הרגולטור על הגדר: פרטיות העובד מול אבטחת הסייבר של החברה

דפדפנים מוצפנים הפכו לנפוצים ביותר כמעט בכל עמדת עבודה. ההתפתחות בתחום מביאה להתנגשות אינטרסים, בין פרטיות העובד לצורך של החברה להתגונן ברשת. אז מה עושה הגוף הממשלתי האמון על הנושא?

 
הרגולטור על הגדר: פרטיות העובד מול אבטחת הסייבר של החברה

הזכות לפרטיות של העובד נפגעת במקום העבודה. אילוסטרציה: Big stock

טכנולוגיית ההצפנה מתקדמת במהירות ודפדפנים נפוצים, כמו כרום ומוזילה, תומכים בתקני הצפנה לתעבורת רשת, ביניהם HTTPS (תעבורה מוצפנת) ולאחרונה גם DNS over TLS (שאילתות DNS מוצפנות). תמיכת דפדפנים המשמשים עובדים במקומות עבודה מעלה את השאלה, כיצד מעסיקים מתמודדים עם תופעת ההצפנה, שהפכה נפוצה וקיימת בכל עמדת עבודה.

כניסת ההצפנה לכתליי הארגון גורמת לדיסוננס מקצועי בעיני המעסיק - מחד, ישנה מחויבות של המעסיק לפרטיות העובד. מאידך, ישנה מחויבות של המעסיק לאבטח את הרשתות הארגוניות שלו. על מנת לעשות זאת, הוא צריך לפתוח את ההצפנה בכדי לראות האם תוקף מנסה לתקשר עם העולם החיצון מתוך הרשת שלו (תקשורת בין השתל ברשת הארגון לשרת חיצוני). טענה זו נכונה הן ל-HTTPS ול-DOT.

בהיבט טכני, על מנת לפתוח את ההצפנה, הארגון צריך שרת ייעודי. פתיחת ההצפנה, בתיאוריה, מאפשרת למעסיק גישה למידע פרטי של העובד. מצד שני, אם המעסיק לא יפתח את ההצפנה, הוא לא ידע מה הולך לו ברשת, וחלקים ממערך האבטחה שלו יהיו "עיוורים" לפעילות תוקף ברשת. את הדילמה הזו צריך לפתור הרגולטור. במקרה דנן, רשות הפרטיות הפועלת תחת משרד המשפטים.

במציאות, משרד המשפטים "יושב על הגדר", כאשר בשטח ארגונים פותחים הצפנות בנקודת היציאה והכניסה לארגון, ומונעים תעבורת DNS מוצפנת. כאמור, מהסיבה שארגון רוצה שקיפות ברשת שלו לצרכי אבטחת מידע.

בחלק מהארגונים בארץ, המציאות הזו נכנסת להסכם העבודה בין המעסיק לעובד. בדומה לזכויות שלוקח לעצמו המעסיק על מידע שעובר בתיבות דואר אלקטרוני של העסק, כך הוא לוקח לעצמו זכויות גם על תעבורת האינטרנט היוצאת והנכנסת לרשת הארגון. כלומר, תחת הסכם כזה, העובד מוותר למעשה על הזכות לפרטיות בכל הקשור לשימוש בדוא"ל ותשתית הגלישה של המעסיק. מבחינה משפטית אין בכך חריג. מה שאינו אסור לפי החוק בישראל - מותר. אם וכאשר תביעה כזו תגיע לבית משפט ישראלי, ייווצר תקדים, ואחרים ינהגו לפיו. בינתיים, תביעה כזו סביב פתיחת הצפנות של המעסיק לא הגיעה (עד כמה שידוע לכותב שורות אלו).

אין ספק כי הדיון על חוקיות פתיחת הצפנות אינו מוגבל למדינת ישראל. דיון כזה מתנהל כבר יותר משנה באוסטרליה ולאחרונה גם בארה"ב. זאת, בשל החשש של שירותי הביטחון במדינות אלו כי ההצפנות לא יאפשרו להם לתפוס טרוריסטים או פושעים בזמן. עד כה טרם הוצג מהלך באחת ממדינות אלו, ונראה כי בישראל יעקבו אחרי ההתפתחות בנושא בארה"ב. עד אז, כדאי שתהיו מודעים לכך שהתעבורה ברשת התקשורת של מקום העבודה שלכם כנראה לא מוצפנת.  

תגובת משרד המשפטים לא נמסרה.

 

אולי יעניין אותך גם