אתה מארגן כנס לחברת תרופות. 50 מחשבים מושאלים. כל מחשב נכנס למשתמש אחר, מתחבר למערכות הפנים-ארגוניות, ומציג מסמכים סודיים. השאלה הקריטית: מה קורה למידע אחרי האירוע?
אבטחת מידע בציוד מושאל היא נושא שמתעלמים ממנו עד שמשהו קורה. במאמר נסקור 7 כללי זהב שכל חברה צריכה לדרוש מספק ציוד IT.
למה זה חשוב?
חוק הגנת הפרטיות (תיקון 13) ו-GDPR האירופי קובעים אחריות חוקית על שימוש בנתונים. אם נתון לקוח דלף ממחשב מושאל — החברה ששכרה את הציוד אחראית, גם אם הציוד הוא של ספק חיצוני.
הקנסות יכולים להגיע ל-4% מהמחזור השנתי או 20 מיליון אירו (ב-GDPR). אבל הנזק האמיתי הוא לא הקנס — אלא אובדן אמון לקוחות.
7 כללי הזהב
1. דרוש Wipe מוסמך אחרי כל אירוע
מחיקה רגילה של קבצים לא מוחקת אותם פיזית מהדיסק. הם פשוט מסומנים כ"זמינים לדריסה". תוכנות שחזור פשוטות יכולות לשחזר אותם בקלות.
מה לדרוש מהספק:
- DBAN, BitRaser או Blancco — תוכנות wipe מוסמכות
- 3 מעברים לפחות (DoD 5220.22-M)
- תעודת מחיקה חתומה לכל מחשב
2. הקפדה על SSDs מוצפנים
הדור החדש של SSD-ים תומך ב-Self-Encrypting Drive (SED). נתונים מוצפנים אוטומטית בדיסק. גם אם הדיסק נגנב — אי אפשר לקרוא אותו.
תדרוש מהספק: BitLocker (Windows) או FileVault (Mac) פעיל מראש בכל מחשב.
3. אבטחה ברמת ה-BIOS
סיסמת BIOS מונעת בוט מ-USB ושינוי הגדרות. בלי זה, כל אחד עם USB יכול לעקוף את האבטחה. חובה בכל מחשב מושאל לאירוע רגיש.
4. הגדרת User Profile חדש לכל אירוע
אסור שמשתמש יכנס לפרופיל של משתמש קודם. תדרוש שכל אירוע מתחיל עם:
- Fresh Windows installation או image מנוקה
- אפס היסטוריית דפדפן
- אפס סיסמאות שמורות
- קבצים זמניים נמחקים
5. רשת מבודדת לציוד מושאל
הרשת שהמחשבים המושאלים מתחברים אליה חייבת להיות מבודדת מהרשת הפנימית של החברה. השתמש ב-VLAN נפרד או רשת WiFi guest.
זה מגן עליך גם מ-תרחיש הפוך: אם מחשב מושאל מזוהם, הוא לא יוכל לגשת לרשת הפנים-ארגונית.
6. שרשרת אחריות (Chain of Custody)
תדרוש מהספק תיעוד של:
- מי טיפל במחשב לפני המסירה
- מתי נעשה ה-wipe האחרון
- תעודה על המצב הנקי
- חתימה בקבלה של אותם פרטים אחרי האירוע
7. הסכם NDA + Data Processing Agreement (DPA)
חוזה ההשכרה חייב לכלול:
- NDA — סודיות כל מי שנגע במחשבים
- DPA — תפקידי הצדדים בעיבוד מידע (לפי GDPR Article 28)
- אחריות בנזק במקרה של דליפה
- הצהרה על מחיקה מוסמכת
| תרחיש | מה לעשות |
|---|---|
| אירוע פנימי של חברה | Wipe + סיסמת BIOS |
| כנס לקוחות | + הצפנת דיסק |
| בחינות הסמכה | + image מאוחד + רשת מבודדת |
| נתוני בריאות/פיננסים | + DPA חתום + שרשרת אחריות מלאה |
| חפ"ק חירום ביטחוני | + סטנדרטים צבאיים |
שאלות לשאול את הספק שלך
- "איזה תוכנת wipe אתם משתמשים?"
- "כמה מעברים אתם עושים?"
- "האם אתם מספקים תעודת מחיקה?"
- "האם הדיסקים מוצפנים מראש?"
- "מה קורה אם מחשב נופל בדרך?"
- "יש לכם DPA חתום?"
- "אפשר לקבל אישור Chain of Custody?"
אם הספק מהסס בתשובה לשאלות האלה — תחפש ספק אחר. אבטחת מידע היא לא משהו לפשרה.
טעויות נפוצות
❌ "אנחנו מוחקים את הקבצים אחרי כל אירוע"
מחיקה לא מספיקה. נדרש wipe מקצועי. זה לא אותו דבר.
❌ "המחשבים זהים, לא צריך לקנפג מחדש"
גם אם המחשבים זהים פיזית — image חדש לכל אירוע. תמיד.
❌ "נחתום NDA רק עם מנהל הפרויקט"
כל מי שנגע במחשבים — טכנאי, מוביל, איש לוגיסטיקה — צריך NDA חתום.
🔒 רוצה ספק שמטפל בפרטיות ברמה הגבוהה ביותר?
אנחנו מספקים תעודות wipe, image נקי לכל אירוע, ו-DPA חתום. שיחה ראשונה ללא התחייבות.
קבל הצעת מחיר ←