תקנות אבטחת המידע והפרטיות החדשות – האם הן מספיק טובות?

"הרגולציה בעולם על הגנת הפרטיות משתנה באופן דרמטי והשינוי הגלובלי משפיע במישרין על הרבה מאוד חברות ישראליות. האיחוד האירופי הוא זה שמוביל את השינוי הזה והתקנות החדשות שלו, ה-GDPR, הן משנות משחק בעולם הזה", כך אמר עו"ד דן אור-חוף, המנהל משרד שמתמחה בטכנולוגיות ובקניין רוחני.

עו"ד אור-חוף דיבר בכנס InfoSec 2017. האירוע, בהפקת אנשים ומחשבים, נערך זו השנה ה-18, והוא התקיים באחרונה במרכז הכנסים אווניו שבקריית שדה התעופה, בהשתתפות מאות מקצועני אבטחת מידע והגנת הסייבר. את הכנס הנחה יהודה קונפורטס, העורך הראשי של הקבוצה.

לדברי עורך הדין, התקנות האירופיות משפיעות על חברות ישראליות שעובדות עם אירופה, אך לא רק. אלא שבהרצאתו הוא התמקד לא באירופה, כי אם בתקנות אבטחת המידע והפרטיות הישראליות החדשות, שהותקנו מוקדם יותר החודש וייכנסו לתוקף בעוד כשנה, ומנה את החסרונות והתקלות שיש בהן.

"התקנות האלה הותקנו מכוח חוק הגנת הפרטיות וכוללות רשימת מכולת של דברים שצריכים לעשות על מנת לשמור עליה. אלה תקנות דיפרנציאליות, שמחלקות את השוק הישראלי לקטגוריות שונות, בהתאם לרמת הרגישות של המידע והגודל של הארגון", אמר.

הוא בחר שלא לפרט את התקנות אלא, כאמור, להתמקד בדברים שאינם בסדר בהן. כך, לדברי עו"ד אור-חוף, אחד הדברים שאין בתקנות החדשות הוא הנדסה חברתית. "בעידן של מתקפות ענק, שמבוססות על המשתמש, אין להן זכר בתקנות. זה לא מפתיע, כי היסוד של התקנות הוא לפני שבע שנים, ואז זה לא היה בולט. כיום, ההשפעה והדומיננטיות של הנדסה חברתית הרבה יותר גדולות", ציין.

תחום נוסף שלוקחה בחסר בתקנות הוא מיקור-החוץ – שיטה שחברות רבות משתמשות בה ומעבירות במסגרתה מידע רב שיש להן, כולל מידע עלינו, המשתמשים, לחברות אחרות. לדבריו, "התקנות קובעות סט של כללים מה על חברות לעשות כשהן פונות למיקור-חוץ, אלא שב-2011, רמו"ט (ר"ת הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים) פרסמה הנחיה אחרת באותו הנושא. אנחנו במצב שיש הנחיה ותקנות והחפיפה ביניהן חלקית בלבד".

"למשל", ציין, "ההנחיה של רמו"ט מדברת במפורש על הצורך לבצע הערכת סיכונים של הספק ואין את זה בתקנות. כך גם לגבי כל מיני הוראות לדרישות מהספק שיש בהנחיה אבל אין בתקנות. השאלה היא מה גובר – ההנחיה או התקנות? המצב הזה יוצר אי ודאות בשאלה על פי מה ארגונים אמורים לפעול".

עוד יש לקונה ברגולציה לגבי מה צריך לעשות בדיווח על אירוע אבטחה חמור. "רמו"ט קובעת שצריך לדווח לה על כל אירוע אבטחה, לאו דווקא סייבר, ובאופן מיידי. לא ברור לגמרי מה המשמעות של דיווח מיידי", אמר עו"ד אור-חוף. כמו כן, הוא ציין ש-"יש לדיווח מיידי יתרונות – הרגולטור מתערב בשלב מוקדם ויכול לתת הוראות מדויקות מה לעשות, וחסרונות – יתר דיווח עלול להביא לכך שמדווחים על דברים שלא צריך לדווח עליהם. כמו כן, יש כמה מערכות דיווח וכמה רגולטורים בפוטנציה – מה שיוצר בלגן".

