מה אתה עושה כשאתה קם בבוקר?

מה נדרש ממנהלי התשתיות ומנהלי אבטחת המידע בארגונים כדי לענות על הרגולציות והתקנות להגנת הפרטיות?

17/10/2017 16:59
מימין: עו"ד לאה מילר פורשטט ממשרד עורכות הדין SGFD, ואתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי

תחומי המחשוב והעולם הדיגיטלי משתנים וארגונים מאמצים טכנולוגיות חדשות ומערכות מתקדמות לעיבוד מידע. השינוי הזה לא הסתיים, והוא צפוי להמשיך להתפתח עם דרישות הולכות ומתרבות ממשתמשי הקצה, הרוצים ניתוח מהיר יותר, מותאם אישית יותר לצרכיהם.

הפריצה לאקוויפקס (Equifax), בה נגנבו פרטיהם של 143 מיליוני לקוחות אמריקניים, גרמה לגל חדש של חששות ודאגות, בנוגע לאופן שבו ארגונים שומרים על נתוני הלקוחות. אירוע זה מתווסף לפריצות ואירועי סייבר רבים אחרים שקרו בשנים האחרונות, ביניהם אשלי מדיסון (Ashley Madison) ואנת'ם (Anthem).

פריצה נוספת, ב-2015, הייתה למערכות ה-IT של הסוכנות הפדרלית למשאבי אנוש, OPM (ר"ת Office of Personnel Management), והיא חמורה יותר, כי התוקפים גנבו פריטי מידע של ארבעה מיליון עובדים, בהווה ולשעבר, של הממשל האמריקני. מדובר בעובדים שהם בחלקם מרגלים, עובדי שגרירויות, סוכנויות ביון, הבית לבן ועוד.

פריצות אלו, ואחרות, עוררו את הצורך לא רק ביישום מנגנוני הגנת מידע וניטור – אלא גם את הצורך לדאוג להגנת הנתונים של המשתמשים, כפי שהרגולציות החדשות, GDPR, ותקנות הגנת הפרטיות (אבטחת המידע) דורשות. אמנם הרגולציות עוסקות בענייני פרטיות, הנוגעים לדרישות מהעולם המשפט, אך לא רק: יש בהן עיסוק לא קטן בתחום אבטחת המידע, שבאחריות מנהלי התשתיות בארגון.

הרגולציות להגנת הפרטיות, הישראלית והאירופית, נוגעות לכל אחד מאיתנו: מהאיש הפרטי, דרך ארגונים ועד משתמשי קצה שנמצאים במאגרי מידע. לכן, כל אותם תקנות וחוקים חלים על כל הבעלים, המנהלים והמחזיקים של מידע כלשהו בארגונים.

ההגנה על המידע הפרטי דורשת מהארגונים לבצע תהליכי היערכות מקיפים, לערוך שינויים בתהליכי העבודה וביניהם. עליהם לבצע מיפוי נכסים של מידע ותשתיות, פרטים של משתמשים. הם נדרשים לביצוע סקרי סיכונים ובדיקות חדירות, על מנת לזהות חורי אבטחה פוטנציאליים.

מהי השפעת החקיקה על הגנת הנתונים

מעבר למחלקה המשפטית ולהנהלת הארגון, גם אנשי התשתיות ואבטחת המידע מהווים חלק ממעגל האחראים להכנת הארגון כך שיהלום ויתאם את הרגולציה והתקנות. מנהלי התשתיות ואבטחת המידע הם אלו שצריכים לדאוג לגבי ההשפעה שיש לחקיקה על הגנת נתונים של משתמשי הקצה.

אבל מה עושה מנהל תשתיות או מנהל אבטחת מידע כאשר הוא קם מחר בבוקר? בשלב הראשון עליו להתחיל במיפוי: מיפוי של מערכות ונתונים אישיים. אנשי התשתיות צריכים להכיר את הרשת הארגונית על כל רכיביה – חומרה ותוכנה. יש לבדוק מהם הנתונים האישיים שנאספים על המשתמשים, היכן הם שמורים, כיצד משתמשים בהם ואיך ניגשים אליהם.

בשלב השני יש לערוך סקר סיכונים מקיף, לאיתור סיכוני אבטחת מידע וכן בדיקות חדירות למערכות. או אז, יש לבצע מיפוי של אמצעי ההגנה בארגון – אבטחת תקשורת, אבטחה פיזית, וכן אבטחה אפליקטיבית, המספקת הגנה מפני חדירה של בלתי מורשים.

בשלב הבא יש לכתוב נהלי אבטחה. אלה יכללו את ההיבטים השונים הנדרשים, דוגמת הרשאות גישה, הוראות למורשי גישה, אופן ההתמודדות עם אירועי אבטחת מידע, הגנת הסייבר וזליגת נתונים.

עוד נדרשים מנהלי התשתיות ואבטחת המידע בארגון לבנות תהליכים ונהלים לתחומי גיבוי ושחזור נתונים. אז עליהם לבנות ולהטמיע מנגנוני תיעוד, שיאפשרו בקרה וביקורת על גישה למאגרי מידע ולנתונים אישיים.

רף חדש לתחום ההגנה על הפרטיות

חוק הגנת הפרטיות המקומי וחוק GDPR האירופי קובעים רף חדש לתחום הגנת המידע והשמירה על הפרטיות. הם מאתגרים ותובעים מהארגונים לעמוד בתנאי סף של שקיפות מוגברת, אחריות ואבטחת מידע. רף חדש זה יוביל, לא רק להשקעת משאבים מאסיבית מצד הארגונים – אלא גם יאפשר השגת יתרון תחרותי מול ארגונים שלא ישכילו לעמוד בדרישות הרגולטוריות.

או אז עולה השאלה – כיצד זה ייתכן? ובכן, מידע הוא כוח – ומידע פרטי הוא כוח ששווה הרבה מאוד כסף. לכן, לחברות מסחריות ולגופים אחרים יש אינטרס ברור באיסופו ובשמירתו במאגרי מידע. הבעיה היא כי חברות רבות היו מנסות להשתמש בנתונים בצורתם הגולמית.

כדי להפיק את מירב הפוטנציאל מניתוח הנתונים, יש לעשות שימוש בנתונים "נקיים", מעודכנים, מדויקים ורלוונטיים. רבים מהעקרונות שיסייעו בזיקוק הנתונים קיימים כבר ברגולציות הנוגעות לפרטיות: צמצום הנתונים, דיוק והגבלת אחסונם. זוהי הזדמנות ייחודית עבור עסקים לשפר את ההיענות לדרישות החוק, ולייעל את השימוש במידע המצוי בידיהן – כל זאת בדרך של חדשנות.

לכן, יש להיעזר במתודולגיה סדורה לדרכי המיפוי ולבחינת הדירוג של המידע בארגון ולתעדוף בטיפול בו. כדי לייעל את תהליך המיפוי וההגדרות, נדרשת הבנה של כוונת המחוקק. הבנה זו היא שילוב בין הבנה משפטית והבנה טכנולוגית. לאור זאת, הדבר הראשון שנמליץ לעשות, יהיה למצוא את הגורמים המלווים, המשלבים ידע משפטי וטכנולוגי – כדי להתייעץ איתם.

אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי; עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי- טק.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים