מאת: עו"ד מריאנה דן

כידוע תיקון 13 לחוק הגנת הפרטיות, אושר בכנסת באוגוסט 2024. איך התיקון הזה משפיע על החברות והארגונים במשק הישראלי ולמה כדאי למקבלי החלטות, דירקטורים, מנכ"לים, CISO's ומנהלי מערכות מידע להיערך ברצינות לתיקון?

תיקון 13 מסמן מהפכה משמעותית במערכת ההגנה על הפרטיות בישראל. התיקון נועד להתאים את הרגולציה הישראלית לסטנדרטים בינלאומיים, תוך שימת דגש על ניהול סיכונים טכנולוגיים, הגברת האכיפה והרצון לבלום את אירועי אבטחת המידע שמתגברים מיום ליום במרחב האינטרנט. מאמר זה סוקר את ההשלכות המרכזיות של התיקון, תוך התמקדות בהיבטים הטכנולוגיים והארגוניים שיש ליישם בעקבותיו.

כל ארגון אשר מנהל ומחזיק במאגר מידע אישי על אודות לקוחות, ספקים, עובדים, מטופלים, מתנדבים, תלמידים/סטודנטים מצלמות וכו' – מחויב לציית לחוק ותקנות הגנת הפרטיות. תקנות הגנת הפרטיות מסייעות לבעל המאגר (בעל השליטה במאגר) להבין תחילה איזו רמת אבטחת הוא בכלל מקיים בארגון שלו. קיימות 4  רמות אבטחה בתקנות: מאגר המנוהל בידי יחיד, מאגר שחלה עליו רמת בסיסית, מאגר שחלה עליו רמת אבטחה בינונית ומאגר שחלה עליו רמת אבטחה גבוהה. לאחר זיהוי רמת האבטחה התקנות מפרטות מה הן החובות הרגולטוריות הנובעות מרמת האבטחה החלה באותו הארגון.

תחילה נבהיר כי תקנות הגנת הפרטיות נחקקו בשנת 2017 ונכנסו לתוקף בשנת 2018 ומאז ועד לכתיבת מאמר זה, הרשות להגנת הפרטיות (הרשות הרגולטורית) לא הטילה עיצומים כספיים משמעותיים בגין אי ציות לתקנות הגנת הפרטיות. הרבה פעמים הרשות הייתה פשוט מודיעה לאותו ארגון כי הוא נמצא בהפרה ומבקשת ממנו לתקן את הליקויים והפערים שנמצאו. וכך, כל ארגון שמנהל במידע עסקי אישי, יכול היה שלא לציית לתקנות, לנהל את העסק כהרגלו ולהימנע מלהעלות את נושא אבטחת המידע והגנת הפרטיות על שולחן הישיבות.

מצב זה אינו צפוי להימשך עוד. לראשונה, עוגנה סמכותה של הרשות להטיל עיצומים כספיים בגין הפרת חוק ותקנות הגנת הפרטיות. למעשה, התיקון "מתמחר" את ההפרות בגין אי ציות לחוק ותקנות הגנת הפרטיות. כך למשל, בתוספת השלישית לתיקון תחת הכותרת "עיצום כספי על הפרת תקנות אבטחת מידע" ניתן לראות טבלה ברורה שמחולקת לפי חמישה קריטריונים עיקריים: (1) סוג ההפרה; (2) מה גובה הקנס במאגר המנוהל בידי יחיד; (3) מה גובה הקנס במאגר שחלה עליו רמת אבטחה בסיסית; (4) מה גובה הקנס במאגר שחלה עליו רמת אבטחה בינונית ו-(5) מה גובה הקנס במאגר שחלה עליו רמת אבטחה גבוהה.

להלן מספר דוגמאות עיקריות של סוגי הפרות טכנולוגיות, מה הגובה הקנס בגינן ומה הוא הפתרון המוצע:

1. סוג ההפרה: בעל שליטה במאגר מידע או מחזיק במאגר מידע, שלא דאג לכך שייערך סקר סיכוני אבטחת מידע אחת ל-18 חודשים לפחות או שלא דן בתוצאות הסקר או שלא פעל לתיקון הליקויים שנמצאו בסקר.

• גובה הקנס : 320,000 ₪.

• פתרון מוצע: לבדוק ראשית האם חלה על הארגון רמת אבטחה גבוהה וככל שכן יש לבדוק עם משרד עו"ד טכנולוגיים/חברת ייעוץ בתחום אבטחת המידע האם הם יכולים לבצע בארגון סקר סיכוני אבטחת מידע.

