פרטיות דיגיטלית במקום העבודה - מה מעסיק רשאי לבצע ומה לא?

משפטן ולא עו"ד

כתבתי עבודת סמינריון בדיוק על הנושא הזה לפני ~ 11 שנה בזמן שהתפרסם פס"ד איסקוב

לשאלתך, זכותו המלאה.

המחשב קניינו ומיועד לעבודה

התקנת תוכנות לא חוקיות אף עשויות לחשוף את המעסיק לתביעה

רוצה חומר (קבצים) שלך? על ענן שמעת?

חוץ מזה - מחשב נקי ונגיש למעסיק.

אתה מזכיר לי את הסלבריטאיות שמתלוננות על כך שתמונות העירום שלהן דלפו לרשת (ואז יוצאות בעצמן עם "קמפיין חושפני").

לא רוצה שידלפו תמונות עירום של ברווז לרשת? אל תעלה אותן.

לא רוצה שהבוס יתעסק עם עניינך הפרטיים? אל תביא אותם לעבודה.

או לחלופין, תביא במחשב משלך, טלפון משלך, ותחזיק תיק משלך עם מסמכים משלך.

- - - - -

ובמעבר חד להצעה פרקטית - תשתדל לנהל משפחת ססמאות שונה בין העבודה לחייך הפרטיים.

אני מבקר במסגרת העבודה בהמון אירגונים. בהרבה מקומות יש איסור מוחלט לעלות חומר פרטי על המחשב של החברה וזה גם לא אפשרי טכנית כי אין אינטרנט, אין כונן CD וכניסות USB חסומות.

יש אירגונים בהם אם אתה מכניס דיסק או קי למחשב של החברה, מתקבלת מיידית התראה במחלקת אבטחת מידע ומתקשרים לברר מה קורה.

צוות IT יכול להתחבר מרחוק לכל מחשב, לאפס סיסמא ולראות מה קורה במחשב. אבל אין להם יותר מידי מה לראות כי אין שם חומר פרטי.

איפה כן יש חומר פרטי - באירגונים קטנים פחות מסודרים מהבחינה נזו, ללא מחלקת אבטחת מידע, ללא פוליסי על כל המחשבים וכו'.

במקום עבודה שלי כל אחד יודע את הסיסמאות של העובדים האחרים.

לדוגמא מקרה שקרה לי כמה פעמים - מגיע מישהו למצגת הדגמה. המחשב שלי עמוס במיליון התקנות של כל מוני דרייברים ומכשירים, בגלל זה לפעמים משהו משתבש.

אם זה קורה מול הלקוח שבא להדגמה, אני הולך למחשב של אחד הקולגות (שלא נמצא), נכנס עם הסיסמא שלו ועושה את ההדגמה על המחשב שלו.

האפשרות השניה שהרבה פחות סימפטית היא להתחיל לטפל בבעיה באותו דרייבר מול הלקוח.

נראה לי שדי ברור מה עדיף.

אני חייב לסייג את הנחרצות בכך שבית המשפט כן מבין את הטשטוש בין מקום העבודה ולמרחב הפרטי, עקב שעות העבודה המרובות בעידן המודרני

בית המשפט, גם מכיר בזכות הטבעית של האדם לפרטיות (הפרטיות נגזרת מחוק יסוד כבוד האדם)

מצד שני, הפס"ד וההלכה הזאת ניתנו לפני המון זמן במונחים טכנולוגים.

היום שלכל אחד יש אלטרנטיבה בדמות טלפון שיכול למלא את כל הצרכים האישים, באמת שאין סיבה להשתמש במחשב לצרכים פרטים.

אפשרות נוספת, תביא איתך לפטופ קטן אישי לעבודה.... מאוד נוח וגם בטוח

נמשיך את אותו היגיון.

אותו מעסיק (אשתו) אמרה לי כבר (פעמיים למיטב זכרוני) שהיא גם עוקבת אחרי כמה פעמים אני נכנס לשירותים ולכמה זמן.

לשיטתך, האם עליי לא ללכת לשירותים בעבודה אלא להתאפק?

כן. דוגמא קיצונית. לצערי אמיתית. :cry:

 

עזבו את עניין "אבטחת מידע". מילים אחרונות מפורסמות, אני יודע מה אני עושה. רוצה לאמור, הדברים ממודרים בצורה סבירה.

כל ההיגיון מסביב לנושא, מעוות.

עניין שינוי הססמא נבדק ע"י המעסיק. דהיינו, החליט לשבת לי מול המחשב, ולהיכנס אליו. מה חיפש שם? לאללה הפתרונים. כל, כ-ל, המידע העסקי שמור ומגובה בתוך השרת. לכולם יש גישה ישירה אליו.

