בשיתוף:
צילום: Shutterstock

צילום: Shutterstock

המידע שמסתתר במכשירים החכמים בארגונכם

איסוף מידע ממכשירים סלולריים משמש את המשטרה כראיה משפטית בבית המשפט כבר תקופה ארוכה. לאחרונה פורסמו כתבות רבות העוסקות בשימוש של המשטרה בתוכנות ריגול ומעקב של חברות שונות כמו תוכנות של חברת Cellebrite לאיתור מידע מתוך מכשירים חכמים והאזנה לשיחות של גורמים פליליים וביקורת על המשטרה שהיא מבצעת לכאורה פריצות לטלפונים ניידים של אזרחים ללא פיקוח או בקרה באמצעות שימוש בתוכנת פגסוס של חברת NSO. במקביל מהמשטרה נמסר כי כל השימושים נעשו באישור היועמ"ש ובאישור גורמים משפטיים חוץ ארגוניים.

e-Discovery , כדאי להכיר.

המונח המקצועי לנושא הוא ,e-Discovery תהליך של גילוי מידע אלקטרוני אשר מטפל בהיבטים שונים של זיהוי, איסוף והעברה של מידע השמור באמצעים דיגיטליים (electronically stored information או (ESI ובהם מחשבים, שרתים, טלפונים ניידים, קבצי קול, שיחות, צילומים, יישומים ארגוניים וכיו"ב. פרקטיקה שמוסדרת כחוק לשימוש משפטי מסחרי ורגולטורי בארה"ב ובאנגליה אולם עדיין נמצאת בחיתוליה בישראל מבחינת סוג הכלים בשימוש ואופי הצווים הניתנים לתפיסת מידע. הדיון הציבורי המתקיים כיום בגבולות ה- e-Discovery בישראל מדגיש את הצורך המיידי של ארגונים רבים לנהל בצורה מודעת יותר את המידע השמור במכשירים הדיגיטליים שבשימוש העובדים בארגון.

השימוש ההולך וגובר במכשירי מובייל בארגונים והשילוב של מידע פרטי וארגוני על אותו מכשיר מהווה אתגר עבור אנשי אבטחת מידע והנהלת החברה. אין ספק שהשימוש במכשירים אלו גורם לעלייה בתפוקה בעקבות החיבור של העובדים מרחוק באמצעות המכשיר (טאבלט, סמארטפון או מחשב נייד), מניבה רווח גבוה הן במישור של רווחת העובד והן במישור החסכון הכלכלי לארגון.

מצד שני, מכשירים ניידים ושירותי אחסון בענן, מאחסנים מידע רגיש של הארגון דוגמת תיבות הדואר, התכתבויות, מסמכים ארגוניים וכן כוללים ממשקים, אפליקציות וגישה לתוך הרשת הארגונית. המציאות בה הגבול שבין רכוש פרטי של העובד לבין הציוד שמסופק על ידי גורמי המחשוב בארגון, מקשה על ניהול אבטחת המידע הארגוני.

האם ארגונים מנהלים בצורה נכונה את המידע במכשירים הדיגיטליים?

השאלה הנשאלת היא האם ארגונים מנהלים בצורה נכונה את המידע במכשירים הדיגיטליים האלו וכיצד ניתן לנהל בצורה מודעת את הסיכון במקרה של אירוע פריצה או אירוע רגולטורי בו מעורבת החברה?

סוגיה זו דורשת שתי התייחסויות מרכזיות. הראשונה היא מבחינת הקשר בין העובדים לארגון. גישה של המעסיק למידע במכשירים אשר ברשות העובד צריכה להיות רק למטרות לגיטימיות המוגדרות בחוק או בפסקי הדין של אותה המדינה בה נדרשת הגישה. ניטור בסגנון "האח הגדול" הוא אף פעם לא מקובל. כמו ברוב מדיניות התעסוקה, גם מדיניות גישה זו חייבת להיאכף באופן לא מפלה.

מול העובדים מוטל על המעסיק להגדיר את הציפיות בצורה בהירה במדיניות, בספרי עזר ובהסכמים לפיהם לעובדים צריכה להיות ציפייה מופחתת, בהתאם לחוקים באותה המדינה, לפרטיות במכשירים עליהם הם עובדים. במקביל יש לציין ,שבמידת הצורך, החברה תצטרך גישה וידע על מה העובדים עושים ולהפיק מהמכשירים נתונים הקשורים לעבודה.

החברה צריכה לדעת אילו מכשירים ניתנו לעובדים על ידי המעסיק - למשל טלפון סלולרי, טאבלט, מחשב נייד. אם לעובד יש קבצי חברה בטאבלט הביתי שלו ואתה לא יודע זאת, הפוליסה או ההסכם שלך חסרי ערך כי לא תדע לגשת לטאבלט הביתי. בנוסף, ידע זה מעניק לך שליטה טובה יותר על המידע בחברתך. אתה יכול להעריך את האבטחה ואת זרימת הנתונים שלך באופן כללי ולקבל את הסכמתו של העובד לאיסוף המידע.

היבט שני הוא כאשר ארגון או אדם פרטי ירצו לבצע איסוף מטלפון סלולרי או ממכשיר חכם אחר שברשותם. לארגונים ואנשים פרטיים ישנן סיבות נוספות להוצאת מידע מהמכשירים החכמים שברשותם באמצעות שימוש בתוכנות ייעודיות לאיסוף הנתונים ולא כחלק מהליך פלילי אלא, כחלק מהליך משפטי אזרחי. גילוי מידע אלקטרוני משמש לאיסוף ראיות והעברתן לרשויות באופן מהימן, וכן להוצאת תובנות על אודות נתיבי הגישה והגורמים המעורבים; למשל במקרים של הונאות עסקיות ופשעי מחשב למיניהם. שיקול נוסף הינו כחלק מבירור פנים ארגוני, תהליכי גילוי מידע אלקטרוני (eDiscovery) מסייעים לארגון במניעת הונאות או איתורן, יצירת מנגנוני בקרה ותיעוד, הוצאת תובנות עסקיות (ניתוח BI) ועוד. לעיתים ארגון או אדם פרטי עשויים למצוא את עצמם חשופים לתביעה אזרחית וכצעד מונע אותו אדם מבקש לקבל את כל המידע הקיים במכשירים החכמים שברשותו על מנת לבצע חיפוש של מסמכים או חומרים ספציפיים.

בעיה גדולה היא בעיה קטנה שלא נפתרה בזמן

הצורך בביצוע e-Discovery מדגיש את החובה של מנהלים לקיים שיחה מושכלת עוד היום עם הצוות המשפטי בארגון ונותני שירותים בתחום e-Discovery לקביעת מדיניות ארגונית והערכות מתאימה לנושא. על ארגונים מוטל לבדוק מהם גבולות השימוש בכלים אלו המותרים על פי חוק כלפיהם על מנת לנהל את המידע שחשוף במכשירי הארגון. ובמקביל, לבחון את מוכנות הארגון לביצוע e-Discovery כחלק מתהליך משפטי על מנת לבחון מה המידע שחשוף במכשירי הארגון ולהיערך טוב יותר לתרחישים אפשריים.

כתבות

לכל הכתבות