שימוש גובר באפליקציות צ'אט בארגונים מייצר סיכון משפטי לארגון

שימוש גובר באפליקציות צ'אט בארגונים מייצר סיכון משפטי לארגון

מאת: טוד איווסקו וריצ'ארד היקמן

סקר שנערך ב- 2017 בקרב עסקים ברחבי העולם מצא כי עובד ממוצע משתמש בכ- 9 אפליקציות לצרכי עבודה. כמעט חצי מהמשיבים אמרו כי הם משתמשים באפליקציות שלא אושרו על ידי מחלקת ה- IT של החברה, החל מאחסון ענן, דרך אפליקציות ניהול פרויקטים, ועד לשימוש הולך וגדל באפליקציות צ'אט ומסרים מידיים המאפשרות תקשורת מהירה.

שימוש באפליקציות מסוג זה למטרות עסקיות על ידי עובדים התרחב מאוד, ועימן התחילו לצוף הסכנות שבהן. תוך מספר שנים הופיעו בתקשורת סכסוכים משפטיים הקשורים במידע שהועבר באפליקציות מסרים. ב- 2015, האיחוד האירופאי זועזע על ידי חקירה מקיפה בנושא דרך הטיפול של בנקים בשערי הריבית. עדות מרכזית הגיעה מתוך שיחות צ'אט שנאספו מתוך פלטפורמות הארגון. בנובמבר 2018, משפט בין Uber ו- Waymo של גוגל שינה כיוון בחדות, כאשר נחשפה  עדות כי בכירים באובר קיימו שיחות סודיות באפליקציה מוצפנת המוחקת את ההודעות לאחר מספר שניות.

שימוש באפליקציות מסרים מידיים במחשב אישי מהווה סיכון משפטי ועסקי רציני עבור ארגונים – כך עולה מחקירות פורנזיקה רבות שאנו מעורבים בהם. על אף שהמאמר הנוכחי ממוקד בגרסאות שולחן העבודה של האפליקציות, השימוש בגרסאות הניידות בטלפונים של עובדים חמור לא פחות – פשוט אין דרך קלה לנטר את השימוש באפליצקיות במכשירים ניידים של עובדים.

אם יש לך סיבה להאמין שעובדים משתמשים באפליקציות מסרים מידיים, הנה 5 סיכונים הקשורים בכך אותם המחלקה המשפטית וה- IT צריכה להכיר ולנטר:

  1. שימור

בדוגמא של Waymo נגד אובר, השופט הזהיר את עורכי הדין כי במקרים עתידיים, הימנעות ממסירת עדויות לבית המשפט עלולה להסתכם ברשלנות מקצועית. קביעה זו יכולה להפוך לתקדים עתידי לגבי הצורך  בשימור נתונים מפלטפורמות התקשורת העתידיות האלה. יותר מכך, חוק 37 להליך האזרחי הפדרלי בארה"ב קובע כי "אם מידע המאוחסן באופן אלקטרוני, שאותו היה צריך לשמר לצרכים משפטיים, אובד בגלל שצד מסוים לא נקט באמצעים סבירים לשמרו, שופט יכול להורות לחבר המשובעים להניח כי המידע עמד לרעת אותו הצד".

אפליקציות שיחה רבות מציעות טווח משתנה של אפשרויות לשמירת היסטוריה זמנית של ההודעות. חלקן מאפשרות למשתמש לקבוע מחיקה אוטומטית של ההודעות בטווח של 5 שניות ומעלה. אם הגדרות אלה מופעלות, ויצאה דרישה מצד התביעה לאיסוף תקשורת רלוונטית למקרה, החברה שלך לא תהיה מסוגלת להפיק את הנתונים ותתמודד עם בעיות קשות של e-discovery.

