עובדים ולא האקרים הם סכנה למערכות הנתונים של החברה

 עובדים עלולים להיות סכנה גדולה לחברה, כך עולה מסקר של חברת Modis שמתמחה בהשמת כוח אדם בתחום טכנולוגיית המידע. ההכרזה הקיצונית נוגעת לתחום אבטחת המידע.
בסקר, שבוצע בין מרץ לאפריל השנה, השתתפו 1,200 עובדי משרדים. יותר ממחצית הנשאלים (51 אחוזים) שמשתמשים בסמרטפונים שקיבלו מהחברה, אמרו שמעולם לא חשבו על האפשרות שאולי הם מסכנים את אבטחת המידע של הארגון כאשר הם מעלים או מורידים מידע מהרשת באמצעות המכשיר הסלולרי. תוצאות נוספות של הסקר הראו שמחצית מהעובדים כללך אינם יודעים האם יש בארגון שבו הם עובדים מדיניות הנוגעת לפשיעה באינטרנט, ושאת האיום הגדול ביותר מהווים עובדים במשרה חלקית.

 רוי דאנגוורת', מנהל בחברת מודיס, שבחר להתבטא באופן המעורר מתח בין מעסיקים למועסקים, אמר: "כאשר אבטחת המידע ברשת היא עניין כה רב חשיבות, מעסיקים מודעים לסיכונים, אך רק מעטים מבינים שהעובדים שלהם עצמם הם גורם הפגיעה הגדול ביותר." דאנגוורת' הוסיף: "עבור עסקים, הקו הראשון בהתגוננות מפני פשיעה מקוונת הוא לא רק אבטחת רשת, אלא גם נהלים מתאימים שמבטיחים שסגל העובדים מודע לאיומים על מערכות החברה."

 בסקר התגלה שמידע מוגבל אינו תקף אך ורק לשימוש בסמרטפונים – 27 אחוזים מהעובדים לא היו מודעים לנהלים הקשורים בהגנה על מידע בדואר האלקטרוני, 25 אחוזים לא ידעו את הנהלים של החברה הקשורים לשימוש במחשבים השייכים לה.

דאנגוורת' אמר שהמעסיקים חייבים להיות ברורים לחלוטין לגבי הנהלים הקשורים לכל רכיב תוכנה או חומרה בתחום אחריותם, ממחשבים ניידים וטאבלטים ועד דואר אלקטרוני ואינטרנט. "בכל פעם שנכנס לשימוש מכשיר חדש שמאפשר לסגל העובדים לעבוד מרחוק, יש למסור נהלים נוקשים כחלק מהתחלת העבודה באמצעות מכשיר זה," הדגיש דאנגוורת'.

ממשלת בריטניה נענית לאתגר

הסקר של חברת מודיס פורסם פחות מחודשיים לאחר שממשלת בריטניה השיקה את תוכנית CCRP (שותפות להפחתת פשיעה אינטרנטית – Cyber Crime Reduction Partnership) לעבודה עם ארגונים במטרה לזהות סיכונים מקוונים ולמנוע אותם. תחושת ההיסטריה נובעת מהעובדה שמתקפת סייבר עלולה לגבות מחברה קטנה או בינונית מחיר ששווה ל-6 אחוזים מהמחזור שלה, ומכך שעלות מתקפות הסייבר על עסקים צמחה פי שלושה במהלך השנה האחרונה (הנתונים מבריטניה). בחודש אפריל המחלקה לעסקים, חידושים ומיומנויות, שהוקמה בממשלת בריטניה ב-2009, מצאה ש-87 אחוזים מהעסקים הקטנים והבינוניים  ו-93 אחוזים מהחברות שמעסיקות יותר מ-250 עובדים חווה פריצה למערכות המידע בין 2012 ל-2013.

ממשלת בריטניה, שהפנימה כי לסיכון למערכות מידע יש משמעות כלכלית שעלולה להיות כבדה מאוד, נקטה בצעד של רפואה מונעת והכריזה לפני ימים אחדים על השקת סכום של 7.5 מיליון ליש"ט בהכשרת מומחים לאבטחת מידע. הסכום יינתן לשני מרכזי מחקר בשתי אוניברסיטאות, אוקספורד ורויאל הולוויי, שיעבדו עם 30 עסקים וארגונים ויכשירו מומחי אבטחת מידע ברמה גבוהה. לאור התקציב החדש של ממשלת ישראל לשנים 2013 ו-2014 אפשר כרגע רק לחלום על צעד כזה אצלנו ובינתיים לבדוק את מצב אבטחת המידע ומודעות העובדים בארגון.

הפתרון לבעיית אבטחת המידע בארגונים

אחד הפתרונות שניתן למצוא לאבטחת המידע של הארגון במערכות הנתונים השונות, במיוחד עבור חברות קטנות ובינוניות ובמיוחד בעקבות הנתונים הנ"ל, ובהגנה של הארגון מפני פגיעה מבחוץ דרך רשת האינטרנט – הוא לבחור ולהשתמש במערכות שבנויות כך שנהלי העבודה הנדרשים לביטחון המידע יהיו בנויים בצורה אינטגרלית בתוכם, ולא כנהלים שנדרשים לביצוע ותלויים בגורם האנושי.

מערכות רבות בנויות כך שניתן להפעיל ולעקוף תקנות ונהלים לביטחון במידע, אך אלו לא מופעלים בהתקנה מקומית. הפעלתם יכולה למנוע נזקים גדולים לארגון. כמו כן עבודה על מערכות נתונים החשופות לרשת האינטרנט יכולה להעשות בצורה בטוחה יותר ע"י שימוש במערכות SaaS (תוכנה כשירות). הדבר נותן פתרון טוב עבור חברות קטנות ובינוניות, בהן לא בהכרח יש מערך פנימי של נותני שירותי תוכנה (מערכות מידע).

תוכלו ללמוד עוד על נושא זה ועל שימוש בטכנולוגיה לניהול המשאב האנושי בכנס HR-Tech – למידע נוסף לחץ כאן.