כניסתו לתוקף של תקנת ההגנה על נתונים כללית (GDPR) האחרונה ב- 25 בחודש מאי, הגדירה סוף סוף ברמה האירופית את הנושא העדין הקשור לניהול נתונים שחברות פרטיות וגופים ציבוריים עוסקים בהם מדי יום.
במשך שנים רבות, חקיקה אפשרה למדינות אינדיבידואליות ליישם תקנות ברמה הלאומית בלבד, שלמרות היותן נוקשות וברורות, לא תואמו באופן הולם את תהליך הגלובליזציה הממושך. זה יכול ליצור פגמים במערכת או הגדרה ברורה של אחריות אשר הובילה ללא ספק להגנה בלתי עקבית של הנושאים.
כיום, העובדים בכל רמה ואחריות נדרשים לדעת את החקיקה ולאמץ התנהגויות ושימוש בתהליכים המגנים על המידע האישי של לקוחות, ספקים ועובדים בצורה הטובה ביותר.
מבלי להיכנס לבסיסים הנורמטיביים הידועים, ועל ההשלכות שיכולות לנבוע מהניהול הלא נכון של הנתונים או מהמערכות המשמשות לאחסוןם (גניבת אותם נתונים או שימוש בהם למטרות בלתי חוקיות הן רק שתי דוגמאות הנובעות מניהול לא נכון) חשוב להדגיש כי לא רק את ההיבטים הקשורים אך ורק לסביבת המחשב הם עונשים על ידי התקפות.
לעתים קרובות מדי, הדעה הרווחת היא כי ההתקפות יכולות לבוא רק מהרשת, למשל באמצעות תקלה במערכת ההגנה על חדירה (Firewall), אך כדאי לזכור שהמידע אינו מתפרסם באופן בלעדי באמצעות דואר אלקטרוני או באמצעות מדיה חברתית רשת אבל גם על נייר (הדפסים של קבצים וצילומים הן שתי דוגמאות).
מערכות ומדפסות רב-תכליתיות הן חלק בלתי נפרד מתהליך הניהול והתקשורת. בדרך כלל הם מחוברים לרשת וליצור, ליצור ולנהל מידע כמו מחשב אישי. דווקא מסיבה זו הם חייבים להיות הנושא של תשומת לב והגנה נאותה, שכן המסמך המודפס מכיל את אותו מידע אישי כמו הקובץ, מידע חשוב מאוד מנקודת מבט משפטית ולכן מוגן. יתר על כן, יש צורך לשקול כי גם היום המסמך נייר משמש לאחסון ולנהל את המידע החשוב ביותר.
זה מספיק כדי לשכוח כל מסמך על מגש הפלט של הנייר, או להשאיר אותו ללא התערבות במשך כמה דקות לפני הולך לאסוף אותו, כדי לסכן את הנתונים של החברה או של אנשים שעובדים שם. כל אחד יכול לקרוא את התוכן ולהשתמש במידע רגיש זה למטרות אישיות, תוך פגיעה, אפילו באופן לא רצוני, באדם המעורב או בגרימת נזק לחברה שבבעלותה את הנתונים
בהתחשב בכך שהיום ציוד היקפי אישי מוחלף במקרים רבים על-ידי מערכות מחלקות המשרתות קבוצות של אנשים קטנים יותר או פחות עבור צרכי אופטימיזציה של עלויות, הניהול הנכון של מערכות ההדפסה חשוב אף יותר ככל שיותר אנשים חולקים את אותו הכלי, לכן יהיה צורך להקפיד יותר ויותר להבהיר מי אחראי לתהליך העיתונות.
דוגמה פשוטה למה שיכול לקרות:
נושא א ', שאנו מכנים אותו אנטוניו לנוחות, מדפיס את השכר שלו, הדפוס מופקד באופן קבוע על המגש הרב-תכליתי הממוקם במסדרון. באותו הזמן הנושא B, ברונו, עושה צילום בטעות יחד עם החבילה שלו גם מרים את עמיתו של להחליק.
ברונו מגלה כי אנטוניו מרוויח הרבה יותר ממה שהוא עושה ומשתמש מידע זה לטובתו או פשוט מגלה את זה לאחרים.
