מאמר המעלה שאלות נוקבות,אודות סכנות למידע בין שותפים עסקיים.

בשנים האחרונות הולכת וגוברת מגמת מיקור חוץ (outsourcing) לתחומים שונים ומגוונים בארגון. לגורמים רבים מטעם חברות ספק וחברות עמן קיים שת"פ עסקי (ממשקים עסקיים) ניתנת נגישות פיזית ולוגית למידע רגיש אשר הפגיעה בו או חשיפתו הבלתי מבוקרת, במזיד או בשוגג, עלולים לגרום לחברה נזקים קשים, חלקם אף מבלי שיהיה הארגון מודע להיווצרותם. חברות רבות ערות לצורך בהטמעת היבטי אבטחה פנים-ארגוניים אך נוטות להזניח את יישום הנחיות האבטחה בקרב הממשקים העסקיים.
                                                                                                                                                                                            
מאת:מירב ורד
מנכ"ל "מודוס"

ניתן יהיה להגיד כמעט בוודאות מלאה כי לא קיים תחום בחברות הגדולות, בו לא משולבים ממשקים עסקיים, כחברות עמן מתקיימים שיתופי פעולה עסקיים או כחברות המספקות שירותים או מוצרים. בחברות גדולות קיימת רשימה של מאות ממשקים עסקיים, אשר ידם בכל, החל מחברות המנהלות, מתפעלות ומתחזקות את מערכות המחשב של החברה, דרך יועצים המכירים לעומק את תחומי פעילותם בחברות, דרך אנשי תחזוקה ומנקים המשוטטים בחברות באופן לגיטימי, כשהם מצוידים בתגים המאפשרים להם נגישות חופשית לשטחי החברה ומבלי שיעוררו כל חשד. 

ארגונים רבים פתחו בפני הממשקים העסקיים את דלתותיהם ועם הזמן יצרו "דינמיקה משפחתית" בין גורמי החברה לבין גורמי הממשקים העסקיים. עם זאת, יוצרת דינמיקה זו שאננות הגובלת בגישת "הוא משלנו", המאפשרת לחברה להתעלם מהסיכונים האבטחתיים הגלומים בנוכחותם של הממשקים העסקיים בארגון. 

חברת הפרסום לדוגמא, אשר מהווה צומת רגישה ביותר לחומר אסטרטגי חסוי, המגיע לשטח חברת הפרסום בתזמון רגיש ביותר, מעסיקה עובדים רבים, במחלקות מגוונות הפרוסות לעתים על-פני שטח רב. האם קיימים הסכמי אבטחת מידע מטעם החברה המעסיקה את משרד הפרסום? הסכמים הכוללים הנחיות אבטחת מידע המנחים באשר למניעת הנגישות לחומר רגיש על-ידי גורמים בלתי מורשים, ליווי מבקרים, שיטות אחסון החומר הרגיש, אופן השמדת החומר המיותר, אופן שינועו של מידע רגיש, דרך נעילת המשרד בתום יום העבודה, מינוי גורם ניהולי שיבקר ויוודא את אבטחתו של המידע בשטח חברת הפרסום? האם החברה המעסיקה בודקת את הנעשה בשטח חברת הפרסום, מבקרת שם באופן גלוי או אולי אף באופן חשאי, על-מנת לוודא כי המידע הרגיש שלה אכן נמצא בידיים בטוחות? האם ספקיה של חברת הפרסום, כדוגמת עובדי הסטודיו החיצוני העוסק בגרפיקה או חברת הדפוס, נבדקים אף הם?

האם ניתנת תשומת לב מספקת לעובדי הניקיון השוהים בשטחי החברה בשעות בהן המשרדים אינם מאוישים? עובדי ניקיון הנם ה"טרף" הקל ביותר לחברות מתחרות או חברות מודיעיניות החפצות במידע. לעובדי הניקיון יש מעט להפסיד במידה ויתפסו, ומנגד יש להם הרבה יותר להרוויח, במידה ויענו לפנייה המבקשת כי יאספו את המסמכים שמצאו בפחי האשפה בלשכת המנכ"ל, לדוגמא, ויעבירו אותם לידי המבקש, במקום להשליכם לפח הזבל המרכזי של החברה.

האפשרויות לפגוע בחברה באמצעות הממשקים העסקיים, בזדון או בשוגג, מגוונות מאוד, והנזקים עצומים, במיוחד לנוכח העובדה כי מרבית הארגונים בארץ מזניחים את ההתייחסות האבטחתית לממשקים העסקיים. בחברות בהן קיימת מודעות לנושא, יוחתמו הממשקים העסקיים על הצהרת סודיות, אך נדיר יהיה למצוא חברות המיישמות פעילויות מעמיקות יותר אשר בכוחן למזער באופן ניכר את הסיכונים הקיימים בעבודה מול הממשקים העסקיים.

חברה עשויה להשקיע משאבים אדירים של כסף, כוח אדם וזמן בהטמעת פתרונות אבטחתיים בהיבטי המחשוב, ויתכן שלצד אלו יושקעו גם משאבים מסוימים, אם כי לרוב פחותים, בהיבטי האבטחה הפיזית. הנהלת חברה שכזו תסיק כי ביצעה את הנדרש לטיפול בסיכונים, אך תהיה רחוקה מלהבין את המשמעות האמיתית של הסיכונים הקיימים בארגונה. כל עוד לא קיימת התייחסות אבטחתית מקיפה ומעמיקה לממשקיה העסקיים של החברה, ניתן יהיה להגיד כי אבטחת המידע אינה מספקת כלל וכי המידע הרגיש נמצא בסכנה ממשית.    

חברות הממשקים העסקיים עלולות לפגוע בחברה גם בשוגג, משום היעדר הנחיות, היעדר מודעות או היעדר כלים נאותים לאבטחה. הפגיעה בזדון תהיה כמובן ישירה יותר, לרוב מזיקה יותר וסמויה יותר, אך קיומם של הנחיות, הסכמים חתומים, ביקורת ובקרה, ימזערו עד ללא היכר את הסיכונים.

דינמיקה משפחתית אכן חמימה ומאירה פנים, אך בהיעדר ההכוונה האבטחתית הנדרשת, יתכן כי בפועל, תיצור הדינמיקה המשפחתית פצצת זמן.