הרגולציה בסייבר מתהדקת, האחריות עולה

עולם הסייבר עובר שינויים רגולטוריים משמעותיים, המחייבים ארגונים להדק את אבטחת המידע שלהם. אי-עמידה בדרישות מובילה לקנסות ותביעות, ומחייבת את ההנהלה הבכירה להיערך. Madsec Security מקבוצת SQLink מציעה פתרונות תאימות רגולטורית לאתגרים אלו, תוך התייחסות לרגולציות בין-לאומיות ומקומיות כמו NIS 2 ,CMMC ,GDPR ותיקון 13 לחוק הגנת הפרטיות

שיתוף בוואטסאפ

תגובות:

אסף לבנון, בשיתוף Madsec Security מקבוצת SQLink

תוכן שיווקי

02 ביולי 2025

בשנים האחרונות עובר עולם הסייבר מספר תהליכים, כשאחד הבולטים שבהם הוא הגברת דומיננטיות הרגולציה. ארגונים מגלים שהיא מתפתחת, מהדקת אחיזה והופכת לדרישה, שאי-עמידה בה גוררת ענישה, כמו קנסות, תוך חשיפה מסוכנת לתביעות. משמעות המצב החדש היא כניסת נושא האבטחה גם לרובד התפעולי והניהולי של הארגון. הדרישות מחמירות, הסיכונים משמעותיים וההנהלה הבכירה חייבת לתת על כך את הדעת ולפעול בנושא.

חברת Madsec Security מקבוצת SQLink מסייעת לארגונים בנושא זה. היא מייעצת להם בתחום ותופרת עבורם חבילת תאימות רגולטורית המתאימה בדיוק למידתם. לאחר הסיוע שלה, הארגון מבין בדיוק לאילו רגולציות הוא כפוף ויכול לבנות את אסטרטגיית הסייבר שלו בהתאם.

רגולציות בינ"ל ומקומיות
מנכ"ל Madsec Security, דורון סיון, מיפה עבורנו את הרגולציות הבולטות ביותר כיום, שעמידה בהן מצריכה סיוע מחברה טכנולוגית מקצועית, המבינה היטב את הדרישות והסיכונים הטכניים הרלוונטיים:

1. NIS 2
רגולציה של האיחוד האירופי לארגונים המפעילים תשתיות קריטיות, כמו שדות תעופה, נמלים ימיים, בתי זיקוק וכן בתי חולים. NIS 2 נכנסה לתוקפה ב-2023, כמחליפת הגרסה הקודמת 1 NIS,כשבגרסה המעודכנת אף חלים קנסות על מי שאינו עומד בה. הרגולציה מחייבת כל ארגון שהותקף לדווח על כך מיידית לגוף הסייבר המקומי ולהוכיח שבעת התקיפה עמד בסטנדרטים מסוימים של אבטחת מידע. מדובר ברגולציה מחמירה מאד לתחום התשתיות הקריטיות, שכן קודמתה, NIS 1, הייתה חלשה בהרבה וללא מרכיב של ענישה.

"מה שמיוחד ב-2 NIS הוא ההבנה שארגון אחד יכול להשפיע על ארגון אחר", אומר סיון. "פגיעה בספק גרמני עלולה לפגוע בלקוח שלו בצרפת. בנוסף, תשתיות קריטיות רבות מערבות מספר מדינות שונות באיחוד ולכן פגיעה בארגון אחד יכולה להשפיע על ארגון שנמצא במדינה אחרת. לכן, נדרשת רגולציה שמכפיפה אליה את כל מדינות אירופה. לא פשוט להיערך לדרישות NIS 2 כי הן אינן סטנדרטיות ופשוטות. כל ארגון חייב להוכיח את קיומה של תוכנית היערכות לאירוע חירום, שהיא חלק מתוכנית המשכיות עסקית. זו לא הערכות ברמה של איש IT, אלא כזו המחייבת את הנהלת הארגון להיכנס מתחת לאלונקה".

למרות ש-NIS 2 היא רגולציה אירופאית, מבהיר סיון, היא רלוונטית גם לישראל. ארגונים ישראלים העובדים מול ארגונים אירופאיים נדרשים להוכיח את הכרת ההנחיות.

2. CMMC
רגולציה לשרשרת האספקה, הרלוונטית לספקים העובדים עם גופים ביטחוניים בארה"ב. זהו המשכה של גרסת רגולציה קלה יותר בשם NIST 800-171, שרלוונטית לחברות רבות ולא בהכרח קשורות לגופים ביטחוניים. "כל חברה תלויה בספקים מסוימים, שבעצמם תלויים בספקים אחרים", מסביר סיון. "חברה א', המפתחת תוכנה, רוכשת מעגל חשמלי מחברה ב'. חברה ב' רכשה את השבב שבמעגל מחברה ג'. כך חברה א' לא יודעת מי ייצר את החומרה שעליה היא עובדת ומה יש בה. הרעיון הוא לוודא שכולם בשרשרת האספקה עומדים בסטנדרט מסוים. גם בישראל יש לכך מקבילה - מערכת יוב"ל, אותה הקימה המדינה כשהבינה את הסיכון הגלום בחברות העובדות מול ארגונים ממשלתיים".

