סוגיות משפטיות בעולם הסייבר

הצורך לשמור על המידע ועל אופן השימוש בו מתעצם בשל ההתפתחויות הטכנולוגיות המואצות של העשורים האחרונים, שהביאה עמה שינויים באופן שבו מידע נאסף, מנותח, ומפולח והשימושים הנעשים בו. השינוי הגדול בטכנולוגיית מידע, שימוש גובר במכשירים ניידים חכמים, שירותים מבוססי טכנולוגיית ענן, כל אלו הביאו עמם איומים של שימוש במידע אישי באופן הפוגע בפרטיות נושאי המידע.

גם בתחום המשפט, בעולם ובישראל, יש ניסיון להתאים את דיני הגנת הפרטיות להתקדמות הטכנולוגית המהירה. זוהי מלחמה אבודה מראש, אולם יש לציין, כי המודעות לנושא הפרטיות וההכרה בחשיבות העניין עלו באופן משמעותי.

כאשר עולה חשש של אירוע דליפת מידע אישי מחוץ לארגון, יש לנקוט פעולות ישירות ומהירות לצמצום הפגיעה בנושאי המידע (Data Subjects).

בישראל ישנם כמה חוקים ותקנות העוסקים בנושא של פרטיות: חוק יסוד כבוד האדם וחירותו, שקובע, כי אחת מזכויות האדם הבסיסיות היא הזכאות לפרטיות ולצנעת חייו. החוק השני, חוק הגנת הפרטיות משנת 1981, המסדיר את הזכות לפרטיות בישראל. פגיעה מוכחת בפרטית היא עבירה פלילית עם עונש של חמש שנות מאסר. החוק מסדיר, בין היתר, את תחום מאגרי המידע וקובע כללים ברורים לגבי מידע אישי, או מידע אישי רגיש ומינוי בעלי תפקידים הנושאים באחריות המשפטית לעמידה בהוראות החוק והתקנות אשר הותקנו מכוחו. חוק החברות מטיל אחריות אישית על מנהלים בחברה, שלא נקטו צעדים למניעת נזק, שתוצאתו היא פגיעה בפרטיות. חוק נוסף שקשור לנושא הוא חוק המחשבים, שנועד  לטפל  בהתגברות תופעת פשעי מחשב והקשיים בהתאמת דיני העונשין והנזיקין הקיימים, לשימוש לרעה במחשבים. לדוגמה: סעיף חדירה לחומר מחשב. היום כל מכשיר טלפון חכם הוא למעשה מחשב, מה שהופך כמעט כל פעולה שאנו עושים ל"פעולת מחשב".

רמו"ט הרשות להגנת הפרטיות

הרשות להגנת הפרטיות (לשעבר רמו"ט) –  היא הגוף הממונה על אכיפת חוק הגנת הפרטיות והתקנות על פיו, לרבות רישום ופיקוח על מאגרי המידע.

רשות זו פועלת במסגרת פעילות משרד המשפטים ויש לה סמכויות העמדה לדין, הוצאת צווים שיפוטיים, הטלת עיצומים וקנסות, סמכויות פיקוח וקביעת הנחיות ספציפיות להבהרת מצב משפטי מסוים, למשל הנחיה ספציפית לעניין מצלמות אבטחה במרחב הציבורי, דיוור ישיר וכד'. הרשות גם אחראית לפיקוח על יישום של נהלים פנימיים בארגונים, הקשורים באופן הטיפול במידע ומאגרי מידע. לדוגמה, הנחיה 361 של המפקח על הבנקים, שמגדירה מחדש תקן חדש של מנהל הגנה קיברנטית, המחייבת הגדרת תקן חדש של "מנהל ההגנה הקיברנטית".

