מאמר זה יקומם קוראים רבים, בטוחני. הרי מאות אלפי אנשים במדינת ישראל מתפרנסים באופן שגרתי בעבודות המבוססות על מיקור-חוץ, וחברות רבות מתקיימות בזכות שיטה זו. למרות זאת, האמת חייבת להיאמר, גם אם היא בלתי נעימה. עובדי-חוץ, עשויים במקרים רבים להוות סיכון אבטחה חמור לארגון, ובהיסטוריה מתועדים לא מעט מקרים של נזקים שנגרמו לחברות שלא נקטו באמצעי זהירות מתאימים. לא, אינני אומר שעובדי חוץ הנם בוגדניים, רעים או מסוכנים. במקרים רבים זה אפילו ההיפך, מכיוון שעובדים שמקומם אינם מובטח כמו זה של עובדים מן-המנין יעשו לרוב מעל-ומעבר כדי להמשיך ולהחזיק בעבודתם. אבל מודל העבודה של מיקור חוץ גורם לכך שעובדי-חוץ, במיוחד בתחום התחזוקה, חשופים לסיכונים מסוימים.
תחום בעייתי אחד נובע מכך שעובדים אלה מרוויחים ברוב המקרים שכר נמוך מזה של עובדי-פנים. הלחץ הכלכלי הופך עובדים אלה למטרה נוחה עבור ריגול תעשייתי. נודע, למשל, על מקרה של עובד-ניקיון, שהוצע לו סכום גבוה בתמורה לביקור יומי במדפסות-הקומתיות של הארגון בו עבד, ואיסוף ההדפסות שלא נלקחו על ידי העובדים. אותן הדפסות הן בעלות תוכן אקראי, אך לעיתים קרובות הן כוללות תוכן רגיש, כגון תוכן של התכתבויות דואר אלקטרוני, תדפיסים של מצב החשבונות של החברה, מידע אודות פיתוחים עתידיים וכדומה. אוסף אקראי כזה עשוי להיות בעל ערך שלא יסולא בפז עבור גורמים עוינים, הן למטרת ריגול תעשייתי, והן למטרת חדירה לתשתיות הארגון. הסכום שהוצע לאותו עובד היה גדול ממשכורתו החודשית במלואה, ולא קל יהיה למצוא אנשים שמרוויחים 4000 - לחודש ויוכלו לעמוד בפני פיתוי שכזה - עבור חלקם זו הזדמנות פז לסגור את המינוס, סוף-סוף.
בעיה נוספת נובעת מכך שמנהלים רבים אינם "סופרים" את עובדי החוץ כאשר הם חושבים על עובדי החברה, ולכן עובדים כאלה לא תמיד נכללים בפעילויות שגרתיות. לפעמים הם לא מקבלים הודעות-דואר שנשלחות לשאר העובדים או שאינם מוזמנים לאירועים והרצאות שבהם משתתפים עובדים אחרים, וכך הם עלולים לפספס את הנהלים של החברה לגבי נושאים של אבטחת מידע, פשוט כי אלה לא נמסרו להם בצורה מסודרת. הדבר בולט פחות לגבי עובדי מחשוב, אך במקרה של עובדי ניקיון, עובדי הנהלת חשבונות וכדומה, הם לעיתים קרובות נמצאים בחברה לתקופות מוגבלות, ולעיתים קרובות אינם מקבלים הדרכה מעמיקה לגבי נהלי החברה. לעובד קבוע, למשל, מוצמד בדרך כלל עובד אחר למשך תקופה מסוימת ("באדי" או "מנטור") במהלכה הוא מסייע לעובד החדש להתמודד עם הדרישות והמחויבויות היום-יומיות, כולל מה מותר, מה אסור, ומה בלתי מקובל. עובד ניקיון או אבטחה, לעומת זאת, מוצא את עצמו לעיתים קרובות "לבד", כשהוא מנסה להבין מי-נגד-מי בעזרת שאלות אקראיות מאת חבריו לעבודה במקרה הטוב, על בניחוש, במקרה הפחות טוב. עובד כזה עשוי לחשוב שגלישה באינטרנט במחשב של עובד שאינו נמצא במשרדו היא צעד סביר, בדיוק כמו ששיחת-טלפון ממשרד של עובד נחשבת לדבר לגיטימי ברוב החברות. שיחת טלפון עולה כסף, אך לרוב אינה מסוכנת. גלישה באינטרנט, לעומת זאת, עלולה להכניס למחשב רוגלה או וירוס, וזה כבר פחות נעים.
חשוב להדגיש בשנית, קוראים יקרים, כי אין מטרת הכתבה להכפיש את שמם של עובדי חוץ, אלא להדגיש את חשיבותם הגדולה לתפקוד יעיל של המערכת, ותפקוד זה כולל התייחסות ראויה לעובדים אלה. גם עובד זמני וזוטר חייב לקבל הדרכה מלאה ואיכותית לגבי הדקויות הכרוכות בעבודה יומיומית בחברה, תוך הדגשה של מדיניות אבטחה ואבטחת מידע. מלבד הבהרת החשיבות של שמירה על ערכי החברה, שיתוף כזה עשוי לחזק את הקשר הרגשי והאישי של העובד אל החברה, וכך לצמצם את הפיתוי עבור העובד לחצות את הקווים. בל נשכח, אגב, כי גם עובדים במשרה מלאה עלולים לחצות את אותם קווים וכבר נודעו מקרים שבהם עובדים בכירים וותיקים נכנעו ללחצים מבחוץ, או שפשוט "הכינו" לעצמם סל ביצים ליום סגריר, ולכן אין תחליף לתהליכי ניהול סיכונים ואבטחת מידע מקצועיים, הכוללים זיהוי מקורות סיכון וסתימת חורים נקודתית ומערכתית.