1. 
   

2. סוג ההפרה: בעל שליטה במאגר מידע או מחזיק במאגר מידע, שלא דאג לכך שייערכו מבדקי חדירות למערכות המאגר, אחת ל-18 חודשים לפחות, או שלא דן בתוצאות מבדקי החדירות או שלא פעל לתיקון הליקויים שהתגלו.

• גובה הקנס: 320,000 ₪.

• פתרון מוצע: לבדוק ראשית האם חלה על הארגון רמת אבטחה גבוהה וככל שכן לשכור את שירותיה של חברה שמתמחה ומבצעת מבדקי חדירות בארגונים בכל הרמות ( Black box, White box, Gray box)  ובכל סביבות העבודה (תשתיתי, הנדסה חברתית, אפליקטיבי).

1. 
   

2. סוג ההפרה: בעל שליטה במאגר מידע או מחזיק במאגר מידע, שלא קבע הרשאות גישה של בעלי הרשאות למאגר המידע ולמערכות המאגר או שלא ניהל רישום מעודכן של ההרשאות התקפות.

• גובה הקנס: בין 2,000 ₪ ל- 160,000 ₪.

• פתרון מוצע: ניתן להטמיע פתרון IAM (Identity and Access Management) שבין היתר מעניק יכולות של ניהול סיסמאות תקין, הוספת שכבת הגנה של MFA והוצאת דוחות לצורך ביקורת ופיקוח פנימי. פתרון נוסף שעשוי לסייע הוא פתרון ה-PAM  Privileged Access Management.

1. 
   

2. סוג ההפרה: בעל שליטה במאגר מידע או מחזיק במאגר מידע, שלא דאג שינוהל מנגנון בקרה ותיעוד גישה.

• גובה הקנס: בין 40,000 ₪ ל- 160,000 ₪.

• פתרון מוצע: ניתן להטמיע פתרון SIEM SOC שיאסוף לוגים מכל תשתיות ה-IT בארגון, יינטר ויפקח אחר תעבורת הרשת 24/7 ויסייע במציאת אנומליות ובניהול אירועי אבטחת מידע.

1. 
   

2. סוג ההפרה: בעל שליטה במאגר מידע או מחזיק במאגר מידע שחיבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת, בלא התקנת כל אמצעי הגנה.

• גובה הקנס: בין 2,000 ₪ ל- 160,000 ₪.

• פתרון מוצע: הטמעת הגנה חכמה רב שכבתית שתשלב פתרונות EPP/EDR/XDR/MDR עם טיוב חומת FW באופן חכם, פתרון Patch ,Management ,Email Security  פתרון DLP ועוד. חשוב שכל הפתרונות יסונכרנו ביניהם על מנת שיוכלו באמת להיות אפקטיביים.

בנוסף להיבטים טכנולוגיים, קיימים גם סוגי הפרות בגוון ארגוני, משפטי וניהולי. כך למשל בגין אי קביעת הסכם מפורש עם גורם חוץ שיפקח על עמידתו של הגורם החיצוני בהוראות תקנות הגנת הפרטיות, עלול הארגון להיקנס בין 4,000 ₪ ל-320,000 ₪, תלוי ברמת האבטחה החלה עליו. כאן הפתרון המוצע הוא לנהל משא ומתן חכם ונכון מול הגורם החיצוני עד להחתמתו על הסכם מיקור חוץ תקין ומלא בהתאם לדרישות התקנות ומדי שנה לוודא ולפקח על עמידתו של הגורם החיצוני בהוראות הרגולציה.

כמו כן, בגין אי הכנת ועדכון מסמך הגדרות מאגר בארגון, עלול הארגון להיקנס בין 2,000 ₪ ל-160,000 ₪, שוב, תלוי ברמת האבטחה החלה עליו. כאן הפתרון המוצע יהיה למפות בצורה חכמה את כל סוגי המידע ומאגרי המידע הקיימים בארגון ולתאר אותם בצורה תקינה במסמך הגדרות מאגר ולשוב ולעדכן את המסמכים אחת לשנה או כאשר חלו שינויים מהותיים במאגרי המידע.

לא רק זאת אלא שהתיקון מביא עימו פרק חדש המעגן בתוכו התייחסות לעבירות פליליות. כך למשל, ארגון:

1. המעבד מידע ממאגר בלא הרשאה מעת בעל השליטה במאגר, דינו  – 3 שנות מאסר.

