בזמן האחרון אנחנו שומעים רבות על שימוש לרעה במידע אישי של משתמשים על ידי ארגונים שונים ובראשם פייסבוק.
השימוע בסנאט של מארק צוקרברג בהחלט העלה את המודעות לבעיות פרטיות ואבטחת מידע בקרב הציבור. פרשות אלו התרחשו חודשים ספורים לפני כניסת תקנות ה- GDPR באירופה שנועדו למנוע שימוש לרעה במידע של משתמשים על ידי עסקים.
אירועים כאלו אולי הפתיעו את הציבור אבל לא את הרגולטורים, שמודעים לנושא כבר תקופה ארוכה. התקנות משפיעות בצורה מהותית על מודלים עסקיים של חברות שאוספות וצוברות מידע על משתמשים אירופאים, גם אם החברות עצמן נמצאות מחוץ לאירופה.
בזמן שכל הזרקורים מופנים לאירופה, הקהל הישראלי מפספס התפתחות דרמטית אצלנו בנושא.
בשמיני למאי 2018 , נכנסו בארץ לתוקף תקנות חדשות בנושא של הגנת פרטיות ואבטחת מאגרי מידע.
במאמר זה נסקור את התקנות האלה והשלכותיהם:
מטרת התקנות
לעלות בצורה משמעותית את רמת אבטחת המידע האישי בישראל.
מי יושפע?
התקנות חלות על כל מי שמבצע עיבוד ושמירה של מידע אישי בישראל, גופים פרטים וציבורים כאחד. בעולמינו הדיגיטלי זה אומר שהן חלות על כולנו! התקנות מסתכלות על כל גוף כזה כמנהל מאגר מידע. מרגע זה נשתמש במושג זה להסברים והבהרות.
סיווג המאגרים
התקנות הן מודולריות ומכילות חובות הולכות וגדלות בהתאם לגודל הארגון, כמויות מידע מעובדות ורגישות המידע. נתייחס לארבעת הרמות שמוגדרות בתקנות (מהפחות מחמיר ליותר מחמיר). להלן סיכום של עיקרי החלוקה:
1. מאגר מידע מנוהל על ידי יחיד- מדובר על עסקים קטנים (כולל עצמאים) שהמידע שלהם לא רגיש במיוחד והם משתמשים במידע לצורך תפקוד העסק ולא מוסרים אותו לצד שלישי.
2. מאגרי מידע ברמת אבטחה בסיסית ארגונים שמעבדים מידע אישי שאינו מוגדר כרגיש.
3. מאגרי מידע ברמת אבטחה בינונית- ארגונים שמעבדים מידע אישי או רפואי רגיש.
4. מאגרי מידע ברמת אבטחה גבוהה- מדובר על מאגרי מידע גדולים (מעל 100,000 אנשים) עם מורשי גישה רבים (מעל 100).
עיקרי התקנות:
הדברים שנדרשים במסגרת התקנות שונים בהתאם לסיווג המאגר, להלן מספר נקודות עיקריות:
1. מסמך הגדרות המאגר- תיאור המידע שנשמר ותהליכי העיבוד.
2. מינוי אחראי אבטחת מידע בארגון
3. מיפוי סיכונים
4. נוהל אבטחת מידע
5. ניהול הרשאות גישה למאגר
6. אבטחה פיזית והקשחה
7. הדרכות לכוח אדם בנושא של אבטחת מידע
8. תיעוד ודיווח על אירועי אבטחת מידע (התקפות,פריצות,זליגת מידע)
9. ביקורות תקופתיות ועדכון נהלים
התקנות הן מאוד מקיפות (לא רלוונטיות לכל רמות האבטחה) ,זאת רק רשימה מצומצמת של נושאים עיקריים להמחשה. יישום התקנות דורש שילוב של הבנה משפטית, עולם תוכן, פיתוח תוכנה, אבטחת מידע ועוד. נגמרו הימים שאפשר היה לתת לכל אחד לתחזק ולפתח מערכות מידע. היום בעל המאגר אחראי על פי חוק לפעולות של קבלני משנה ועובדים שמטפלים במאגר מידע. זה מעלה באופן אוטומטי את רף האיכות שנדרש. כמו כן זה מקשה על עבודה מול גופים בחו"ל (פרילנסרים וחברות פיתוח) שלא מכירים את התקנות ולא מקיימים את תהליכי העבודה הנדרשים.
מהיום כל מי שעוסק בפיתוח/תחזוקת תוכנה יצטרך להתאים את התנהלותו לרוח התקנות, כלומר הליכי עבודה סדורים ומאורגנים, כלים אוטומטים שמאפשרים בקרה, ניהול יומני גישה וגיבויים.
הרגולטור מדגיש שעמידה בתקנות זה לא פעולה חד פעמית, אלא תהליך מתמשך של עדכון והתאמות לשינוים שמתרחשים. בעלי מאגרי מידע נדרשים לבחון את השינויים בפעילות העסקית שלהם ולוודא עמידה בתקנות.
לסיכום, ניתן לראות שרגולטור ניגש בצורה מאוד מקיפה לנושא אבטחת מידע אישי בישראל. מוטלת חובה ואחריות על כל גורם שעוסק באיסוף, עיבוד ואגירת מידע להתייחס למידע אישי כלנכס מוחשי רגיש בעל ערך רב.
מידע זה לא מהווה המלצה משפטית לגבי עמידה/חוסר עמידה בתקנות או צעדים נדרשים לצורך כך.
נדרש ניתוח ספציפי של כל מקרה לגופו כדי להמליץ על דרכי פעולה אפשריות.
ישי טנצר
מנכ"ל איניטק- בית תוכנה לפיתוח מוצרים דיגיטליים.
