סיכוני סייבר פוטנציאליים המאיימים על מערכות הארגון ועל הרשת הארגונית היו עד לפני כמה שנים שייכים לתחום העיסוק הבלעדי של מחלקת ה-IT של הארגון.
בשנים האחרונות, ובפרט עם העלייה המטאורית בהיקפי העבודה מהבית, הפך תחום זה לאחד התחומים שנמצאים גם תחת אחריות מנהל משאבי האנוש.
הסיבה לכך היא שנושא הגנת הסייבר חייב להיות חלק בלתי נפרד מהנהלים שהעובדים מונחים ליישם ואף להיות חלק בלתי נפרד מערכי החברה והתרבות הארגונית שלה.
בעוד תפקידה של מחלקת ה-IT הוא לעסוק בהגנה בהיבט התוכנה, תפקידו של מנהל משאבי האנוש הוא לוודא שהעובדים מודעים לסכנות ומקפידים על כל תג ותו בהנחיות להגנת הארגון מתקיפות סייבר.
במקומון החיפאי "כלבו" פורסם לאחרונה, כי ממחשב השייך לעיריית חיפה בוצעו כ-200 פניות ביום אחד לכתובת IP באינדונזיה.
מחקירה של אגף טכנולוגיות ומערכות מידע בעירייה עלה, כי עובד שזוהה על ידי כתובת ה-IP של מחשבו, גלש לאתרי העברת מדיה דיגיטלית ברוסיה, ובניגוד גמור לנהלים חיבר התקן פרטי לצורך חיבור בלוטות'.
כאשר עובדים מבצעים פעולות מסוכנות כמו גלישה באתרי העברת מדיה דיגיטלית בחו"ל או חיבור התקנים פרטיים באמצעות בלוטות' למחשבי החברה ולרשת שלה, הם חושפים את הארגון למגוון סכנות אבטחה ותפעוליות.
להלן 7 סיכונים למערכות החברה כתוצאה מחיבור התקנים פרטיים באמצעות בלוטות' וגלישה לאתרי העברת מדיה לא מוכרים:
1 איומי אבטחת סייבר:
גישה לאתרי העברת מדיה דיגיטלית – במיוחד מאתרים בינלאומיים – עלולה להכניס למערכת תוכנות רוגלה, תוכנות כופר וצורות אחרות של תוכנות זדוניות.
אתרים אלו הם בדרך כלל לא מספיק מאובטחים ועשויים שלא לציית לאותן תקנות פרטיות ואבטחה שהארגון מקפיד עליהן, מה שמגביר את הסיכון לפריצת מידע.
כאשר עובדים ניגשים לאתרים כאלה באמצעות מחשבי החברה, זה יכול להוביל לפגיעה בנתונים, לפריצה ולגישה לא מורשית למידע רגיש.
2 אובדן נתונים ודליפת מידע:
העברת קבצים דרך פלטפורמות מדיה לא מוסדרות עלולה לגרום לכך שנתוני חברה סודיים יאוחסנו בשרתים זרים או ייחשפו לצדדים שלישיים ללא ידיעת החברה.
זה יכול להוביל לגניבת קניין רוחני והפרות חוקי פרטיות הנתונים. מידע עסקי רגיש עלול להיגנב או לדלוף בשוגג, ולהשפיע על הפעילות העסקית, על אמון הלקוחות ועל היתרון התחרותי.
3 פגיעויות ברשת:
חיבור מכשירים אישיים, כמו סמרטפונים או טבלטים, למחשב החברה באמצעות בלוטות' עלול ליצור פרצות אבטחה משמעותיות.
במכשירים אישיים בדרך כלל אין אותה רמת אמצעי אבטחה שהחברה אוכפת, כמו הצפנה או עדכוני תוכנה רגילים.
אם התקנים אלה נפגעים על ידי תוכנות זדוניות או איומים אחרים, חיבור ה-Bluetooth יכול לשמש כשער לתוקפים לחדור לרשת החברה.
לאחר שנכנסו, פורצי הסייבר יכולים לנצל את הפגיעויות הללו כדי לגשת למכשירים אחרים, להפיץ תוכנות זדוניות, ואף להשתלט על הרשת כולה.
4 פגיעה בציות לתקנות הגנת מידע:
מדינות ותעשיות רבות כפופות לחוקי הגנה מחמירים על מידע ומסגרות אבטחת סייבר.
עובדים המשתמשים במכשירים או פלטפורמות לא מאובטחים או לא מורשים כדי לגשת או להעביר את נתוני החברה עלולים להפר בשוגג את התקנות הללו, ולגרום לקנסות כבדים, תביעות משפטיות ופגיעה במוניטין.
אם מידע רגיש של לקוחות או נתונים עסקיים נפגעים עקב פעולות אלה, החברה עלולה לשאת באחריות משפטית לאי הגנת נכסיה ונתוניה.
5 פוטנציאל לאיומי פנים:
חיבור מכשירים אישיים של עובדים וגישה לאתרים לא מפוקחים יכול להגביר את הסבירות לאיומים פנימיים, מכוונים ולא מכוונים.
גם עובדים מהימנים יכולים להוריד ללא כוונה קבצים מזיקים או לחשוף נתונים רגישים.
על אחת כמה וכמה כאשר מדובר בעובדים ממורמרים, שיכולים לקבל גישה לפלטפורמות הללו כדי לחבל בנתונים, לחבל בפעילות החברה או לשתף פעולה עם תוקפים חיצוניים.
6 שיבושים תפעוליים:
אם תוכנה זדונית או מתקפת סייבר חודרת לרשת החברה באמצעים אלו, הארגון עלול לחוות השבתת מערכת, אובדן נתונים או חוסר יעילות תפעולית.
שחזור מערכות ונתונים שנפגעו עלול לקחת ימים או שבועות, לעצור את הפעילות העסקית ולגרום לאובדן הכנסות, החמצת מועדי דדליין ומוניטין מוכתם.
7 חוסר אחריות ומעקב:
כאשר עובדים ניגשים לאתרים לא מאושרים או משתמשים במכשירים אישיים ברשתות החברה, קשה לצוותי IT ואבטחה לפקח על פעילותם.
חוסר היכולת לפקח מקשה על זיהוי התנהגות חשודה ברשת או זיהוי פרצות אבטחה בזמן אמת.
ללא פיקוח וניטור, ארגונים נותרים פגיעים לאיומים שאחרת היו יכולים להתגלות בשלב מוקדם.