פריצת הסייבר לחברת שירביט העלתה את המודעות לכך שעסקים רבים נמצאים בסיכון לפריצה וגניבת מידע, וגם לסחיטה ודרישת תשלום. כיוון שמאגרי מידע רגישים מאוד נמצאים בעסקים רבים, חלות עליהם חובות אבטחה משפטיות רבות. מהן אותן חובות, והאם מותר לעסק לשלם כופר לגורמים שעומדים מאחורי הפריצה?
>> לסיפורים הכי מעניינים והכי חמים בכלכלה - הצטרפו לערוץ הטלגרם שלנו
ניסינו לענות על כמה שאלות בוערות שהתעוררו באמצעות עו"ד ד"ר נמרוד קוזלובסקי, ראש מחלקת טכנולוגיה ורגולציה במשרד הרצוג פוקס נאמן; תום בורנשטיין המתמחה במחלקה; ועו"ד תמיר שנהב, מומחה בתחום הגנת הפרטיות ממשרד עו"ד דורון, טיקוצקי, קנטור, גוטמן, נס, עמית גרוס ושות.
אילו חובות אבטחה חלים על עסק קטן עם מאגר מידע על לקוחות?
בשנת 2018 נכנסו לתוקפן תקנות אבטחת מידע, אשר הותקנו מכוח חוק הגנת הפרטיות. התקנות קובעות שורה של חובות בהן נדרשים ארגונים ועסקים לעמוד. הדרישות מתחלקות לשלושה רבדים: הארגוני - במסגרתו נדרשים נהלי עבודה סדורים; הרובד השני נוגע לכוח האדם של החברה - הצורך להתאים את המידע אליו ייחשף כל עובד, ולקיים הדרכות בנושא אבטחת מידע; הרובד השלישי - חובות טכנולוגיות לשמירת המידע. בין היתר, הארגון נדרש לאבטח טכנולוגית את הגישה החיצונית לרשת של הארגון, ולייצר הגבלה על הרשאות הגישה הפנימיות.
"על כל עסק לבצע הערכה של החובות החלות עליו, בהתאם לסוג המידע המוחזק אצלו", מסביר עו"ד קוזלובסקי. "התקנות מתחלקות לשלוש רמות אבטחה (כדי להתאים לארגונים שונים): בסיסית, בינונית (כאשר נשמר מידע רגיש) וגבוהה (בהתאם לגודל מאגר המידע ומספר ההרשאות אליו). מרבית העסקים הקטנים, בהם הגישה למאגר המידע מוגבלת לשלושה אנשים, יוחרגו כ'מאגר יחיד' ויחולו עליהם חובות מצומצמות בלבד. עם זאת, אם יש מאגר מידע עם למעלה מ-10,000 אנשים, או שמדובר במקצועות עם חובת סודיות, כמו פסיכולוגים, רופאים, עו"ד, אזי יחולו חובות מלאות".
בתקופה שעובדים בה הרבה מהבית, מהן האפשרויות הטכנולוגיות לעבודה מרחוק מבלי ליצור פרצת אבטחה?
החוק אינו מתייחס באופן מפורש למצב של עבודה מרחוק. עם זאת, מציין קוזלובסקי, כי הרשות להגנת הפרטיות ובנק ישראל פרסמו דגשים בנוגע לעבודה מרחוק. מומלצים הצעדים הבאים: גיבוש מדיניות לעבודה מרחוק - יצירת מסמך מסודר עם הנחיות לעובדים ופירוט האיסורים והסכנות. למשל, איסור שמירת קבצים על המחשב הביתי, הצורך בהתקנת תוכנות אנטי-וירוס, איסור פתיחת מיילים ממקורות לא מזוהים, איסור על חיבור אמצעי מדיה למחשב ועוד. כמו כן, לקיים בקרה קבועה על מאגרי המידע, למשל על ידי עבודה בענן כמו גוגל דרייב המסייע במעקב אחר הגישה לקבצים. בנוסף, מומלץ לפעול לחיזוק המודעות בקרב עובדים ביחס לשימוש במחשביהם האישיים ואבטחתם.
