הזלזול השערורייתי של הנהלות בהגנת הפרטיות
המנכ"לים לא חייבים להבין בטכנולוגיה, אבל עליהם לדעת שפריצה לארגון והפרת הפרטיות של הלקוחות עלולות לגרור סנקציות קשות ● מי שלא יתכונן לכך עלול להינזק מאוד ● ראו הוזהרתם
הבוקר (ג') נכנסו לתוקף התקנות הישראליות להגנה על הפרטיות ועל המידע, שחלקן מחמירות מאוד. התקנות, שנכתבו על ידי הרשות להגנת הפרטיות במשרד המשפטים ואושרו בוועדת החוקה של הכנסת בחודש מרץ, כוללות הנחיות מפורטות כיצד יש לשמור טוב יותר על מאגרי המידע שקיימים ברשות כל ארגון שפועל בארץ וכפוף אליהן, שמשרת לקוחות או נותן שירותים.
החל מהבוקר, ארגון שיחווה פריצה למחשבים שלו בצורה שתסכן את הפרטיות של הלקוחות שפרטיהם נמצאים במאגרי המידע שלו צריך לבצע שורה של פעולות, ובראש וראשונה לדווח על כך לרשם מאגרי המידע. זה יכול אף להורות לו לדווח על כך ללקוחות שנפגעו (בניגוד לתקנות ה-GDPR האירופיות, שייכנסו לתוקף ב-25 בחודש הנוכחי ומחייבות לדווח להם).
אתמול, 24 שעות לפני כניסת התקנות הישראליות לתוקף, נערך במרכז הכנסים LAGO בראשון לציון כנס Infosec של אנשים ומחשבים, שעסק בתקנות החדשות – הן הישראליות והן האירופיות. בתחילת הכנס הציגה את התקנות עו"ד לימור שמרלינג-מגזניק, מנהלת מחלקת קשרי ציבור וממשל ברשות להגנת הפרטיות.
בעיית האדישות
ככלל, במשרד המשפטים הגיעו למסקנה שלפניהם עבודה רבה מאוד בכל מה שקשור להחדרת המודעות לחוק לתקנות ובעיקר בהוצאת מנהלי הארגונים, חברי מועצות מנהלים ובעלי האחריות בהם מהאדישות שהם מגלים כלפיהן. התחושה הכללית של אותם בעלי תפקידים היא ש-"זה לא נוגע לי" – ואין דבר יותר שגוי מאמרה זו.
אלא שהבעיה הרבה יותר עמוקה. בקהל ישבו אתמול מנהלים טכנולוגיים, ובהם מנהלי אבטחת מידע, מנמ"רים ויועצים, שמודעים לתקנות אבל ההנהלות לא קשובות אליהם. אחד הדברים החשובים בכנס נאמרו על ידי אחד מאנשי אבטחת המידע הוותיקים והמקצוענים בישראל – איציק כוכב, עד לא מכבר הממונה על הגנת המידע בשירותי בריאות כללית, שציין שההנהלות לא מקשיבות למנהלי אבטחת המידע שלהן.
זוהי אמרה נכונה, שאגב, כוכב לא אומר אותה בפעם הראשונה. הסיבה הישירה לכך היא מעמדו הנמוך יחסית של מנהל אבטחת המידע בשרשרת הניהול הארגונית – לעתים הרחק מאחורי המנמ"ר, למשל.
"ההנהלה מנותקת מהמציאות בכל הנוגע לפרטיות"
מנהל אבטחת המידע של אחד הארגונים הגדולים בישראל, שאבטחה היא עניין קריטי מאוד עבורו, שטח בפניי את התחושות שלו כיצד הנהלת הארגון מנותקת מהמציאות, לא שואלת שאלות בכל מה שקשור לאבטחת מידע והגנת הפרטיות, והכי חמור – לא מוכנה להקשיב לדרישות ולאזהרות שהוא או אנשיו מעלים לפניה. הארגון הזה אינו חריג.
נכון, מנכ"לים ויו"רים של מועצות מנהלים אינם אמורים להבין בטכנולוגיה, אבל הם אמורים להיות מודעים לכך שפריצה למחשבי החברה עלולה לגרום לה, וגם להם אישית, נזק ישיר. הם קוראים ברשת ורואים טלוויזיה, ויודעים על כל הפרשיות שרצות עכשיו, שקשורות בהריסה כמעט מוחלטת של הפרטיות של כולנו, ובראשן פרשת פייסבוק-קיימברידג' אנליטיקה (Facebook-Cambridge Analytica). אלא שאותם מנהלי ארגונים אומרים לעצמם ולסובבים אותם שאותן הפרשיות קשורות בארגוני ענק וש-"אנחנו לא שם. יש לנו חומות הגנה, יש לנו מערכות ששומרות עלינו וחלק מהמידע שלנו בכלל לא פתוח לציבור". זוהי טענה רחוקה מהמציאות – הם לגמרי שם.
רמת והיקף המתקפות על ארגונים הולכות וגדלות מיום ליום. המניעים להן מגיעים מקשת רחבה של סיבות – החל מטרור פוליטי ועד לניסיונות כופר עם מחירים גבוהים ביותר. כל אחד מאלה הוא פוטנציאל לפגיעה בפרטיות.
מה שאותן הנהלות לא מבינות הוא שבגלל פרשת פייסבוק-קיימברידג' אנליטיקה ופרשות דומות, העולם החל להתפכח. רגולטורים מתחילים להיות כלל לא סובלניים כלפי בעלי תפקידים שמתרשלים בכל מה שקשור להגנת הפרטיות. מעבר לזה, המודעות שלנו – הצרכנים – לכך שארגונים רבים יודעים עלינו הכל ולהגנת הפרטיות שלנו הולכת ומתפתחת.
הגנת הפרטיות שלנו? אנחנו נחליט!
המוטו שחזר על עצמו אתמול בכנס הוא שמעתה אנחנו, הלקוחות, נחליט מי יאגור מידע עלינו, איזה מידע הוא יאגור ולאילו שימושים. הולכים וחולפים הימים שבהם אנחנו חותמים על הסכם קבלת שירות שהמשמעות שלו היא אישור גורף לעשות במידע עלינו ככל העולה על רוח החברה. הולכים וחולפים הימים שבהם ספק תשתית יכול להתחבא מאחורי הטענה שהוא "לא יודע" שצד שלישי אוסף מידע עלינו בלי ידיעתו. התקנות החדשות – הישראליות וה-GDPR – מבטאות בדיוק את הרוח החדשה הזו.
לכן, מוטב שההנהלות, הדירקטורים ונושאי המשרה השונים בארגונים יתעוררו, יתחילו לשאול שאלות, יזמינו אליהם את מנהלי אבטחת המידע או הממונים על הגנת המידע בארגון ויקשיבו למה שיש להם לומר, יכניסו ידיים לכיסים ויתחילו להיערך לתקנות החדשות. בישראל כמו בישראל, משרד המשפטים מסר שבשלב הראשון לא תהיה אכיפה אגרסיבית, אבל לא מומלץ לאף אחד להתבסס על זה, כי התקנות הן תקנות והן גוררות אתן סנקציות. מי שלא רוצה להגיע לשם – מוטב שיתכונן, רגע לפני שהוא יצטרך להשיב על שאלות במקומות לא הכי נעימים.
תגובות
(0)