מה השלב הבא? ידרוש להביט לי בטלפון, לראות עם מי אני מדבר? ומה סימסתי לאשתי?

ומה השלב אחרי זה? ידרוש לפתוח לי את המגירות בשולחן לחיפוש מנדרינות?

אציין שגם ככה מישהי שם עוברת לכולם על הפחים במצוד אחרי ניירות שניתן למחזר ולהדפיס מצידם השני. אותה אחת שעוקבת אחרי השימוש בנוחיות. כך שמה שציינתי לצערי הרב לא בגדר המופרך.

ואחרי זה, אני עוד מקבל ביקורת מהפורום ש"אני פותח עוד שירשור לגבי עבודה באוף" :lol:

אז כן.

ההתנהלות בעבודה שלך חוקית לגמרי, אמנם לא הכי נעימה, אבל חוקית.

כמו כל בן אדם נורמלי תגביל את עצמך בעבודה לקצת שירים ביוטיוב וגלישה באתר ONE אחרי האוכל, לכל השאר תשתמש בטלפון האישי שלך (לא של העבודה..)

באופן כללי, ידיעת סיסמה של עובד אחר הינה תקלה מס' 1 בשמירה על אבטחת מידע בסיסית במקום עבודה מסודר ובטוח.

אם אתה יודע את הסיסמה של מישהו, קל מאוד יהיה לאדם אחר לדעת את הסיסמה שלך ומשם הדרך אל פירצה פוטנציאלית קצרה (וקלה) מאוד.

רגולציה אשר כוללת את כלל העסקים הרשמיים בישראל מחייבת כל חברה אשר מעוניינת לקבל את אישור הרגולטור האירופאי למנות Ciso (chief information security officer) אשר באחריותו לנטר את כלל נושאי אבטחת המידע בחברה ובבסיסם - אי ידיעת סיסמה של משתמש וניטור מורכבות הסיסמה וכן אינטרוול איפוס הסיסמה.

מי שטוען כי "גישה אל אינפורמציה של פגישות משעממות" לא מעניינת אף האקר, טועה, מכיוון שדרך פירצה פשוטה מאוד ניתן להגיע לכלל המערכות בארגון ולאו דווקא ללוח השנה המשעמם שלכם.

החינוך מתחיל בהכרת האיומים (החל מ"לא ללחוץ על לינקים במיילים חשודים" ועד אל "לא לכתוב את הסיסמה שלכם על פתק שדבוק למסך".

GDPR גם מציין מפורשות שאין לשתף את הסיסמה שלך עם אף אחד, לא עם השומר, לא עם חבר צוות, לא עם איש IT ולא עם הבוס שלך.

Buki - לשם כך בדיוק קיים דומיין. לא מתחברים לחשבון משתמש של משתמש אחר כדי לעבוד על המחשב שלו, מתחברים עם שם המשתמש שלך במחשב אחר.

בנוסף, שמירת חומר על ענן (Google drive\OneDrive וכו') אשר מספק אבטחה ברמה גבוהה ועומד ברגולציות מספק פתרון נוח עבור משתמשים אשר צריכים גישה לחומר שלהם מכל מחשב\מקום בעולם. מה גם שהפתרון הזה מספק גיבוי טבעי למקרים בהם אין גישה אל חומר שנמצא על המחשב עצמו מכל סיבה.

לסיכום - ע"פ מה שאני קורא בשרשור הזה, קיימת בעיה חמורה בכל נושא החינוך לאבטחת מידע, ועוד מאנשים שאני מחשיב כפיקחים ונבונים.

אשמח מאוד להמשיך ולפרט ככל שיחפוץ בכך כל חבר פורום נכבד.

הכותב הינו ר"צ במחלקת IT ואבטחת מידע בחברה בין לאומית (HQ בישראל), פרטית בינונית (600 עובדים~).

הדבר היחיד שלא תקין זה שהוא לא אמר לך מראש שהוא מחזיק בנגישות לכל מה שנמצא במחשב שלך.

אצלי יש רשת הנה"ח פנימית ומנותקת לחלוטין מהעולם החיצן שאליה לא נכנס כלום, עמדת הנדסה עצמאית לחלוטין שלא מחוברת החוצה ועוד רשת אלחוטית לתקשורת חיצונית עם מחשבים לשירות עובדי המשרד. ברשת הזו שיעשו מה שהם רוצים ולא מעניין אותי מה הם עושים.

לגבי מיילים ארגוניים כל עובד בעל מייל ארגוני יודע שיש לי את הסיסמא שלו וגישה אליו ושאני מקבל העתקים של המיילים שנכנסים לצרכי מעקב וביקורת.

