דלף מידע פרטי ועסקי של ארגון - בין תקלה טכנית לתרבות לקויה.

מאת איתי גורביץ'
בתאריך 29 אוגוסט, 2019

אירוע של דלף מידע יכול להתפרש כאירוע שיורי או כאינדיקטור לתרבות והתנהלות ארגונית לקויה. עו"ד איתי גורביץ' מבהיר את הפערים והמשמעויות המשפטיות.

דלף מידע פרטי ועסקי של ארגון - בין תקלה טכנית לתרבות לקויה.

לאחרונה נודע בתקשורת על אירוע של דלף מידע רגיש אודות לקוחות ועובדים של חברה סלולרית ידועה. התברר שתקלה בניהול ההרשאות למאגרי החברה, הוביל ליצירת גישה בלתי מבוקרת אל המידע והאפשרות להעתיק אותו באמצעות הדפדפן. אין מה להכביר במילים לעניין המשמעות של חשיפת פרטי לקוחות ועובדי כל חברה והערך לבעלי העניין.

ממצאי הפרצה התגלו ע"י "האקר לבן" מוכר (נעם רותם) שעידכן את חברת הסלולר וזו פעלה בהתאם. אלא שאותי מטרידים דווקא הסטנדרטים הנהוגים בחברה והגורמים לקרות הפרצה. 

אתחיל בכך שאני ער היטב לקרירות שביחסים בין מחלקות ה - DEV וה - SEC (שלא נדבר בכלל על נושא הפרטיות, השם ירחם). ידוע שבהליכי הפיתוח מתקשים לעתים ליישם בקרות ומנגנונים להגנה על מידע, אך יחד עם זאת, לא ניתן לחמוק ממענה והתייחסות לתקלות אבטחה אפשריות הן בתהליכים והן במערכות המידע. על כן, אני סבור שראוי לתהות ולבחון את אופן יישומה (או שלא) של מדיניות אבטחת המידע הארגונית החל מרמת התהליכים המרכזיים ביחידות העסקיות וכלה בצלילה עד לכל אחד משלבי הפיתוח, המכירות, משאבי אנוש, ניהול לקוחות ועוד. 

למשל, החברה אמורה לדעת לענות על שאלות כגון:  איך מיישמים ניהול ההרשאות וחלוקתן לרמות?, האם ואיך קלט נבדק ומטופל כראוי (כנ"ל פלט)?, מה עושים כדי למנוע Buffer Overflow והאם העברת המידע נעשית כראוי בין הסביבות השונות (לרבות תשומת לב לאבטחת קונטיינרים אם יש)?, אילו מנגנוני סינון תכנים מיושמים? ומה נעשה להגברת המודעות בקרב העובדים?

כמובן שיש עוד סוגיות לבחינה מעמיקה ביתר היחידות העסקיות על מערכות המידע, מאגרי המידע הלוגיים הרלוונטיים ונהלי הארגון. הרציונאל הוא שאם יש מישהו שהתפקיד שלו הוא לשאול את השאלות (הנכונות), לזהות פוטנציאל לכשלים, לכונן תרבות ארגונית ולתחזק אותה בשוטף - אירועים שכאלה לא אמורים לראות אור, לפחות לצמצם את וקטורי התקיפה עד לרמה השיורית. 

אמנם אין 100% באבטחת מידע, אך ארגון צריך להיות מסוגל לשכנע ב - 100% לגבי המאמצים לחתור לשם. לכן, החשיבות העליונה בזיהוי איומים וניהול סיכונים

מניסיוני, עסקים רבים - במיוחד קטנים ובינוניים, לא נותנים חשיבות ומענה ראוי לשלבים הבסיסיים ביותר של אבטחת המידע הרגיש שבבעלותם או המנוהל על ידם - חלקם אף לא מודע לקיומו!
על כן, ראוי להבין את המשמעות המשפטית והעסקית של "פספוס" ולו הקטן ביותר בסביבת מערכות המידע. לאחר מכן, לבנות תוכנית עבודה למיפוי והשלמת הפערים ועד לעמידה בדרישות הרגולציות הרלוונטיות. 

 

שאו ברכה ושימרו על המידע שלכם ושל לקוחותיכם!

איתי גורביץ', עו"ד
(מומחה בהגנת הפרטיות והמידע בארגונים)

 

 
מאמרים נוספים...
 
  • למאמרים אחרים של איתי גורביץ'
  • לצפייה בכל המאמרים