המדינה תדאג שתחשבו על אבטחת מידע

התקנות החדשות של משרד המשפטים יסדירו את תחום אבטחת המידע בישראל באמצעות דיני הגנת הפרטיות

עמית דת ועמרי רחום-טוויג
אילוסטרציה של אבטחת מידע. יד מרפרפת על מסך מלא בפקודות בינאריות, ומתמקדת במילה "סיסמה"
עמית דת ועמרי רחום-טוויג

בקרוב מאוד, כמעט כל עסק בישראל יצטרך להעריך מחדש את סיכוני אבטחת המידע שלו ולהטמיע אמצעי הגנה מתאימים. הסיבה לכך אינה טמונה בדיווחים החוזרים ונשנים על פרצות אבטחה ודליפות מידע ברחבי העולם, אלא דווקא בתקנות חדשות מבית היוצר של הרשות למשפט, טכנולוגיה ומידע (רמו"ט) שאומצו לאחרונה בוועדת חוקה, חוק ומשפט.

הבחירה להסדיר את תחום אבטחת המידע בישראל באמצעות דיני הגנת הפרטיות, אינה מובנת מאליה. זאת, כיוון שחברות וארגונים במגזר העסקי מחזיקים בסוגי מידע נוספים אשר חשיפתם ושיבושם עשויים לגרום נזק רב. מצד שני, בהיעדר מסגרת חוקית מתאימה, נדמה שחוק הגנת הפרטיות אפשר למשרד המשפטים לעצב ולהטמיע את ההסדרים החדשים.

כך או כך, התוצאה היא שכמעט כל עסק בישראל יהיה כפוף לחובות בתחום אבטחת המידע. כדי לסבר את האוזן, כל עסק המחזיק מידע אישי על עובדיו (דוגמת תלושי המשכורת שלהם, קורות החיים שלהם, תפקודם המקצועי או מידע בריאותי עליהם), או המחזיק מידע על לקוחות או ספקים (דוגמת מצבם הכלכלי, דפוסי הרכישות שלהם ומידע אחר שעלול לחשוף נתונים על אישיותם) הוא בעל מאגר מידע. לכן, עם כניסת התקנות לתוקף, כל עסק כזה יהיה חייב לציית לפחות לחלק מההוראות הרבות הכלולות בהן.

התקנות מהוות מהפכה של ממש בתחום רגולציית אבטחת המידע בישראל, ובמידה מסוימת הן אף מהוות חידוש עולמי. הן מטילות על בעלי מאגרי מידע חובות משמעותיות לאבטחת המידע שברשותם, וביניהן אימוץ כתב מדיניות ונוהלי אבטחת מידע מקיפים, מיפוי מערכות המידע בארגון וביצוע סקר סיכונים, ביצוע הדרכות עובדים, חובות דיווח לרמו"ט על אירועי אבטחה שאירעו במערכות הארגון, ועוד.

התקנות קובעות סיווג של מאגרי מידע ברמות שונות של רגישות (רמת אבטחה בסיסית, בינונית וגבוהה), והחובות המוטלות מכוחן משתנות בהתאם לסיווג זה. אך חשוב להדגיש שגם בעלי מאגרים ברמת האבטחה הבסיסית כפופים לחלק נכבד מהוראות התקנות.

התקנות שהתקבלו באות על רקע התפתחות האסדרה של תחום אבטחת המידע בעולם. כך, רק לפני מספר חודשים אימץ האיחוד האירופי דירקטיבה חדשה בתחום אבטחת המידע שתחול על תשתיות לאומיות ועל גופים המספקים שירותים אלקטרוניים מסוגים שונים. גם סין אימצה לאחרונה חוק אבטחת מידע חדש.

בישראל, טרם אומץ חוק כללי העוסק באבטחת מידע, אך קיימת התפתחות רבה בתחום זה. כך, החלטות הממשלה משנת 2015 הסדירו את פעילותם של מטה הסייבר הלאומי ורשות הסייבר הלאומית, ורגולטורים כגון רשות שוק ההון, ביטוח וחסכון במשרד האוצר ובנק ישראל פרסמו הנחיות ייעודיות החלות על הגופים הכפופים להם. את ההוראות הספציפיות הללו, משלימות עתה התקנות החדשות, אשר חלות על חלקים נרחבים מהמגזר העסקי כולו.

על אף שהתקנות החדשות אינן קובעות אלו אמצעי אבטחת מידע על בעל מאגר המידע להטמיע, הן מחייבות לאמץ מדיניות רשמית ולהטמיע מגוון רחב של אמצעי אבטחת מידע בהתאם לסוג המידע השמור בארגון, לשימושים שנעשים בו ולסוג מערכות המידע הקיימות. לכן, הן דורשות היערכות משמעותית שעלולה להצריך משאבים בלתי מבוטלים, וכוללת הן היבטים משפטיים והן היבטים טכנולוגיים.

חשוב לציין שהחובות הקבועות בתקנות מהוות נקודת פתיחה בלבד. על אף שאנו סבורים שהתקנות יקבעו סטנדרט מקובל בשוק בתחום אבטחת המידע, עמידה בהן אינה מחסנת בהכרח מפני כל אחריות. כלומר, ייתכנו מקרים בהם ייקבע שבעלי מאגרי מידע רגישים יותר, או כאלה החשופים לסיכונים משמעותיים יותר, יצטרכו לנקוט באמצעי אבטחת מידע מחמירים יותר מאלו הקבועים בתקנות. בסופו של יום, התקנות מציבות בפני כל בעל מאגר מידע את הבסיס הנדרש לצורך עיצוב והטמעת תפיסת אבטחת המידע המתאימה לו, ומותירות לשיקול דעתו באיזה אמצעי אבטחת מידע לנקוט.

לבסוף, נציין כי אימוץ תהליכי הבחינה המפורטים בתקנות עשוי להיות רלוונטי גם להגנה על מידע שאינו מידע אישי, כגון סודות מסחריים, טכנולוגיות ועוד. אנו סבורים כי חברות רבות ירחיבו את תהליך הבחינה הקבוע בתקנות ויחילו את כתבי המדיניות הפנימיים אף על סוגי מידע נוספים. בהיבט זה, ייתכן שהשפעתן של התקנות תהיה רחבה בהרבה מהאכסניה שנקבעה להן בחוק הגנת הפרטיות.

הכותבים הם עורכי דין, מחלקת סייבר וטכנולוגיות מידע במשרד פישר בכר חן וול אוריון ושות'

תגובות

הזינו שם שיוצג כמחבר התגובה
בשליחת תגובה זו הנני מצהיר שהינני מסכים/ה עם תנאי השימוש של אתר הארץ