top image

אבטחת מידע בעבודה מרחוק

אבטחת מידע בעבודה מרחוק – צמצום סיכוני סייבר ברשויות המקומיות - וולר ושות' משרד עורכי דין

אבטחת מידע בעבודה מרחוק – צמצום סיכוני סייבר ברשויות המקומיות

כבר עכשיו ברור שמגיפת הקורונה יצרה את אחד השינויים העמוקים והמהירים ביותר ששוק העבודה ידע מעולם: ההכרח וההעדפה לעבוד מחוץ למקום העבודה, בעיקר מהבית. אבל בהיבט של אבטחת מידע והגנת סייבר, ברשויות המקומיות – מדובר בסיוט. במקביל לבעיות התפעוליות, גישה מרחוק של עובדים, ללא ניטור, בקרה, אבטחת מידע או אבטחה פיזית של ציוד המחשוב, למערכות הליבה ולמאגרי המידע של הרשות המקומית (דוגמת מערכות גביה, חשבונות, הנדסה, חינוך, כח אדם וכו'), המבוצעת במבוזר, לאורך כל שעות היום, ובמהירות – מהוה איום ממשי על הרשות המקומית. כיצד לפעול לאבטחת מידע בעבודה מרחוק ולצמצם את סיכוני הסייבר, ברשויות המקומיות ?

 

סיכוני סייבר ברשויות המקומיות

מדוע ההתמקדות ברשויות המקומיות (ולא, נאמר, משרדי הממשלה, חברות ממשלתיות, תאגידים סטטוטוריים או חברות ועסקים פרטיים)? שילובם וצירופם של שני גורמים: הראשון, עצם העובדה שהרשויות המקומיות מחזיקות מאגרי מידע רבים המשמשים בסיס לעבודתן, בהיקפים עצומים; והשני, שפגיעותם של מאגרי המידע ברשויות, גבוהה יחסית. מבקר המדינה (ודו"ח רמו"ט, במשרד המשפטים) כבר התריעו, מספר פעמים בשנים האחרונות, כי חלק מהרשויות המקומיות אינן מטפלות כראוי בנושא, וכי הן אינן ערוכות להתמודד עם סיכוני סייבר.

 

צמצום סיכוני סייבר

ברור כי פתרונות תשתיתיים לעבודה מרחוק, מצריכים משאבים כספיים משמעותיים וכח אדם מתאים מצד הרשות המקומית – דבר שלרוב, אינו בנמצא. בנוסף, המציאות מוכיחה כי חרף קיומן של ההגנות, מעגלי האבטחה נפרצים. לכן, כבר עכשיו, ובמקביל לקידום הפתרונות התשתיתיים, יש לנסות ולנקוט במספר אמצעים פשוטים ומהירים, המקטינים את סיכוני הסייבר, כתוצאה מעבודה מרחוק (תקציר מתוך המלצות מערך הסייבר הלאומי. המסמכים המלאים מופיעים כאן וכאן):

  • רצוי כי הגישה מרחוק תתבצע מאמצעי קבוע אשר מוכר לאיש/אשת המחשוב של הארגון.
  • יש לבחון הענקת הרשאות גישה מרחוק לתיקיות מחשוב. מומלץ להתיר גישה לתיקיות חיוניות בלבד.
  • מומלץ להפריד גישה לדוא"ל לבין גישה לשרת/תיקיות/נכסים רגישים.
  • הסרת הרשאות גישה של העובדים למערכות ארגוניות/ממשקים שאינם חיוניים- הגדירו הרשאות גישה עבור תוכנות הרלוונטיות לממשקי העבודה בלבד. אחת לתקופה, בדקו האם ההרשאות אשר הוקנו עדיין רלוונטיות ואם לא, הסירו את ההרשאות שאינן נדרשות.
  • ביצוע גיבויים לכל המכשירים ולמידע האגור בהם. במקרה של פריצה או השבתה של המכשיר, ניתן יהיה לשחזר את המידע. עדיף לבצע את הגיבוי להתקן חיצוני נייד וכן גיבוי בענן.
  • הגדרת מדיניות אכיפת הגדרת סיסמאות מורכבות וקשות לניחוש באמצעות מנגנון ניהול המשתמשים, ואילוץ המשתמש להחליף סיסמה באופן עיתי, במידת האפשר גם הגדרת OTP- one time password כאמצעי זיהוי נוסף.
  • יש להגדיר כי חיבור המשתמשים (Session) יהיה לפרק זמן מוגבל.
  • יש לוודא בחוקת Fire-Wall (הארגוני והמקומי),טיוב חוקים אשר מאפשרים גישה מרחוק, כך שגישה זו תצומצם למינימום וכן כי מתקבלים לוגים לתיעוד ההתחברות. בנוסף, מומלץ להגדיר מדינות ואזורים אשר מורשים להתחבר לארגון.
  • לארגונים להם יש בנוסף Fire-Wall ארגוני של יצרן אחר, יש לפנות ליצרן לטובת הנחיות לטיוב החוקה.

