תקנות אבטחת המידע נועדו להסדרה לוגית ופיזית של אופן אבטחת המידע המצוי במסדי נתונים במגוון רחב של גופים פרטיים וציבוריים. בדומה לחקיקה האחרונה באירופה בשם GDPR (General Data Protection Regulation), רצונם של המחוקקים הישראלים הוא להגן ככל הניתן על המידע האישי של אזרחי המדינה, פשוט כך.
מידע אישי יכול להיות כתובת מגורים, מידע רפואי, מספר כרטיס אשראי ומספר תעודת זהות. חשוב מאוד להבין את אופי העסקים שימצאו עצמם כפופים לתקנות החדשות. ניתן גם לומר כי התקנות החדשות מחייבות כל גוף פרטי וציבורי המחזיק ברשותו מאגר מידע החייב ברישום, למעט הגורמים הפטורים בחוק הגנת הפרטיות.
היקף דרישות אבטחה בהן חברות וארגונים יצטרכו לעמוד משתנה בהתאם לאופי והיקף המידע המאוחסן על ידם. באופן הגיוני ניתן להניח כי רמת אבטחת המידע לה תידרש קוסמטיקאית תהיה פחותה מזו לה תידרש קופות חולים.
כלומר, ככל שמאגר המידע הינו בעל ערך רב יותר, לדוגמא רשומות רפואיות, כך יהיה על הארגון לעמוד בדרישות אבטחת מידע גבוהות יותר. דרישות אבטחת המידע הגבוהות ביותר יחולו על חברות המחזיקות במסדי נתונים גדולים ובעלי ערך לצד חברות המתירות למספר רב של אנשים גישה אל אותם מאגרי נתונים.
תקנות אבטחת המידע החדשות כוללות חובות הנוגעות לאופן ניהול של מאגר המידע עצמו. כמו כן, התקנות מחייבות קביעת נהלים בכתב הנוגעים לאבטחת המידע בארגון. בארה"ב מסמך נהלים זה ידוע בשם WISP.
נוסף לכך קיימת דרישה כי הארגון יגביר את הפיקוח על חברות וספקים חיצוניים עמם הוא עובד ואשר רלוונטיות לנושא אבטחת מאגר המידע; לדוגמא, חברות המציעות שירותי אחסון בענן.
התקנות החדשות כוללות ארבע רמות אבטחה, הנבדלות אחת מן השנייה בהתאם לסוג והיקף המידע המאוחסן, בנוסף לסוג הגורם המחזיק בו. השלב הראשון בהכנה לקראת כניסתן של התקנות לתוקף הוא להבין מאפייני מאגר המידע בו אתם מחזיקים. באופן זה תיקבע רמת האבטחה בה תידרשו לעמוד.
התקנות מגדירות 4 רמות אבטחה:
מאגר המנוהל בידי יחיד – מאגר מידע אשר מנוהל בידי יחיד או תאגיד בבעלות יחיד, בו רשאים לעשות שימוש שני אנשים לכל היותר. מאגר מסוג זה אינו יכול להיות אחד משלושת המאגרים הבאים:
– מאגר מידע אשר מטרתו היא איסוף מידע לצורך העברתו לגורם שלישי; לדוגמא, ניתוב "לידים" או שימוש במידע למטרת דיוור מקוון.
– מאגר מידע המכיל את פרטיהם של 10,000 אנשים ומעלה.
– מאגר מידע אשר בעליו כפופים לחובת סודיות מקצועית כדוגמת רופאים ועורכי דין.
עסקים קטנים ובינונים רבים ימצאו עצמם תחת רמה זו, בהם המידע מתוך מאגר מידע נגיש לשני אנשים לכל היותר. כאן הכוונה היא לעסקים קטנים ובינוניים, כמו מספרות, מכוני יופי, מוסכים וכו'. גם עסקים אלו, הנדרשים לרמת אבטחת המידע "הנמוכה" ביותר, יידרשו לבצע שינויים מהותיים על מנת להגן על מאגר המידע שברשותם ולעמוד כראוי בתקנות החדשות.
מאגרים שחלה עליהם רמת אבטחה בסיסית – מאגרי מידע שאינם מוגדרים תחת הרמה הראשונה ובנוסף לכך אינם מאגרי מידע המנוהלים בידי יחיד.
מאגרים שחלה עליהם רמת אבטחה בינונית – מאגרי מידע מן הסוגים המפורטים בתוספת הראשונה ואינם מאגר המנוהל בידי יחיד.
מאגרים שחלה עליהם רמת אבטחה גבוהה – מאגרי מידע מן הסוגים המפורטים בתוספת השנייה.
מאגרי המידע עליהם חלות רמות אבטחה גבוהות ובינוניות יחויבו כי נוהלי האבטחה החדשים יכללו גם התייחסות לנושאים הבאים:
– אמצעי זיהוי ואימות לגישה למאגר ולמערכותיו.
– אופן הבקרה על השימוש במאגר המידע בנוסף לתיעוד הגישה אליו.
מבין החידושים המגוונים שהתקנות החדשות מביאות עמן נמצאת דרישת החובה לדווח ל-"רשם מאגרי המידע" על כל פריצה (Security Breach) שהתבצעה למאגר המידע. בנוסף, במידה ובעל מאגר המידע יתבקש, תהיה עליו החובה לדווח גם לנפגעים עצמם וליידעם בדבר גניבת המידע.
חובת הדיווח מצויה גם בתקנות אבטחת המידע בארה"ב ובאירופה וממנה ניתן להסיק כי גורמת למספר עצום של תביעות אזרחיות נגד חברות אליהן התבצעה פריצה. מדובר בתביעות ייצוגיות בהיקף של מאות מיליוני דולרים, אשר עמדו נגד חברות ענק כמו Yahoo, Sony, Target.
חשוב להדגיש כי עמידה בתקנות החדשות חלה גם על מאגרים שטרם נרשמו אצל רשם המאגרים. השלב הראשון הוא להבין לאיזו רמת אבטחה מחוייב העסק או ארגונכם. באם מדובר ברמה הראשונה, נפלא, אך יש עבודה רבה לעשות.
על אף "כאב הראש" הכרוך בהכנה ראויה של עסקכם לעמידה בתקנות החדשות, ניכר כי נעשה מאמץ אמתי מצד קברניטי המדינה לאפשר לנו, האזרחים, ליהנות ממציאות בה המידע שלנו בטוח במרחב הקיברנטי.
