"בארגונים ציבוריים המודעות להגנה על הפרטיות אינה קיימת כלל"

"ארגונים ציבוריים ומסחריים צוברים הרבה יותר מידע אישי ממה שדרוש להם לטובת התפקוד שלהם" - כך אמר רון א', יועץ להגנה על המידע והפרטיות במוסד לביטוח לאומי, שדיבר בפורום CISO מבית אנשים ומחשבים ● לדברי א', מצב זה, של ריבוי מידע, מביא לכך שפקידי ציבור או עובדי חברות האוגרות מידע, יכולים להשיג מידע אודות הלקוחות או האזרחים, שאינו דרוש להם לצורך פעילותם המקצועית ● עו"ד לימור שמרלינג מגזניק, רמו"ט: "גניבת פרטי כרטיסי האשראי הצליחה בשל היעדרם של רכיבי אבטחת מידע בסיסיים"

"ארגונים ציבוריים ומסחריים צוברים הרבה יותר מידע אישי ממה שדרוש להם לטובת התפקוד שלהם", כך אמר רון א', יועץ להגנה על המידע והפרטיות במוסד לביטוח לאומי, שדיבר בפורום CISO מקבוצת אנשים ומחשבים, שהתכנס ביום חמישי האחרון במלון ליאונרדו ברמת גן. את המפגש הנחה אבי ויסמן, מנכ"ל שיא סקיוריטי, ונושאו היה ה-CISO והגנת הפרטיות.

לדברי א', מצב זה, של ריבוי מידע, מביא לכך שפקידי ציבור או עובדי חברות האוגרות מידע, יכולים להשיג מידע אודות הלקוחות או האזרחים, שאינו דרוש להם לצורך פעילותם המקצועית. בכל מקרה, אמר, "בחלק ניכר מהארגונים לא נערכים בקרה או מעקב כלשהם אחר המידע ואחר דרכי זרימתו. כך, מנהל אבטחת המידע הארגוני אינו יכול להתמודד עם האיומים. בארגונים ציבוריים המודעות להגנה על הפרטיות אינה קיימת כלל".

ההיקף ואופי המידע, אמר, תלוי ומושפע מאופי הארגון. סוג המידע יכול להיות דמוגרפי, פיננסי, צבאי, רפואי, פלילי, משפטי או אישיותי. "יש להתייחס לכל מידע הנאסף ברגישות יתירה ולהתייחס אליו ברמת אבטחה גבוהה", סיכם א', "כאשר נאסף מידע לעובדים בארגונים, יש מי שיעשו בו שימוש לרעה".

הרגולציה בתחום ההגנה על הפרטיות
עו"ד לימור שמרלינג מגזניק, מנהלת מחלקת רישום ופיקוח ברשות למשפט טכנולוגיה ומידע (רמו"ט) במשרד המשפטים, תיארה את חלקה של המדינה ברגולציות להגנת הפרטיות. לדבריה, "יש מה לעשות כדי להגן על הפרטיות, אף שאין 100% אבטחת מידע. ניתן לצמצם נזקים ולעשות יותר על מנת להגן על הפרטיות". לדבריה, "הגנת הפרטיות היא לא רק דליפה של פרטי כרטיס אשראי".

הרגולציה, אמרה עו"ד שמרלינג מגזניק, "דורשת מודעות, מענה, הטמעה, ציות אפקטיבי ומתמשך לחוק". הפעילות לאכיפת ההגנה על הפרטיות, הסבירה, נעשית בשלוש רמות. האחת, ברמה הפלילית, שם רמו"ט משמשת כמשטרה בנושא הפרטיות, ולה סמכויות חקירה. כך ציינה, אמנם באיחור, רמו"ט פענחה את פרשת דליפת מאגר מרשם האוכלוסין בשנת 2006 והפצתו באינטרנט. ממצאי חקירת רמו"ט העלו כי העתק אלקטרוני מדויק של מידע הכלול במרשם האוכלוסין, המכיל פרטים רבים על אודות למעלה מ-9 מיליון אזרחי ישראל, לרבות נפטרים וקטינים, נגנב על ידי עובד מיקור חוץ של משרד העבודה והרווחה בשנת 2006 והוחזק בביתו. עוד אמרה, כי בימים אלה פתחה רמו"ט בחקירת הדליפה של כרטיסי האשראי.

ברמה המנהלית, אמרה, רמו"ט מבצעת פעילות פיקוח, אכיפה והטלת עיצומים כספיים על ארגונים שהפרו את חובתם בתחום. המישור השלישי הוא פרטי, אמרה, במסגרתו אזרחים יכולים להגיש תובענות ייצוגיות בשל גרימת נזק.

בעתיד, אמרה עו"ד שמרלינג מגזניק, "נרחיב את החקיקה והרגולציות בתחום ההגנה על הפרטיות ונפעל להתקנת תקנות אבטחת מידע מפורטות. נשאף לחייב ארגונים למנות ממונה אבטחת מידע". היא תיארה מקרה בו סלקום כשלה ומיזגה בין מאגר נתונים של מנויים, ובין מאגר של בני משפחות המנויים. בגין המקרה קבעה רמו"ט כי המדובר בהפרה של ההגנה על הפרטיות, ונגד סלקום הוגשה תובענה ייצוגית. זהו מקרה, אמרה, "המדגים כיצד כוח אזרחי יכול להביא להשלמה לרגולציות".

"גניבת פרטי כרטיסי האשראי", אמרה עו"ד שמרלינג מגזניק, "הייתה פעולת גניבה מהסוג הפשוט ביותר. היא הצליחה בשל היעדרם של רכיבי אבטחת מידע בסיסיים, כאלה שכל ארגון היה מבין שהוא נדרש להטמיע אותם. אין המדובר פה על האקר-על מתוחכם במיוחד. הייתה חסרה פה אבטחת מידע בשכבה הבסיסית ביותר". היא סיימה בציינה כי "קיים מתח בין הרצון של הארגון להחזיק במידע ולעשות בו שימוש, כאשר מנגד יש רצון לחסוך במשאבים המושקעים בהגנה על המידע ובהגנת הפרטיות".

עו"ד אביב אילון, משרד אילון ושות', דיבר על "פרטיות במידע – הלכה למעשה". את המפגש חתם עו"ד יהונתן קלינגר, דוקטורנט באוניברסיטת בר-אילן, שדיבר על "אבטחת מידע, עובדים בארגון וזכותם לפרטיות".

תגובות

(2)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. יובל

    ממש "מדינת חוק" עו"ד לימור שמרלינג מגזניק.... http://www.themarker.com/law/1.559822

  2. יובל

    גניבת פרטי כרטיסי האשראי נעשתה בעקבות כשלון מתמשך בתפקוד רמו"ט. הגוף הזה מוטה פוליטית ואינו מצבע את עבודתו נאמנה.

אירועים קרובים