תחום בעייתי אחד נובע מכך שעובדים אלה מרוויחים ברוב המקרים שכר נמוך מזה של עובדי-פנים. הלחץ הכלכלי הופך עובדים אלה למטרה נוחה עבור ריגול תעשייתי. נודע, למשל, על מקרה של עובד-ניקיון, שהוצע לו סכום גבוה בתמורה לביקור יומי במדפסות-הקומתיות של הארגון בו עבד, ואיסוף ההדפסות שלא נלקחו על ידי העובדים. אותן הדפסות הן בעלות תוכן אקראי, אך לעיתים קרובות הן כוללות תוכן רגיש, כגון תוכן של התכתבויות דואר אלקטרוני, תדפיסים של מצב החשבונות של החברה, מידע אודות פיתוחים עתידיים וכדומה. אוסף אקראי כזה עשוי להיות בעל ערך שלא יסולא בפז עבור גורמים עוינים, הן למטרת ריגול תעשייתי, והן למטרת חדירה לתשתיות הארגון. הסכום שהוצע לאותו עובד היה גדול ממשכורתו החודשית במלואה, ולא קל יהיה למצוא אנשים שמרוויחים 4000 - לחודש ויוכלו לעמוד בפני פיתוי שכזה - עבור חלקם זו הזדמנות פז לסגור את המינוס, סוף-סוף.
בעיה נוספת נובעת מכך שמנהלים רבים אינם "סופרים" את עובדי החוץ כאשר הם חושבים על עובדי החברה, ולכן עובדים כאלה לא תמיד נכללים בפעילויות שגרתיות. לפעמים הם לא מקבלים הודעות-דואר שנשלחות לשאר העובדים או שאינם מוזמנים לאירועים והרצאות שבהם משתתפים עובדים אחרים, וכך הם עלולים לפספס את הנהלים של החברה לגבי נושאים של אבטחת מידע, פשוט כי אלה לא נמסרו להם בצורה מסודרת. הדבר בולט פחות לגבי עובדי מחשוב, אך במקרה של עובדי ניקיון, עובדי הנהלת חשבונות וכדומה, הם לעיתים קרובות נמצאים בחברה לתקופות מוגבלות, ולעיתים קרובות אינם מקבלים הדרכה מעמיקה לגבי נהלי החברה. לעובד קבוע, למשל, מוצמד בדרך כלל עובד אחר למשך תקופה מסוימת ("באדי" או "מנטור") במהלכה הוא מסייע לעובד החדש להתמודד עם הדרישות והמחויבויות היום-יומיות, כולל מה מותר, מה אסור, ומה בלתי מקובל. עובד ניקיון או אבטחה, לעומת זאת, מוצא את עצמו לעיתים קרובות "לבד", כשהוא מנסה להבין מי-נגד-מי בעזרת שאלות אקראיות מאת חבריו לעבודה במקרה הטוב, על בניחוש, במקרה הפחות טוב. עובד כזה עשוי לחשוב שגלישה באינטרנט במחשב של עובד שאינו נמצא במשרדו היא צעד סביר, בדיוק כמו ששיחת-טלפון ממשרד של עובד נחשבת לדבר לגיטימי ברוב החברות. שיחת טלפון עולה כסף, אך לרוב אינה מסוכנת. גלישה באינטרנט, לעומת זאת, עלולה להכניס למחשב רוגלה או וירוס, וזה כבר פחות נעים.
חשוב להדגיש בשנית, קוראים יקרים, כי אין מטרת הכתבה להכפיש את שמם של עובדי חוץ, אלא להדגיש את חשיבותם הגדולה לתפקוד יעיל של המערכת, ותפקוד זה כולל התייחסות ראויה לעובדים אלה. גם עובד זמני וזוטר חייב לקבל הדרכה מלאה ואיכותית לגבי הדקויות הכרוכות בעבודה יומיומית בחברה, תוך הדגשה של מדיניות אבטחה ואבטחת מידע. מלבד הבהרת החשיבות של שמירה על ערכי החברה, שיתוף כזה עשוי לחזק את הקשר הרגשי והאישי של העובד אל החברה, וכך לצמצם את הפיתוי עבור העובד לחצות את הקווים. בל נשכח, אגב, כי גם עובדים במשרה מלאה עלולים לחצות את אותם קווים וכבר נודעו מקרים שבהם עובדים בכירים וותיקים נכנעו ללחצים מבחוץ, או שפשוט "הכינו" לעצמם סל ביצים ליום סגריר, ולכן אין תחליף לתהליכי ניהול סיכונים ואבטחת מידע מקצועיים, הכוללים זיהוי מקורות סיכון וסתימת חורים נקודתית ומערכתית.
ארז בן ארי הנו עיתונאי וגורו טכנולוגיה ישראלי העוסק בתחום מעל 13 שנה. כתבותיו של בן-ארי התפרסמו במעריב, וואלה, ידיעות אחרונות ומגוון פרסומים אחרים, מקוונים ומודפסים, והוא נחשב לדמות מובילה בעולם ההי-טק הישראלי וסמכות בתחומי הטכנולוגיה והמדע. במסגרת מקצועית, עבד ארז בחברות אינטל ומיקרוסופט ובתפקידו האחרון היה סמנכ"ל ואנליסט בכיר לאסטרטגיות אבטחת מידע ותקשורת בחברת המחקר STKI. אתרו האישי של ארז בן-ארי נמצא בכתובת
www.erezbenari.co.il
www.erezbenari.co.il