בארה"ב, לאור המקרים שבהם תאגידי הענק, כגון גוגל, אמזון, פייסבוק ואפל מסחרו את המידע האישי של הלקוחות שלהם מבלי ליידע אותם (מקרה קיימברידג' אנליטיקס), אותם תאגידי ענק נאלצים להתמודד עם ביקורת ציבורית ועם ביקורת מצד המחוקק והרגולציה. לעומת זאת, באיחוד האירופי נוטים יותר לכיוון זכויות הפרט, ובשל כך עושים צעדים לכיוון הצרת צעדיהם של אותם תאגידי ענק והאופן שבו הם עושים שימוש במידע של לקוחותיהם. תקנות GDPR הם חלק משינוי מגמה זה, והן כוללות תקנות מחמירות על ארגונים גם מחוץ לאירופה שלא יקפידו על שמירת הפרטיות.

שינויים שאירעו לאחרונה במדיניות של כמה גופי רגולציה בארה"ב מתווים את הכיוון של הגברת אחריות נושאי משרה להגנה על ארגונם מפני מתקפות סייבר. את המדיניות התוו גופים כמו ועדת הסחר הפדרלית (FTC) והוועדה לניירות  ערך (SEC).

מטה הסייבר הלאומי

המטה אמון על קידום כמה תחומים מרכזיים בתחום הסייבר במדינה: קידום ההגנה ובניית החוסן הלאומי בסייבר. בין היתר, בניית הובלה ישראלית בתחום הסייבר, קידום חקיקה, התוויית גורם מסדיר בתחומי הביטחון והסייבר. תפקיד נוסף הוא גיבוש תפיסה לאומית לטיפול במצבי חירום במרחב הסייבר. על פי החלטת ממשלה (מס' 3611) 2% מתקציבי משרד ממשלתי יוקצו להגנת הסייבר.

תפקידה של רשות הסייבר הלאומית עוסק במספר תחומים: הקמת יחידת סייבר בפרקליטות המדינה שתעסוק בעבירות מחשב, ייזום הצעות לתיקוני חקיקה בתחום הפלילי.

במשטרת  ישראל פועלת יחידת סייבר ארצית, כחלק מיחידת להב 433, והיא  מטפלת בפשיעת סייבר המלווה בפגיעה כלכלית, טיפול בפגיעת סייבר בתשתיות חיוניות וחשיפת תופעות פשיעה במרחב הקיברנטי, לרבות פדופיליה.

כיצד ניתן להיערך לתקיפות סייבר?

קביעת מדיניות ברורה של הארגון בנושא הגנת הסייבר. הקצאת משאבים ארגוניים ליישום המדיניות.  יש לבצע מעקב על יישום המדיניות בארגון ועדכונה. קבלת דיווחים שוטפים לגבי אירועי סייבר.

לצורך זיהוי אירועי סייבר על הארגון לפעול להקמת מערך ניטור ובקרה המתאימים לאופי פעילותו של הארגון.

ישנה מגמה ברורה בעולם, שלפיה אחד הצעדים הראשונים שיש לנקוט במקרה של תקיפת סייבר הוא ליידע את נושא המידע כי המידע האישי על אודותיו, שהיה אגור במאגרי המידע של אותו ארגון, זלג החוצה. פעולה זו אמורה לאפשר לנושא המידע להיערך בהתאם וליזום פעולות מידיות, כמו החלפת סיסמאות גישה לאתרים ולשירותים דיגיטליים, לתיבות דוא"ל ולמידע פיננסי, הודעה לגופים המנפיקים כרטיסי אשראי או כל פעולה שעשויה לצמצם את עוצמת הפגיעה.

בישראל, נכון להיום, לא קיימת חובה חוקית להודיע לנושאי המידע, אולם יש ליידע את הרשות, אשר תנחה את הארגון על פי הנסיבות של המקרה ועוצמתו. אולם רשם מאגרי המידע רשאי להורות לבעל מאגר המידע, לאחר שנועץ בראש הרשות הלאומית להגנת הסייבר, להודיע על אירוע האבטחה לנושאי המידע אשר עלולים להיפגע כתוצאה מאירוע האבטחה.

הכותבת היא בעלי משרד נעמי אסיא ושות'.