 

הגברת מודעות העובדים לסיכוני סייבר

בעת מתן אישור לעובד לעבודה מרחוק, חשוב לבצע הדרכת מודעות קצרה, שתכלול את הנקודות הבאות:

  • חשיבות נעילת המכשיר באמצעות סיסמה חזקה (לפחות בת 8 תווים, שילוב של אותיות ומספרים), אמצעי ביומטרי, קוד, או נעילת דפוס וכן הגדרת נעילה אוטומטית לאחר אי-שימוש במשך זמן קצוב (רצוי לבחור כהגדרת מחדל את המינימום האפשרי).
  • הפעלת אימות דו שלבי (2FA) בכל מכשיר ובכל חשבון המאפשר זאת.
  • ניהול שתי תיבות דוא"ל נפרדות– אחת לעבודה ואחת לפעילות פרטית, יצירת סיסמה שונה עבור כל חשבון וכן וידוא הפעלת אימות דו-שלבי.
  • הימנעות ככל האפשר מלהתחבר לרשת Wi-Fi מזדמנת שאינה מאובטחת ולהעדיף להתחבר באמצעות VPN או רשת סלולרית.
  • אבטחת הנתב הביתי.
  • הגדרה שעדכוני תוכנה יבוצעו אוטומטית. אם לא בוצעה הגדרה זו, טרם מסירת המחשב לעובדים, יש להדריך אותם כיצד לבצע עדכוני תוכנה, וכן אודות תדירות העדכון הנדרשת.
  • יש לחדד ערנות מניסיונות דיוג (פישינג על כל סוגיו) המתקבלים בערוצי התקשורת השונים (פרטי וארגוני) וכן חובת העובדים לדווח לאחראי המחשוב ולהנהלה בכל חשד לניסיון שכזה.

 

המלצות הגנה עבור העובדים – ציוד מחשוב ומידע

מומלץ לוודא כי על אמצעי המחשוב בבית -מחשב נייח/נייד/טאבלט/סמארטפון:

  • כלל המכשירים ברשות העובדים, הארגוניים והאישיים – נעולים בסיסמה – PIN, נעילת דפוס, ביומטרי, כרטיס חכם וכדומה.
  • מותקנת תוכנת אנטי וירוס (Anti-Virus) מעודכנת. התוכנה מבצעת סריקה בניסיון לאתר וירוסים ואיומי מחשב שונים.
  • מותקנת במכשיר תוכנת חומת אש (Fire-Wall) מעודכנת.
  • במחשבי נייח/נייד בהן מותקנת מערכת Microsoft חשוב לוודא כי Windows Defender אכן מופעל.
  • מותקן VPN (רשת וירטואלית פרטית) להתחברות מאובטחת ופרטית בין העובדים למשאבי הארגון וכן הפעלת אימות דו שלבי/רב גורמי (2FA /MFA) בשימוש בדרך זו – בעדיפות לאימות זיהוי שאינו מבוסס מסרון (SMS).
  • הגדרת ביצוע עדכוני תוכנה אוטומטית לכלל התוכנות במכשיר, כולל דפדפנים. בנוסף, חשוב לבצע עדכון יזום במכשירים החכמים למערכת ההפעלה מיד עם פרסומם.

 

רישום מאגרי מידע

חוק הגנת הפרטיות, התשמ"א – 1981, תקנות הגנת הפרטיות (אבטחת מידע), והנחיות הרשות להגנת הפרטיות במשרד המשפטים, מחילים חובות על הרשויות המקומיות ועל התאגידים העירוניים, להגן על פרטיותם של האנשים שמידע עליהם קיים במאגרי המידע, כדי למנוע חשיפה, שימוש או העתקה של המידע על ידי גורמים שאינם מורשים לכך. לפיכך, חלק בלתי נפרד מאבטחת המידע מצמצום סיכוני הסייבר – איתור המידע הנאסף (ברשות וע"י קבלני המשנה שלה), סיווג המידע למאגרים, קביעת רמות האבטחה והרגישויות, ורישום כלל מאגרי המידע שבידי הרשות, במשרד המשפטים.

 

עורך דין הגנת הפרטיות ואבטחת מידע

עורך דין רשויות מקומיות, המכיר את הוראות הדין, את מאגרי המידע שנמצאים ונאספים בידי הרשות, את הכלים בהם משתמשת הרשות, ואת האופן בו עובדת הרשות המקומית, ומתמחה בתחום דיני הגנת הפרטיות (P.P.O), יכול לסייע לרשות בתהליכי תהליך העבודה בתחומי אבטחת מידע והגנת הפרטיות, ולהקטין את הסיכונים כתוצאה מאירועי אבטחת מידע.

משרד עורכי דין וולר ושות' מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי אבטחת מידע והגנת הפרטיות. זאת, בשילוב הערך המוסף – ניסיון ארוך שנים והתמחות בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו"ד רועי וולר, המוביל את התחום, הנו ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ"ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, צרו קשר

 

 

המידע באתר הוא מידע כללי, אינו מידע מחייב ואינו בהכרח מידע מלא, ממצה או עדכני. השימוש במידע אינו מהווה תחליף לקבלת ייעוץ או טיפול משפטי, מקצועי או אחר והסתמכות על האמור בו היא באחריות המשתמש בלבד. ההמלצות לקוחות מתוך מצגת ונתוני מערך הסייבר הלאומי של ישראל. משרד וולר ושות', מנהליו, עובדיו, עורכי הדין מטעמו ו/או כל גוף הקשור אליו יהיו פטורים מכל אחריות וחבות תחת כל עילה משפטית שהיא, בקשר לכל נזק, פגיעה, הפסד או הוצאה, ישירים או עקיפים, משניים, מיוחדים או תוצאתיים, הקשורים בקבלת המידע ו/או שימוש במידע המופיע לעיל.

שתפו עם חברים

לא הצלחנו לאתר את הטופס.