top image

אבטחת מידע בעבודה מרחוק

אבטחת מידע בהתחברות מרחוק, סייבר

אבטחת מידע בעבודה מרחוק – צמצום סיכוני סייבר ברשויות המקומיות

מגיפת הקורונה יצרה את אחד השינויים העמוקים והמהירים ביותר ששוק העבודה ידע מעולם: ההכרח וההעדפה לעבוד מחוץ למקום העבודה, בעיקר מהבית. בהיבט אבטחת מידע ברשויות המקומיות – זהו סיוט. במקביל לבעיות התפעוליות, גישה מרחוק של עובדים, ללא ניטור, בקרה, אבטחת מידע או אבטחה פיזית של ציוד המחשוב, למערכות הליבה ולמאגרי המידע של הרשות המקומית (דוגמת מערכות גביה, חשבונות, הנדסה, חינוך, כח אדם וכו’), המבוצעת במבוזר, לאורך כל שעות היום, ובמהירות – מהוה איום ממשי על הרשות המקומית. כיצד לפעול לאבטחת מידע בעבודה מרחוק ולצמצם את סיכוני הסייבר, ברשויות המקומיות?

 

סיכוני סייבר ברשויות המקומיות

מדוע ההתמקדות ברשויות המקומיות (ולא משרדי הממשלה, חברות ממשלתיות, תאגידים סטטוטוריים או חברות ועסקים פרטיים)? שילובם וצירופם של שני גורמים: הראשון, עצם העובדה שהרשויות המקומיות מחזיקות מאגרי מידע רבים המשמשים בסיס לעבודתן, בהיקפים עצומים; והשני, שפגיעותם של מאגרי המידע ברשויות, גבוהה יחסית. מבקר המדינה (ודו”ח רמו”ט, במשרד המשפטים) כבר התריעו, מספר פעמים בשנים האחרונות, כי חלק מהרשויות המקומיות אינן מטפלות כראוי בנושא, וכי הן אינן ערוכות להתמודד עם סיכוני סייבר.

 

צמצום סיכוני סייבר

ברור כי פתרונות תשתיתיים לעבודה מרחוק, מצריכים משאבים כספיים משמעותיים וכח אדם מתאים מצד הרשות המקומית – דבר שלרוב, אינו בנמצא. בנוסף, המציאות היא שעל אף כל ההגנות, מעגלי האבטחה נפרצים. לכן, כבר עכשיו, ובמקביל לקידום הפתרונות התשתיתיים, יש לנסות ולנקוט במספר אמצעים פשוטים ומהירים, המקטינים את סיכוני הסייבר, כתוצאה מעבודה מרחוק (תקציר מתוך המלצות מערך הסייבר הלאומי. המסמכים המלאים מופיעים כאן וכאן):

  • רצוי כי הגישה מרחוק תתבצע מאמצעי קבוע אשר מוכר לאיש/אשת המחשוב של הארגון.
  • יש לבחון הענקת הרשאות גישה מרחוק לתיקיות מחשוב. מומלץ להתיר גישה לתיקיות חיוניות בלבד.
  • מומלץ להפריד גישה לדוא”ל לבין גישה לשרת/תיקיות/נכסים רגישים.
  • הסרת הרשאות גישה של עובדים למערכות ארגוניות/ממשקים שאינם חיוניים. הגדירו הרשאות גישה לתוכנות הרלוונטיות לממשקי העבודה בלבד. אחת לתקופה, בדקו האם ההרשאות אשר הוקנו עדיין רלוונטיות.
  • ביצוע גיבויים לכל המכשירים ולמידע האגור בהם. במקרה של פריצה או השבתה של המכשיר, ניתן יהיה לשחזר את המידע. עדיף לבצע את הגיבוי להתקן חיצוני נייד וכן גיבוי בענן.
  • מדיניות סיסמאות מורכבות. אילוץ המשתמש להחליף סיסמה באופן עיתי. במידת האפשר גם הגדרת OTP- one time password כאמצעי זיהוי נוסף.
  • יש להגדיר כי חיבור המשתמשים (Session) יהיה לפרק זמן מוגבל.
  • יש לוודא בחוקת Fire-Wall (הארגוני והמקומי), טיוב חוקים אשר מאפשרים גישה מרחוק, כך שגישה זו תצומצם למינימום וכן כי מתקבלים לוגים לתיעוד ההתחברות. בנוסף, מומלץ להגדיר מדינות ואזורים אשר מורשים להתחבר לארגון.
  • לארגונים להם יש בנוסף Fire-Wall ארגוני של יצרן אחר, יש לפנות ליצרן לטובת הנחיות לטיוב החוקה.