כל זמן שאתה יודע את כללי המשחק זה בסדר אבל לשנות בדיעבד לטעמי זה לא לעניין.

נמשיך את אותו היגיון.

אותו מעסיק (אשתו) אמרה לי כבר (פעמיים למיטב זכרוני) שהיא גם עוקבת אחרי כמה פעמים אני נכנס לשירותים ולכמה זמן.

לשיטתך, האם עליי לא ללכת לשירותים בעבודה אלא להתאפק?

כן. דוגמא קיצונית. לצערי אמיתית. :cry:

בלי קשר לכל עניין המחשב (חוקי או לא),

הייתי חושב פעמיים אם לעבוד במקום שנכנס לך לעניינים של זמן בשירותים.

מקום עבודה צריך להיות מקום שנעים להיות בו.

באופן כללי, ידיעת סיסמה של עובד אחר הינה תקלה מס' 1 בשמירה על אבטחת מידע בסיסית במקום עבודה מסודר ובטוח.

אם אתה יודע את הסיסמה של מישהו, קל מאוד יהיה לאדם אחר לדעת את הסיסמה שלך ומשם הדרך אל פירצה פוטנציאלית קצרה (וקלה) מאוד.

רגולציה אשר כוללת את כלל העסקים הרשמיים בישראל מחייבת כל חברה אשר מעוניינת לקבל את אישור הרגולטור האירופאי למנות Ciso (chief information security officer) אשר באחריותו לנטר את כלל נושאי אבטחת המידע בחברה ובבסיסם - אי ידיעת סיסמה של משתמש וניטור מורכבות הסיסמה וכן אינטרוול איפוס הסיסמה.

מי שטוען כי "גישה אל אינפורמציה של פגישות משעממות" לא מעניינת אף האקר, טועה, מכיוון שדרך פירצה פשוטה מאוד ניתן להגיע לכלל המערכות בארגון ולאו דווקא ללוח השנה המשעמם שלכם.

החינוך מתחיל בהכרת האיומים (החל מ"לא ללחוץ על לינקים במיילים חשודים" ועד אל "לא לכתוב את הסיסמה שלכם על פתק שדבוק למסך".

GDPR גם מציין מפורשות שאין לשתף את הסיסמה שלך עם אף אחד, לא עם השומר, לא עם חבר צוות, לא עם איש IT ולא עם הבוס שלך.

 

Buki - לשם כך בדיוק קיים דומיין. לא מתחברים לחשבון משתמש של משתמש אחר כדי לעבוד על המחשב שלו, מתחברים עם שם המשתמש שלך במחשב אחר.

בנוסף, שמירת חומר על ענן (Google drive\OneDrive וכו') אשר מספק אבטחה ברמה גבוהה ועומד ברגולציות מספק פתרון נוח עבור משתמשים אשר צריכים גישה לחומר שלהם מכל מחשב\מקום בעולם. מה גם שהפתרון הזה מספק גיבוי טבעי למקרים בהם אין גישה אל חומר שנמצא על המחשב עצמו מכל סיבה.

 

לסיכום - ע"פ מה שאני קורא בשרשור הזה, קיימת בעיה חמורה בכל נושא החינוך לאבטחת מידע, ועוד מאנשים שאני מחשיב כפיקחים ונבונים.

אשמח מאוד להמשיך ולפרט ככל שיחפוץ בכך כל חבר פורום נכבד.

 

הכותב הינו ר"צ במחלקת IT ואבטחת מידע בחברה בין לאומית (HQ בישראל), פרטית בינונית (600 עובדים~).

סוף סוף מישהו שיודע מה הוא אומר.

אצלינו אסור לאף אחד לגשת למחשב שלי (גם ממקום של מידור מידע של לקוחות). רק אם פותחים בחקירה כלשהי נגדי אז אולי תהיה להם גישה.

זה נשמע שבארץ תחום הפרטיות עדיין פרוץ יחסית.

אתם סתם חוטפים את השרשור.

אין שום קשר בין אבטחת מידע ושאר השיטות שפורטו לבין השאלה המקורית של ברווז, וברור לכול שחלוקת/ידיעת ססמאות היא הפרצה הכי בסיסית וחמורה שיש.

אבל זה לא הנושא.

בכל הנוגע לפרטיות, ישראל לא ב-gpdr על כל המשתמע מכך.

זה ברור שזה לא מעניין אותם. אם יקרה משהו, הם יתחילו לדבר אחרת.

בכל הנוגע לאבטחת מידע, אתם בהחלט צודקים, אך אתם מפספסים חלק מאוד חשוב (שיהיה לכם קשה מאוד להבין)

חברה קטנה, מספר מועט של עובדים, צריכים לעבוד, אין להם כסף/זמן ל CISO, נהלי אבטחת מידע, סיסמאות אישיות של עובדים שמגבילים אותם, וכו'

הם צריכים לעבוד, ועכשיו.

