏- ‏בו ‏מומלץ ‏לשנות ‏את ‏שם ‏המשתמש ‏והסיסמה, ואף ‏את ‏שם ‏הזיהוי ‏של ‏הנתב (SSID); יש לדאוג ‏שעבודה ‏על ‏רשת ‏ה-‏Wi-Fi‏ תיעשה ‏תחת ‏הצפנה ולא לתת ‏את‏ הסיסמה ‏לרשת ‏לכל ‏אורח; יש ‏לוודא ‏כי ‏המחשב ‏והשירותים ‏השונים ‏אליהם ‏הוא ‏פתוח ‏מצוידים ‏בסיסמאות חזקות‏ למחשב, ‏כדי ‏למנוע ‏גישה ‏לתוקף. ‏סיסמה ‏חזקה ‏היא ‏כזו ‏אשר ‏תקשה ‏על ‏ניחושה ‏ותכלול‏ תווים ‏רבים ‏ככל ‏האפשר ‏(שמונה‏ תווים ‏מינימום – ‏ועדיף ‏יותר) ‏בשילוב ‏של ‏אותיות ‏קטנות, ‏גדולות,‏ מספרים ‏ותווים ‏מיוחדים. יש לזכור להשתמש‏ בסיסמאות ‏שונות ‏לשירותים ‏שונים, ‏על ‏מנת ‏להימנע ממצב ‏בו ‏חשיפה ‏של ‏סיסמה ‏אחת ‏תאפשר ‏פגיעה ‏ביתר ‏השירותים".

עוד נכתב כי "התוכנות המותקנות ‏על‏ המחשב עלולות ‏להוות ‏נקודות ‏חולשה, ‏בדגש ‏על ‏התוכנות ‏הנפוצות, ‏אשר‏ לרוב ‏תוקפים ‏מחפשים ‏עבורן ‏פרצות, ‏כגון: ווב, תוכנות המציגות קבצי PDF, ג'אווה, פלאש, דפדפנים ואופיס. על ‏כן, ‏יש ‏לוודא ‏כי‏ גם ‏תוכנות ‏אלה ‏מעודכנות ‏בעדכוני ‏האבטחה ‏וכי ‏אין מדובר ‏בתוכנות ‏פרוצות, ש‏ הורדו ‏מהאינטרנט ונושאות וירוסים. שימוש ‏במחשב ‏זר ‏שהוא ‏ציבורי, ‏או ‏של ‏אדם ‏זר – ‏אסור, ‏ובכל ‏מקרה ‏אין ‏להשאיר ‏את‏ סביבת ‏העבודה ‏המשרדית ‏פתוחה ‏או ‏את ‏המחשב‏ עצמו ‏פתוח בלא‏ השגחה. ‏עם ‏סיום ‏העבודה ‏יש ‏לסגור ‏את ‏מסך ‏ההתחברות, ‏לסגור ‏את ‏הדפדפן ‏ולנעול ‏את ‏המחשב".

מערכות ארגוניות ואחרות

כן צוין במסמך כי "העבודה בבית ‏ותקלות ‏טכניות ‏במערכות ‏הארגוניות לעתים ‏מאלצות ‏אותנו ‏לעשות‏ שימוש ‏בכלי ‏דואר ‏אלקטרוני ‏פרטיים, כגון ‏ג'ימייל, ‏או ב‏מערכות ‏מסרים מיידיים, כדוגמת ‏ווטסאפ. יש לזכור כי יש סיכון רב בהעברת מידע ארגוני, בוודאי מידע חסוי או רגיש, ברשתות חברתיות, במערכות למסרים מידיים או במייל פרטי, ובדרך כלל, העברה כזו של מידע אישי על תשתית פומבית – אסורה. ‏נדרש‏ להגביר את תשומת הלב ולבדוק היטב את הנמענים ואת רגישות התוכן המועבר. יש ‏לשים ‏לב ‏במיוחד ‏לפעולות גיבוי או העתקת מידע ממערכות ארגוניות לסביבת העבודה המקומית, שעלולות ‏לגרום ‏להעתקה ‏של ‏המידע ‏לשרתי‏ קבצים‏ חיצוניים ‏ולא ‏מאובטחים, כגון ‏גוגל ‏דרייב. עם ‏סיום ‏העבודה ‏על ‏המידע ‏המקומי ‏והעברתו‏ חזרה ‏למערכת ‏הארגונית, ‏יש ‏לוודא ‏את מחיקתו ‏המלאה, ‏מכל ‏מקום ‏אליו ‏הועתק, ובכלל ‏זה ‏מפח האשפה".

גם בווידיאו קונפרנס צריך להישמר מסכנות. צילום אילוסטרציה: BigStock

ניהול פגישות ושיחות וידיאו מבוססות ענן

הרשות מתייחסת במסמך גם לצורך בקיום פגישות וישיבות וירטואליות בעת העבודה מרחוק. "יש ‏להבין ‏כי ‏מדובר‏ בסביבת ‏עבודה ‏ציבורית ‏לא ‏מאובטחת, ‏אשר ‏עלולה ‏לגרום ‏לחשיפה לא ‏מבוקרת ‏של ‏מידע ‏רגיש. יש להפנים שמידע ‏שאותו ‏מציגים עלול ‏להיות ‏מצולם ‏או מוקלט, ועלול להיות ‏משותף ‏‏עם ‏גורמים ‏אחרים. שימוש ‏במערכת ‏חיצונית ‏אוסף ‏מידע ‏רב ‏על ‏המשתמשים ‏בה ‏ודורש ‏הרשאות ‏גישה‏ למצלמה, ‏לקבצים ‏על ‏המכשיר ‏ועוד. ‏בשם אספקת ‏חוויית ‏משתמש ‏טובה ‏יותר, ‏מערכות‏ חיצוניות ‏אלה ‏אוספות ‏מידע ‏הכולל ‏את ‏פרטי ‏הקשר ‏של ‏המשתמש, ‏מידע ‏על ‏עבודתו‏ ותפקידו,‏ פרטי ‏אשראי ‏ותשלום, ‏פרופיל ‏מדיה ‏חברתית ‏ומידע ‏כללי ‏על ‏העדפות ‏המוצר ‏והשירות, ‏על ‏המכשיר, ‏הרשת ‏והחיבור‏ לאינטרנט, ‏ועוד. המידע‏ שנאסף ‏או ‏מוקלט ‏מועלה ‏פעמים ‏רבות ‏לענן ‏ומסופק ‏לחברות ‏צד‏ שלישי", צוין.

הונאות וניסיונות פישינג

מה באשר להתגוננות מפני האקרים? במסמך נכתב ש-"חוסר ‏הביטחון ‏שכולנו ‏חשים ‏בימים אלה ‏מהווה ‏כר ‏פעולה ‏נוח ‏לפעילותם ‏של גופים ‏עברייניים, שמבקשים ‏לנצל ‏את‏ המצב, ‏ו-'לגזור ‏קופון' ‏על ‏ידי ‏איסוף ‏מידע ‏ושימוש‏ בלתי ‏חוקי בו. ‏כך, ‏בימים ‏האחרונים ‏אנחנו מקבלים ‏דיווחים ‏מרחבי ‏העולם ‏על ‏פעילויות ‏הונאה ‏שונות ‏המנצלות את ‏מצב ‏החירום ‏באמצעות ‏ניסיונות‏ פישינג, ‏שנועדו ‏לאסוף ‏פרטי ‏מידע ‏לצורך ‏ביצוע ‏הונאות ‏והוצאת‏ כספים ‏במרמה. קיימים ‏דפוסים רבים ‏של ‏ניסיונות ‏הונאה כאלה".