אבטחת מידע
אבטחת מידעצילום: ISTOCK

במסגרתו של הליך בדיקה בינלאומי, ביצעה הרשות להגנת הפרטיות סקר בקרב גופים ציבוריים ופרטיים במשק, לבחינת אופני הדיווח של גופים אלה במקרים של אירועי אבטחה (Data Breach).

הרשות בחנה, בין היתר, את רמת המודעות של גופים אלה לחובת הדיווח במקרים של אירועי אבטחה חמורים על פי תקנות הגנת הפרטיות (אבטחת מידע) והאמצעים בהם נוקטים הגופים השונים למניעת הישנותם של אירועי אבטחה חמורים.

כחלק מהתהליך, גופים שהתגלו אצלם בעבר אירועי אבטחה נדרשו להציג מסמכים שיוכיחו כי הליקויים תוקנו.

סקר זה הינו חלק מבדיקה בינלאומית מתואמת המתקיימת מדי שנה, ומכונה Sweep, שבמסגרתה השתתפו השנה 16 רגולטורים וביניהם ישראל, במסגרת ארגון הגג הבינלאומי לאכיפת הגנת המידע האישי (GPEN - Global Privacy Enforcement Network), בו הרשות להגנת הפרטיות מייצגת את מדינת ישראל ואף משמשת נציגה בוועד המנהל שלו.

במסגרת הפעילות נבחנו סך כולל של 1,145 גופים מרחבי העולם. יודגש, כי בעוד שבישראל השיבו על השאלונים כל הגופים אליהם פנתה הרשות, בעולם סיפקו מענה לשאלונים שנשלחו במסגרת הליך הבחינה רק כ- 21% מהגופים בממוצע. הסיבה לכך, היא כי לרשות להגנת הפרטיות בישראל סמכות לפי חוק הגנת הפרטיות לדרוש ידיעות ומסמכים מגופים המנהלים מאגרי מידע, סמכות שלא קיימת לכלל ארגוני האכיפה בעולם.

תובנות מהסקירה הבינלאומית:

84% מהגופים שנבדקו כחלק מהבדיקה הבינלאומית של GPEN מצהירים כי הם מנהלים מנגנוני ונהלי עבודה לדיווח על אירועי אבטחת מידע. כמו כן, הגופים מצהירים כי הגדירו צוותים הממונים על טיפול באירועי אבטחת מידע.

ממצאי הבדיקה בישראל דומים לאלה שהתקבלו בבדיקה של רשת GPEN ביחס לשאר העולם. כך, מרבית הגופים שהשיבו לשאלונים (82%) הציגו מודעות גבוהה יחסית לממצאי ה- GPEN, להוראות חוק הגנת הפרטיות ולתקנות מכוחו, כמו גם לפרקטיקות לטיפול באירועי אבטחה חמורים. הרשות להגנת הפרטיות אף פנתה במסגרת הבדיקה לגופים אשר התנהלו בעניינם תיקי פיקוח בעבר ואשר קיבלו הנחיות לתיקון ליקויים בעקבות אירועי אבטחת מידע קודמים. מהסקירה עלה, כי מרביתם השלימו את יישום ההנחיות שניתנו להם, והשאר מצויים בתהליך של השלמת יישום ההנחיות.

ב-12 מתוך 16 המדינות, או תחומי השיפוט שהשתתפו בבדיקה הבינלאומית, קיימת חובת דיווח על אירועי אבטחת מידע, אך אלו מוגדרים באופן מעט שונה ממדינה למדינה. בישראל, חובת הדיווח על אירועי אבטחה חמורים קבועה בתקנות הגנת הפרטיות (אבטחת מידע). על פי תקנות אבטחת מידע, בעל מאגר מידע שחלה עליו חובת אבטחה בינונית או גבוהה מחויב להודיע לרשות להגנת הפרטיות בהתרחש אירוע אבטחת מידע חמור באופן מידי, ולדווח על הצעדים שנקט בעקבות האירוע. כמו כן, על פי התקנות, מחויבים הגופים בסדרת פעולות שנועדו לייצר זיכרון ארגוני ולהפיק מהם לקחים עתידיים, וזאת כחלק מחובת תיעוד אירועי האבטחה.

השוואת תוצאות הסקירה בישראל לעומת הסקירה הבינלאומית

דיווח על אירוע אבטחה:

מממצאי הסקירה הבינלאומית, עולה כי מתוך 1,198 אירועי האבטחה שאירעו ב-258 ארגונים, 36 אירועים דווחו לגופי האכיפה ולרגולטורים ולא לאנשים שעלולים היו להיפגע מן האירועים, ו- 157 אירועים דווחו לאנשים שעלולים היו להיפגע מן האירוע אך לא לגופי האכיפה ולרגולטורים.

בישראל, חובת הדיווח הינה לרשות להגנת הפרטיות. על אף האמור, הבדיקה בישראל העלתה כי במיעוט של המקרים (9%) דווח האירוע גם לאנשים אשר היו עלולים להיפגע מן האירוע.

כלים:

מרבית הגופים שנבדקו בישראל (64%) ציינו כי המידע והכלים שמספקת הרשות להגנת הפרטיות בנוגע לדיווח על אירועי אבטחת מידע, כמו מדריכים ומידע באתר, טפסים מקוונים ודיווח מקוון על אירועי אבטחה חמורים, סייעו או מסייעים להם בטיפול באירועי אבטחת מידע וכי גם הליכי הפיקוח שניהלה מולם הרשות להגנת הפרטיות סייעו להם בתהליך התחקור והטיפול באירוע. מהבדיקה הבינלאומית לעומת זאת עולה, כי רק מיעוטם של הגופים (36%) השיבו כי המידע והכלים שמספקים הרגולטורים הינם שימושיים. בנוסף, גופים קטנים יותר מבחינת גודל המאגר ומספר בעלי ההרשאה למאגר ציינו כי הם מתקשים להתמודד עם הנחיות רבות ועם חוסר במשאבים או מומחיות בנושא, וכי קשיים אלה מונעים מהם לפתח מדיניות או נהלים מסודרים בנושא.

תיעוד אירועי אבטחה:

83% מהגופים בעולם שומרים תיעוד עדכני של אירועי אבטחת מידע או אירועים שיש להם פוטנציאל להתגבש לאירועי אבטחת מידע. בדומה, בישראל, מירב הגופים (82%) שומרים תיעוד של אירועי אבטחת מידע שאירעו אצלם.

בעולם, למעלה מ-30% מהגופים דיווחו כי הם לא מקיימים ביקורות תקופתיות או הערכה עצמית בנוגע לתוכניות אבטחת המידע. בישראל, לעומת זאת, אחוז הגופים שדיווחו על קיום ביקורות תקופתיות ובחינת ביצועיהם בנוגע למצב אבטחת המידע נמצא גבוה יותר (82%).

יצוין, כי מאז כניסתן של תקנות הגנת הפרטיות (אבטחת מידע) לתוקף במאי 2018, דווחו לרשות להגנת הפרטיות מעל ל- 150 אירועי אבטחת מידע חמורים. אולם, ההערכה היא שקיימים אירועים נוספים אשר לא דווחו כפי שמחייבות התקנות, ובכוונת הרשות לחקור כל הפרה של הוראות חוק הגנת הפרטיות והתקנות מכוחו.

עו"ד לינא כמאל- טרודי, הממונה על האכיפה המנהלית ברשות מוסיפה: "חובת הדיווח לרשות על אירועי אבטחת מידע חמורים מהווה נדבך חשוב במדיניות אבטחת המידע ובהליך התיעוד, התחקור והמניעה של ארגונים בהתמודדותם עם עולם חדש של סיכוני אבטחה. אנו ברשות שמחנו לגלות כי מצב הדיווח בישראל אינו שונה מזה שבשאר המדינות שנבדקו, וממשיכים ללוות את הארגונים ולסייע להם בטיפול באירועי אבטחה חמורים.

''במקביל, אנו דואגים לקיים הליכי אכיפה במקרים בהם לא עמד הארגון בחובותיו, ובמסגרת זו גם בחובת הדיווח לרשות, ובמידת הצורך אף קובעים הפרה ומפרסמים פרטיהם של גופים אשר הפרו את הוראות חוק הגנת הפרטיות. תחקור אירועי אבטחה חמורים על ידי הארגון, מגלה פעמים רבות ליקויים במדיניות ונהלי אבטחת המידע שלו ובמערכות ההגנה שלו, ועשוי למנוע נזקים גדולים לארגון ופגיעה בשמו הטוב", הוסיפה כמאל טרודי.