טיפלתם בהגנה מפני התקפות סייבר, אך האם הארגון שלכם באמת מוגן?

ואיך זה קשור לתקני GDPR ו- ISO27001 ?

אחד התפקידים התובעניים ביותר בארגונים שונים הוא מנהל IT בעיקר בשל שינויים התכופים המתרחשים בעולמות הטכנולוגיה. מציאות זו מחייבת חיפוש מתמיד אחרי משאבים, ידע ופיתוחים חדשים על מנת לשמור על מערכות המידע בארגון מהירות, מאובטחות ויעילות. רגולטורים ברחבי העולם מתחילים להפנים את קצב השינוי המהיר של הטכנולוגיה ואת הסכנות הטמונות במציאות המשתנה ללא הרף. השינוי המשמעותי האחרון שנקבע הינו תקן GDPR שנכנס לתוקף בחודש מאי 2018 במדינות האיחוד האירופי. האסדרה הכללית להגנה על מידע (GDPR – General Data Protection Regulation) היא אוסף של הוראות מחייבות שהוסדרו על ידי הפרלמנט האירופי על מנת להגן על הנתונים האישיים של תושבי האיחוד. התקנות נוגעות לעיבוד המידע הפרטי, איסופו, שמירתו והעברתו וקובעת כללים אחידים לשמירה על פרטיות המשתמשים ברשת האינטרנט. הרגולציה מאפשרת לאזרחים שליטה מרבית על הפרטים שנאגרו בחברות פרטיות, ציבוריות וממשלתיות באמצעות כללים משפטיים ברי אכיפה על אותם גופים. הרגולציה חלה על כל ארגון וכל אדם גם אם אינם פועלים בטריטוריה של האיחוד האירופי, ובלבד שהם מעבדים נתונים של אזרחי האיחוד האירופי. חלים איסורים ומגבלות על העברת מידע אל מחוץ לטריטוריית האיחוד, בשל החשש להפרות שעלולות להתרחש באזורים בעולם בהם הפרטיות אינה מוגנת כראוי. אי ציות להוראות עלול לגרור אזהרות, ביקורות תקופתיות וקנסות חמורים המגיעים לכדי 4% מהמחזור השנתי של הגוף המפר או קנס בשיעור של עד 20 מיליון יורו. GDPR מבקש לעגן בחוק זכויות שנדמו שנשכחו במהפכת המידע בעשור האחרון ולהגן על פרטיות המשתמשים:

1. הזכות לשקיפות אודות המידע שנאסף לגביהם ומטרות עיבודו.
2. הזכות לקבל מידע לגבי העברת המידע שלהם לצד שלישי.
3. הזכות לדעת מהו המידע השמור אודותיהם.
4. הזכות למחוק את המידע השמור אודותיהם ("הזכות להישכח").
5. הזכות להגביל את העיבוד של המידע אודותיהם.
6. הזכות לנייד את המידע שלהם לגורם אחר.
7. הזכות להתנגד לעיבוד המידע ויצירת פרופיל.