2. שפונים אליו לקבלת מידע אישי אודות הפונה, לפי סעיף 11, והארגון מוסר פרטים לא נכונים בכוונה להטעותו באשר למסירת המידע האישי, דינו – 3 שנות מאסר.

3. גוף ציבורי, עובד של גוף ציבורי או מי שפועל מטעם גוף ציבורי, המוסר מידע שחל איסור על מסירתו מגוף ציבורי לפי סעיף 23ב, דינו – 3 שנות מאסר.

4. המפריע לראש הרשות, חוקר או למפקח במילוי תפקידו, דינו – 6 חודשי מאסר.

5. המטעה את ראש הרשות, מפקח או מומחה חיצוני באמצעות מסירת פרטים שאינם נכונים בבקשה לרישום מאגר, בהודעה על מאגר מידע, בהודעה על שינוי פרטי הרישום, או במענה לדרישת ידיעות ומסמכים של מפקח או של מומחה חיצוני, דינו ­­– שנתיים מאסר.

אנו למדים כי מנגנוני ההרתעה שהמחוקק קבע אלו מנגנוני הרתעה משמעותיים המדגישים את החשיבות שמייחס המחוקק ליישום הוראות החוק והתקנות. זוהי קריאה מפורשת לארגונים להשקיע משאבים משמעותיים בתשתיות וביישום "תרבות אבטחת המידע". הרחבת הסמכויות של הרשות להגנת הפרטיות מביאה עימה עידן חדש של הגנה על פרטיות נושאי המידע. הרשות תאכוף את החוק והתקנות, בין היתר, באמצעות תוכנית פיקוח רוחב והפצת שאלוני פיקוח רוחב לגורמים שיקבע ראש הרשות שהם אלו שיהיו מפוקחים באותה השנה וכך ניתן יהיה לקבל תמונת מצב על היבטי הפרטיות באותם ארגונים מפוקחים. השאלונים יכולים להישלח גם באמצעות מומחים חיצוניים מטעם הרשות.

לא פחות חשוב הוא להדגיש כי לראשונה מאז חקיקת חוק הגנת הפרטיות ב-1981, הגדירו מי זאת "הרשות"/"הרשות להגנת הפרטיות" באמצעות הקדשת התוספת הראשונה לחוק שמתארת את הגדרתה ותפקידיה  של הרשות, תוך הפנייה להחלטות הממשלה שהקימו את הרשות.

אין ספק כי תיקון 13 לחוק הגנת הפרטיות מהווה מהפכה משמעותית בקידום תחום אבטחת המידע והגנת הפרטיות בישראל. הוא מציב אתגרים משמעותיים בפני ארגונים, אך גם מספק הזדמנות לשדרוג מערכי אבטחת המידע ולהתאמתם לסטנדרטים בינלאומיים.

ההמלצות לארגונים הן קודם כל להתחיל מביצוע סקר פערים מקיף של מצב אבטחת המידע הנוכחי אל מול דרישות החוק והתקנות. לאחר מכן, לבנות תכנית עבודה ליישום הדרישות תוך תיעדוף נכון של משאבים ובכפוף לשיתוף פעולה עם כל הגורמים בארגון למול מומחי אבטחת המידע והיועצים המלווים את פרויקט להבטחת העמידה בדרישות הרגולטוריות. את הפרויקט יש לבצע תוך השקעה בפתרונות טכנולוגיים מתקדמים וכל זאת במקביל לאימוץ גישה הוליסטית המשלבת בין טכנולוגיה, תהליכים ואנשים.

לסיום חשוב להבין כי הדרך הנכונה ביותר לעמוד בתקנות וחוק הגנת הפרטיות, בעיקר עכשיו לאחר תיקון 13, היא בצורה הרמונית תוך הבנה אמיתית שהעמידה בדרישות התקנות והתיקון לא רק מסייעת להימנע מעיצומים כספיים אלא גם מחזקת את אמון הלקוחות והשותפים העסקיים בארגון תוך קידום מעמד אבטחת המידע של הארגון לסטנדרטים בינלאומיים.

למעלה מן הצורך נציין כי אין לראות במאמר זה כתחליף לפנייה לייעוץ מקצועי ויש לבחון את יישום החובות הרגולטוריות על כל ארגון בנפרד, באופן פרטני ובהתאם לצרכים העסקיים שלו.