.png)
בעידן הדיגיטלי שבו "הפרטי" אינו נפרד מ"העסקי" והטכנולוגיה מתפתחת בקצב מסחרר, וכשברוב בתי העסק עובדים מהבית בגישה ישירה למערכות המידע של עסק, הסיכונים לווירוס כופר, התקפות האקרים וגניבת מידע הם מענייני השעה. בעלי עסקים רבים חוששים, ובצדק, לא רק מפני ריגול עסקי אלא בעיקר מהנזקים המהותיים שעלולים להיווצר כתוצאה מאותן "פרצות ברשת".
ימי הקורונה הביאו איתם שינויים מרחיקי לכת באופן ההתנהלות של כולנו, גם בבית וגם ובעיקר בצורת העבודה. גם אצלנו במשרד השלכותיה ותוצאותיה של מגפת הקורונה, יצרו שינוי תודעתי עמוק בהלך הרוח שלנו ובחודשים האחרונים הקדשנו הרבה מאוד זמן ומאמץ ללמוד ולפתח תחום מומחיות חדש ורלוונטי - סייבר והגנת המידע
רקע - הרגולציה בתחום הסייבר
תחום הסייבר נוגע לכל אדם, ורלוונטי במיוחד לעסקים קטנים ובינוניים, לחברות או ארגונים המחזיקים במידע אישי או רגיש של לקוחותיהם על גבי כל אמצעי דיגיטלי המחובר למערכות הארגוניות וחוץ ארגוניות (רשימות דיוור ותפוצה שיווקית, פורטלים, אתרי אינטרנט, שירותי ענן, חנויות e-commerce וכדומה). זליגת מידע ששמור במערכות המחשב או חשיפתו לתוכנות נוזקה (שמוחדרות על ידי האקרים) עלולים לסכן את העסק מבחינה תפקודית, מבחינת יתרון תעשייתי (חשיפת מידע רגיש למתחרים), ברמה הכלכלית (תשלום כופר), מבחינת מוניטין וחשיפה לתביעות ייצוגיות וכמובן, בקבלת קנס יקר .
למדינת ישראל יש מעורבות גדולה בתחומי המסחר והטכנולוגיה בעולם ועצם היותה חברה באמנות הבינלאומיות מחייב אותה לשמור על סטנדרט זהה למדינות אירופה וארה"ב בתחומים אלה. לכן, על מדינת ישראל חלה החובה להתאים את עצמה גם לסטנדרט הסייבר ואבטחת המידע שהתפתח במדינות אלו וזאת כדי לשמור על היתרון המסחרי-אסטרטגי ועל המשך פעילות מסחרית כלכלית ובינלאומית תקינה.
נמנעים מקנסות
לשם אבטחת מאגר המידע הוקמה הרשות להגנת הפרטיות, אשר מפעילה מערכי ביקורת בעסקים על מנת לוודא שאלה עומדים בתנאי הרגולציה למען מניעת זליגה או דליפת מידע. יש לציין, שכאשר הארגונים אינם עומדים באמות המידה הרגולטוריות מושתים עליהם קנסות משמעותיים מאוד המסתכמים בעשרות ואף במאות אלפי שקלים .
הרגולציה מחייבת את העסקים והארגונים שמנהלים את מאגרי המידע שלהם באופן ממוחשב, לדאוג לא רק לרמת אבטחה ראויה אלא להרבה יותר מכך, לדוגמה:
תיעוד אופן השימוש במידע (באיזה אופן ולאיזו מטרה?).
קביעת הוראות בקשר להעברת המידע (כיצד להעביר והאם מותר בכלל להעביר?).
ניהול סיכונים בקשר לעיבוד המידע על ידי העסק או על ידי צד ג' כלשהו.
עריכת נוהל כיצד להתמודד עם תקיפות סייבר ולהמשיך בתפקוד עסקי תקין.
חובת הדיווח לרשויות/ פרטים שהמידע עליהם דלף ועוד.
כיצד ניתן לעמוד בדרישות החוק ולשפר באופן משמעותי את מערך הסייבר הארגוני? כדי לענות על שאלה זו יש להבין תחילה מהו מידע אישי, מהו מידע רגיש ומהן הוראות הרגולציה בתחום
מהו מידע אישי ומהו מידע רגיש ?
מידע אישי - כל מידע שניתן לשייך לזהותו של האדם לרבות שמו, מספר תעודת הזהות שלו, כתובת המייל, כתובת המגורים וכל פרט דמוגרפי אחר.
מידע רגיש - כל מידע השייך לקניינו, העדפותיו ולמצבו הרפואי של האדם לרבות תיק רפואי, העדפה מינית, היסטוריה רפואית, דעות פוליטיות, נתונים על נכסיו של האדם (לרבות כלי רכב, דירת מגורים ונכסי נדל"ן אחרים), נתונים על חובותיו והתחייבויותיו, ההשכלה שלו, מידע גנטי או ביומטרי, נתוני תקשורת, הרגלי צריכה ועוד.
תקנות הגנת הפרטיות (אבטחת מידע) התקפות החל מיום 08.05.2018 , מגדירות את רמת אבטחת המידע הנדרשת מכל גורם במשק בישראל, ציבורי ופרטי כאחד, המנהל או מעבד מידע אישי דיגיטלי אודות אנשים וקובעות מנגנונים שנועדו להפוך את אבטחת המידע לחלק משגרת ניהול הארגון.