עמידה ב-NIST 800-171 או ב-CMMC מחייבת עמידה בסטנדרטים בכל נקודה בשרשרת האספקה. גם כאן, כמו ב-NIS 2, מושפעים ארגונים ישראלים אם הם עובדים מול חו"ל - במקרה הזה ארה"ב. "על הארגון הישראלי לדווח ללקוחו האמריקאי על כל אירוע סייבר ולוודא מולו את קיומם של תהליכים מיידיים בנושא", מדגיש סיון. "לפעמים אפילו מדובר בהקפאה של הפעילות העסקית עד שהמצב יובהר. הרי ייתכן שהתגלתה פריצה שמייצרת בחשאי נזק כבר חודשים. אם, למשל, מפתחת תוכנה נעזרת בספריות קוד פתוח ומתחבר שהן מכילות קוד זדוני - יש ללכת אחורה ולגלות היכן הוא שומש ואם נוצרה בעקבות כך פגיעה. לעתים גם אין כל בעיה עם הקוד החינמי, אך הוא שומש למרות שנועד לשימוש פרטי ולא מסחרי. לדאבוננו, חברות פיתוח רבות בישראל לא נותנות את הדעת על נושא זה ועשויות לעמוד בקרוב בפני תביעות על שימוש בקוד שאינו חוקי עבורן".

3. GDPR
רגולציה אירופאית המחייבת על שמירה ראויה של מידע לקוחות פרטי. סיון: "ה-GDPR תפסה את עולם הסייבר בהפתעה. תמיד התייחסו להגנה על הארגון - שלא יפרצו אליו, שלא יצפינו מידע, שלא יזלוג מידע עסקי. פתאום מדובר בנישה אחרת לגמרי - מידע פרטי של לקוחות. זוהי הפעם ראשונה שזה הופך לנושא מהותי, שיכול לגרור עונשים וקנסות של עד ל-2.5% מהמחזור השנתי של הארגון. וזו לא רגולציה שקל לעמוד בה. לקוח יכול לדרוש את הזכות להישכח, כלומר שיימחק כל המידע השמור עליו. קשה מאוד ליישם זאת והמערכות לא בהכרח יודעות לתת מענה. מתקפת סייבר שחושפת מידע אישי של לקוחות לא רק פוגעת בפעילות ומאיימת על המשך הייצור, אלא גם גורמת לנזק תדמיתי ולחשש מתביעות ענק ייצוגיות בגין זליגת מידע פרטי. לכן, חברות ביטוח המציעות ביטוח סייבר דורשות כיום תחילה רשימה ארוכה של פעולות שעל הארגון לבצע".

4. תיקון 13 לחוק הגנת הפרטיות
באוגוסט 2024 אישרה כנסת ישראל את התיקון לחוק הגנת הפרטיות, במסגרתו היא הרחיבה משמעותית את סמכויות הפיקוח והאכיפה של הרשות להגנת הפרטיות והעניקה לארגונים שנה להיערכות (שתסתיים בחודש הבא). החל מ-5.8.25 ארגונים שעברו מתקפת סייבר ולא עמדו בדרישות התיקון ולא הגנו כראוי על פרטיות לקוחותיהם - יהיו חשופים לראשונה לקנסות ולתביעות.

סיון: "פתאום להחזיק מידע פרטי על אנשים הופך להיות משהו מסוכן, ואם הוא יזלוג הארגון ייענש. ארגונים רבים מחזיקים מידע אישי רב ללא צורך: צילומי ת"ז ודרכונים, טביעות אצבע, הקלטות. זליגת מידע כזה תוביל לענישה, וזה שינוי שלא קל להיערך אליו. פעמים רבות החומרים שמורים במערכות רבות ושונות בתוך הארגון ולא קל למחוק אותם. ישנה גם לא מעט התנגשות בין רגולציות. למשל: כפי שהוזכר, רגולציית GDPR האירופאית מחייבת כל ארגון למחוק את כל המידע שיש לו על לקוח הדורש זאת, אך בישראל לא ניתן לדרוש מחיקת מידע רפואי. זה מקרה בו הרגולציה ברמת המדינה מתנגשת עם הרגולציה הכללית והארגון צריך לדעת למי הוא כפוף בכל מקרה ומקרה".

לסיכום, מדגיש סיון, זירת הרגולציה הופכת לשדה סבוך שאי התמצאות בו עלולה לגרום לארגון נזק רב. כאן בדיוק נכנסת Madsec Security לתמונה. "הרגולציה עוטפת שלבים והיבטים שונים, שכל אחד מהם שם את הדגש במקום אחר. נשמח לסייע לאלפי לקוחות קבוצת SQLink להתמצא בסבך הזה ולייצר עבורם את כל המעטפת הדרושה".

לאתר החברה

בשיתוף Madsec Security מקבוצת SQLink

חזרה למדור