שיתוף

הטיפול בנושא אבטחת המידע בארגונים שמעסיקים עובדים מהבית, גם אם במשך כמה ימים בשבוע, ועל אחת כמה וכמה באופן מלא, הוא מאתגר ביותר וארגונים חייבים להיערך לכך עם תוכנית סדורה שמטפלת בכל הפרצות הפוטנציאליות.

העובדים מביתם עלולים ליצור את נקודות התורפה הרבות והמסוכנות ביותר, גם בארגונים שיש להם VPN (מעין שרוול שדרכו עוברת תעבורת הרשת של הארגון והוא מסתיר את הנתונים של הארגון מפני פורצים פוטנציאליים), חומות אש מבוצרות ותוכנות אבטחת מידע משוכללות ביותר.

הסיבה לכך היא שעבודה מהבית פירושה שלמעסיק יש פחות שליטה על אבטחת המידע של העובדים.

תקנות GDPR, שבארץ חלות רק על חברות שיש להן לקוחות וסניפים באירופה, מחייבות את אותן חברות להגן על המידע האישי של העובדים (והלקוחות) ולהפחית את סיכוני אבטחת המידע על ידי אמצעי אבטחה מחמירים.

מדיניות העבודה מהבית של כל ארגון, חייבת לכלול, כחלק בלתי נפרד ממנה, מדיניות בקרת גישה למערכות הארגון, שמפחיתה סיכוני סייבר, ושומרת על בטיחות הנתונים.

מדיניות כזאת חייבת להגדיר בצורה ברורה לאילו עובדים יש גישה לשרתי הארגון, באילו נתונים הם יכולים להשתמש ואיך הם יכולים להשתמש בהם כחלק מהמשימות היומיומיות שלהם.

רוב התוכנות הזדוניות וסוגי הפריצה האחרים, מועברים אל העובדים על ידי התקפות דיוג בהודעות אימייל, והודעות טקסט (סמס ו-ווטסאפ וכו), ונכון להיום יש להם שיעורי הצלחה גבוהים מדי.

פעמים רבות, התקפות דיוג מסתמכות על נושאים שקרובים לליבו של הקורבן, ומנצלות את הפחדים ואת הרגשות של הקורבן הפוטנציאלי, במטרה לגרום לו לפתוח קובץ מצורף שהוא תוכנה זדונית או ללחוץ על קישורים שמביאים אותו לאתרים מזוייפים.

ההונאות נועדו להטעות אנשים, כדי שימסרו פרטים אישיים, בהם פרטי ההתחברות לרשת, ולעיתים כדי שיורידו תוכנות זדוניות שמאפשרות לפורצים גישה למחשב.

התוכנות הזדוניות הפכו כל כך מתוחכמות, עד כי לעובדים קשה יותר ויותר לזהות מהי הודעת דואר אלקטרוני או הודעת טקסט אמיתית ומהי התקפת סייבר.

הקושי גדול אף יותר נוצר משום שלפעמים, הודעות אימייל עוברות את מסנני האימייל של הארגון ומגיעות אל תיבות הדואר הנכנס של העובדים.

כדי להתגבר על כך יש לבצע הדרכות לעובדים, במסגרתן יש ללמד אותם איך להמנע מפתיחת הודעות דיוג. הדרכות אלה יכולות להפחית את הסיכון הנשקף מאימיילים אלה.

ההדרכות צריכות להנתן לא רק לעובדים חדשים אלא גם לעובדים הקיימים של החברה. לאור העובדה שפורצי הסייבר משתכללים כל הזמן ושיטות ההתקפה שלהם משתנות, חשוב לתזמן הכשרות וקורסי ריענון אחת לתקופה באופן סדיר, כדי ללמד את העובדים איך לאתר הודעות דיוג וכדי לעדכן אותם לגבי סיכונים נוספים.

נכון להיום, פחות ממחצית מהארגונים בעולם מקיימים הדרכות כאלה. תזכורות והדרכות קבועות חשובות במיוחד לעובדים מהבית, שמשתמשים במחשבים שבביתם ובמכשירים שלהם כדי לגשת לרשת הארגונית.

למרות כל זאת, גם בארגונים שיש להם מדיניות אבטחה מצויינת לעבודה מהבית והדרכות שוטפות, עדיין, העובדים מהבית עלולים להוות את סיכון האבטחה הגדול ביותר לרשת ארגונית, במיוחד כשמדובר בסיסמאות.

אחת המהמורות נעוצות בכך שלעובדים יש כיום כל כך הרבה סיסמאות לזכור, שלעתים קרובות, כדי לא לשכוח, הם מאחסנים אותן במקומות לא מאובטחים, כמו לדוגמה בטלפון הסלולרי.

בנוסף, הם חוזרים על אותן סיסמאות בכמה חשבונות. כל הפעולות הללו מסכנות את הרשת הארגונית.

פושעי הסייבר יודעים היטב שהעובדים מהבית מקפידים הרבה פחות על קיום שיטות האבטחה והם משתמשים בנקודות תורפה אלה כדי לפצח סיסמאות ועל ידי כך לגשת למידע ארגוני רגיש.

מדיניות סיסמאות מתועדת יכולה לסייע בטיפוח תחושת אחריות של העובדים מביתם ולשפר את תחכום הסיסמאות של רוב העובדים, ועל ידי כך להפחית נקודות תורפה.

בין השאר, על הממונים על אבטחת המידע להסביר לעובדים מביתם שאסור להם להשתמש במידע אישי בסיסמאות, משום שהאקרים יכולים למצוא בקלות את המידע הזה ברשתות החברתיות, ושאסור לקבוע סיסמאות זהות לכניסות לכמה חשבונות. זה יכול לסייע בהפחתת הסיכון.

סיסמה שמורכבת מביטוי שאהוב על העובד היא מאובטחת יותר משום שלהאקרים קשה יותר לפצח סיסמאות כאלה, ולעובדים קל יותר לזכור אותן.

כנס משאבי אנוש בנושא העצמת ההון האנושי

אין תגובות

השאר תגובה