תקנות הפרטיות החדשות – אתגר לארגונים והזדמנות לחברות ה-IT
תקנות הפרטיות אשר צפויות להיכנס לתוקף במאי 2018, מחייבות היערכות מיוחדת של חברות רבות בישראל ועמידה בלא מעט אתגרים
הנושא שמעסיק מנמ"רים רבים כיום הוא תקנות הפרטיות החדשות, שאמורות להיכנס לתוקף במאי בישראל ובאירופה (GDPR).
התקנות מהוות קפיצת מדרגה בדרישות ההגנה על פרטיות מאגרי מידע, וטומנות בחובן סנקציות חסרות-תקדים: בישראל אישום בפלילים ועד חמש שנות מאסר, ואם חלות על החברה גם התקנות האירופיות, היא חשופה לקנסות מנהליים ועיצומים של עד 20 מיליון יורו או 4% מהמחזור הגלובלי!
ננסה להסביר מהן התקנות שצפויות להיכנס לתוקף וכיצד מומלץ להיערך אליהן.
מה אומרות התקנות החדשות?
בישראל, התקנות שעליהן אחראית הרשות להגנת הפרטיות במשרד המשפטים, מרחיבות ומפרטות את הדרישות הקיימות מתוקף חוק הגנת הפרטיות.
בתחום הממשל התאגידי, הן מחייבות מינוי קצין הגנת מידע, ניהול סיכונים, מדיניות שימוש במאגרי-מידע והסדרה חוזית מול ספקים ומיקור-חוץ. יצירת פונקציות חדשות בממשל התאגידי חייבת להיות מובלת על ידי הדירקטוריון וההנהלה.
בהיבט התהליכים העסקיים, הן מחייבות שקיפות השימוש במידע, מתן גישה לעיון במידע, ניהול אירועי אבטחה ועוד. בהיבט הטכנולוגי, ייתכן שיהיה צורך בהקמת תשתית הצפנה, נתיבי בקרה, והטמעת אמצעי הגנה נוספים.
מה ההבדל בין התקנות הישראליות לאירופיות?
מעבר לענישה, ישנם הבדלים נוספים: לדוגמה, "הזכות להישכח", ב-GDPR (הרגולציה האירופית) חובה למחוק מבסיס הנתונים לקוח שאינו פעיל ומבקש להימחק. בישראל, זה מצומצם לרשימות דיוור בלבד.
בישראל, בניגוד לאירופה, קיימת הדרגתיות בדרישות בהתאם לרמת סיווג המאגר, שנקבעת בהתאם לסוג הגוף וגודלו. התקנות האירופיות מגדירות כללים לשילוב הגנת פרטיות ביצירת תהליכים עסקיים חדשים, ואילו בישראל זוהי המלצה בלבד.
איך להיערך לתקנות החדשות?
● להגן על מידע מעבר לגבולות הארגון: המידע על לקוחות החברה כבר אינו נמצא רק במאגרי המידע שלה אלא גם בממשקים חיצוניים: שירותי ענן, סמארטפונים של העובדים, מערכות של שותפים עסקיים וכדומה. התקנות החדשות מרחיבות את אחריות החברה להגן על המידע גם מעבר לגבולות הארגון. איך עושים זאת? ממפים את כל הממשקים החיצוניים הרלוונטיים להגנה על פרטיות המידע ופועלים בשיתוף איתם לאיתור המקומות שבהם נדרשת הגנה משותפת ולייצור ההגנה.
● לעבור מהגנה פאסיבית להגנה פרואקטיבית: אין להמתין להופעת איומי הסייבר כדי לטפל בהם אלא לפעול בצורה יזומה, בליווי חברות המתמחות במודיעין סייבר.
● לבצע סימולציות באמצעות אלגוריתמים חכמים: מטרת הסימולציות היא לאפשר למערכת להתמודד עם מצבים שעשויים לקרות באירוע סייבר אמיתי, לאתר חולשות ולטפל בהן. סימולציות מאפשרות להפוך את מערכות המידע ל-"חכמות" יותר, כלומר לא רק למסור מידע אלא גם לקבל החלטות על-פי תסריטים שונים.
● הטמעת תקנים המאפשרים לתרגם אירועי אבטחת מידע לשפה שמובנת למערכות אחרות בארגון ומחוצה לו: חומרת ותדירות אירועי הסייבר מחייבות שיתוף פעולה של המנמ"ר עם בעלי תפקידים נוספים. הטמעת תקן כגון STIX תסייע "לתרגם" אירועי סייבר לשפה שתובן לבעלי תפקידים נוספים בחברה ולארגונים אחרים.
אילו הזדמנויות טומנות בחובן התקנות עבור חברות IT?
● ארגונים יידרשו ליישם מגמות טכנולוגיות חדשות, שמאפשרות הגנה ברמת רכיב ולא ברמת רשת. למשל יישום רשתות מבוססות תוכנה, שמאפשרות הגנה דינאמית נקודתית ברמת מערכת, וכן מודלים של הגנה על המידע באמצעות פתרונות עתידיים בטכנולוגיית בלוקצ'יין.
● השקעה בהגנת מערכות "מרגע הלידה" – ארגונים שיצליחו למכן את תהליכי האבטחה כבר מרגע הייזום והפיתוח של מערכת יזכו ליתרון תחרותי משמעותי.
● מעבר מהגנה פאסיבית להגנה פרואקטיבית: מבטיח ערוץ הכנסות נוסף לחברות שיציגו אלגוריתמים חכמים לגילוי אירועים.
הכותב הוא מנהל תחום ייעוץ וביקורת הגנת סייבר במשרד רואי חשבון ליאון אורליצקי ושות' – Moore Stephens.
תגובות
(0)