הוא ציין בנוסף ש-"אין בתקנות החדשות הנחיות איך לוודא שצריך את כל המידע ואין תקנות לגבי השמדת מידע שלא צריך". עם זאת, עו"ד אור-חוף אמר כי קיימות הוראות כאלה בהנחיות רגולטוריות אחרות.

לדבריו, "יש בתקנות פוטנציאל להגעה לבתי משפט, עקב העדר יכולת אכיפה של רמו"ט. רשות זו יכולה לקבוע שארגון מפר תקנות אבל יכולה רק להטיל קנסות בגין ההפרה. מכאן קלה הדרך לתביעות ולבקשות לתביעות ייצוגיות". הוא ציין לחיוב בהקשר זה את התקנות האמריקניות, שמעניקות חסינות לארגונים מפני תביעות, במקרים מסוימים.

הילה מלר, מנהלת אזור דרום EMEA ב-DXC Technology. צילום: ניב קנטור

לסיכום אמר עו"ד אור-חוף כי "התקנות החדשות הן צעד מבורך להעלאת המודעות לאבטחת מידע ולסיכוני סייבר, אבל הן לא מלאות ויוצרות אי ודאות".

איך גורמים להנהלות להתעניין בהתאוששות מסייבר?

בהמשך האירוע דיברה הילה מלר, מנהלת אזור דרום EMEA ב-DXC Technology. את עיקר דבריה היא הקדישה לאחריות ההנהלות הבכירות והדירקטוריונים של ארגונים להתאוששות מסייבר, אולם היא גם הסבירה קצת על החברה, שהיא מיזוג בין CSC ל-HPE Services. לדבריה, "מדובר בחברה חדשה, בת שנה וחצי, אבל יש מאחוריה עשרות שנות ניסיון של שתי החברות".

מלר הוסיפה ש-"חברי ההנהלה והדירקטוריון צריכים להתעניין בהתאוששות סייבר עקב ההשפעה של מתקפות על הארגון, כולל מבחינה פיננסית".

היא ציינה פרויקט של DXC עם הפורום הכלכלי העולמי ו-BCG (ר"ת Boston Consulting Group) – נייר עמדה שמטרתו היא לנסח עקרונות ולהציע כלים כיצד להשפיע על ההנהלות להיות מעורבות בנושא ההתאוששות מסייבר. "סקר שערכנו מצא שחברי הדירקטוריון בארגונים רואים את עצמם כאחראיים על התאוששות מסייבר בארגון, אבל 84% מהם לא מרגישים שיש להם את הידע והכלים שמאפשרים להם להתמודד עם זה. הם צריכים עזרה", אמרה מלר.

לדבריה, "יש בנייר העמדה ארבעה חלקים, 10 עקרונות, וכלים פרקטיים שעוזרים להנהלות להבין את העקרונות האלה והיכן הארגונים נמצאים. זו מסגרת של ניהול סיכונים בשפה שברורה להם".

העקרונות הם: חברי הדירקטוריון נושאים באחריות הכוללת להתאוששות מסייבר; על ההנהלות לעבור הדרכות ותדרוכים בנושא באופן שוטף; על החברה למנות אדם שיישא באחריות לנושא, בעל ידע וניסיון בתחום, מנותק מה-IT ועם תקציב מתאים; קיים צורך באינטגרציה של הגנת הסייבר בכל תוכניות העבודה של החברה; יש להבין מה התיאבון לסיכון, עד כמה ההאקרים 'רעבים' לתקוף; על חבר המנהלים להזמין ניתוח סיכונים שנתי; על הגורמים הרלוונטיים בארגון לבנות תוכניות עבודה על סמך זה; קיים צורך בשיתוף פעולה בין גורמים בארגון; על ההנהלה לעבור בצורה מקיפה על הנושא בכל שנה; ועל חבר המנהלים לבדוק את עצמו – האם הוא עושה את הדברים הנכונים".

מלר סיכמה באמרה כי "צריך לגרום למנהלים להבין מהם הסיכונים ואילו מהם עלולים להיגרם לארגון באמצעות אילו מתקפות".