הבחור היה צריך לגשת למחשב כי היה שם וירוס, אתם מצפים שהוא יגיד לטכנאי "בוא נחכה שעתיים עד שיענו לי" או "תבוא מחר כשהעובד יחזור מחופש" ?

בתור אחד שעובד בארגון מסודר (ומסכים עם נהלי אבטחת מידע), ועבד גם עם לקוחות קטנים, אני לגמרי יכול להבין בעל עסק שאין לו זמן להתברבר עם סיסמאות ופשוט מחליף, ושבעל העסק צריך שיהיה לו גישה זמינה ומיידית לכל מה שיש בכל מחשב שהוא.

זה ברור שזה לא מעניין אותם. אם יקרה משהו, הם יתחילו לדבר אחרת.

 

בכל הנוגע לאבטחת מידע, אתם בהחלט צודקים, אך אתם מפספסים חלק מאוד חשוב (שיהיה לכם קשה מאוד להבין)

חברה קטנה, מספר מועט של עובדים, צריכים לעבוד, אין להם כסף/זמן ל CISO, נהלי אבטחת מידע, סיסמאות אישיות של עובדים שמגבילים אותם, וכו'

הם צריכים לעבוד, ועכשיו.

 

הבחור היה צריך לגשת למחשב כי היה שם וירוס, אתם מצפים שהוא יגיד לטכנאי "בוא נחכה שעתיים עד שיענו לי" או "תבוא מחר כשהעובד יחזור מחופש" ?

 

בתור אחד שעובד בארגון מסודר (ומסכים עם נהלי אבטחת מידע), ועבד גם עם לקוחות קטנים, אני לגמרי יכול להבין בעל עסק שאין לו זמן להתברבר עם סיסמאות ופשוט מחליף, ושבעל העסק צריך שיהיה לו גישה זמינה ומיידית לכל מה שיש בכל מחשב שהוא.

טענתך אינה נכונה ושגויה בבסיסה.. אם לחברה היה "זמן" ומשאבים לנהל צוות אבטחת מידע בסיסי או לשכור חברה חיצונית שתטפל בנושא בשבילם, האדמין היה יכול להתחבר למחשב עם משתמש מקומי אדמיני ולעשות מה שהוא צריך כדי לנטרל את הוירוס. זה היה חוסך יותר זמן מכל ההתעסקות שהמצב הזה הביא, ובכלל כנראה גם חוסך את כל המצב הזה מראש. (שלא לדבר על מהות הוירוס ומה הוא יכל\עדיין יכול לחולל בחברה).

ובנוסף, ואף חשוב מכך - (כי יכול להיות מצב שאסור\לא ניתן לכבות מחשב מסויים) אם מלכתחילה מחשב אישי של עובד לא היה מריץ משהו חשוב שמונע כיבוי שלו, כל המצב הזה היה נמנע.

אנחנו תמיד שומעים את המונח "אני צריך לעבוד, ועכשיו, ואין לי זמן לאבטחת המידע שלכם", משום מה -תמיד- אם העובד היה נצמד לכללים (שנכתבו מניסיון רב) הוא לא היה בבעיה הזו מלכתחילה. ( IE - לא היה לו וירוס במחשב...).

* מנע היום את מה שאין לך זמן לתקן מחר *.

"אם" זאת מילת המפתח.

אף עסק קטן (אלא אם הבעלים מבין דבר או שניים) לא מתעסק עם זה, לא עם אבטחה, אין לו כסף לשלם לעובד שלא לדבר על חברת אבטחה חיצונית, לכן זאת התוצאה.

לא אמרתי שאני מסכים עם זה, ההפך, אני מסכים עם נהלים ועבודה מסודרת, אבל בתור בעל עסק קטן שרואה כמה קשה לשרוד, בהחלט מבין.

'

מי שלא היה במקום הזה יהיה לו קשה מאוד להבין.

אתם סתם חוטפים את השרשור.

אין שום קשר בין אבטחת מידע ושאר השיטות שפורטו לבין השאלה המקורית של ברווז, וברור לכול שחלוקת/ידיעת ססמאות היא הפרצה הכי בסיסית וחמורה שיש.

אבל זה לא הנושא.

 

בכל הנוגע לפרטיות, ישראל לא ב-gpdr על כל המשתמע מכך.

לגבי gdpr זה לא נכון, יש הרבה אזרחי האיחוד בישראל או חברות שמחזיקות מידע על אזרחי האיחוד ולכן יש הרבה חברות בארץ שצריכות להיות gdpr compliant