בעל המאגר (בעל העסק), כל מי שמחזיק במאגר (נותני שירותים ותוכנות אשר מותקנות במחשבי העסק) וכן מנהלי המאגר מחויבים לעמוד בסטנדרטים הקבועים בחוק ובתקנות כדי לשמור על פרטיות הלקוחות והעובדים.
שאלות ותשובות בנושא אבטחת מידע ורגולציה
מהי אבטחת מידע?
אבטחת מידע פירושה הגנה על שלמות המידע והגנה עליו מפני חשיפה, שימוש או העתקה, על ידי גורמים שאינם מורשים.
על מי חלות התקנות?
התקנות חלות על כל המשק הישראלי, והן מבקשות להגן על האנשים שמידע על אודותיהם קיים במאגר המידע.
על איזה מידע חלות התקנות?
התקנות חלות על מידע המכיל נתונים על מעמדו האישי של אדם (כגון סטטוס משפחתי, אילן יוחסין, קשרים משפחתיים), מצבו הכלכלי, הכשרתו המקצועית ועוד. דוגמה נוספת למידע שיש להגן עליו היא מספר תעודת הזהות של אדם.
מהם נזקים שאני בתור בעל עסק חשוף/ה אליהם?
שיתוק ואיבוד מידע עסקי שנצבר לאורך חיי העסק. הרבה מהנוזקות, למשל כופרה – שמאד נפוצה בעסקים קטנים – מצפינות את כל המידע של העסק, כך שהעסק בפועל מושבת, אין בכלל גישה לקבצים.
שיבוש המידע העסקי והחזרתו לתוך העסק – על מנת לגרום לנזק עתידי מתמשך.
תשלום כספי גבוה עבור כופר.
פגיעה במוניטין אבדן לקוחות – פגיעה באמון ובתדמית כעסק מקצועי ואמין.
חשיפת המידע לציבור והעלתו לרשת.
חשיפה לתביעות לקוחות על פגיעה בפרטיות.
חשיפה לתביעות ייצוגיות.
חשיפה לביקורת של הרשות להגנת הפרטיות ולקבלת קנסות מנהליים גבוהים.
איך אנחנו, כעורכי דין המלווים ארגונים בתחום הסייבר ואבטחת המידע, יכולים לסייע בנושא?
חשוב לציין שאין גוף, תוכנה או חומרה, שיכול להקטין את הסיכון למתקפת הסייבר לאפס. עם זאת, עמידה בדרישות החוק והתקנות תגן על בעל העסק מפני נזקים נלווים לתקיפות האפשריות .
ליווי מקצועי של עורך דין העוסק בתחום הסייבר ואבטחת המידע תורם באופן משמעותי לעמידה בהצלחה בפני ביקורת הרשות להגנת הפרטיות, המשך תפקוד תקין ויעיל של העסק, הגנה מפני תביעות אישיות וייצוגיות, הימנעות מסנקציות מנהליות בגובה של עשרות ואף מאות אלפי שקלים.
עורך דין המתמחה בסייבר לא רק חותם על חוות הדעת המבטיחה שהארגון עומד בדרישות החוק, אלא גם מסייע לארגון בתחומים הבאים :
סיווג העסק מבחינת אבטחה- קלה, בינונית או גבוהה.
כתיבת נהלי אבטחת מידע בהיבט הטכנולוגי, הפיזי והסביבתי.
נהלי עבודה והתנהגות ברשת.
נהלי אבטחת תקשורת.
נהלי תיעוד והתמודדות עם אירועי אבטחה מבחינה טכנולוגית, פיזית, משפטית, המשכיות עסקית, ייח"צ, התנהלות מול רשויות המדינה, מול הלקוחות/העובדים ועוד.
נוהל הרשאות גישה, הזדהות וניהול בקרה להרשאות גישה.
ביצוע ביקורות תקופתיות עצמאיות.
בחינת הסכמים עם ספקים וניהול מו"מ מולם כך שיעמדו בדרישות הרגולציה (נהלים אלה מתייחסים לחברות תוכנה, שירותי ענן, שירותים טכניים במיקור חוץ וכדומה).
נהלי עובדים והדרכות עובדים תקופתיות.
התאמה לרגולציית סייבר האירופאית (GDPR).
התאמה לרגולציית סייבר האמריקאית (CCPA).
לסיכום, שמירה על אבטחת מידע היא כבר לא נחלתם של חברות הייטק מתקדמות בלבד. כל בעל עסק בישראל צריך לבחון את הנושא הזה לעומק ולפעול, בהקדם האפשרי, להגן על המידע שבעסק שלו וליישר קו עם דרישות הרגולציה.
אם גם אתם מחזיקים מידע אודות הלקוחות שלכם, צריכים ליישר קו עם הרגולציה ומעוניינים להתגונן טוב יותר, צרו איתנו קשר עכשיו
076-5384349.
* האמור הינו מידע כללי ותמציתי בלבד, ואינו מחליף ייעוץ משפטי המותאם לצרכים האישיים של כל מנהל מאגר