 

הגברת מודעות העובדים לסיכוני סייבר

בעת מתן אישור לעובד לעבודה מרחוק, חשוב לבצע הדרכת מודעות קצרה, שתכלול את הנקודות הבאות:

  • חשיבות נעילת המכשיר באמצעות סיסמה חזקה (לפחות בת 8 תווים, שילוב של אותיות ומספרים), אמצעי ביומטרי, קוד, או נעילת דפוס. הגדרת נעילה אוטומטית לאחר אי-שימוש במשך זמן קצוב.
  • הפעלת אימות דו שלבי (2FA) בכל מכשיר ובכל חשבון המאפשר זאת.
  • ניהול שתי תיבות דוא”ל נפרדות – אחת לעבודה ואחת לפעילות פרטית. יצירת סיסמה שונה לכל חשבון, והפעלת אימות דו-שלבי.
  • הימנעות ככל האפשר מלהתחבר לרשת Wi-Fi מזדמנת שאינה מאובטחת. יש להעדיף חיבור באמצעות VPN או רשת סלולרית.
  • אבטחת הנתב הביתי.
  • עדכוני תוכנה יבוצעו אוטומטית.
  • חידוד עירנות מניסיונות דיוג (פישינג על כל סוגיו), בערוצי התקשורת השונים (פרטי וארגוני). הדרכת העובדים לדווח לאחראי המחשוב ולהנהלה בכל חשד לניסיון שכזה.

 

המלצות הגנה עבור העובדים – ציוד מחשוב ומידע

מומלץ לוודא כי על אמצעי המחשוב בבית – מחשב נייח/נייד/טאבלט/סמארטפון:

  • כלל המכשירים ברשות העובדים, הארגוניים והאישיים – נעולים בסיסמה – PIN, נעילת דפוס, ביומטרי, כרטיס חכם וכדומה.
  • תכנת אנטי וירוס (Anti-Virus) מעודכנת. התוכנה מבצעת סריקה בניסיון לאתר וירוסים ואיומי מחשב שונים.
  • תכנת חומת אש (Fire-Wall) מעודכנת.
  • במחשבי נייח/נייד בהן קיימת מערכת Microsoft, לוודא כי Windows Defender מופעל.
  • מותקן VPN (רשת וירטואלית פרטית) להתחברות מאובטחת ופרטית בין העובדים למשאבי הארגון. הפעלת אימות דו שלבי/רב גורמי (2FA /MFA) בשימוש בדרך זו – בעדיפות לאימות זיהוי שאינו מבוסס מסרון (SMS).
  • עדכוני תוכנה אוטומטית לכלל התוכנות במכשיר. בנוסף, חשוב לבצע עדכון יזום במכשירים החכמים למערכת ההפעלה מיד עם פרסומם.

 

רישום מאגרי מידע

חוק הגנת הפרטיות, התשמ”א – 1981, תקנות הגנת הפרטיות (אבטחת מידע), והנחיות רמו”ט, מחילים חובות על הרשויות המקומיות ועל התאגידים העירוניים, להגן על פרטיותם של האנשים שמידע עליהם קיים במאגרי המידע. זאת במטרה למנוע חשיפה, שימוש או העתקה של המידע על ידי גורמים שאינם מורשים לכך. לפיכך, חלק בלתי נפרד מאבטחת המידע מצמצום סיכוני הסייבר – איתור המידע הנאסף (ברשות וע”י קבלני המשנה שלה), סיווג המידע למאגרים, קביעת רמות האבטחה והרגישויות, ורישום כלל מאגרי המידע שבידי הרשות, במשרד המשפטים.

 

עורך דין הגנת הפרטיות ואבטחת מידע

אבטחת מידע בעבודה מרחוק היא אחד הסיכונים המשמעותיים ברשויות המקומיות – אך לא הבלעדי. עורך דין רשויות מקומיות, המכיר את הוראות הדין, את מאגרי המידע שבידי הרשות, את הכלים בהם משתמשת הרשות, ואת אופן עבודת הרשות המקומית, ומתמחה בתחום דיני הגנת הפרטיות (P.P.O), יכול לסייע לרשות בתהליכי תהליך העבודה בתחומי אבטחת מידע והגנת הפרטיות, ולהקטין את הסיכונים כתוצאה מאירועי אבטחת מידע.

משרד עורכי דין וולר ושות’ מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי אבטחת מידע והגנת הפרטיות. זאת, בשילוב הערך המוסף – ניסיון ארוך שנים והתמחות בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו”ד רועי וולר, הנו ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, צרו קשר

 

המידע באתר הוא מידע כללי, אינו מידע מחייב ואינו בהכרח מידע מלא, ממצה או עדכני. השימוש במידע אינו מהווה תחליף לקבלת ייעוץ או טיפול משפטי, מקצועי או אחר והסתמכות על האמור בו היא באחריות המשתמש בלבד. ההמלצות לקוחות מתוך מצגת ונתוני מערך הסייבר הלאומי של ישראל. משרד וולר ושות’, מנהליו, עובדיו, עורכי הדין מטעמו ו/או כל גוף הקשור אליו יהיו פטורים מכל אחריות וחבות תחת כל עילה משפטית שהיא, בקשר לכל נזק, פגיעה, הפסד או הוצאה, ישירים או עקיפים, משניים, מיוחדים או תוצאתיים, הקשורים בקבלת המידע ו/או שימוש במידע המופיע לעיל.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים