למה ארגונים יפלו כמו זבובים אחרי ה-25 במאי?

"GDPR החוק להגנת הפרטיות של האיחוד האירופי, ייכנס לתוקף ב-25 למאי השנה. אבל הוא פורסם כבר לפני שנתיים, ב-2016, כדי שארגונים בכל העולם ייערכו לקראתו. לצערי, חלק מהארגונים פועלים בשיטת ה-'יהיה בסדר' ולא נערכו אליו – והקנסות הכבדים שיוטלו עליהם בשל כך, יביאו למצב שחלק, לא כולם, מהארגונים ייפלו כמו זבובים – ויקרסו כלכלית", כך אמר רעמסס גאייגו, אסטרטג ואוונגליסט, סימנטק (Symantec).

לדברי גאייגו, הנמצא השבוע בארץ, "GDPR זה חוק – לא המלצה, לא משהו שניתן לפרשנות. זה חוק אירופי, המאגד תחתיו 28 מדינות באירופה, אבל יש לו שאיפות גלובליות".

"לא יהיה מוגזם להעריך כי ימים ספורים לאחר כניסת החוק לתוקף, תהיה פריצה. בעקבותיה, הארגון הנפרץ ייתבע על ידי האיחוד, ואז תתרחש מהומה. ארגונים יבינו שהחוק רציני ובעל שיניים ושיש לו השלכות כספיות משמעותיות עליהם – אם יוטלו עליהם קנסות מנהליים עצומים של עד 20 מיליון יורו או 4% מהמחזור השנתי שלהם. אם ארגון לא שמר על הפרטיות חודש, הוא יחויב ב-30 עבירות שונות".

"יהיו חברות שלא יצליחו לעמוד בחוק"

לפי החוק, הסביר, "ישנם ארבעה שלבים לניהול מחזור החיים של המידע: איסוף מידע, עיבוד, הגנה ושמירה על המידע ביומיום, וממשל IT – שליטה ואחריות. בתוך כל השלבים הללו, החשוב ביותר הוא בעיבוד: הצורך והחובה להעריך את ההשפעה על הפרטיות ולבחון איך ניגשים לפרטיות. זו ליבת ה-GDPR, משם מתחילים. יש לגלות איפה המידע נמצא, בלא זאת, לא תוכל להגן עליו. יהיו חברות שלא יצליחו לעמוד בחוק כי לא יעשו זאת".

היבט חשוב נוסף, ציין גאייגו, "הוא החובה למנות וליצור תקן לקצין הגנת פרטיות, DPO, שלא יהיה כפוף לסמנכ"ל התפעול או ל-IT, שיפעל עצמאית וידווח להנהלה הבכירה. החוק גם דורש להציג את הפעולות שנעשו להגנת הפרטיות בכל מועד".

מיפוי, הצפנה, ניטור

המענה לחוק האירופי, אמר גאייגו, "הוא בכמה רמות. דבר ראשון, על הארגון להיות מודע ולהבין כמה 'צל IT' ו-'צל נתונים' יש בו. הבינו שכדי להגן, צריך לדעת על מה להגן. דבר ראשון – דעו! הבינו את מצב הפרטיות אצלכם. ראיתי לא מעט חברות לא מוכנות. זיכרו שהחוק חל לא רק על חברות פרטיות וציבוריות – אלא גם על גופים ממשלתיים ומוסדות מדינה, כמו צבאות וארגוני ביטחון, בתי חולים ובתי ספר".

היבט חשוב נוסף, ציין, "הוא הצורך בתעדוף. עשו 'רשימת מכולת' של שאלות, ביניהן: האם יש לארגון מדיניות פרטיות? האם יש מכניזם לבקרה? האם הוא מבוצע? האם תהליכי הגנת הפרטיות נבדקו והאם זה מתועד? האם המנכ"ל מודע לאחריותו?".

צריך לזכור, אמר, "שהחוק מקדם את אחת הזכויות החשובות ביותר בעידן המודרני – הזכות לפרטיות, או הזכות להישכח. הזכות לפרטיות זו גם האפשרות להיות מוגן בעולם הדיגיטלי. הפרטיות הנזכרת ב-GDPR היא היכולת לשלוט למי יש גישה, למה, איך ומה.

בהיבט הטכנולוגי, ציין, "המקום בו קל להתחיל הוא ההצפנה. כך, יהיה לכם פחות אכפת אם הפורץ חדר, אם הוא לא יוכל לצאת עם המידע הרלוונטי. הצפנה, גם בענן ובמובייל – עשויה לסייע רבות. לצורך הורדה מיידית של הסיכון. היא העזרה הכי קלה וברורה מאליה להתחיל ליישם GDPR. מרכיב קריטי נוסף הוא הניטור".

"יש קשר בין פרטיות לאבטחה", אמר גאייגו. "אנו חברת הגנת הסייבר הגדולה בעולם. המיקוד שלנו הוא בהגנה על משתמשים וארגונים. פלטפורמת ההגנה שלנו עונה על כל דרישות ההגנה של ה- GDPR". לדבריו, "לא כל החברות בעולם ובטח ישראל – יהיו מוכנות בזמן. החוק יחל להיאכף ב-25 במאי, זה מעבר לפינה. לא תהיה ארכה, כיוון שהחוק חוקק כבר ב-2016 וחברות רבות בעולם נערכו לקראתו מזה שנתיים".

רכישות ענק מהותיות בישראל

"ישראל היא מדינה קריטית לסימנטק", סיכם גאייגו, "בגלל שהיא מרכז ידע עולמי בהגנת הסייבר ושופעת כישרונות בתחום. שתי רכישות הענק המהותיות שהחברה עשתה בישראל, של פיירגלאס (Fireglass) ואת Skycure – מוכיחות זאת. מוצרי הנרכשות מהווים כבר חלק מפלטפורמת ההגנה שלנו ומוטמעים בארגוני ענק בעולם. אנו אובססיביים בהגנה ובשמירה על המידע".