משתמשים בווטסאפ בארגון? זה מסוכן!

אין עוררין על כך ש-ווטסאפ היא אפליקציית ההודעות החינמית הפופולרית בעולם, המשמשת  לשליחת כ-100 מיליארד הודעות ביום על ידי כשני מיליארד משתמשים ברחבי העולם. אבל מה קורה כשגם ארגונים מתחילים להשתמש בה? למרבה הצער, השימוש באפליקציה כרוך בסיכונים חמורים לאבטחת המידע בארגון, שעלולים להיות בעלי השלכות יקרות. סיכונים אלה כוללים פרצות מידע, דליפות מידע, התקפות של רוגלות כופר, ועוד. ובל נשכח – בית המשפט כבר הכיר בכך ש-ווטסאפ הוא כלי לתקשורת פנים ארגונית, ועסקים כבר לא יכולים להתנער ממנו.

הפרצות הללו עלולות אף להביא לשיתוק של חברות: חברת ענק גילתה בוקר אחד כי מחשביה ננעלו בשל רוגלת כופר שהגיעה דרך קבוצת הווטסאפ של הארגון; סמנכ״ל תפעול בחברה קמעונאית גדולה עזב למתחרים – אך לא הוצא מקבוצת הווטסאפ של ההנהלה במשך חודשים, והמשיך לקבל מידע פנימי רגיש, כגון סכומי סגירות קופה, מוצרים חדשים שיושקו ומבצעים עתידיים – מידע יקר ערך, שהלכה למעשה דלף למתחרים; וזהו רק קצה הקרחון.

הקלות הבלתי נסבלת של הדלפת מידע עסקי רגיש מן ה-ווטסאפ

הדוגמה של סמנכ״ל התפעול שופכת אור על סכנה נוספת, הנשקפת לעסקים הנוהגים להשתמש ב-ווטסאפ בארגון. אם עובד מפוטר, או עובדת עוזבת את החברה, עדיין יש להם גישה לקבוצות הווטסאפ של הארגון, והם יכולים בקלות להדליף נתונים סודיים, וזאת, במידה שלא הוסרו מהקבוצה. ומדוע הם לא הוסרו? כל קבוצה מנוהלת על ידי מישהו אחר, יש ריבוי קבוצות, ואין מערך ניהול משתמשים של SSO או AD. ככלל, מדובר בנושא אבטחת מידע קריטי, מהסיבה הפשוטה, שהוא יכול לפגוע אנושות ואף למוטט ארגונים – ולרוב, אין דרך לנטר מה עובד לשעבר עושה עם המידע עד שהנזק כבר נגרם. עובדים לשעבר אף יכולים להשתמש במידע מקבוצת הווטסאפ כדי לתבוע את החברה.

חשוב להדגיש, כי גם עובד שעזב וכבר הוצא מקבוצת הווטסאפ, עדיין מחזיק במידע רגיש מאוד של החברה, כולל תמונות, היסטוריית שיחות, נתונים ואנשי קשר. זאת מהסיבה, שמדובר בכלי פרטי שאין למנהל ה-IT שום שליטה עליו, או על התוכן שנשלח באמצעותו. הוא יכול לפנות לגורמים חיצוניים ולספק מידע על העובדים בחברה ולהעביר מסמכים ומידע מסחרי שיש לו יתרון תחרותי, לרבות מידע קריטי על הקניין הרוחני של החברה. זאת ועוד, הוא עלול להשתמש במידע יקר ערך מקבוצת הווטסאפ לטובת החברה החדשה שבה הוא מועסק – אין מנהלת גיוס שלא הייתה שמחה לקבל את רשימת העובדים של המתחרים ולהחליט את מי ״לגנוב״.

ווטסאפ ווב עלול להיות האויב מספר אחד

אחת הסכנות החמורות ביותר הנשקפות משימוש בווטסאפ בארגונים היא רוגלות כופר. לרוע המזל, האקרים מנצלים את הפופולריות של ווטסאפ ווב על ידי כך שהם ממקדים את ההתקפות בעובדים תמימים, שלוחצים על קישורים זדוניים שהגיעו דרך הווטסאפ (ולא ממקור ארגוני אמין). הקבצים של העובד ומערכות המחשוב שלו עלולים להידבק בתוכנת כופר תוך דקות ולהשבית את הגישה למחשב. איום אחר הוא כאשר האקר מתחזה בווטסאפ כמנהל של העובד ומבקש ממנו מידע, וכך הוא חושף ללא ידיעתו מידע רגיש וחשוב לעיניים קרימינליות, מה שיכול לגרום נזקים כבדים לארגון.

פיצ׳ר או באג? הודעות "זמניות" שנעלמות מעודדות שיח לאהולם בארגון
פיצ׳ר של ווטסאפ בשם "הודעות ארעיות" מאפשר למשתמשים להגדיר מגבלה על כמה זמן הודעה תישאר גלויה, והיא יכולה להיעלם תוך פרק זמן קצר – של 24 שעות. למרות שתכונה זו עשויה להיראות נוחה על פניה, היא עשויה לעודד שליחה של מסרים בעלי תכנים מיניים, פוגעניים, או מפלים (בהנחה שהם ייעלמו תוך יממה), ובכך היא חושפת את הארגון לתביעות. מעבר לכך, מי צריך הודעות מסוג זה בארגון? להיפך – אם השיח הוא בנושאים מקצועיים ויש חשיבות לתיעוד השיחות והיכולת לחזור לתוכנן, למה שנרצה פיצ׳ר כזה במקום העבודה? אין לזה שום ערך פרט לכאב ראש. אולי יש לפיצ׳ר זה ערך לאדם פרטי בחייו האישיים, אך הוא יכול לגרום לארגון במקרה הטוב הרבה כאב ראש, ובמקרה הרע נזק של ממש.

לסיכום, בעוד שבכל מערכת ממוחשבת אחרת הארגון מקפיד על שימוש בכלים, כמו אימות דו-שלבי (2FA) או חד ערכי (SSO) ויש ארגונים בישראל שמגינים על המידע לפי התקינה האירופית המחמירה GDPR – ווטסאפ הוא כלי להעברת מידע, מסמכים ונתונים, שלמעשה אין עליו אף בקרה ארגונית. אמנם, ווטסאפ הוא GDPR-compliant בהתאם למידת השימוש, אך הוא לא מתייחס בתוך העולם הזה שנקרא GDPR לכללים שחלים על עובד ומעסיק, ומאופיין בהרבה בעיות מובנות שמשאירות ארגונים חשופים.

עם כל הסכנות האבטחתיות והמשפטיות של ווטאסאפ, על מנהלי ומנהלות אבטחת המידע וה-IT לשים דגש רב יותר על הפרדה בין חיי העבודה והחיים הפרטיים, ורבים מהם כבר מבינים שלהשתמש בווטסאפ זה לטמון את הראש בחול בכל הנוגע לניהול אבטחת המידע והתקשורת בארגון. חלקם יצרו נהלים, שלפיהם תקשורת בעבודה מתבצעת רק במייל או בסלאק/טימז; ואם אתם בעלי עסק שבו רוב העובדים לא נגישים למחשב ואין להם מייל – נהגי אוטובוס, מאבטחים, חדרנים, עובדים במפעלים, שליחים, ועוד – הנטייה ההולכת וגוברת היא לאפליקציות תקשורת פנים ארגונית, המנוהלות באופן מרכזי על ידי הארגון ומהוות פתרון ייעודי.

הכותב הוא אסטרטג מוצר בכיר בחברת קונקטים (Connecteam), המתמחה בתקשורת פנים ארגונית בעידן החדש.