מה הקשר בין רגולציית הפרטיות לבין סייבר?
הטכנולוגיות הסטנדרטיות הקיימות אינן מספקות יותר ● אמצעי המניעה והאבטחה צריכים להיות מתוחכמים הרבה יותר ● יש לבחור בטכנולוגיות המצפינות נתונים לא מובנים, הממכנות את כל העיבוד הידני, מעבות את האחסון במיקום אחד ומחזקות את הבטיחות של העברות קבצים בארגון ומחוצה לו
בעוד ימים מספר אנחנו נכנסים לישורת האחרונה לפני תחולת רגולציית הפרטיות האירופית (GDPR) המשפיעה גם עלינו בישראל, ועם הכניסה לתוקף אופן איסוף המידע הפרטי ואופן ניהולו – כבר לא יהיה אותו הדבר עבור החברות.
במסגרת אותה רגולציה, חלה חובה נוקשה יותר על החברות לשמור ולאבטח את הנתונים האישיים של המשתמשים והלקוחות. החברות אשר הינן מחזיקות או מעבדות נתונים נדרשות לשמור על סודיות, זמינות ואמינות נתונים אלו.
אז מה זה אומר על עתיד עולם הסייבר? האם תהיה השפעה עליו? מה קורה עם החברות אשר נמצאות מחוץ לאיחוד האירופי?
ובכן, כפי שכבר ציינו במאמרים קודמים, חברה שאינה ממוקמת באיחוד האירופי, עדיין מושפעת מאוד מהרגולציה – החל מהלקוחות האירופאיים וכלה בספקים אשר משווקים, מוכרים או משתמשים במוצרים או בפלטפורמות המפותחות או נמכרות על ידי אותן חברות (אשר אינן ממוקמות באיחוד). אי לכך, כל החובות המוטלות בגין שמירת הפרטיות, חלות גם על חברות אלו (ללא קשר למיקום הפיזי שלהן).
למנוע פוטנציאל של דליפת מידע אישי
חשוב מאוד לציין כי הרגולציה האירופית, בניגוד לתקנות הגנת הפרטיות (אבטחת מידע) הישראליות, אינה קובעת את אמצעי הביטחון הספציפיים או את הסטנדרטים הטכניים המינימליים של אמצעי אבטחת מידע שיחשבו כמספקים או תואמים לדרישה הרגולטורית. הרגולציה רק קובעת את החובה להעריך ולהחליט איזה סוג של אמצעי אבטחה יש ליישם על מנת להימנע ככל האפשר מפירצת אבטחה או דליפת נתונים.
הדרישה הזו של הרגולציה לאבטחת הנתונים והנטל על החברות להעריך ולהחליט באלו אמצעי אבטחה לנקוט, מלווה גם בדרישה לדיווח לרשויות במקרה של דליפת מידע או אירוע סייבר הנוגע למידע האישי השמור בארגון. גישה זו מחייבת את החברות לנקוט צעדים הנמצאים בחוד החנית של טכנולוגיית האבטחה וכן להיות מסוגלות להוכיח כי אמצעים אלה היו מספיקים על מנת למנוע, ככל האפשר, פוטנציאל של דליפת מידע אישי.
נקודת מבט נוספת שיש לקחת בחשבון הינה גם חובת דיווח על הפרות אבטחה במקרה של אירוע סייבר לרשות המוסמכת הרלוונטית ברמה הארצית, במקרה שהן נחשבות כמפעילות "שירותים חיוניים" (כגון אנרגיה, בנקאות או מימון) או מתן שירותים דיגיטליים.
ביי Firewall
הדרישה הנ"ל הינה כללית. הדרישה להגנה על נתונים אישיים מתבססת גם על עקרון התכנון. עיקרון זה קובע כי כל מוצר או שירות יהיה מתוכנן מההתחלה עם סטנדרטים הנוגעים לאבטחת המידע אשר יובילו למיזעור הנזקים מראש, במידה ויתרחש אירוע סייבר או דלף של מידע. לפיכך, חברות יצטרכו להעריך מעת לעת האם האמצעים שיושמו מספיקים להגנה וכן להגביל את העיבוד של נתונים אישיים רק במידה הדרושה כדי להשיג את המטרה שלשמה נאספו הנתונים; והגישה לנתונים אלה תהיה מוגבלת למי שנזקק לה לצורך מילוי תפקידם.
אי-ודאות כזו לגבי הצעדים הספציפיים הנדרשים מצד אותן חברות האוספות ומעבדות מידע, תאלץ אותן לדאוג למשאבים כלכליים נוספים על מנת לעמוד בתקנות החדשות ככל האפשר. הן יצטרכו כל הזמן לעדכן את האמצעים המיושמים על מנת שיוכלו להיות אמצעי מדידה נאותים, כדי למנוע כל פריצה הנוגעת לנתונים פרטיים או דליפה שלהם.
הטכנולוגיות הסטנדרטיות הקיימות, כמו Firewall, אינן מספקות יותר. בעולם מחובר יתר על המידה, כמעט כל סוג של ציוד משרדי, (מחשבים, מדפסות, מערכות אזעקה, מכשירים ניידים וכדומה), מגדיל את פוטנציאל הסיכון, אפילו לרשתות מאובטחות ביותר, ולכן בתגובה, אמצעי המניעה והאבטחה צריכים להיות מתוחכמים הרבה יותר. גישה רב שכבתית לסייבר-סקיוריטי היא יעילה יותר. יש לבחור בטכנולוגיות המצפינות נתונים לא מובנים, הממכנות את כל העיבוד הידני, מעבות את האחסון במיקום אחד ומחזקות את הבטיחות של העברות קבצים בארגון ומחוצה לו.
הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGF, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.
תגובות
(0)