לא לפרנואידים בלבד
טלפון סלולארי בישיבה חשובה או מחירון שהושלך לפח מספיקים כדי לסלול את הדרך למידע שהארגון משקיע הון רב בהסתרתו. חברת אביר ייעוץ בטחוני קיבצה כמה טיפים למידע עסקי בטוח.
בעידן הטכנולוגיה נהוג לחשוב על אבטחה עסקית במושגים של חומת אש, חומות מגן אלקטרוניות ותוכנות אבטחה, אלא שריגול עסקי וסוסים טרויאניים עלולים לחדור לעסק גם באמצעים הפשוטים ביותר. ראו מקרה השופט העליון בדימוס, יעקב מלץ, מדי שנה נגנבים מאות מחשבים ניידים של עובדים בכירים, כשבדרך כלל, מוזמנות הגניבות ע"י מתחרים עסקיים. באופן טבעי, מחשבים ניידים נושאים עליהם מידע רגיש, ובמקרים רבים הוא קל לפיצוח ואינו מוגן בסיסמאות או פתרונות אבטחה אחרים כמו טביעת אצבע, אך גניבה היא רק שיטה אחת, ואפילו מסובכת, מבין השיטות להשיג מידע. מרבית השיטות מסתמכות על פרצות אבטחה שניתן לסגור ללא קושי או מאמץ רב: אפשר לשתול עובד סמוי, לגייס מקורות מודיעין באמצעות קבלני משנה וספקי שירותים (עובדי חברת שמירה או ניקיון), אפשר לנצל תאי דואר לא ממאובטחים של מנהלים ובכירים, כמו כוורת דואר, הניצבות פתוחות באמצע המסדרון, לצלם חומר רגיש בטלפונים סלולאריים, ואפשר לגנוב מכשירי טלפון ניידים, שרבים מהם (במיוחד סמארטפונים) אוגרים מידע רב ערך.
לדברי המומחים, חברות משקיעות הון באבטחת מידע, אבל לא תמיד מוודאות שהעובדים משתמשים בכלים הללו בצורה נכונה, מחליפים מדי תקופה את הסיסמה שלהם, או משתמשים בה בכלל. הנה עצות פשוטות, אך לא תמיד מובנות מאליהן, שנאספו ע"י יניר מלך, מנכ"ל אביר, חברה לייעוץ בטחוני וחקירות,
זהירות מתקשורת אלחוטית: מחשבים ניידים או מחשבי כף יד בעלי בלוטות עלולים לשמש כצינור לשאיבת מידע. יש לאסור כניסת מכשירים כאלו וכניסת מכשירים סלולאריים מתקדמים למקומות רגישים או לישיבות חשובות. אין לאפשר הכנסת סלולאריים, במיוחד עם מצלמות, למקומות רגישים. יש להימנע משימוש בטלפונים אלחוטיים, שניתן להאזין להם באמצעות סורק תדרים פשוט. מסיבות דומות, יש להקפיד על אבטחת רשתות מחשבים אלחוטיות.
אבטחת מידע: יש לפקח על הודעות דואר יוצא ועל גיבויים, ולאחסנם במקום שנקבע במיוחד לכך.יש לקבוע נהלי שינוי סיסמה, למגן סיסמאות ולנעול תחנות עבודה לא רק ביציאה הביתה, אלא גם בהפסקת צהריים ואפילו בהפסקת קפה קצרצרה. יש לאסור על התקנות תוכנות פרטיות ועל פתיחת הודעות דואר לא מזוהות. יש לעדכן מעת לעת הרשאות עובדים. יש להקפיד שחברות המספקות תמיכה טכנית אינן מספקות שירותים גם למתחרים.
תיקון חומרה: כשמוציאים חומרה לתיקון חיצוני יש לקחת בחשבון את הסיכון לחומר הרגיש שעל גבי המכשיר. רצוי לבצע את התיקון בפיקוח, וודאי שלא לשלוח למעבדה חיצונית ולחזור לאסוף כעבור שבוע. ככלל, מוטב שלא להוציא מכשירים רגישים החוצה, אלא להכשיר עובדים פנימיים לביצוע תיקונים.
הפרדת תחום המחשוב: מומלץ להעביר את כל נושא אבטחת המחשבים לידי יחידת המחשוב בעסק, ולגבש נהלים קשיחים לגבי הוצאת מחשבים ניידים, הצפנתם, אבטחתם והגדרת המידע שמותר לשמור בהם.