  1. גישה

בחברות מסוימות קיימים פרוטוקולים גמישים מאוד לשליטה באפליקציות CHAT – בסריקות שעשינו נדהמנו לגלות  "אוצר" של נתוני החברה שנחשפו דרך האפליקציות האלה. במקרים אחרים, הפרוטוקולים כל כך קשיחים עד שקשה מאוד לחלץ כל נתון מהאפליקציות. חשוב מאוד לאפשר גישה לנתונים רלוונטים, מבלי להקל על גניבת הנתונים מהארגון.

  1. הצפנה

הצפנה מובנית באפליקציות צ'אט יכולה להיות מורכבת מאוד לפיענוח. היא הופכת את הגישה לתוכן במסגרת חקירה דיגיטלית ליקרה מאוד. בנוסף, הדבר יכול להשאיר את עורכי הדין של החברה ללא מידע מהותי כשהם באים לבית המשפט.

  1. פירצה להאקרים

חלק מאפליקציות הצ'אט ספגו ביקורות מכיוון שהתגלו בהם חורי אבטחה שהפכו אותן לפגיעות עבור מערכות IT. האקרים יכולים לראות בשימוש העסקי באפליקציות צ'אט כאפיק חדירה לרשת הארגונית או למכשירים אחרים. גרוע מכך, הם עלולים להשתמש באפליקציות כמוקד לאירוח קוד זדוני על מערכת הקורבן.

  1. BYOD

התרחבות ה- BYOD יצרה גל של אתגרים חדשים עבור ה- IT, כולל סיכונים הנוצרים מצד שימוש של עובדים באפליקציות צ'אט במכשירים אישיים או בחשבונות דואר אלקטרוני אישיים. הדבר מקשה מאוד על ניטור מצד המחלקות המשפטיות של הארגון – כאשר הסיכון נמצא מחוץ לתשתית ה- IT הרשמית של החברה.

החדשות הטובות עבור חברות אשר מעוניינות לשלוט בסיכונים אלה, הן שקיימים כלי תוכנה חדשים המסוגלים לסייע לבצע ניטור פרו אקטיבי אחר שימוש באפליקציות בלתי מורשות למטרות עסקיות. הכלים הטובים מסוגם יזהו סיכוני מידע אפשריים – כגון אפליקציות בלתי מורשות או נתונים המאוחסנים באתרים בלתי מאושרים.

 

את הממצאים האלה ניתן לשתף בין צוותי אבטחה, מחלקות משפטיות, סיכון ובקרה, כדי לקבל החלטה על הצעדים האפשריים הבאים. אלה עלולים לכלול התראה בפני העובד על שימוש באפליקציות או הפעלה של מחיקה אוטומטית וממוקדת של כל האפליקציות הבלתי מורשות שבשימוש. דבר המאפשר לחסום בעיות עוד בטרם הם מתרחשות. כמובן, שאם יש צורך לאסוף מכשיר נייד של עובד ולשלוף נתונים מאפליקציה לצורך לחקירה, תצטרך לגשת לכלי פורנזיקה מיוחדים שיאתרו וינתחו סוג של זה של נתונים.

בינתיים, אם אתה בוחר לאפשר שימוש באפליקציות צ'אט למטרות עסקיות, היה בטוח שמדיניות המשילות בנתונים מתעדכנת באופן תדיר ביחס לשינויים בטכנולוגיה, וכי היא מגדירה בזהירות את כלי התקשורת המאושרים. וודא כי העובדים מעודכנים בהגדרות שהם חייבים להשתמש בהן ובהגנות על פרטיות שחייבות לפעול.

ללא קשר לדרך בה אתה בוחר להמשיך, תמיד יהיה רעיון טוב להיוועץ עם מומחים בתחום, עוד לפני שאתה מתמודד בפועל עם מצב משפטי או חקיקה המערבים שיחה באפליקציות צ'אט. יועצים יכולים לבצע הערכה של המדיניות והמערכות שלך, ולספק המלצות על הדרך לטפל בבעיות שונות, לפני שהופך למאוחר מידי.

 

שתף פוסט