סייבר, אבטחת מידע ופרטיות

ת: לא, בישראל פועל מערך הסייבר הלאומי שהוקם בהחלטת ממשלה.

המערך הוא גוף ממלכתי, ביטחוני וטכנולוגי האמון על הגנת מרחב הסייבר הלאומי ועל קידום וביסוס עוצמתה של ישראל בתחום. המערך פועל ברמת המדינה לחיזוק תמידי של רמת ההגנה של הארגונים והאזרחים, לטיפול בתקיפות סייבר ולסילוקן ולהיערכות לחירום. כחלק מתפקידיו, מקדם המערך פתרונות חדשניים וטכנולוגיות צופות פני עתיד, מתווה אסטרטגיה ומדיניות בזירות הלאומית והבין-לאומית, ומפתח את ההון האנושי בתחום. המערך חותר לקיום מרחב סייבר מוגן, בטוח וחופשי עבור כלל האזרחים, המאפשר את צמיחתה ואת ביסוס עוצמתה של מדינת ישראל.

ת: בשנת 2018 המערך הגיש את תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי, התשע”ח-וזכה  לתגובות רבות מן הארץ ומן העולם.

בחודש מרץ 2021 בוצי ניסיון נוסף להגיש את החוק כהוראת שעה וגם מהלך זה נתקל בקושי.

(גילוי נאות: עו”ד יעקב עוז עמד בראש צוות תגובה להצעה זו)

בהוראת שעה זו, שנתבקשה למשך שנתיים מבקש מערך הסייבר הלאומי סמכויות לאלה שנתבקשו בהצעת החוק, סמכויות רחבות שתכליתן “התערבות” במצב של סכנה ממשית למתקפת סייבר גם בארגונים שאינם ממשלתיים.

ת: בכל ארגון צריך שיהיו נהלים ברורים של סדר הפעולות במקרה של מתקפת סייבר.  בין יתר הפעולות ארגונים רבים כוללים גם נוהל הודעה לרשויות החרום כגון: משטרת ישראל, מערך הסייבר הלאומי, הרשות להגנת פרטיות*

* ישנם ארגונים שלהם מאגר מידע המחייבים דיווח לרשות להגנת הפרטיות שרשאית להיוועץ עם מערך הסייבר הלאומי.

ת: ישנם ארגונים שבמסגרת נהלי הגנת הסייבר שלהם , שוכרים את שרותיו של “צוות התערבות” הכולל גם עורך דין העוסק בתחום זה.

ת: ככל והארגון לא קיים הוראה חקוקה וגרם לנזק לצד שלישי כלשהו, ניתן להגיש תביעת נזיקין, תובענה ייצוגית במידה וניתן לזהות קבוצה נפגעת בכפוף לחוק תובענות ייצוגיות וניתן גם להגיש תלונה במשטרת ישראל שרשאית לפתוח בחקירה במקרה של חשד לביצוע עבירה פלילית.

ת: התקנות חלות על כלל מאגרי המידע העונים על הגדרת “מאגר מידע” בסעיף 7 לחוק הגנת הפרטיות, בכלל זה מאגרים שהמידע שבהם נאסף ממקורות פומביים.

ת: הרשות להגנת הפרטיות מפקחת על מילוי הוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו, לרבות תקנות אבטחת מידע. הפרת התקנות עלולה להביא להטלת סנקציה מצד הרשות, לרבות ביטול אישור ניהול המאגר (רישומו בפנקס המאגרים) ופרסום ההפרה לציבור. כמו כן, עלולה ההפרה להיות בסיס לתביעות אזרחיות, ייצוגיות ואחרות.

ת: עמידה בתקנות אבטחת מידע אינה מהווה בהכרח עמידה בדרישות ה-GDPR. לעניין הדין הזר, יש לקבל ייעוץ מקצועי ממומחה הבקיא בנושא. 

ת: הסטודנט הוא נושא המידע, והגישה שניתנת לו מוגבלת לצפייה במידע האישי על אודותיו בלבד. נושא מידע כזה לא ייחשב לבעל הרשאה במובן התקנות, משום שככלל, יכולתו של אותו סטודנט לצפות במידע על אודותיו בלבד והרשאות הגישה המצומצמות המוקנות לו יוצרות סיכוני אבטחה מופחתים בהשוואה לעובד פנימי של הארגון. 

ת: ככלל, קבצי אקסל עם פרטי מידע אישי אודות עובדים הינם בגדר מאגר מידע. 