אנטוניו סובל נזק (נתונים פיננסיים נחשב "רגיש") והוא יכול לדווח על העובדה. החברה, אם תהיה מעורבת, חייבת להוכיח שהיא העמידה לרשות העובדים את הכלים והתהליכים כדי למנוע מצבים אלה. ברונו בהחלט יהיה נתון סנקציות, ועל החברה יצטרך להוכיח כי מערכת ניהול ההדפסה תוכנן כראוי.
עמידה בתקנות ה- GDPR מחייבת חברות, בין היתר, היבט אחרון זה או שימוש בתהליכים ומערכות למניעת גניבת מידע אישי של צדדים שלישיים.
אבל אז, לנוכח הרלוונטיות של הבעיה, מה הם הצעדים העיקריים שיש ליישם על ידי חברות ומוסדות כדי להשיג עמידה בתמ"ג ביחס מערכות ההדפסה שלהם?
בעקבות הזרימה ההגיונית של פעולות זה היסוד כי 3 צעדים בסיסיים נשמרים תחת שליטה, אשר אנו מסכמים להלן:
1. תשתית רשת מאובטחת
חיוני שתשתית הרשת תהיה מאובטחת ומבוקרת, ולאחר מכן על מכשירי ההדפסה לאמץ מערכות המבטיחות הגנה כגון אימות משתמשים, מחיקת נתונים סמויים בדיסק הקשיח, תקשורת רשת מוצפנת והצפנת נתונים מקומית. אחרון, אבל לא פחות, אימוץ של תוכנה מיוחדת שהופכת את תהליך ההדפסה מאובטח.
2. זרימות הדפסה מאובטחות
הדפסים חייבים להיות משוחררים על ידי מערכת ההדפסה רק בנוכחות המשתמש שיהיה חייב לבצע אימות (טוב יותר עם אימות לגורמי 2), להזין את שם המשתמש והסיסמה של התצוגה או אפילו באמצעות תג החברה. המשתמש יהיה גם צריך לחכות עד סוף ההדפסה שלו להרים את המסמכים הימנעות השארת כל סוג של מידע ללא השגחה על מגש משלוח. חשוב גם כי תוכנת ניהול ההדפסה בתור מטפל גם שגיאות מדפסת, מניעת מסמך משוחרר באופן בלתי צפוי לאחר ההחלטה של כל תקלה אפשרית.
3. גמישות של מלאות
על מנת לגלות מחדש כל אירוע, חיוני לעקוב אחר עבודות ההדפסה עם רשומות מחשב מיוחדות ודוחות המכילים את כל הנתונים הקשורים למסמך באמצעות שימוש בתוכנת ניהול ספציפית. תוכנת ניהול מרכזי דוחות קשורים צריך גם לאפשר את המחיקה של כל מידע של משתמש נתון במקרה של בקשה ליישום הזכות להישכח.
כגורם בטיחות נוסף, ניתן להשתמש בסימני מים וחתימות דיגיטליות על המסמך, כדי לזהות ישירות את המקור, ולאחסן בשרת מאובטח עותק של כל הדפס המיוצר עבור תיעוד היסטורי מדויק ומלא.
לסיכום: כולם צריכים להשתמש במערכות הדפסה מאובטחות, אבל בארגונים מסוימים הם לא יכולים להסתדר. דוגמאות לכך הן הבנקים, הביטחון וכל הפעילויות הקשורות, גופי הממשלה וכן כל החברות הפועלות יותר ויותר בתחום המסחר האלקטרוני. בסביבות אלה חשוב להשתמש במערכות מאושרות. האחרונה היא HCD PPV1 אשר מטיל סטנדרטים קפדנית תאימות, שאומצה לאחרונה על ידי מערכות Sharp.
כמובן שכל זה לא יכול להיות מאולתר בן לילה.
למעשה, בנוסף ידע של תהליכים פנימיים של החברה, יש צורך לשלוט על תקנות הבטיחות הבינלאומי.
מידע נוסף:
https://www.sharp.it/cps/rde/xchg/it/hs.xsl/-/html/information-security.htm
(צילום: רשת / צבא ארה"ב)
