ITAD – הדרך הבטוחה לאבטחת מידע בעת גריעת ציוד מיחשוב והעברתו לגורמים חיצוניים
בשנים האחרונות עולם הדיגיטל הפך לחלק בלתי נפרד מחיינו. רובנו כבר לא מופתעים לשמוע על עלייה משמעותית במתקפות סייבר שעיקרן גניבת פרטים אישיים של אלפי ומיליוני אזרחים. כעת מסתבר שישנה פרצה נוספת דרכה יכול המידע לדלוף ולהגיע לגורמים בלתי רצויים – מידע המצוי על ציוד אלקטרוני ישן העובר ידיים, אשר לא מושמד כראוי. תהליך ITAD, שהינו חובה חוקית במדינות רבות בעולם, מונע דליפת מידע זו.
העולם הדיגיטלי-אלקטרוני, המבוסס על קישוריות אינטרנט בין מכשירים שונים, לרבות מכשירים שונים ("האינטרנט של הדברים"), הפך לדומיננטי כמעט בכל אספקט של החיים האנושיים: בכלכלה, בחברה, בתרבות, בבריאות ובביטחון האישי. המידע הרגיש של כולנו מאוחסן ברובו באמצעים דיגיטליים, החל מכרטיסים חכמים, עבור במחשבים ושרתים שונים, ועד למכשירי חשמל חכמים שונים המאחסנים מידע אלקטרוני בתוכם.
עם העלייה הדרמטית בשימוש במידע דיגיטלי, עלתה באופן טבעי גם סוגיית אבטחתו של מידע רגיש זה, כנגד האקרים התוקפים את בסיסי המידע הזה במגוון שיטות ומקבלים גישה למידע רגיש זה, על מנת לסחור בו או לפגוע בבעלי המידע.
מתקפות סייבר הן כבר עניין שבשגרה, והן הוגדרו על ידי רוב מדינות העולם כאיום על הביטחון הלאומי שלהן. כספים ומאמצים רבים מושקעים במניעתן ובמתקפות נגד אותם מקרים, לרבות השקעה בציוד חומרה ותוכנה להגנה על מסדי נתונים רגישים.
ציוד אלקטרוני המסיים את דרכו בארגון ועובר לידיים אחרות מהווה פרצה נוספת דרכה יכול המידע לדלוף ולהגיע לגורמים בלתי רצויים
אבל מה קורה כאשר חשיפת מידע אישי ורגיש ביותר דולף שלא כתוצאה ממתקפת סייבר המדוברת? ארבעה מוסדות רפואיים מהגדולים בארץ, בהם קופות החולים מאוחדת וכללית ובתי החולים הלל יפה בחדרה וברזילי באשקלון, נחשפו לתביעת ענק בסך 1.5; כאשר בבסיס התביעה עמדה הטענה כי המוסדות הרפואיים מכרו ציוד רפואי ישן לגורמי צד ג' – מבלי שביערו קודם את המידע הרפואי שאוחסן בזיכרון המכשירים הרפואיים, וכך דלף מידע רפואי פרטי של מטופלים לגורמים לא מורשים.
לצערנו הרב, ישנה מודעות מינימלית בישראל, לגבי נושא גריעת נתונים מציוד המחשוב הישן, בעוד ההתייחסות ל-ITAD ( Asset Disposition IT) ברוב מדינות אירופה וצפון אמריקה כבר מעוגן בחוק.
חברות הייטק, ביו-רפואה וחברות ישראליות אחרות, המבקשות לסחור עם אירופה ומדינות נוספות, כבר מטמיעות נוהל ITAD אצלן, משום שהטמעת תהליך זה הפך לדרישת סף לעבודה עם אותם גורמים.
מהו תהליך ה-ITAD?
ITAD הוא קיצור של גריעת מידע מנכסי IT (טכנולוגיית מידע). תהליך ה ITAD הוא תהליך ארגוני לגריעה מבוקרת של נכסי IT בסוף דרכם, על מנת למנוע אפשרות לזליגת מידע רגיש, הן של החברה והן של לקוחותיה, אל מחוץ לארגון.
כיום, כל מקבלי ההחלטות בארגונים, בין אם אלה מנהלים בכירים כגון CFO, CTO או מנהל Compliance, יעידו פה אחד שמוניטין החברה הוא נכס שיש לשמור עליו מכל משמר. הוא נבנה לאורך השנים בהשרשת תחושת ביטחון ואמינות שהחברה מספקת ללקוחה שלה, לכן זליגה של מידע רגיש מציוד מיחשוב עלול להביא לפגיעה קשה במוניטין החברה.
זה הזמן שלכם, כמנהלים, לעצור רגע ולחשוב, כיצד אתם שומרים על מוניטין החברה שלכם ומנהלים בארגון שלכם את גריעת ציוד המחשוב הישן אשר תם זמנו?
