העבודה מהבית הפכה כבר ברוב הארגונים לעובד קיימת. לכולם ברור שארגון שרוצה לשמר את העובדים שלו חייב לאפשר לעובדיו לעבוד מהבית לפחות בחלק מימי השבוע (במסגרת מודל העבודה ההיברידי).
ברגע שהעבודה עוברת לביתם של העובדים יש להעלות הילוך במידה דרמתית בכל הנוגע לאבטחת מידע. יותר ויותר מתברר שסוגיית אבטחת המידע היא אחד האתגרים הגדולים שכרוכים בעבודה מרחוק.
הצורך לאבטח את מעבר הנתונים מביתו של העובד אל מערכות הארגון וממערכות הארגון אל מחשבו הביתי של העובד דורש ביצוע שינויים משמעותיים ביותר במערכות המידע וגם בהעלאת המודעות של העובדים לצורך בשמירה על אבטחת המידע.
סקרים שנערכו בארה"ב על ידי חברות אבטחת מידע מראים, כי זמן לא רב לאחר תחילת משבר הקורונה, כ-40 אחוזים מהארגונים חוו תקיפות סייבר בהיקף גדול יותר לעומת מספר התקיפות שהם חוו לפני המעבר לעבודה מהבית.
הסיבה לכך היא שהרחבת השימוש בענן, עם גישה מבתי העובדים, מגדילה מאוד את מרחב הפעולה של התוקפים. במסגרת הסקרים שנערכו בארה"ב נאלצו מנהלים רבים להודות, כי בצד היתרונות הרבים שיש במעבר לדיגיטל, הוא גם הופך את החברה מטרה נוחה לתוקפי סייבר.
כפי שכתבנו בכתבה 3 עקרונות בסיסיים לאבטחת נתוני העובדים, מחקרים שנערכו על ידי איגוד האבטחה המוביל בתעשיית מערכות המידע בארה"ב (CompTIA) מצביעים על כך שטעויות אנוש מהוות עד כ-52% מהגורמים הבסיסיים לפרצות אבטחה.
אם כן, אילו סוגי טעות אנוש גורמים לפרצות במערכות אבטחת המידע, ואיך טעויות של עובדים מאפשרות גישה להאקרים ולכניסת תוכנות זדוניות.
ממחקרים עולה, כי כ-42% מהפרצות נגרמות בגלל חוסר זהירות כללית, כ-31 אחוזים מהפרות אבטחת המידע נובעות מכשלים בהבנת איומים חדשים, כ-29% מהפרות אבטחת המידע נובעות מחוסר מומחיות מספקת של אנשי מערכות המידע בארגון וכ-26% מנקודות התורפה שדרכן ניתן לפרוץ למערכות נגרמות משום שצוותי ה-IT עצמם לא ממלאים באדיקות אחר הנהלים.
אם כן, איך מאפשרות הטעויות הללו להאקרים לפרוץ אל נתוני הארגון. עובד שאף פעם לא משנה את הסיסמה שלו, לדוגמה, מסכן בכך את כל הארגון. להאקרים קל מאוד לפצח סיסמאות, ולכן יש צורך להחליף אותן באופן קבוע.
דוגמה נוספת היא הודעות דיוג. יש תוכנות שמאפשרות להאקרים להתחזות למישהו שהינו מוכר לעובד, ולקבל ממנו (מהעובד) סיסמאות ונתונים רגישים אחרים, או אף לגרום לו ללחוץ על לינק שמאפשר כניסה של רוגלות.
הכשרה מתאימה תאפשר לארגון להפחית משמעותית את מספר טעויות האנוש ולהגן על הנתונים, בין אם הם נתונים על לקוחות או נתונים של העובדים עצמם.
האקר שמצליח לפרוץ למערכות המידע של הארגון יכול להגיע אל פרטים חסויים של העובדים כמו למשל פרטים על בריאותם, פרטי חשבון הבנק שלהם, מספרי תעודת זהות, מספרי פוליסות ביטוח מנהלים, פרטים על קרנות הפנסיה שלהם ועוד.
כדי למונע פריצות שמתאפשרות בגלל טעויות אנוש, חשוב מאוד ליצור נהלים ומדיניות המסדירים איזה סוג של מידע הארגון מאחסן לגבי העובדים, לגבי הלקוחות וחיוניים נתונים נוספים, ואיך הוא מגן על נתונים אלה.
כל העובדים חייבים להכיר את מדיניות הארגון בנושא זה ואת כל הנהלים ועליהם להבין מהו תפקידם במאמצי הארגון בנוגע לאבטחת המידע.
הנחיות אלו צריכות לכלול גם מידע לגבי צעדי האבטחה שעל העובדים לנקוט כדי להגן על הגישה לקבצי הנתונים של הארגון.
