סייבר והגנת הפרטיות

מעבר לעונשים חשוב להבין את הסכנות להן חשוף הארגון שכוללות, חשיפת מידע או השבתת מחשבי הארגון עד כדי הפסקת תפקודו. 

תקנים ורגולציה באבטחת סייבר

אין כמעט יום שעובר מבלי שאנו מתבשרים על מתקפת סייבר שהתבצעה על מחשבי ארגון כזה או אחר, הפוגעת קשות בתפקוד הארגון ומסבה לו נזקים עצומים, כגון המתקפות שאירעו לאחרונה לחברת  הביטוח שירביט ולבית החולים הלל יפה בחדרה.

אלפי מתקפות נוספות מתבצעות מידי יום על ארגונים אחרים, גדולים וקטנים, עליהן אין אנו שומעים כלל. 

מרחב הסייבר, כפי שהתפתח, הינו במידה רבה מרחב אזרחי. יש להגן עליו ולחסנו מפני פגיעה, אולם תוך שמירה על חיוניותו של המרחב כמנוע צמיחה וכמאפשר זרימה חופשית, ככל הניתן, של מידע, שירותים ומסחר. אחד מצירי הפעולה בהם נוקטות מדינות וארגוני תקינה בינ"ל, הינו ביצירה ומיסוד של סטנדרטים מקצועיים בתחום הגנת הסייבר והנחלת רגולציה, שתכליתה העלאה שיטתית ורציפה של רמת ההגנה בארגונים השונים, על מנת למנוע או לצמצם את פגיעותם לתקיפות סייבר.

על מנת להגן על ארגונים ומוסדות ישראליים מפני מתקפות סייבר וכן על מנת לאפשר לחברות ישראליות לעשות עסקים עם ארגונים אחרים בעולם תוך עמידה בתקנים הקיימים במדינות העולם, נקבעו תקנות הגנת הפרטיות הישראליות, החלות על כל ארגון המחזיק במידע כזה או אחר על אנשים פרטיים. 

דוגמאות לכך הן מאגרי מידע הכוללים את פרטי העובדים, הלקוחות, ספקים ועוד. שמירת המידע באמצעים דיגיטליים (רשימת תפוצה, נתונים של תוכנות הנהלת חשבונות ואפילו קבצי אקסל ווורד) הופכת את אותם העסקים לבעלים של מאגר מידע. 

התקנות חלות גם על ארגונים ועסקים שיש להם גישה למידע של אנשים פרטיים.

מטרת התקנות הן להגן מפני דליפת המידע לגורמים חיצוניים, וכן לשמור על פרטיותם של נושאי המידע.

על מאגרי מידע חלות רמות אבטחה שונות: בסיסית, בינונית וגבוהה, אשר נקבעות בהתאם לסוג המידע ומאפיינים שונים המפורטים בתקנות, אשר אי-עמידה בהן חושפת את הארגון לסנקציות משמעותיות, העלולות לכלול הגשת כתבי אישום פליליים, הטלת קנסות מנהליים ואף עונש מאסר.

מעבר לעונשים חשוב להבין את הסכנות להן חשוף הארגון שכוללות, חשיפת מידע או השבתת מחשבי הארגון עד כדי הפסקת תפקודו. 

אכיפה

האכיפה של הנחיות ההגנה על מאגרי מידע, מתבצעת על ידי הרשות להגנת הפרטיות. 

הרשות אוכפת את הוראות החוק והתקנות בקרב ארגונים וגופים המחזיקים ו/או מנהלים ו/או שיש להם גישה למאגרי מידע. הרשות עורכת לא אחת ביקורות פתע, וכן שולחת שאלוני ביקורת, דורשת להציג נתונים על אודות המידע הנאגר, על אופן השימוש במידע, רמת אבטחת המידע הקיימת במאגר המידע וכדומה. 