אם כן מה ניתן לעשות על מנת להתגונן מפני הרגולציה החדשה שתשפיע על חברות רבות בישראל. הפתרון נמצא בבסיס התפקיד של אחראי ביטחון המידע בארגון והוא מורכב ממספר אלמנטים שונים. כל ארגון מגדיר מה הם הסיכונים הניצבים מולו וכיצד ניתן להתגונן מפניהם. סל הפתרונות גדוש בחברות סייבר המציעות הגנה הוליסטית מפני סוגים שונים של פריצות, האקינג, פישיניג, דרישות כופר ועוד. פיתוחים אלה מבטיחים הגנת סייבר מירבית מול תקיפות שונות. מעבר להגנה הטכנולוגית קיימת הגנה באמצעים "ישנים" המהווה חלק ממערך ביטחון אפקטיבי. ניתן למנות למשל: כניסות למערכות הארגון למורשים בלבד, איסור הכנסת התקנים חיצוניים למערכות המחשוב, סיסמאות אישיות לכל עובד לצורך ניטור וזיהוי, דלתות מאובטחות ומצלמות אבטחה וליווי צמוד של אורחים המגיעים למשרדי החברה. אבטחה הדוקה ומשמעת של העובדים יחד עם כלים שונים מענף הסייבר מסוגלים להתמודד עם סיכוני האבטחה הרבים ולהגן על נתוני המשתמשים כפי שמחייבת הרגולציה החדשה של האיחוד האירופי. אולם למרות החשיבות הרבה שביטחון המידע בארגון צבר בשנים האחרונות נותר עדיין פער משמעותי בשרשרת החיים של המידע בארגון. הפער הינו בסיום חייו של המוצר האלקטרוני בארגון, בין אם מדובר במחשבים ניידים או נייחים, התקני אחסון (Storage), שרתים ואף מדפסות וראוטרים. כל המוצרים הללו מכילים מידע רגיש אודות משתמשים בשירותי הארגון לצד נתונים כספיים והון טכנולוגי. אופן סיום חייו של המוצר המכיל מידע (דיגיטלי) נותר תחום מוזנח יחסית, שאיננו מקבל את תשומת הלב הראויה, ובכך עלול ליצור פירצה אבטחתית חמורה, על אף השקעות הענק בכלל הגנות הסייבר שננקטים בארגון. הפתרון לכך טמון בשירות חדשני הנקרא ITAD (IT ASSET DISPOSITION) המציע דרך הסתכלות חדשה על ציוד המיועד לגריעה וגריטה. החידוש הינו בהתייחסות למוצרים הללו כנכסים של הארגון למרות שאינם בשימוש, ושווים בספרים החשבונאיים עומד על אפס. ITAD  שם דגש על אבטחת מידע בעזרת מעקב הדוק אחר הציוד האלקטרוני עד לפירוקו הסופי והשמדת כל רכיבי הזיכרון והמידע שבתוכו. בנוסף לכך, פיתרון ה- ITAD מאפשר מקסום ערך הציוד עבור הארגון על ידי השמשה ומכירה מחודשת של המוצר לשימוש חוזר, זאת רק לאחר נטרול והשמדת המידע. תקנות GDPR  לצד התקנים החדשים ISO 27001 ו- ISO 27032 משתלבים היטב עם עקרונות ה-ITAD המאפשר שמירה קפדנית על אבטחת המידע בארגון לאורך כל שרשרת החיים של מוצר IT בארגון. מדיה מגנטית המכילה פרטים אישיים של לקוחות או מידע פנימי של הארגון היא נכס משמעותי ואסור להקל ראש באופן גריעתם. הזנחה או התעלמות מהאופן בו ציוד ה- IT מסיים את מחזור חייו, עלולה להעמיד בסיכון את כל מערכות אבטחת המידע ולהוות הפרה בוטה של תקנות GDPR , פגיעה במוניטין הארגון, חשיפה מסוכנת לזליגת מידע וקנסות גבוהים שניתן יהיה להשית על ארגונים מפרים. מנהל אבטחת מידע כיצד אתה גורס את ההתקנים המכילים מידע רגיש (HDDs, Storage, קלטות גיבוי , התקני FLASH, ניידים) שברשותך? האם אתה בטוח שהמוצרים אכן נגרסו והושמדו? אל תקל ראש כאשר אתה מפנה את הציוד האלקטרוני בארגונך ודרוש שירות ITAD מקבלן הפינוי שלך או התקשר עוד היום לחברת שורו המתמחה מעל עשור ביצירת ערך עבור לקוחותיה מהציוד האלקטרוני שברשותם תוך הקפדה על ביטחון המידע והתחשבות באיכות הסביבה. צרו עימנו קשר בטלפון 077-231-8099/ 1700-502-580 או במייל [email protected]