סייבר - נשמע לכם מוכר? בעידן הדיגיטלי שבו "הפרטי" אינו נפרד מ"העסקי", כשעובדים רבים נהנים מגישה ישירה לאינטרנט והטכנולוגיה שמתפתחת בקצב מסחרר, הסיכונים לווירוס כופר, התקפות האקרים וגניבת מידע הם ענייני השעה. עסקים רבים חוששים ובצדק לא רק מפני ריגול עסקי אלא בעיקר מהנזקים המהותיים שעלולים להיווצר כתוצאה מאותן "פרצות ברשת".
לרוב, מאמצי העסקים בכל הקשור לסייבר מתמקדים בהגנות טכנולוגיות כמו התקנת "חומת אש", גישה מוצפנת למערכות הארגון בשרתים המקומיים ועל גבי הענן ובפעולות לבלימת התקפה, ביניהן גם ביצוע הסברה. כל זה מבורך, אך לא די בכך. הרגולציה דורשת יותר, הרבה יותר, ולאו דווקא בתחום הטכנולוגי.
תחום הסייבר נוגע לכל אדם, אך בעיקר לעסקים קטנים ובינוניים, לחברות או ארגונים המחזיקים במידע אישי או רגיש של לקוחותיהם על גבי כל אמצעי דיגיטלי המחובר למערכות הארגוניות וחוץ ארגוניות (פורטלים, אתרי אינטרנט, עננים, חנויות וכדומה). זליגת מידע ששמור במערכות המחשב או חשיפתו לתוכנות נוזקה (שמוחדרות על ידי ההאקרים) עלולה לסכן את הארגון מבחינה תפקודית, מבחינת יתרון תעשייתי, כלכלית (תשלום כופר), מבחינת מוניטין וחשיפה לתביעות ייצוגיות וכמובן, בקבלת קנס יקר.
כיצד ניתן לעמוד בדרישות החוק ולשפר באופן משמעותי את מערך הסייבר הארגוני? כדי לענות על שאלה זו יש להבין תחילה מהו מידע אישי, מהו מידע רגיש ומה אומרת הרגולציה בתחום.
בעל המאגר (העסק), כל מי שמחזיק במאגר (תוכנות שמותקנות במחשבי העסק) ומנהלי המאגר מחויבים לעמוד בסטנדרטים הקבועים בחוק ובתקנות כדי לשמור על פרטיות הלקוחות והעובדים
מהו מידע אישי ומהו מידע רגיש?
לפניכם ההגדרות המשפטיות המתייחסות למידע אישי ולמידע רגיש:
- מידע אישי - כל מידע שניתן לשייך לזהותו של האדם לרבות שמו, מספר תעודת הזהות שלו, כתובת המייל, כתובת המגורים וכל פרט דמוגרפי אחר.
- מידע רגיש - כל מידע השייך לקניינו, העדפותיו ולמצבו הרפואי של האדם לרבות תיק רפואי, העדפה מינית, היסטוריה רפואית, דעות פוליטיות, נתונים על נכסיו של האדם לרבות רכב, דירה וכדומה, נתונים על חיות המחמד שבבעלותו, חובותיו והתחייבויותיו, ההשכלה שלו, מידע גנטי או ביומטרי, נתוני תקשורת, הרגלי צריכה ועוד.
בעל המאגר (העסק), כל מי שמחזיק במאגר (תוכנות אשר מותקנות במחשבי העסק) ומנהלי המאגר מחויבים לעמוד בסטנדרטים הקבועים בחוק ובתקנות כדי לשמור על פרטיות הלקוחות והעובדים. לשם אבטחת מאגר המידע הוקמה הרשות להגנת הפרטיות, אשר מפעילה מערכי ביקורת בעסקים על מנת לוודא שאלה עומדים בתנאי הרגולציה למען מניעת זליגה או דליפת מידע. יש לציין, שכאשר הארגונים אינם עומדים באמות המידה הרגולטוריות מושתים עליהם קנסות עצומים המסתכמים בעשרות ואף במאות אלפי שקלים.
ההתפתחות הטכנולוגית האדירה בעשור האחרון והתפתחות ארגונית של עסקים לעבודה מרחוק חושפות נקודות תורפה במחשבים ויחד איתן חלה עלייה של עשרות אחוזים מדי חודש במקרים של תקיפות סייבר
מהי הרגולציה בתחום הסייבר?
החוסן הלאומי מושפע באופן ישיר מחוסנו של המגזר הפרטי. ההתפתחות הטכנולוגית האדירה שהתרחשה בעשור האחרון ויחד איתה התפתחות ארגונית של עסקים לעבודה מרחוק חושפות נקודות תורפה רבות במחשבים ויחד איתן חלה עלייה של עשרות אחוזים מדי חודש במקרים של תקיפות סייבר.
