מתכוננים להחלת תקנות הגנת הפרטיות החדשות: "עמומות ולא ברורות"

בחודש מארס השנה אישרה ועדת חוק, חוקה ומשפט את תקנות הגנת הפרטיות התשע"ז 2017, אותן קבעה הרשות למשפט טכנולוגיה ומידע (רמו"ט). מטרת התקנות היא לפרט ולקבוע עקרונות אבטחת מידע הקשורים בניהול ובשימוש במידע אישי, בהתבסס על תקני אבטחת מידע מקובלים בעולם. התקנות החדשות ייכנסו לתוקף במאי 2018, והן חלות על מנהלים, בעלים ומחזיקים של מאגרי מידע בישראל. למעשה כל ארגון בישראל, בין אם הוא פרטי או ציבורי, נדרש במהלך השנה הקרובה לוודא עמידתו בדרישות תקנות אלה. תקנות אלו מקדמות אותנו צעד משמעותי קדימה, בהשוואה לדרישות הקודמות משנת 1986, שכמובן אינן מתאימות כלל לתקופה הנוכחית.

ד"ר נועם וינבלט, מנהל מחלקת GRC ב-2BSecure, חברת אבטחת המידע והסייבר של מטריקס, מתאר את העמימות שאופפת את תקנות הגנת הפרטיות החדשות בישראל לקראת החלתן בחודש מאי 2018 ומה נדרשים ארגונים לבצע על מנת לעמוד בדרישות החדשות.

מה נדרש במסגרת התקנות?

בין היתר, על ארגונים להבין אילו מאגרים יש ברשותם ומה הן מערכות המידע שתומכות במאגרים אלו. ישנם ארגונים שיצטרכו לבצע התאמות ארגוניות ולמנות ממונה אבטחת מידע לארגון. בנוסף, ארגונים נדרשים להיערך מבחינה פיזית לאבטחת השרתים בהם נשמר המידע האישי ולבצע גיוס קפדני עם קריטריונים ברורים של עובדים שיהיו מורשים לגשת לאותם מאגרים. כמו כן, יהיה צורך לבצע בקרה ורישום של הגישה למאגרי המידע. וכמובן, על הארגונים ולהיערך ולהגיב כראוי למתקפת סייבר ואירועי אבטחת מידע.

חלק ניכר מהתקנות עמומות ועל כן הן עלולות להיות לא ברורות לארגונים אשר פחות מנוסים עם תקינה ורגולציה בעולמות אבטחת המידע והפרטיות. רמו"ט בחרה ב"ניטרליות טכנולוגית", כלומר עבור רבים מהנושאים המפורטים בתקנות, רמו"ט לא קבעה את רף היישום הנדרש. התקנות מציינות קונספט אבטחתי אבל לא מסבירות כיצד ליישם אותו. הגישה הזו הגיונית בהתחשב בכך שאלו תקנות גלובליות שפונות לכל הסקטורים, להבדיל מהנחיות שספציפיות לסקטור מסוים שבהן ישנה קביעה ברורה באשר לרמת האבטחה הנדרשת. כך למשל בתקנות ישנו סעיף המבקש לנקוט באמצעים סבירים ומקובלים בתהליכי גיוס ומיון עובדים. נשאלת השאלה- מה הם אמצעים סבירים ומקובלים? זו סוגיה שחוזרת על עצמה בסעיפים רבים בתקנות. האם אמצעי סביר לגיוס הוא ראיון, מרכז הערכה, או אולי מבדק פוליגרף?

ארגונים ברמת בשלות גבוהה של אבטחת מידע, או ארגונים שכבר עומדים ברגולציה, או תקני אבטחת מידע מוכרים כגון ISO 27001, כמו ארגונים בסקטור הבריאות, הבנקאות, הביטוח וכדומה, ימצאו את התקנות דומות להנחיות הקודמות בהן נתקלו בעבר. לארגונים אלו יהיה נוח יותר להתמודד איתן אך גם להם נדרשת עבודה מסוימת כדי להבטיח את התאימות לתקנות

הקפדה על ניהול והערכת סיכונים

הניטרליות הטכנולוגית והעמימות שהיא מביאה עימה מדגישות את הצורך בהקפדה על ניהול והערכת סיכונים. למעשה, ניהול סיכוני פרטיות ואבטחת מידע עומד בליבן של התקנות האלה, ובהתאם לכך ארגונים יצטרכו לקבוע את רמת ההגנה הנדרשת עבורם, לתעדה במדיניות אבטחת מאגרי מידע, וליישמה בפועל. כך בדוגמה המוזכרת לעיל בנושא תהליכי גיוס ומיון, על מנת לקבוע את הרף הנדרש ליישום (למשל: ראיון, מרכז הערכה או פוליגרף) יש לקיים הערכת סיכונים ולהבין את המאפיינים הייחודיים של המאגר, הארגון והתפקיד הנדרש לאיוש. אין ספק שארגונים רבים יצטרכו סיוע של גורמים מנוסים כדי להתמודד עם סוגיות מסוג זה.

אתגרים בדרישה למיפוי נכסי מידע

אחד האתגרים המרכזיים בתקנות החדשות הוא הדרישה למיפוי נכסי המידע של המאגר לרבות מערכות, תשתיות ובסיסי נתונים, וכן הכנת תרשים רשת למאגר. בארגונים גדולים, עם מערכות מידע רבות, מיפוי כזה אינו טריוויאלי. אתגר נוסף הוא הדרישה לבצע סקרי סיכונים ומבדקי חדירה למאגרים ברמת אבטחה גבוהה אחת ל-18 חודשים. זוהי דרישה לא פשוטה, בעיקר עבור ארגונים שלא היו מורגלים בביצוע סקרים ומבדקים בתחום אבטחת המידע.

התקנות הללו בחלקן עוסקות בענייני פרטיות שקרובים יותר לעולם המשפטי, בעוד שבחלקן האחר הן עוסקות בענייני אבטחת מידע טהורים. לכן, על מנת להתמודד עם התקנות באופן המקצועי ביותר, קיים יתרון בעבודה משותפת של מומחי אבטחת סייבר עם משפטנים מקצועיים בתחום הפרטיות. שת"פ מסוג זה יכול לספק לארגון פתרון הוליסטי שמקיף את כל הסוגיות בהן נוגעות התקנות החדשות.

אז מה לעשות על מנת ליישם את התקנות?

אם נסכם את הנדרש על מנת ליישם את התקנות באופן מלא: יש להבין אילו מאגרי מידע יש בארגון ואיזו רמת אבטחה חלה עליהם, בהתאם לרמות שמוגדרות בתקנות החדשות, וכן האם הדבר מחייב למנות ממונה אבטחת מידע. לאחר מכן יש להכין את מסמכי היסוד הכוללים את הגדרות המאגר, נהלי אבטחת המידע ומסמכים המכילים את מיפוי מאגר המידע. לסיום יש לוודא שהמאגר אכן מאובטח ועומד בדרישות התקנות ונהלי האבטחה ולהטמיע את הבקרות הנבחרות.