האכיפה מתבצעת על ידי חוקרים ומפקחים המוסמכים ברשות להגנת הפרטיות, ולהם סמכות אף להגיש כתבי אישום פליליים, הטלת קנסות מנהליים על פי חוק ושלילת האפשרות לעשות שימוש במידע במקרים של הפרת הוראות החוק.

חשוב שמנהלי הארגון יכירו את האיומים השונים, יבצעו את פעולות המנע והתאמת הארגון לדרישות הרגולציה, יקטינו באופן משמעותי את הסיכון להתקפת סייבר ולזליגת מידע ואת האפשרות שהארגון יידרש לשלם פיצויים או קנסות במקרה של מתקפת סייבר.

תקנות האיחוד האירופי

מלבד ההוראות אשר קיימות בישראל, ארגונים אשר מחזיקים במידע על אזרחי האיחוד האירופי, או פועלים אל מול השוק האירופי, חשופים לתחולת תקנות ה-GDPR של האיחוד האירופי. לאור הפרשנות המרחיבה של מושג המידע בתקנות ה-GDPR של האיחוד, ולאור הפרשנות המרחיבה לתחולת התקנות, הן חלות בטווח רחב מאד של מצבים, ומנהלי ארגונים וגופים רבים חשופים לסנקציות קשות וקנסות עקב אי-ציות לתקנות אלו.

תקנות בארה"ב ובמדינות העולם

בנוסף לתקנות הגנת הפרטיות ותקנות ה-GDPR קיימים גם תקנים נוספים, דוגמת רגולציית הסייבר האמריקאית, ה-CCPA , כך שחשוב שמנהל ארגון שיש לו קשרים מסחריים ואחרים עם מדינות אלו יהיה מודע להם ויתאים את ארגונו לנהלים הרלוונטיים.

השירותים שמשרד עורכי דין שי ורד מציע לארגונים ועסקים בתחום הסייבר:

  1. סיווג העסק מבחינת רמת האבטחה הנדרשת: בסיסית, בינונית או גבוהה.
  2. כתיבת נהלי אבטחת מידע בהיבט הטכנולוגי, הפיזי והסביבתי, בהתאם לדרישות הרגולציה.
  3. יצירת נהלי עבודה והתנהגות ברשת, ויצירת נהלי אבטחת תקשורת.
  4. נהלי תיעוד והתמודדות עם אירועי אבטחה מבחינה טכנולוגית, פיזית, משפטית, המשכיות עסקית, יח"צ, התנהלות מול רשויות המדינה, מול הלקוחות/העובדים ועוד.
  5. נוהל הרשאות גישה, הזדהות וניהול בקרה להרשאות גישה.
  6. ביצוע ביקורות תקופתיות עצמאיות.
  7. בחינת הסכמים עם ספקים וניהול מו"מ מולם, כך שיעמדו בדרישות הרגולציה (נהלים אלה מתייחסים לחברות תוכנה, שירותי ענן, שירותים טכניים במיקור חוץ וכדומה).
  8. נהלי עובדים והדרכות עובדים תקופתיות.
  9. שירות כממונה אבטחת מידע חיצוני (DPO as a service).
  10. בחינת התאמה לרגולציית סייבר האירופאית (GDPR).
  11. בחינת התאמה לרגולציית סייבר האמריקאית (CCPA).

הניסיון שלנו בייעוץ בתחום אבטחת המידע והסייבר

משרד עורכי הדין שי ורד, מתמחה בליווי משפטי בתחום הסייבר ואבטחת המידע לארגונים קטנים, בינוניים ולפרטיים בעלי פעילות עסקית הדורשת התייחסות לתחום הסייבר ואבטחת המידע (דוגמת רופאים, רואי-חשבון ובעלי מקצועות חופשיים נוספים).

עורך דין שי ורד, העומד בראש המשרד, הוסמך בתחום של ליווי ארגונים בנושאי סייבר, אבטחת מידע והגנת הפרטיות, והשתלם בתקנות ה-GDPR באקדמיה הארצית לעורכי דין.

השאירו פרטים כאן
וצוות המשרד ייצור עימכם קשר בהקדם