ההתערבות המדינית, להלן "הרגולציה", נוצרה בעקבות הפער האדיר שקיים בין עידוד להתפתחות טכנולוגית וקידמה בשוק התעשיה לבין הקושי הכלכלי של העסקים לדאוג להגנות ראויות, כמו גם פער נוסף הנובע מהיעדר האחריות של ספקי השירות להגן על המידע המחוזק והקושי להבחין בתועלות הנובעות מההגנות שבהן נוקטים הארגונים.
מדוע נוצר סטנדרט הסייבר?
למדינת ישראל יש מעורבות גדולה בתחומי המסחר והטכנולוגיה בעולם ועצם היותה חברה באמנות הבינלאומיות מחייב אותה לשמור על סטנדרט זהה למדינות אירופה וארה"ב בתחומים אלה. לכן, על מדינת ישראל חלה החובה להתאים את עצמה גם לסטנדרט הסייבר ואבטחת המידע שהתפתח במדינות אלו וזאת כדי לשמור על היתרון המסחרי-אסטרטגי ועל המשך פעילות מסחרית כלכלית ובינלאומית תקינה.
עסקים וארגונים שמנהלים מאגרי מידע באופן ממוחשב מחויבים לדאוג לא רק לרמת אבטחה ראויה אלא להרבה יותר מכך
מה מתחייב מהרגולציה בתחום הסייבר?
הרגולציה מחייבת את העסקים והארגונים שמנהלים את מאגרי המידע שלהם באופן ממוחשב, לדאוג לא רק לרמת אבטחה ראויה אלא להרבה יותר מכך, לדוגמה:
- שימוש במידע (באיזה אופן ולאיזו מטרה?).
- העברת המידע (כיצד להעביר והאם מותר בכלל להעביר?).
- עיבוד המידע על ידי העסק או על ידי צד ג' כלשהו.
- כיצד להתמודד עם תקיפות סייבר ולהמשיך בתפקוד עסקי תקין.
- חובת הדיווח לרשויות/ פרטים שהמידע עליהם דלף ועוד.
ליווי מקצועי של עורך דין העוסק בתחום הסייבר ואבטחת המידע תורם לעמידה בפני ביקורת הרשות להגנת הפרטיות, המשך תפקוד תקין ויעיל של העסק ולהגנה מפני תביעות אישיות וייצוגיות
כיצד עורך דין המלווה ארגונים בתחום הסייבר ואבטחת המידע יוכל לסייע בנושא?
חשוב לציין שאין גוף, תוכנה או חומרה, שיכול להקטין את הסיכון למתקפת הסייבר לאפס. עם זאת, עמידה בדרישות החוק והתקנות תגן על בעלי השליטה בארגונים ועל בעלי העסקים הקטנים והבינוניים מפני נזקים נלווים לתקיפות האפשריות.
ליווי מקצועי של עורך דין העוסק בתחום הסייבר ואבטחת המידע תורם באופן משמעותי לעמידה בהצלחה יתרה בפני ביקורת הרשות להגנת הפרטיות, המשך תפקוד תקין ויעיל של העסק, הגנה מפני תביעות אישיות וייצוגיות (גם ללא זליגת מידע), הימנעות מסנקציות מנהליות בגובה של עשרות ואף מאות אלפי שקלים. עורך דין סייבר לא רק חותם על חוות הדעת המבטיחה שהארגון עומד בדרישות החוק, אלא גם מסייע לארגון בתחומים הבאים:
- סיווג העסק מבחינת אבטחה- קלה, בינונית או גבוהה.
- כתיבת נהלי אבטחת מידע בהיבט הטכנולוגי, הפיזי והסביבתי.
- נהלי עבודה והתנהגות ברשת.
- נהלי אבטחת תקשורת.
- נהלי תיעוד והתמודדות עם אירועי אבטחה מבחינה טכנולוגית, פיזית, משפטית, המשכיות עסקית, ייחצ"ית, מול רשויות המדינה, מול הלקוחות/העובדים וכדומה.
- נוהל הרשאות גישה, הזדהות וניהול בקרה להרשאות גישה.
- ביצוע ביקורות תקופתיות עצמאיות.
- בחינת הסכמים עם ספקים וניהול מו"מ מולם כך שיעמדו בדרישות הרגולציה (נהלים אלה מתייחסים לחברות תוכנה, שירותי ענן, שירותים טכניים במיקור חוץ וכדומה).
- נהלי עובדים והדרכות עובדים תקופתיות.
- התאמה לרגולציית סייבר האירופאית (GDPR).
- התאמה לרגולציית סייבר האמריקאית (CCPA).
לסיכום, ליווי מקצועי של עורך דין העוסק בתחום הסייבר ואבטחת המידע מעניק כל שירות שיסייע לעסק לעמוד בנהלים ולהבטיח רמת אבטחה הרמטית.
ירדן שלומי היא עורכת דין עצמאית המתמחה בליווי משפטי בתחום הסייבר ואבטחת המידע לארגונים. לפרטים נוספים ולהתקשרות בנושא ניהול אבטחת מידע עסקי בראייה רגולטורית צרו קשר