"חשוב מאוד לתת את הביטחון לתושב שהמידע נשמר בצורה מיטבית"

"אנחנו בעיריית באר שבע בעצם נערכנו מבעוד מועד, ואנחנו ממשיכים בהתמחות ובלמידה של התקנות החדשות לשמירה על הפרטיות. אנחנו נותנים שירותים לכ-200 אלף תושבים ומנהלים נתונים חלקם רגישים יותר וחלקם פחות. אנחנו התייחסנו לתהליך הזה כהזדמנות, כי חשוב מאוד לתת את הביטחון לתושב שהמידע נשמר בצורה מיטבית", כך סיפר יהוד מרסיאנו, מנמ"ר עיריית באר שבע, בפאנל מנהלי אבטחה והגנה על הפרטיות שנערך במסגרת כנס InfoSec 18 שהתקיים באחרונה באולמי LAGO בראשון לציון.

זו כבר הפעם ה-19 בה הכנס השנתי והגדול בתחום נערך בהפקת אנשים ומחשבים, והפאנל בהנחייתה של עו"ד לימור שמרלינג-מגזניק ממשרד המשפטים, דן בהכנות ובפעולות שעשו גופים ציבוריים גדולים עם כניסתן לתוקף של התקנות החדשות לאבטחת מידע, עם הצצה אל עבר תקנות ה-GDPR שייכנסו לתוקף בסוף החודש.

עו"ד לימור שמרלינג-מגזניק ממשרד המשפטים. צילום: ניב קנטור

לפי מרסיאנו, האתגר הגדול הוא העובדה שלא מדובר רק בתהליך טכנולוגי, אלא גם בצורך הטמעת מודעות. "יש הרבה עבודה לשינוי התהליכים בתוך הארגון בכל מה שקשור למשל לגיוס עובדים, לצורך לרענן הוראות כדי להתמודד עם הסוגיה הזו וכדומה".

"יש גוף במשרד הפנים שאמון על הטיפול בנושא הסייבר מול הרשויות, ובהקשר הזה הדבר החשוב ביותר הוא קודם כל להפיץ את המידע, להסביר כי בהרבה מאוד מקרים לא יודעים בדיוק מה צריך לעשות ומה מחייבות התקנות", הוא אמר.

משה שחר, הממונה על אבטחת המידע בקופת חולים מאוחדת. צילום: ניב קנטור

משה שחר, הממונה על אבטחת המידע בקופת חולים מאוחדת, התבקש בידי שמרלינג-מגזניק להתייחס לאופי ההשפעה  של התקנות על הארגון, ועל הדרך בה מאמצים אותן.

"המוביל של התהליך הזה צריך להיות המנכ"ל, וזה היה הכיוון. אנחנו ניסינו למנף את הנושא הזה, כי הפעם בזכות תקנות אבטחת המידע זה חייב להיות באג'נדה של כל ההנהלה והדירקטוריון. ניצלנו את ההזדמנות גם כדי לעשות סדר מחדש בכל מה שקשור לניהול מאגרי המידע, ואחד הדברים החשובים זה מינוי מנהלי מידע שקשורים לעסק, אנשים שמכירים בצורה עמוקה את המאגר ולוקחים את כל האחריות לכל הנושאים של שמירה על המידע".

"מדובר בפרויקט חוצה מחלקות בארגון, וזה לא משהו שאפשר לעשות לבד, רק צוות אחד", הוא סיפר.

ד"ר משה כרמון מהמרכז הרפואי שערי צדק. צילום: ניב קנטור

ואיך מתייחס מנהל יחידה בבית חולים לשילוב בין עולם מערכות המידע עם עקרון השמירה על הפרטיות? על כך ענה ד"ר משה כרמון מהמרכז הרפואי שערי צדק.

"אני חושב שבכל מה שקשור על הגנת פרטיות אנחנו עוסקים רבות בעולם הרפואי, ולא מהיום. עם זאת אכן יש כמה היבטים שדורשים התייחסות. לדוגמה, הרי כמעט ברור מאליו שצריך אישור של מטופל כדי לספק מידע למשפחה/חברים, ואני לא מכיר רופא סטנדרטי שיעשה אחרת. אבל, מצד שני, כשמקבלים בקשה למייל דרך התכתובת הפנימית של בית החולים – לא מתעוררים פעמוני אזעקה, כי לא חושבים על כך באותה רמה".

"צריך להטמיע שכמות המידע שצריכים לשמור גדלה והופכת לעצומה, ומכיוון שהמחשוב הוא חלק בלתי נפרד מעולם הרפואה, צריך לזכור שיש לכך היבטים שונים ורבים", הוא אמר.

אופיר זילביגר, מנהל שותף ב-SECOZ. צילום: ניב קנטור

אופיר זילביגר, מנהל שותף ב-SECOZ, מרכז הגנת הסייבר, ומי שהנחה את הכנס לצד יהודה קונפורטס, העורך הראשי של אנשים ומחשבים, התייחס בפאנל לכך שגם במקרה של תקנות האבטחה החדשות יש צורך להפעיל שיקול דעת ולהכניס לשיקולים פרופורציה נכונה.

"חשוב להפעיל שיקול דעת מה אנחנו שומרים, כי ככל שיש יותר מידע יש יותר סיכונים. יוצאים לדרך מתוך השקפה של ניהול סיכונים ומתוך הבנה כי אי אפשר להשיג 100% ציות בכל מקום. זו עבודה שצריכים לעשות כמה צוותים ביחד בסנכרון לאורך ציר זמן".

"יש מעט מאוד אנשים שכבר מוכנים ויש עוד הרבה מאוד עבודה לבצע, ובארגונים גדולים במיוחד מדובר בפרויקט רב-שנתי שיכול להימשך אפילו חמש שנים, אבל אפשר כבר היום לקבל החלטה שמפסיקים לאסוף מידע שלא זקוקים לו באמת".

"עוד היבט חשוב שצריך להתייחס אליו, הוא שמדובר בתהליך שהמימוש שלו חייב להיות כזה שהתוצאה לא תהיה משהו שקשה ללעוס אותו", הוא אמר.