פרטיות 2018 – הרכוש של כולם

לפני כמה ימים גילו 143 מיליון איש ואישה שמידע פרטי שהיה בידיי אקוויפקס (Equifax), אחת משלוש סוכנות המידע הגדולות לאשראי צרכני בארצות הברית, נגנב בידי האקרים שניצלו חולשה טכנולוגית לפריצה למאגרי הנתונים של החברה.

המידע שנגנב כלל: מספרי ביטוח לאומי, תאריכי ימי הולדת, כתובות ומספרי רישיונות נהיגה של לקוחות וכן מספרי כרטיסי אשראי ומסמכים שנושאים מידע של יותר מ-200 אלף לקוחות.

הפרטים האישיים של מחצית מאוכלוסית ארצות הברית זלגו, ככל הנראה, עקב ניצול של נקודת תורפה באתר אמריקני במשך שלושה חודשים לפחות. לא רק היקפה של הפריצה מדהים – אלא גם משך התקופה שבמהלכה שאבו האקרים מידע רגיש שכזה, בלא שזוהתה הפריצה ובלא שננקטו צעדים לזהות ולמנוע פרצות מסוג זה.

משמעות גילויה של גניבה כזו, כפי שראינו גם במקרה של רשת הקמעונאות טרגט (Target), היא אדירה: ערך המנייה יורד, מנהלים בכירים בחברה נדרשים לשאת באחריות למחדל, ואמון הציבור ברשת קורס. הפגיעה אינה מסתכמת בתחום המסחרי בלבד. מדובר פה במידע אישי על אנשים, ומהרגע שהוא זלג – הסכנה המשמעותית באמת היא הקלות הבלתי נסבלת של זיוף זהויות של כמחצית מאוכלוסיית ארצות הברית.

הוויתור על משמר הלילה ועל החומה

אם חברת ענק כמו אקוויפקס נכשלה בשמירה על המידע הפרטי של לקוחותיה, למרות כל המשאבים העומדים כיום לרשותה, מה יגידו אזובי הקיר? יש לשער שבהרבה מאוד חברות וארגונים ציבוריים, סדרי העדיפות לא כללו עד כה את המילים "הגנה על פרטיות". במקום שבו כשלו החברות הגדולות ביותר ולא החילו על עצמן סטנדרטים מחמירים להגנה על המידע שבידיהן, בעידן שבו האקרים הוא המקצוע המועדף במשק – נוצרה פרצה כה גדולה בחומה עד שהמחוקק החליט להתערב.

החל ממאי 2018 כל חברה תהיה חייבת להרחיב את משמר הלילה שלה, לעבות את החומה ולעמוד בתקנות הפרטיות החמורות שישפיעו כמעט על כל חברה או ארגון בעולם. המחוקק החליט עבורנו שעל מנת שפגיעה בפרטים האישיים של המשתמשים לא תישנה באירועים דומים, השמירה על הפרטיות תצטרך להתפתח במסלול הדומה לאבטחת המידע. תחומים אלו חייבים לשלב כוחות יחדיו.

כיום, אנשיי הגנת הפרטיות חווים את אותם אתגרים שאותם חוו בעבר אנשי אבטחת המידע – מיפוי, ניטור ויצירת מצאי הנוגע לנתונים האישיים והרגישים של הפרט. בשלב הבא, עליהם לא רק לדאוג לאבטחתם הנתונים מפני איומים והתקפות מבחוץ, אלא גם להבטיח את זמינותם ואת השימוש בהם, תוך ניהול הגישה למידע, הבקרה והאבטחה שלהם.

איך בונים חומה? מה קבע המחוקק שעלינו לעשות כדי להגן על פרטיות המידע שברשותנו? רשויות החקיקה בארץ ובעולם הציגו דרישה רגולטורית כוללת, המשלבת חוק, טכנולוגיה ותשתית להגנה על הפרטיות. שילוב זה מגדיר את הדרישות הנוגעות לשימוש בנתונים אישיים, הבקרות הנדרשות והבטחת רציפות עסקית.

אירופה מובילה את הדרך עם חיזוק הדירקטיבה שלה להגנה על נתונים באמצעות רגולציית ה-GDPR (ר"ת General Data Protection Regulation), ואיתה גם ישראל עם פרסום תקנות הגנת הפרטיות (אבטחת מידע) – התשע"ז-2017. התקנות באירופה ובישראל יכנסו לתוקפן במאי 2018 ויהפכו – אם נרצה או לא – את סדרי העדיפות שלנו.

מטרת הרגולציה הינה מימוש בפועל של דרכי הגנה על הפרטיות במידע על ידי קביעת קריטריונים לסיווג המידע הפרטי, הגדרת המתודולוגיה בה יש לבצע את הסיווג, הגדרות לדרכי הגנה פיזיות, טכנולוגיות ומשפטיות על המידע הפרטי והגנה על זכויות המשתמשים הפרטיים מפני איומים פנימיים וחיצוניים. כל החבילה המשפטית הזו תנחת עלינו במאי 2018.

האם אנחנו ערוכים למאי 2018?

בסדרת הכתבות הבאות נפרט את הפרקטיקות שעומדות לרשות אנשיי התשתיות והיועצים המשפטיים על מנת להנחיל עקרונות אבטחת מידע – כדי להגן על זכויות הפרט.

כדאי כבר עכשיו לוודא שהמנהלים מודעים לשינויים שיביא איתו חודש מאי הקרוב. הרגולציות החדשות כוללות חובות נשיאה בתחומי אחריות חדשים, דגש גדול יותר על זכויות צרכנים והגבלות על הזרמת מידע בינלאומית.

חוסר ציות לרגולציות יוביל לאכיפה מאסיבית, אחריות נושאי משרה וענישה העשויה להגיע לקנס בסך 4% מהמחזור השנתי או 20 מיליון יורו (הגבוה מביניהן), וכמובן, עשרות תביעות שכבר עכשיו מתבשלות לקראת הגשתן.

אתי ברגר הינה דוקטורנטית, מומחית לסייבר ולפרטיות בהיבט המשפטי והטכנולוגי; עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.