הודלף מידע? אם לא תדווחו - אולי תפוטרו
מחקר חדש מגלה כי 3 מתוך 4 חברות נפגעות מזליגת נתונים חסויים, כאשר העובדים אחראים ל-42% מהמקרים. מה שיעור ההדלפות המכוונות, כמה מפזסידים הארגונים ומה המצב בישראל?
3 מתוך 4 חברות בעולם נפגעו מדליפת נתונים חסויים, כאשר ב-42% מהמקרים - מי שאחראים לאובדן הנתונים הם העובדים. כך עולה ממחקר משותף שערכה מעבדת קספרסקי עם B2B International בקרב 5,500 מעסיקים בעולם.
הנתונים מעלים, כי 73% מהחברות נפגעו מאירועי אבטחה פנימיים, כאשר 21% דיווחו על אובדן מידע בעל ערך באופן שפגע בפעילותן העסקית. האיום המרכזי נשקף כתוצאה מדליפת נתונים, כשהאחראים המרכזיים לכך הם העובדים: הממצאים מעלים כי ב-28% מהמקרים דליפת הנתונים היתה מקרית, בעוד שב-14% היא היתה מכוונת.
איום מרכזי נוסף על פי המחקר הוא אובדן וגניבה של מכשירים ניידים, כאשר 19% ציינו כי איבדו מכשיר נייד הכולל נתונים ארגוניים לפחות פעם בשנה. גורם חשוב נוסף הוא הונאות מצד עובדים, כאשר 15% מהמשיבים נתקלו במצבים בהם עובדים השתמשו למטרות פרטיות במשאבים של החברה, כולל כספים.
על פי המחקר, ההפסד הממוצע שנגרם לעסקים קטנים כתוצאה מאיומי האבטחה נע בין 33 ל-80 אלף דולר לארגון לשנה כתוצאה מדליפות מקריות, ועל כ-47 אלף דולר כתוצאה מדליפה מכוונת. סך הנתונים לגבי ארגונים גדולים מוערכים בכ-1.29 מיליון דולר ו-784 אלף דולר בהתאמה. באשר להונאות - סך ההפסדים של עסקים קטנים ובינוניים נאמד בכ-40 אלף דולר בממוצע, וביותר מ-1.3 מיליון דולר לארגונים גדולים.
המחקר כלל גם תשאול 105 מעסיקים בישראל. בבחינת הנתונים בארץ עלה, כי 22% מהחברות נפגעו מדליפת נתונים מקרית לעומת 10% שנפגעו בדליפה מכוונת מצד העובדים. בנוסף, 13% מהנשאלים דיווחו על הונאות מצד העובדים.
רשלנות שהביאה לדליפת מידע - עילה לפיטורין
עורך דין רועי בראונר, מומחה לדין פלילי, דיני מחשב וייצוג עובדים מול מעסיקיהם, מציין, כי זליגת מידע עסקי מארגון על ידי אחד מעובדיו לגורמים זרים או מתחרים היא דבר שכיח, אולם במקרים רבים הארגון אינו מודע לכך. לעתים זה עלול לקרות מרשלנות, למשל אובדן המחשב הנייד עם המידע הארגוני או התקנת תוכנות ריגול שלא ביודעין בזמן גלישה באינטרנט, ששואבות את המידע מהמחשב לשרת חיצוני. בראונר מבהיר כי בעוד שבמקרה הראשון, זליגת המידע ידועה לארגון וניתן למזער את הנזק הנשקף ממנה, במקרה השני המידע יוצא באופן חשאי כך שהארגון כלל אינו יודע שהמידע זלג".
החוק מבדיל בין מקרים בהם המידע זולג כתוצאה מרשלנות, לבין הוצאת מידע בכוונה תחילה והעברתו לארגון מתחרה. "הדין הפלילי מבחין בין מעשה שנעשה ברשלנות ובין מעשה שנעשה במחשבה פלילית", הוא מסביר. "סעיף 425 לחוק העונשין, קובע כי עובד של תאגיד ש נהג אגב מילוי תפקידו במרמה או בהפרת אמונים הפוגעת בתאגיד, דינו מאסר שלוש שנים. העברת מידע עסקי לגורם מתחרה היא ללא ספק מרמה והפרת אמונים, הפוגעת בתאגיד".
"סעיף זה אינו חל על מקרה בו המידע יצא מרשותו של העובד ברשלנות ועובד שכזה, לא יהיה חשוף לסנקציה פלילית", הוא מוסיף. "עם זאת, עובד שבשל רשלנותו גרם למעסיקו לנזק, עשוי להיתבע על ידי מעסיקו בעוולת הרשלנות שבפקודת הנזיקין ואף עלול להיות מפוטר. במקרים קיצוניים, המעסיק אף יכול לשלול מהעובד את פיצויי הפיטורים, תלוי במידת הרשלנות של העובד והיקף הנזק שגרם למעסיק:.
בראונר מוסיף כי ככל שהארגון הנחה את עובדיו לשמור על המידע והנהיג כללים מחייבים כמו אי הוצאת מחשב נייד מהמשרד או השארתו ברכב, כך עולה מידת אחריות העובד לשמירה על המידע גם במקרי זליגת מידע מרשלנות. "מחובתו של עובד שגילה שבשל רשלנותו זלג מידע עסקי מהארגון בו הוא עובד, לדווח לממונה עליו וזאת על מנת לפעול למזעור הנזק. עובד שלא עשה כן, עלול להחריף את מצבו ביחס לארגון, ולהגדיל את מידת אחריותו לנזק אליו נחשף הארגון".
ישראל: 13% מדווחים על הונאות עובדים
בחברת קספרסקי מציינים כי "בעוד תשתית ה- IT של חברות הולכת ומתרחבת, מתרחב גם אופק האיומים. רכיבים חדשים מוסיפים פגיעויות חדשות. והמצב מחמיר לאור העובדה כי לא כל העובדים – במיוחד אלה שחסרים הבנה מיוחדת ב- IT – מצליחים לשמור על קצב השינויים. כתוצאה מכך, החברה חשופה לא רק לאיומים חיצוניים אלא גם לאיומים פנימיים המגיעים מצד עובדים".
נעם פרויומוביץ, מנכ"ל החברה בישראל, מציין מספר גורמים לדליפת ואובדן נתונים -
1. טעויות אנוש כמו משלוח מייל לכתובת לא נכונה או משלוח לרשימת תפוצה מחוץ לארגון
2. אובדן לפטופים, טלפונים סלולריים, דיסק-און-קי - כל מה שיש עליו מידע ארגוני רגיש.
3. גניבת לפטופים, סלולריים, וכל אביזר נתיק שיש עליו מידע ארגוני.
4. מידע שנגנב באמצעות הנדסת אנוש - התחזות לחברים ברשתות חברתיות, פישינג של אתרים ארגוניים כמו בנקים.
5. גניבה פנים ארגונית - נקמה או פשע, גניבה של כרטיסי אשראי או מידע ארגוני חשוב.
כדי להפחית את הסיכוי לזליגת מידע, פרויומוביץ מציע לבצע הדרכות לעובדים במטרה להעלות את המודעות, להצפין את המידע בכל הרמות ולשלב כלי ניטור ובקרה ארגוניים שיססנו את מה שיוצא מארגון. "זה לא סוד שפתרון אבטחה לבדו אינו מספיק כדי להגן על נתונים של חברה", הוא אומר. "מה שנדרש היא גישה רב שכבתית משולבת המבוססת על ידי מודיעין אבטחה ואמצעים משלימים, שיכולים לכלול שימוש בפתרונות ייעודיים והפעלת מדיניות אבטחה, כגון הגבלת הרשאות גישה".