ועדת החקירה הבאה: איך ייתכן שלא נערכנו למפץ של הגנת הפרטיות?

2018 תהיה שנה מאוד משמעותית בכל מה שקשור לתקנות החדשות בנושא הגנת הפרטיות – הן בישראל ובעיקר בעולם. השנה צפויות בנושא התפתחויות רבות, כאשר אחת המרכזיות שבהן היא תקנות ה-GDPR של האיחוד האירופי, שייכנסו לתוקף בחודש מאי.

אלה הן תקנות מחמירות, הרבה מעבר למה שקיים, בתחום השמירה על מאגרי המידע והפרטיות. התקנות גם מחמירות מאוד בנושא השקיפות הקשורה לאירועי אבטחה. כך, למשל, ארגון שנמצא בקשר עם אזרח או ארגון אירופי ושאירע בו מקרה של פריצה או אבטחה, יחויב לדווח על כך בתוך 72 שעות. הקנס על ארגונים שלא יעשו כן יעמוד על עשרות מיליוני יורו.

ההשלכה על ישראל ברורה, והיא בעיקר על חברות ישראליות שמספקות פתרונות לארגונים בשוק האירופי או שיש להן שלוחות ברחבי אירופה. ההיערכות מחייבת יישום כלים ופתרונות טכנולוגיים שקיימים בשוק.

ד"ר בנצי אופיר, דירקטור בניסקו, שמספקת פתרונות לחברות שצריכות ליישם את התקנות, אמר בפאנל של אנשים ומחשבים שבו השתתף שהשוק הישראלי לא מוכן לחלוטין לתקנות ה-GDPR. זה לא מפתיע. האדישות בכל הנוגע לתקנות וחוקים באירופה שלפי התפיסה (הלא נכונה, כאמור) לא קשורים ישירות אלינו, היא תופעה מאוד מוכרת אצלנו. ארגונים בארץ הולכים עד הקצה, כמעט עד הדקה ה-90, ואז מחפשים פתרונות אד הוק, מאולתרים – ולא תמיד מספיקים ליישמם לפני שמגיעה שעת השין.

התקנות – תוצאה של ההיסטריה האירופית

התקנות האלה מסמלות את העלייה המשמעותית במודעות וברגישות שיש באירופה לגבי הגנה על מידע שנאגר במאגרים של ארגונים שונים, כגון בנקים, ממשלה וארגוני בריאות. פריצה אחת לארגון שחברה ישראלית זו או אחרת עובדת אותו – פריצה שתגרור קנס ואולי אף תביעה – עלולה לסכן את הפעילות שלה באותו השוק, עם כל המשמעויות שנובעות מכך.

התקנות הן תוצאה, ואולי גם תגובה, למידה רבה של היסטריה שקיימת בקרב אזרחי אירופה, לאור הגידול בטרור מכל הסוגים, כולל הטרור הקיברנטי. זה מעצים את הנחת היסוד ששום דבר אינו חסין, שאין מידע שמוגן מפריצה או זליגה. הפתרונות ברובם סובבים סביב תהליכי ניטור, זיהוי מראש עד כמה שניתן של תסריטי חדירה לרשת ומניעתם. זהו סוג של שו"ב משוכלל, בעל ראייה רחבה, שמשתף מידע ומפיץ אותו בעזרת ניתוחים אנליטיים מורכבים. מדובר באחד התחומים הפחות חזקים בעולם האבטחה הישראלי, שעכשיו צובר תאוצה, ולמי שעוסק בזה צפויה הרבה עבודה בשנה הקרובה.

האם הישועה תבוא מהרשות להגנת הפרטיות?

מי שבכל זאת אולי תציל את המצב היא הרשות להגנת הפרטיות שבמשרד המשפטים. במקביל לתקנות ה-GDPR סיימה הרשות להכין תקנות ישראליות חדשות, שירעננו ויוסיפו רכיבי אבטחה על המידע שיש בידי הארגונים. בהבדל מהתקנות האירופיות, שכאמור יחולו רק על ארגונים שבאים במגע עם אירופה, התקנות האלה יחולו על כלל המשק בארץ ועל כל אזרח ישראלי. עו"ד לימור שמרלינג מגזניק, מנהלת מחלקת קשרי ציבור ומימש ברשות, אמרה באותו פאנל מומחים שהתקנות החדשות יבהירו טוב יותר את כל נושא אבטחת המידע, איך ממפים את נכסי המידע שכל ארגון מחזיק, מה צריך לכלול סקר ניהול סיכונים ומה הנזק שייגרם אם וכאשר לא נקפיד על תקנות אלה. כך, אחד החידושים שייכנסו לתוקף הוא החלת חובת דיווח ושקיפות מלאה של גופים פיננסיים על כל אירוע אבטחה שהיה להם. המצב כיום הוא שהשקיפות אינה מלאה, כאשר התירוץ של ראשי המוסדות האלה הוא שחשיפה לפריצה בבנק עלולה לגרום לנזק בלתי הפיך לבנק ולמשק כולו, מחשש להיסטריה של הציבור. עם התקנות החדשות הטיעונים האלה כבר לא יעזרו להם, וצריך לראות כיצד הרשות וראשי משרד המשפטים יעמדו נגד הלחצים והלוביסטים שיעמידו מנהלי הבנקים על מנת לבטל את ההנחיה הזו.

עו"ד שמרלינג מגזניק, שמייצגת את הרגולטור שאחראי על אכיפת שמירת הפרטיות, מודה שהמצב בישראל אינו אחיד. יש ארגונים שמקפידים מאוד על הגנת הפרטיות – בין היתר מפני שהם תחת רגולציה אחרת, כמו בנקים – ויש ארגונים שלא שמים מספיק דגש על כך. מי שסובלים מכך אלה אנחנו, האזרחים, שהמידע שלנו חשוף ומסתובב בכל מיני מקומות שממש לא היינו רוצים שיהיה שם. לזכותה של הרשות ייאמר שגם בתקנות הקיימות היא עושה עבודה טובה, ובשנים האחרונות הוגשו לא מעט תלונות ותביעות נגד מפרי החוק. אבל ברשות מבינים שאי אפשר ליישם את התקנות רק על ידי ענישה ולכן בשלב ראשון הם ייצאו למסע הסברה. כמו כן, תהיה תקופת הסתגלות של שנה, כדי לאפשר לארגונים שעדיין לא עומדים בדרישות התקנות והחוק לשפר את מה שצריך, כי מה שחשוב, בסופו של דבר, הוא ההגנה על המידע.

אין ספק שאנחנו עומדים בפני תקופה די מעניינת, שבה ישתנה משהו מה-DNA הישראלי. כפי שאופיר זילביגר מ-BDO, מומחה אבטחה מוערך, אמר בפאנל: "אנחנו אוהבים לשתף כל פיסת מידע שלנו – יש דורות שלמים שנולדו לתוך זה, לא מעט כי לימדו אותו שלחשוף מידע זה חשוב לביטחון המדינה ורשויות הממשלה, אבל אנחנו לא מספיק עומדים על זכותנו שמידע שאנחנו מוסרים לא ייפרץ ולא ייחשף היכן שלא צריך". יש בחוקים הקיימים ובתקנות החדשות פוטנציאל לשפר את המצב בכמה דרגות, ומוטב לכל אחד ואחד בכל ארגון, בין אם הוא מנהל אבטחת המידע או המנכ"ל, להתעורר עכשיו, רגע לפני ועדת החקירה הבאה.