הנחיות להגנת הפרטיות ואבטחת המידע בעבודה מרחוק בשל התפשטות הקורונה
לאור מגפת הקורונה חברות רבות עוברות למתכונת של תקשורת מרחוק ועבודה מהבית. מדובר בפתרון שמאפשר שמירה על רציפות עסקית גם בתקופת אי-וודאות זו. אולם לצד היתרונות הברורים, מתכונת העבודה מהבית טומנת בחובה סיכונים בתחום אבטחת המידע ופגיעה בפרטיות.
לפי חוק הגנת הפרטיות ותקנות הגנת הפרטיות, חברה המחזיקה במאגר המכיל מידע אישי נדרשת לפעול באופן שיבטיח שמירה על שלמות המידע ומניעת כניסה בלתי מורשית למאגרים. זאת תוך קביעת נהלים פנימיים להתנהלות בשגרה או מול אירועי אבטחה. בתוך כך, התקנות קבעו חובה מפורשת באשר לקביעת נהלי אבטחה בהתאם לרמת הרגישות של המידע המוחזק, במקרים של חיבור מרחוק. התקנות אף מעודדות איסור או הגבלה משמעותית של שימוש במדיה נתיקה שכוללת לא רק כוננים חיצונים או דיסק און-קיי, אלא גם מחשבים ניידים. הסיבה העומדת מאחורי דרישה זו היא הקלות בה יכול להתרחש אירוע של פגיעה במידע, גם בנסיבות של גניבה או אובדן.
בעוד שעבודה מהמשרד מאפשרת לעסק שליטה יחסית על העמידה בהוראות החוק והנהלים הפנימיים הנוגעים לאופן העבודה ושמירת המסמכים, תשתית המאפשרת חיבור מרחוק לא רק שעשויה להחליש את ההגנה על מערכות מחשוב, אלא גם מקשה על הפיקוח על התנהלות העובדים.
עבודה מהבית: המלצות הגנה לארגונים ועסקים
מערך הסייבר הלאומי פרסם המלצות הגנה לארגונים ועסקים לעבודה מהבית. ההמלצות נוגעות בעיקר לאמצעי מיגון לצמצום סיכוני סייבר ומתוות, בין השאר, צעדים הנוגעים לאנשי מחשוב בארגונים. לפי ההמלצות, יש לוודא כי ההתחברות מרחוק מבוצעת דרך אמצעי המוכר לאנשי המחשוב. לוודא כי הוא נעשה באופן ממוקד ומוגבל התואם את צרכי החברה וכי מערכות המידע ממוגנות באמצעים נאותים. יש לשקול את הצורך בהגברת אמצעים טכנולוגיים, למשל, הגדרות המבטיחות ניתוק חיבורים לא פעילים למערכת אחרי פרק זמן מתאים, כדי לצמצם את הסיכון המוגבר לתשתיות הארגון.
מעבר להסתייעות במומחים בהיבטי טכנולוגיית מידע, חלק בלתי נפרד מההיערכות כולל תדרוך העובדים באשר לשמירה על נהלי האבטחה. במסגרת המעבר לעבודה מהבית, אנו ממליצים לנקוט באמצעים ארגוניים כמו רענון נהלים לכלל העובדים בכל הנוגע לחיבור מרחוק, מתן דגש על כללים כמו איסור שמירת מידע שעשוי להיות רגיש על מחשבים אישיים לא מאובטחים, אזהרות ממיילים שעשויים להכיל תוכנות זדוניות, סגירה אקטיבית של חיבור מרחוק בסיום העבודה, הקפדה על שימוש בסיסמאות מורכבות והחלפתן באופן תדיר, העדפת חיבור לרשתות Wi-Fi מוכרות ומאובטחות וכיוצא באלה.
נזכיר שכאשר מתרחש “אירוע אבטחה חמור”, כהגדרתו בתקנות, ישנה לדווח לרשות להגנת הפרטיות בתוך 72 שעות ממועד גילוי האירוע. גם בעניין זה, הצעד המידי הוא חידוד נהלי הטיפול באירועי אבטחת מידע והפצת פרטי קשר של האנשים רלוונטיים בארגון. כך שגם במצב של עבודה מרחוק, הדיווח והעדכון הפנים ארגוני יהיה רציף והאירוע יטופל באופן המיטבי.
***
משרד ברנע עומד לרשותכם לשאלות והבהרות נוספות בכל הנוגע לסוגיות של הגנת פרטיות בעבודה מהבית. למידע נוסף, הקליקו כאן