בזמן האחרון אנחנו שומעים רבות על שימוש לרעה במידע אישי של משתמשים על ידי ארגונים שונים ובראשם פייסבוק.
השימוע בסנאט של מארק צוקרברג בהחלט העלה את המודעות לבעיות פרטיות ואבטחת מידע בקרב הציבור. פרשות אלו התרחשו חודשים ספורים לפני כניסת תקנות ה- GDPR באירופה שנועדו למנוע שימוש לרעה במידע של משתמשים על ידי עסקים.
אירועים כאלו אולי הפתיעו את הציבור אבל לא את הרגולטורים, שמודעים לנושא כבר תקופה ארוכה. התקנות משפיעות בצורה מהותית על מודלים עסקיים של חברות שאוספות וצוברות מידע על משתמשים אירופאים, גם אם החברות עצמן נמצאות מחוץ לאירופה.
בזמן שכל הזרקורים מופנים לאירופה, הקהל הישראלי מפספס התפתחות דרמטית אצלנו בנושא.
בשמיני למאי 2018 , נכנסו בארץ לתוקף תקנות חדשות בנושא של הגנת פרטיות ואבטחת מאגרי מידע.
במאמר זה נסקור את התקנות האלה והשלכותיהם:
מטרת התקנות
לעלות בצורה משמעותית את רמת אבטחת המידע האישי בישראל.
מי יושפע?
התקנות חלות על כל מי שמבצע עיבוד ושמירה של מידע אישי בישראל, גופים פרטים וציבורים כאחד. בעולמינו הדיגיטלי זה אומר שהן חלות על כולנו! התקנות מסתכלות על כל גוף כזה כמנהל מאגר מידע. מרגע זה נשתמש במושג זה להסברים והבהרות.
סיווג המאגרים
התקנות הן מודולריות ומכילות חובות הולכות וגדלות בהתאם לגודל הארגון, כמויות מידע מעובדות ורגישות המידע. נתייחס לארבעת הרמות שמוגדרות בתקנות (מהפחות מחמיר ליותר מחמיר). להלן סיכום של עיקרי החלוקה:
1. מאגר מידע מנוהל על ידי יחיד- מדובר על עסקים קטנים (כולל עצמאים) שהמידע שלהם לא רגיש במיוחד והם משתמשים במידע לצורך תפקוד העסק ולא מוסרים אותו לצד שלישי.
2. מאגרי מידע ברמת אבטחה בסיסית ארגונים שמעבדים מידע אישי שאינו מוגדר כרגיש.
3. מאגרי מידע ברמת אבטחה בינונית- ארגונים שמעבדים מידע אישי או רפואי רגיש.
4. מאגרי מידע ברמת אבטחה גבוהה- מדובר על מאגרי מידע גדולים (מעל 100,000 אנשים) עם מורשי גישה רבים (מעל 100).
עיקרי התקנות:
הדברים שנדרשים במסגרת התקנות שונים בהתאם לסיווג המאגר, להלן מספר נקודות עיקריות:
1. מסמך הגדרות המאגר- תיאור המידע שנשמר ותהליכי העיבוד.
2. מינוי אחראי אבטחת מידע בארגון
3. מיפוי סיכונים
4. נוהל אבטחת מידע
5. ניהול הרשאות גישה למאגר
6. אבטחה פיזית והקשחה
7. הדרכות לכוח אדם בנושא של אבטחת מידע
8. תיעוד ודיווח על אירועי אבטחת מידע (התקפות,פריצות,זליגת מידע)
9. ביקורות תקופתיות ועדכון נהלים
התקנות הן מאוד מקיפות (לא רלוונטיות לכל רמות האבטחה) ,זאת רק רשימה מצומצמת של נושאים עיקריים להמחשה. יישום התקנות דורש שילוב של הבנה משפטית, עולם תוכן, פיתוח תוכנה, אבטחת מידע ועוד. נגמרו הימים שאפשר היה לתת לכל אחד לתחזק ולפתח מערכות מידע. היום בעל המאגר אחראי על פי חוק לפעולות של קבלני משנה ועובדים שמטפלים במאגר מידע. זה מעלה באופן אוטומטי את רף האיכות שנדרש. כמו כן זה מקשה על עבודה מול גופים בחו"ל (פרילנסרים וחברות פיתוח) שלא מכירים את התקנות ולא מקיימים את תהליכי העבודה הנדרשים.
מהיום כל מי שעוסק בפיתוח/תחזוקת תוכנה יצטרך להתאים את התנהלותו לרוח התקנות, כלומר הליכי עבודה סדורים ומאורגנים, כלים אוטומטים שמאפשרים בקרה, ניהול יומני גישה וגיבויים.
הרגולטור מדגיש שעמידה בתקנות זה לא פעולה חד פעמית, אלא תהליך מתמשך של עדכון והתאמות לשינוים שמתרחשים. בעלי מאגרי מידע נדרשים לבחון את השינויים בפעילות העסקית שלהם ולוודא עמידה בתקנות.
לסיכום, ניתן לראות שרגולטור ניגש בצורה מאוד מקיפה לנושא אבטחת מידע אישי בישראל. מוטלת חובה ואחריות על כל גורם שעוסק באיסוף, עיבוד ואגירת מידע להתייחס למידע אישי כלנכס מוחשי רגיש בעל ערך רב.
מידע זה לא מהווה המלצה משפטית לגבי עמידה/חוסר עמידה בתקנות או צעדים נדרשים לצורך כך.
נדרש ניתוח ספציפי של כל מקרה לגופו כדי להמליץ על דרכי פעולה אפשריות.
ישי טנצר
מנכ"ל איניטק- בית תוכנה לפיתוח מוצרים דיגיטליים.
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר