המעבר לעבודה מרחוק (WFR) טומן בחובו דילמה עבור ארגונים בסוגית אבטחת המידע: האם לאפשר לעובדים שימוש חופשי במחשבים ומכשירים מטעם העבודה, או שמא להגביל אותם לשימוש הקשור לעבודה בלבד, כדי להימנע מחשיפה לאיומים חיצוניים? בנוסף, בהיעדר יכולת לפקח מקרוב על פעילות העובד, פרקטיקה של מעקב אחר ביצועי העובד מהבית נהייתה מקובלת בקרב חלק מהחברות, סוגיה מתוחה בפני עצמה. הסטארטאפ הייסולייט (Hysolate), בו פיתחו טכנולוגיית סביבת עבודה בטוחה לארגונים, הוביל סקר מקיף בנושא יחד עם Team8 בהשתתפות 70 CISO's (מנהלי אבטחת מידע) מהחברות הגדולות בעולם, והמסקנות מעניינות במיוחד.
87% מהמשתתפים בסקר, רוב משמעותי, סבורים שמודל העבודה מרחוק איתנו כדי להישאר, גם בחלוף המשבר. תחת ההנחה הזו, הסוגיות שהוזכרו הופכות משמעותיות עוד יותר. 62% מהחברות מטילות מגבלות על שימוש ברשת שלא למטרת עבודה, כשמדובר במכשיר מטעם הארגון, מחשש לפרצות אבטחה עקב השימוש. המספר גדל ל-70% כאשר ה-CISO's נשאלו בנוגע להתקנת תוכנות חיצוניות. למעשה, מה שעומד על כף המאזניים הוא יעילות העובד מצד אחד כאשר ניתנת לו הרשאה לפעול באופן חופשי, או אבטחת מידע הרמטית יותר מצד שני, תחת מגבלות שימוש לצורכי עבודה בלבד. הסקר מעלה כי הארגונים חלוקים בנוגע לדרך ההתמודדות הנכונה עם הדילמה. 26% מהארגונים נקטו במדיניות קשיחה יותר בנוגע לאבטחה מאז פרצה המגפה, 35% הקלו את דרישות אבטחת המידע לאור המעבר לעבודה מרחוק ואילו רוב של 39% בחרו לדבוק במדיניות שנקטו בה לפני הקורונה.
אפשרות אחרת היא שימוש במחשב האישי של העובד לצרכי עבודה (BYOD - Bring your own device). גם כאן, החשש מפרצות אבטחה הוא גדול, כאשר הפתרונות הם מגוונים. מאיסור מוחלט על שימוש במחשב האישי לצרכי עבודה (22%) דרך שימוש ב-VPN או בפתרונות DaaS (כ-60 אחוז). כאמור, מידת ההגבלה והשימוש בכלים טכנולוגיים כדי לנטר את פעילות העובד או להגביל אותה כדי לצמצם חשיפה, כרוכה יד ביד עם סוגית פרטיות העובד. מנתוני חברת המחקר גרטנר, עולה כי בעידן העבודה מהבית ארגונים ירחיבו את פרקטיקות איסוף המידע על העובדים, לצורכי פיקוח על מידת הפעילות של העובד והחשש מסכנות סייבר.
הייסולייט פיתחה פתרון שנועד לספק מענה לשתי הבעיות: סביבת עבודה (Workspace) משנית אותה ניתן "ללכלך", כלומר לגלוש בה באופן חופשי, להוריד תוכנות ולעשות בה כל שימוש אחר, מבלי לסכן את סביבת העבודה "הנקייה". כך, עובדים יכולים לעבוד באופן חופשי מהמכשיר אותו קיבלו מהעבודה, או לחלופין במחשב האישי שלהם, מבלי להעמיד את הארגון בסיכון לחשיפת לאיומי אבטחה. בנוסף, ההפרדה בין החיים האישיים של העובד ברשת לבין העבודה עצמה, מאפשרת ניטור של פעילות העובד רק בצד המקצועי ומבלי לחדור לפרטיותו.
"במציאות של היום, יש מי שלא נתן לילד שלו לעשות זום עם המחשב של העבודה? נגישות המידע האישי של העובד לחברה מייצרת חשיפה חדשה במימדים הרבה יותר גדולים מבעבר", אומר מארק גפן מנכ"ל הייסולייט. "האתגר המרכזי של מנהלי אבטחת המידע בעידן העבודה מרחוק הוא איזון בין הפרודוקטיביות של העובדים תוך שמירה על פרטיותם, אל מול הצורך באבטחה מספקת. יש הסכמה רחבה בנוגע להשפעה החיובית של הסרת מגבלות שימוש במחשב על הפרודקטיביות של מועסקים, אולם זה עלול להיות כרוך במחיר יקר של דעיכה ברמת האבטחה ועירבוב של החיים האישיים לאלה של העבודה - תוך חשיפה של מידע אישי למעסיק".
נ', אנליסטית בחברת הייטק גדולה, מספרת: "הישיבות השבועיות והמעקב הרגיל אחר בפעילות בצוות עברו לזום, אבל זה לא מצליח למלא את אותה הפונקציה כמו שזה היה במשרד. אני לא יודעת להגיד בוודאות אם החברה אוספת מידע על העבודה שלי או הפעילות שלי במחשב שקיבלתי מהמשרד, אבל בגלל שאני קנאית לפרטיותי אני מעדיפה לעשות את הדברים האישיים שלי במחשב הפרטי שלי ולא בזה של העבודה, למרות שאין עליי שום הגבלה בהקשר הזה. ברור שהחשש מחדירה לפרטיות תקף גם כשמדובר רק בפעילות של העבודה, זו תחושה לא נעימה, אבל באותה נשימה אני גם חוששת לברר אם קורה דבר כזה מול החברה".
בחברות מסוימות נושא המעקב מונח על השולחן. ב', שעובד בחברה מתחום השבבים, מספר כי במהלך הסגר הראשון החברה הודיעה על שינוי נהלים שנותרו עד היום. "כשבוע לפני ההתחלה הרשמית של הסגר הראשון כבר עברנו למודל עבודה מהבית. שבועות לתוך הסגר החברה החליטה להודיע על נהלים חדשים, במסגרתם יש לקבל אישור פרטני לצורך הורדה של תוכנות חיצוניות, כמו גם הודעה רשמית כי החברה שומרת לעצמה את הזכות לבצע מעקב אחר הפעילות המקצועית שלנו. לא הרגשתי עם זה בנוח, אבל התנחמתי בכך שמדובר בחדירה לפרטיות המקצועית שלי בלבד, ולא לחיי האישיים. מעבר לזה, אני מנחש שזה נועד בעיקר כדי לייצר תחושה של פיקוח שתתורגם לעבודה - ולא לשם המעקב עצמו, שלא קורה בפועל".