תהליך גריעת נכסי ה- IT- הלכה למעשה
תהליך ה-ITAD מורכב ממספר רב של שלבים שחלקם שלבים מהותיים אשר חייבים להתבצע ללא דופי כדי לשמור על ביצוע מיטבי. להלן דוגמה לחלק משלבים אלו
1. הטמעת נוהל ותיעוד – זהו השלב הראשוני בו נקבע נוהל ארגוני מסודר לגריעת ציוד מיחשוב – ובמהלכו מתבצע מיפוי יסודי של ציוד קצה והתקנים בארגון המכילים מידע רגיש כמו שרתים, מחשבים, מכונות צילום/מדפסות, דיסקים, קלטות, USB ועוד. מיפוי ציוד הקצה מייעל את אופן קבלת החלטות בנוגע לאבטחת מידע רגיש המאוחסן בזיכרון המכשירים.
2. לוגיסטיקה מאובטחת – פינוי הציוד הרגיש באמצעות לוגיסטיקה מאובטחת.
3. אבטחת מידע – השמדה מוחלטת של כל פיסת מידע דיגיטלי השמור על המכשיר.
4. מיחזור סביבתי של הציוד או הפנייתו לשימוש-מחדש.
להליך ה-ITAD ישנם יתרונות בולטים אשר לא רק יתנו לבעלי הארגונים שקט בכל הקשור לאבטחת מידע רגיש של לקוחות החברה, אלא גם מאפשרים לחברה למקסם רווחים כלכליים, סביבתיים וחברתיים.
יתרונות הטעמת ITAD בחברה שלכם
יישום תהליך ITAD בארגון מאפשר למקסם ערך של ציוד מיחשוב ישן, דבר המאפשר ליצור רווח הון לחברה, ולהפחית במידת מה את עלות הרכש של ציוד מיחשוב חדש.
בנוסף, ל – ITAD יתרונות חברתיים – חלק ניכר מהציוד מועבר באופן קבוע לעובדים בעלי צרכים מיוחדים הנוטלים חלק בתהליך פירוק ומחזור. כמו כן, ניתן לתרום את ציוד המיחשוב הישן, לאחר השמדת המידע ותהליך מיחדוש מקצועי, לטובת עמותות, ארגונים חברתיים ובתי ספר, הכל ע"פ רצון הלקוח.
תהליך הITAD הינו מורכב, הכולל לא מעט שלבי ביצוע טכניים וניהוליים. לצערנו, חלק גדול מהארגונים אשר מיישמים תהליך גריעה בארגון, לא מנהלים אותו כראוי לפחות באחד מההיבטים הבאים:
1. היבט אבטחת המידע – העדר נוהל גריעת גריעה מסודר לציוד מיחשוב, ושימוש בפרקטיקות לא מקצועיות בכל הקשור לאופן השמדת המידע, כך שהמידע הרגיש לא מושמד כראוי.
2. היבט כלכלי- חברות רבות לא מייחסות חשיבות לנושא מקסום הערך מחומרה זו, ובכך לא ממנפות את האפשרויות הטמונות בחלון ההזדמנויות שנוצר בעקבות תהליך ה-ITAD.
3. היבט משפטי – לחברות אין את התיעוד המשפטי הנדרש והאישורים הנדרשים לתהליך זה לצורך עמידה בדרישות הרגולציה והימנעות מתביעות.
פתרון ITAD אמין לחברה ולעסק
חברת שורו, הינה החברה המובילה בארץ במתן שירותי ITAD, ומשמשת כנציגתן של חברות בינלאומיות בתחום אבטחת המידע, ועובדת לפי סטנדרט NIST המקובל בחו"ל.
חלק מהשירותים אותם מציעה החברה הם, בין השאר:
· מגוון פתרונות להשמדת מידע, הן בבית הלקוח והן במתקן שורו למחשבים ושרתים. ללקוח אין צורך לשנע את המידע הרגיש אל מחוץ לכותלי החברה.
· פתרונות תיעוד ומיפוי ציוד מיחשוב ישן.
· פינויים וגריטה של חוות שרתים.
· מקסום ערך – מקסום ערך לציוד ה-IT הישן של הלקוח. יצירת רווח הון (לנכסים ששווים אפס בספרי החברה).
חברות בינ"ל מבינות את החשיבות של ניהול תהליך ITAD מסודר כפי שנקבע ברגולציות בינ"ל שונות כדוגמת הGDPR וע"פ הסטנדרט המקובל באותן המדינות.
לכן תהיו בטוחים, כי מתן שירות יסודי ואמין וביצוע גריעת נכסי IT ללא דופי בכדי לשמור על מוניטין החברה שלכם הוא לא רק המטרה שתמיד תעמוד נגד עיניהם של אנשי הצוות המקצועי של חברת שורו – אלא גם בסיס הערכים ותפיסת העולם של חברת שורו ביחס לשירות שהיא נותנת ללקוחותיה.