החוליה החלשה של הגנת הסייבר
כאשר המידע נמצא מחוץ לארגון, יכולת השליטה על רמת אבטחתו נמוכה יותר, כך שבמקרים רבים ספקי השירות הם "החוליה החלשה" במעטפת הגנת הסייבר הארגונית ● אם כך, מה יבטיח שהסטנדרטים הארגוניים לאבטחת סודיות, שלמות וזמינות המידע, יינקטו גם על ידי נותני השירות שלו?
נהוג לומר כי סיכוני סייבר נחלקים לשניים: על פי רוב, לצורך חדירה למערכותיו של ארגון תוקפים מנצלים חולשות טכנולוגיות או חולשות אנושיות. שני רכיבים אלה מהווים במקרים רבים את "שער הכניסה" למערכות המידע ולמאגרי המידע, ובהתאם, ארגונים עסקיים משקיעים את עיקר המשאבים והמאמצים בהם.
ואולם, ישנו מעגל נוסף של סיכון, אשר לא תמיד זוכה לתשומת הלב הראויה. אלו הם המקרים בהם הארגון מעביר מרצונו, לצרכיו העסקיים, מידע רגיש לצדדים שלישיים.
המקרים הטיפוסיים הם שירותי עיבוד מידע המוענקים לארגון באמצעות ספקי שירות – חשבי שכר ורואי חשבון יכולים לשמש כדוגמאות נפוצות, אך אלה כמובן לא הדוגמאות היחידות. גם אם הארגון נקט בכל האמצעים הנדרשים על מנת להתגונן מפני חדירה לא מורשית למידע הדיגיטלי שבבעלותו, הרי שאותו מידע ממש נשמר ומעובד גם על גבי מערכות של נותן השירותים.
מי החוליה החלשה?
מטבע הדברים, כאשר המידע נמצא מחוץ לארגון, יכולת השליטה על רמת אבטחת המידע נמוכה יותר, כך שבמקרים רבים ספקי השירות הם "החוליה החלשה" במעטפת הגנת הסייבר של הארגון.
אם כך, מה יבטיח שהסטנדרטים של הארגון לאבטחת סודיות, שלמות וזמינות המידע, יינקטו גם על ידי נותני השירות שלו?
ישנן שתי אפשרויות מקובלות: הראשונה, היא ביצוע בדיקות רקע טכנולוגיות שיחשפו בפני הארגון את אמצעי אבטחת המידע בהם נוקט ספק השירות. השנייה, היא הסדרה חוזית – הארגון כופה על ספק השירות באמצעים חוזיים את סטנדרט אבטחת המידע הנדרש.
למעשה, הדרך השנייה קיבלה ביטוי מחייב בתקנות הגנת הפרטיות (אבטחת מידע) שייכנסו לתוקף במאי 2018. התקנות קובעות כי בעל מאגר מידע המתקשר עם גורם חיצוני לצורך פעולה הכרוכה בגישה למאגר, יבחן את סיכוני אבטחת המידע הכרוכים בהתקשרות ויקבע בהסכם מהו המידע שספק השירות רשאי לעבד, מהם השימושים המותרים בו, חובות דיווח ונושאים נוספים.
ואולם, יש לשים לב שהחובה לעגן בחוזה את היבטי אבטחת המידע הנדרשים מספק השירותים, מהווה הגנה מוגבלת. בעוד שההסכם יכול להוות כלי משפטי שיש בו כדי לאפשר פיקוח על ספק השירותים, ליצור אחריות ישירה שלו כלפי בעל מאגר המידע, לצמצם את הסיכונים הנובעים מהעברת המידע ואפילו למנוע אירועי אבטחת מידע, הרי שיש לו יכולת מוגבלת בלבד לסייע בטיפול בנזקים הנובעים מאירועי אבטחת מידע.
הפיצוי כפיקציה
יתרה מכך, גם אם ההסכם עצמו יקבע דרכי פיצוי רלוונטיות למלוא הנזקים הפוטנציאליים, ספק רב אם לספקי השירותים יש יכולת ממשית, מבחינת היקף המשאבים הנדרשים והחשיפה הכלכלית הרחבה, לפצות כנדרש את בעל מאגר המידע.
אם כן, יש מקום לשכבת הגנה נוספת, שתגשר על הפער בין ההתחייבויות החוזיות של ספק השירות לבין הנזק הפוטנציאלי הגלום באי-עמידה בהתחייבויותיו, ותגדר את הסיכון הכלכלי. פתרון אחד שאפשר לשקול הוא שימוש בביטוח סיכוני סייבר ובאישור מטעם המבטח כתנאי מקדים להתקשרות.
אישור מבטח שיינתן בעניין אמצעי האבטחה שננקטו על-ידי נותן השירות יכול לספק רמת ודאות שתעלה על יכולתו של כל בעל מאגר מידע להשיג בכוחות עצמו, אך הוא אינו דורש מספק השירות לבצע תהליכי עומק כגון עמידה בתקני אבטחת מידע, ומכאן יעילותו. כך למשל, נכון להיום מרבית חברות הביטוח אינן דורשות הצגת תכנית המשכיות עסקית ותכנית לטיפול באירועי אבטחת מידע כתנאי לרכישת הפוליסה.
עם זאת, מומלץ להיות ערים לפרמטרים שישפיעו על הערכת הסיכון של חברות הביטוח ועל מחיר הפוליסה. אלו כוללים הערכת היקף המידע האישי המזהה בו מחזיק המבוטח, השתייכותו למגזר פעילות בעל רגישות מיוחדת, מקום אחסון המידע וביצוע פעולות העיבוד, חשיפה לתובעים פוטנציאליים, היקף פעילותו העסקית של המבוטח ותביעות והליכים משפטיים אחרים שננקטו נגדו בעבר ביחס לאירועי אבטחת מידע.
לסיכום, התקשרות בהסכם הכרוך במסירת מידע אישי לספק השירותים מגלם מטבעו מערכת סיכונים, הן כלפי מזמין השירות והן כלפי נושאי המידע.
הסיכונים הללו מטופלים, ברמה מסוימת, בתקנות הגנת הפרטיות (אבטחת מידע) ובהנחיות הרשות להגנת הפרטיות. אנו סבורים כי בידיהם של מנגנוני השוק להטמיע דרכים נוספות להפחתת סיכונים אלה. הכלי הביטוחי הוא אחד הכלים שראוי לשקול במהלך עיצוב העסקאות ובמסגרת חלוקת הסיכונים בין הצדדים.
הכותבים הינם ראש תחום סייבר וטכנולוגיות מידע בפישר בכר חן וול אוריון ושות', ומנהל פיתוח עסקי מחלקת סיכונים מיוחדים, האודן ישראל.
הי, משתף את הכתבה המלאה בלינק מטה https://www.linkedin.com/pulse/%D7%94%D7%97%D7%95%D7%9C%D7%99%D7%94-%D7%94%D7%97%D7%9C%D7%A9%D7%94-%D7%A9%D7%9C-%D7%94%D7%92%D7%A0%D7%AA-%D7%94%D7%A1%D7%99%D7%99%D7%91%D7%A8-english-translation-soon-weinstock-/ https://www.linkedin.com/in/ranweinstock/