ת: בעל הרשאה יחשב לכזה אשר יש לו גישה למידע במסגרת פעילותו בארגון, ללא תלות במתכונת המשפטית של העסקתו. נושא מידע שניתנה לו גישה מוגבלת לצפייה במידע האישי על אודותיו בלבד לא ייחשב לבעל הרשאה במובן התקנות, משום שככלל, יכולתו של אותו נושא מידע לצפות במידע על אודותיו בלבד, לא תפגע בפרטיות במובן השליטה של אדם במידע על אודותיו, ואף תתרום לה. התקנות מבחינות לעניין רמת אבטחה גבוהה בין בעל הרשאה לבין מידע על אנשים, אם למשל מספר בעלי ההרשאה עולה על 100 או המידע במאגר הוא על יותר מ-100,000 אנשים וקיים מידע מהסוג המנוי בסעיף 1(3) אזי תחול רמת אבטחה גבוהה. כאשר בוחנים את מספר נושאי המידע במאגר, כמובן כל אדם שיש עליו מידע גם אם אין לו כלל הרשאה לצפות בו יחשב למניין מידע על אנשים.

ת: סעיף 17 לחוק קובע שבעל המאגר, המחזיק או מנהל המאגר “כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע”. תקנה 19(ב) לתקנות מחילה את מרבית חובותיו של בעל המאגר לפי התקנות “גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין”. על רקע זה, עמדת המחוקק והרשות היא שבעל המאגר והמחזיק נושאים ביחד ולחוד באחריות לאבטחת המאגר, כאשר את חלוקת התפקידים ביניהם לביצוע בפועל של החובות המפורטות בתקנות יש לקבוע במפורש בהסכם ביניהם, בהתאם לתקנה 15(2) שעוסקת בתנאים להתקשרות של בעל המאגר עם גורם חיצוני לצורך קבלת שירות שכרוך במתן גישה למאגר המידע. 

ת: החוק והתקנות לא מחייבים מינוי מנהל מאגר. יחד עם זאת, מנכ”ל החברה הוא האחראי למילוי החובות שמוטלות בחוק על מנהל המאגר, לרבות חובת אבטחת המידע, ויישא באחריות המוטלת עליו. נזכיר, כי ס’ 17 לחוק קובע, כי בעל מאגר מידע, מחזיק במאגר או מנהל מאגר, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע.

ת: רמת המומחיות הנדרשת חייבת להיות תואמת את הרגישות, המורכבות והיקף הנתונים שבידי הארגון, בהתאם למקובל מקצועית. לדוגמה, כאשר פעילות הארגון מורכבת במיוחד ונגזרות ממנה מערכות מידע מורכבות, הכשרה מתאימה ראוי שתממש רמה גבוהה יותר של מומחיות וניסיון מקצועי. היקף המיומנות נגזר מגודל המשימה. לגופו של עניין, הכשרה מתאימה ראוי שתכלול גם שליטה בדרישות החוק והתקנות בישראל לעניין הגנת הפרטיות ואבטחת המידע, היכרות עם האופי העסקי של המגזר בו הלקוח פועל, ובהשלכה של זה על מערכות המידע, ניסיון והכשרה במערכות מידע, ובפרט ביישום אבטחת מידע. ההכשרה והניסיון בנושאים אלו יהיו בהתאמה לרגישות המידע ומורכבות המערכות באופן שיאפשר לאדם לבצע את תפקידו לבחון נוהלים, להעריך סיכונים, לזהות ליקויים, ולהציע אמצעים לתיקונם.

ת: הרשות להגנת הפרטיות איננה מסמיכה גורמים מקצועיים בתחום אבטחת מידע. במידה ולא קיים אדם בעל הכשרה מתאימה בארגון, גורמים כגון אלו קיימים בשוק וניתן לשכור את שרותיהם. 

“ההצפנה מקובלת” נחשבת ככזאת תחת קונצנזוס מקצועי של מומחי אבטחה, אך עשויה להיות לא רלוונטית או חלשה בעתיד, באופן שיישום שלה לא יספק רמה נאותה של הגנה. אבטחת מידע הנה תהליך מתמשך ולא חד פעמי, ולכן, את ההחלטה בבחירת מנגנון ההצפנה הרלוונטי יש לתעד ולעדכן במידת הצורך בהתאם לקונצנזוס המקצועי באותה עת. בעת בחירת מנגנון הצפנה יש לבחון את איכות המנגנון והיישום הנכון של ההצפנה המוצעת. יישום נכון מחייב להבין מהי רמת ההגנה הנדרשת בהתאמה לסיכונים. על בעל מאגר להכיר את אופן הפעלת ההצפנה, לדוגמה, ייתכן שמכשיר כלשהו מוצפן במצב כבוי, אבל לא בזמן במצב הפעלה. ישנם מוצרים עם “מפתחות ברירת המחדל” אותם נדרש לשנות מיד בשלב ההתקנה. בעל מאגר נדרש ליישם אמצעי הגנה מתאימים בשים לב לסיכונים. הצפנת מידע אישי במאגר הוא אחד מבין אמצעי ההגנה החשובים המעידים על האופן בו מקיים בעל המאגר את חובותיו לאבטחת המידע האישי. כך למשל, מנגנון הצפנה יחשב גם לאמצעי הגנה סביר למידע אישי שהועתק להתקן נייד.