מ"מ ראש הרשות להגנת הפרטיות: ארועי אבטחה - זירת הקרב החדשה

ארועי דליפת מידע רגיש מחברות, לרבות בנסיבות של דרישת כופר, הופכים נפוצים יותר ויותר ומדגישים את חשיבות ההגנה על מידע והעמידה בהוראות חוק הגנת הפרטיות ותקנות אבטחת מידע. על ארגונים לחשוב אם לא להיפטר מחלק מהמידע ולהקטין את הסיכון מראש. כך אומרת מ"מ ראש הרשות להגנת הפרטיות, ד"ר שלומית וגמן, במפגש מקוון בנושא מינוי ממוני הגנה על הפרטיות בארגונים. על אף שנמנעה מההתייחסות מפורשת לארועי אבטחה, דבריה נאמרים על רקע הפריצות לשירביט, עמיטל ועשרות חברות אספקה והאבנה לאבס.

לדברי וגמן, ארועי אבטחת מידע הופכים יותר ויותר לזירת הקרב החדשה. היא מנתה את הכלים האופרטיבים העומדים לרשות הרשות בהתמודדות עם ארועי אבטחה -

  • קיום אכיפה מינהלית כנגד החברה שבה בוצע ארוע האבטחה החמור.
  • בתלות בנסיבות הרשות יכולה לנקוט אכיפה פלילית נגד החברה, מנהליה ובעליה.
  • בידי הרשות לנקוט הליכים פליליים נגד ההאקר (law.co.il מעיר ביבושת שיש לתפוס אותו תחילה ובזה רשויות החקירה אינן מצטיינות).
  • ביטול או התליית הרישום של מאגר המידע - "המשמעות שאי אפשר לעבוד עד לביטול  ההתלייה. אנו מוצאים שמדובר בכלי מאד משמעותי".
  • ניתן לחייב את בעל המאגר להודיע לנושאי המידע על הארוע. כך נעשה בארוע שירביט כדי לאפשר לציבור הנפגעים לנקוט אמצעי זהירות ולצמצם את הנזק הפוטנציאלי בשל דליפת המידע. לדברי וגמן, זהו כלי מאד משמעותי הגורם לארגון לחשוב כמה פעמים מראש איך להגן על המידע ולא להיקלע ללמצבים אלה שיש להם השלכות על המוניטין של הארגון וסיכון בתביעות אזרחיות.
  • הרשות יכולה לאשר מתי לחבר את מאגרי המידע למערכות החיצוניות, רק לאחר שנחה דעתה שהחברות נקטו בצעדים לתיקון פרצות האבטחה שגרמו לארוע. לדברי מ"מ ראש הרשות, "לעתים ארוע מאותת להאקרים להמשיך  לחדור למערכת ואת זה אנו מבקשים למנוע".
  • הרשות רשאית לתת הוראות להנחיות והדרכות לעובדי החברה כדי לוודא שהם לא ישמשו מקור למידע נוסף בדרך של הנדסה חברתית. 

לצד אלה, אמרה, הרשות רואה בתובענות ייצוגיות ותביעות אזרחיות נגד מי שהפרו את חובת אבטחת המידע כמנגנון שוק מאד יעיל. law.co.il מציין כי בתוך יומיים מפרסום הפריצה לשירביט הוגשו נגד החברה ארבע תובענות ייצוגיות.

וגמן הכירה בצער בזה שהחוק מאפשר עיצומים בסכומים נמוכים של אלפי שקלים בלבד על ארגון שמערכותיו נפרצו. לדבריה, הדבר אינו מרתיע ולכן אינו רצוי ולכן הרשות מקדמת תיקוני חקיקה שיאפשרו עיצומים כספיים משמעותיים. "החוק הוא בן 40 שנה והתיקון שלו מאד משמעותי", אמרה. מספר תיקונים בחקיקה נמצאים בשלבים ראשוניים בימים אלה - תיקון 13 שעניינו הוספת סמכויות אכיפה ותיקון 14 שעניינו צמצום חובת רישום מאגרי המידע נמצאים על שולחנה של ועדת השרים לחקיקה (law.co.il לא זוכר כבר מתי היא התכנסה לאחרונה). תיקון 15 שעניינו החובות המהותיות בחוק "ייצא בקרוב להערות הציבור", אמרה וגמן. לדבריה, "המטרה שלנו לרוץ עם זה ואחת ולתמיד לשנות את הדרוש בחוקי הגנת הפרטיות".