גיוס עובדים: בקהילת העסקים הישראלית נוהגים לבדוק את הכישורים המקצועיים של המועמד תוך ויתור על בדיקת רקע מעמיקה, שמבררת אם יש לו קשרים עם חברה מתחרה. מומלץ להעביר מגויסים, בעיקר בכירים, בדיקת פוליגרף.
פיטורים: כאשר מפטרים עובד, יש לוודא שהוא לא שולח מידע באי-מייל או מוריד אותו לדיסק קשיח און קי (שנפח של 1 ו-2 ג'יגה-בייט יכול לשאת מידע רב.)יש לבטל את כל הרשאות המחשב של עובד מפוטר, את סיסמאות הגישה שלו ואת קוד הכניסה לחדר ולמשרד. יש לקחת ממנו את מפתחות המשרד, ואף להחליף מנעולים.
תיוג והדרכות: קיימו הדרכות שוטפות בנושאי ביטחון, עם דגש על אבטחת מידע,אך אל תזלזלו גם בפרטים הקטנים, כמו נעילה של חלונות. מומלץ להצמיד לעובדים תגים הנושאים את שמם ואת שם המחלקה שבה הם עובדים, כך שאפשר יהיה לזהות לא רק אורחים לא קרואים, אלא גם עובד שנמצא במקום שהוא לא אמור להיות בו.
בדיקת פתע: יש לבצע בדיקת האזנה תקופתית ובדיקות פתע לקווי טלפון ופקס, עם דגש על סריקות לקראת אירועים חשובים, כמו לפני ישיבה חשובה עם משקיעים או בנקודות זמן חשובות, כמו הנפקה, הכנת מכרזים או חתימה על חוזים. בצעו מדי פעם, אבל לא ביעדים ידועים מראש, בדיקות פוליגרף לעובדים בכירים ולעובדים עם גישה למידע רגיש.
לו"ז לא קבוע: יש להימנע מקביעת ישיבות הנהלה או ישיבות מכרזים בימים קבועים ובשעות קבועות. החליפו שועות וחדרי ישיבות ברגע האחרון. אין לאפשר שימוש בטלפונים סלולאריים בישיבות חשובות, מחשש לשידור תוכנן החוצה. לפני תחילת ישיבות יש לוודא שהחדר סטרילי.
זהירות ממתנות: יש להקפיד על ניטור ובקרה של כניסות ויציאות לעסק, ולהציב מצלמות בכניסות, בפרוזדורים ובמקומות רגישים. אין לאפשר כניסת זרים למקומות רגישים. מומלץ גם להימנע מקבלת זרי פרחים ועציצים בתקופות רגישות, שגן הם עלולים להיות מקור להאזנות סתר. ככלל, רצוי להתייחס בחשד לכל חבילה ממקור לא ידוע.
נוהלי משרד חדש: בעת כניסה למשרד חדש, יש לבצע בדיקת האזנה לקווי טלפון ופקס. כל איש שירותים שנכנס לחברה עלול להיות עובד שנשכר כדי להתקין מכשירי האזנה וציטוט. יש ללוות אנשי שירותים בתחום המזגנים, הטלפונים והחשמל.
יפה השתיקה: בקשו מהעובדים בכל הדרגים לא לדבר על ענייני החברה במקומות ציבוריים. שיחה אקראית עלולה להתגלות כשיחה עם אדם שתודרך להוציא מכם מידע.
קבלני משנה: מומלץ לפקח באופן שוטף על קבלני משנה ועל עובדיהם (חברות שמירה, ניקיון וכו'). יש לוודא שהקבלן לא מספק שירותים למתחרים, ולערוך בדיקת רקע קפדנית לחברות הקבלניות ולעובדיהן. מוטב שעבודת הניקיון תתבצע בשעות שהחברה פעילה והעובדים נמצאים במשרדיהם.
גריסה: הדרך החוקית הטובה ביותר לאסוף מידע על חברה היא חיטוט באשפה שלה, אין לזרוק לזבל חומר כתוב. מומלץ לגבש נהלי גריסה מסודרים, ולגרוס חומרים כתובים (פרוטוקולים, מחירונים וכו'). סיוע מבחוץ בארגונים גדולים יש לשקול לגייס איש בטחון הכפוף ישירות למנכ"ל.
ציוד עזר: אפשר להיעזר בציוד לאיתור מצלמות סתר, מכשיר לזיהוי האזנות סלולאריות,
מצפין פקס וטלפון ומכשירים למניעת האזנה.
מודעות וערנות: יש להגביר את רמת האכפתיות בכל דרגי החברה. לעיתים, חשיפה של פרשיית ריגול מתחילה במשהו אקראי. יש לעודד דיווח מצד כל עובדי החברה בכל נושא שנראה מוזר או לא במקום.
