ב-8 למאי 2018, יכנסו לתוקפן תקנות הגנת הפרטיות (אבטחת מידע). תקנות אלו מגדירות למעשה את הצעדים שעל בעל ומנהל מאגר מידע[1] לנקוט לשם הגנה על המאגר ומניעת הפרת הפרטיות של נשואי המידע. מטרת התקנות היא לפרט ולקבוע את עקרונות אבטחת המידע הקשורים בניהול ובשימוש במידע אישי, בהתבסס על תקני אבטחת מידע מקובלים בעולם.
לדוגמה, לאחרונה נחשפנו לשלושה אירועי אבטחת מידע חמורים כאשר בשניים מתוך שלושת האירועים דלף מידע רגיש של אזרחים או לחילופין ניתן היה לגנוב מידע רגיש:
- חברת Ifreelance – לקוח גילה במקרה שמידע שלו ושל אחרים, כולל מספרי תעודות זהות, הכנסות והוצאות – הופיע בחיפוש פשוט בגוגל.
- אתר “חותמים על מגילת העצמאות” – אזרח גילה כי האתר חשף את החותמים לסכנת זיופים על ידי שליפת כל שמות האזרחים והחתימה בה חתמו על ה”מגילה”.
מקרה שלישי- לפני מספר ימים הותקפו מערכות המחשוב של המועצה האזורית חוף אשקלון על ידי האקרים והוצפנו כך שלא ניתן היה לגשת למידע. המועצה שילמה כ-18 אלף שקלים כדי לשחרר את המערכות המוצפנות. אמנם שאר הפרטים אינם ידועים לנו, אך ניתן לשער כי להאקרים הייתה יכולת לשבש או אפילו להדליף את המידע הרגיש של האזרחים.
חוק הגנת הפרטיות קובע מיהם הגופים החייבים במינוי ממונה על אבטחת מידע[2]:
- כל גוף המחזיק בחמישה או יותר מאגרי מידע החייבים ברישום;
- גוף ציבורי או בנק;
- חברת ביטוח;
- חברה העוסקת בדירוג או בהערכה של אשראי.
נשאלת השאלה – מה חובת מינויו של ממונה אבטחת מידע או ממונה הגנת המידע[3] בכל אותן חברות/ארגונים אשר לא עולים בקריטריונים המצויינים לעיל? מה לגבי אותם ארגונים/חברות פרטיות ו/או ציבוריות, אשר רובם, קרוב לוודאי, בעלי פחות מחמישה מאגרי מידע רשומים ואותם מאגרים רשומים העומדים בקריטריונים של רמת אבטחה בינונית עד גבוהה[4] (ראה חברת Ifreelance לעיל).
מדוע החוק לגבי אותן חברות קובע רק קריטריון מספרי? למה אין התחשבות גם בקריטריון איכותי כגון סוג הנתונים או לחילופין רמת קריטיות נכסי המידע בהם שמורים הנתונים?[5].
על פי תקנות הגנת הפרטיות, הנושא באחריות למאגרי המידע ככלל ולאבטחת המידע בפרט הינו בעל המאגר, וכן מנהל המאגר:
“מנהל מאגר מידע חב באחריות אישית לאבטחת המידע במאגר, ביחד ולחוד עם בעל המאגר או המחזיק בו, כך על פי סעיף 17 לחוק הגנת הפרטיות. סעיף 17(ב)(ב) לחוק מוסיף ומטיל אחריות אישית לאבטחת המידע גם על הממונה על אבטחת המידע”[6].
בין היתר, מנהל המאגר מופקד על התחומים הבאים:
- ביצוע סקר לאיתור סיכוני אבטחת מידע לרבות תיקון הליקויים שהתגלו במסגרת הסקר;
- וידוא אבטחת מידע בניהול כוח אדם;
- ניהול הרשאות הגישה למאגרי המידע;
- בחינת אמצעי הזיהוי והאימות למערכות המאגר;
- טיפול ותיעוד באירועי אבטחת מידע;
- ניהול מאובטח ומעודכן של מערכות המאגר;
- ביקורות תקופתיות בנושאי אבטחת מידע ;
מבלי לפגוע בכישורים ובידע שצברו מנהלי המאגר לאורך השנים, עולה השאלה האם לאותם מנהלי המאגר, אשר בדרך כלל מהווים הגורם האחראי העסקי של תהליך/נכס המידע, יש את הידע, הניסיון המקצועי והכישורים הנדרשים בהיבטי אבטחת מידע וסייבר על מנת לעמוד בדרישות החוק והתקנות? ניתן היה לומר שכן, במידה ומנהלי המאגר היו משמשים כממונה אבטחת מידע במקביל להיותם מנהלי מאגר. לצערנו, התקנות לא מתירות זאת:
“מנהל המאגר לא יכול לשמש גם כממונה על אבטחת המידע שבמאגר. ממונה על אבטחת מידע יהיה כפוף ישירות למנהל מאגר המידע או לנושא משרה בכיר אחר הכפוף ישירות למנהל המאגר. בהקשר זה נפנה לדברי ההסבר לתקנות, לפיהם הדבר נועד כדי להבטיח את בכירותו בארגון של הממונה ואת עצמאות שיקול הדעת שלו”[7].
לסיכום:
אין טעם להרחיב בחשיבות אבטחת מידע והגנת סייבר בימים אלו. יכולות ההאקרים השתכללו, ההתקפות מתגברות והסיכונים והחשיפות רק גדלים מיום ליום.
גם אם על פי החוק היבש אינכם נדרשים למנות ממונה אבטחת מידע, אל תקלו ראש בנושא הזה. שקלו זאת שוב, גם במידה של התפשרות של גיוס ממונה אבטחת מידע כשירות (CISO as a Service). רק לממונה/יועץ אבטחת מידע ישנם הכלים והניסיון הנדרשים להעלות את רמת ובשלות אבטחת המידע בארגונכם מחד, ומאידך, “לישון טוב יותר בלילה” בכל הנוגע לעמידה בדרישות אבטחת המידע הרשומות בתקנות, ולא להיקנס- למשל כפי שנקנסה חברת אובליגור על עבירות והפרת החוק. הרשות להגנת הפרטיות, קבעה כי על אובליגור לשלם קנס של 100 אלף שקל בשל עבירות על חוק הפרטיות.
אבטחת המידע הינה באחריותכם, שלכם – ואמורה לשרת את כולנו.
[1] מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לענין זה
[2] סעיף 3 לתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז – 2017
[3] מתוך הצעת חוק הגנת הפרטיות (תיקון מס’ 13), התשע”ח 2018
[4] ראה פרק 1 – הגדרות מתוך תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז – 2017
[5] ניתן להיעזר בשלבים 1 ו-2 מתורת הגנת הסייבר
[6] מתוך הרשות להגנת הפרטיות, דף שאלות ותשובות – תקנות אבטחת מידע
[7] סעיף 3(1) לתקנות הגנת הפרטיות (אבטחת מידע) התשע”ז – 2017