על אילו עסקים ישנן חובות אבטחה מוגברת?
לרוב, מדובר בארגונים גדולים. במגוון סקטורים חלות על ארגונים חובות מוגברות. כך למשל, גופים מוסדיים ובנקים כפופים לדרישות ייחודיות בתחום ניהול הסיכונים, מוסדות רפואיים נדרשים לאבטחה מוגברת על בסיס הנחיות משרד הבריאות, וארגונים האמונים על תשתיות קריטיות כפופים לחובות מכוח חוק הסדרת הביטחון בגופים ציבוריים.
החובות המוגברות כוללות, בין היתר, בקרה מוגברת מצד הרגולטורים, לצד סנקציות נוספות בשל אי-עמידה בהוראות. ייתכן מצב בו ארגון מסוים יהיה כפוף למספר רגולציות במקביל. למשל, חברת ביטוח הנסחרת בבורסה תהיה כפופה גם לחובות דיווח החלות עליה כחברה ציבורית.
בנוסף, יתכנו חובות מוגברות בגלל התקשרויות חוזיות של הארגון. למשל, עסק שהתחייב כלפי לקוחות שהמידע העסקי שלהם יהיה מוגן ברמת אבטחה גבוהה, ודרישות מעין אלו הפכו לסטנדרט נפוץ ומקובל. ארגונים שונים עשויים אף להחיל על עצמם חובות, שמקורן בתקן מקצועי המשויך לתעשייה הרלוונטית להם.
למי צריך לדווח על פריצה של האקר למערכת המחשבים של החברה?
החוק קובע כי מי שחלה עליו חובת אבטחה בינונית או גבוהה מחויב להודיע לרשות להגנת הפרטיות בתוך 24 עד 72 שעות ממועד גילויו של אירוע אבטחת מידע. בנוסף, יש לדווח על הצעדים שנקט בעקבותיו, ולדווח גם לצרכנים שפרטיהם נחשפו. ארגונים שכפופים לרגולציה נוספת, עשויים להיות כפופים לחובות דיווח נוספות בהתאם. התקשרויותיו החוזיות של הארגון עשויות להחיל חובות דיווח נוספות לגבי המידע השייך לשותפיו העסקיים.
אם הפורץ מאיים לפרסם מידע עסקי רגיש, האם כדאי לשלם כופר, והאם זה מותר?
אירועי סייבר המלווים בדרישת כופר מעוררים דילמות גדולות לארגון. "בעבר נהגו ארגונים לשלם את הכופר, ועיקר השאלות נגעו לאופן בו יבוצע התשלום וכיצד ניתן לוודא שהתשלום אינו מועבר למתחזה", אומר עו"ד קוזלובסקי. "משיקולי עלות-תועלת, ארגונים רבים עשויים להעדיף לשלם את הכופר, מתוך מחשבה שבתשלום מועט יחסית תימנע פגיעה כלכלית משמעותית יותר. בפועל, אין הכרח שהדבר יוביל לתוצאה זו".
עו"ד נמרוד קוזלובסקי: "תשלום כופר עלול לחשוף את החברה לסיכונים משפטיים נוספים, כיון שהוא עלול להיות מנוגד לחוקים האוסרים על הלבנת הון, וכן להנחיות חדשות של משרד האוצר האמריקני"
הוא מוסיף כי תשלום הכופר עשוי "לאותת" שהארגון מהווה מטרה נוחה לסחיטה, ויזמין פריצות נוספות. "בנוסף", מציין עו"ד קוזלובסקי, "ממילא התשלום לרוב לא יבטיח את מניעת מכירת המידע על ידי התוקף. כמו כן, תשלום הכופר אינו מונע את חובות הדיווח של הארגון, הן לרשויות הרגולטוריות ובמקרים רבים גם לצרכנים שנפגעו, ומן הצורך לתחקר את האירוע. למעשה, עצם התשלום עצמו עלול לחשוף את החברה לסיכונים משפטיים נוספים, כיון שהוא עלול להיות מנוגד לחוקים האוסרים על הלבנת הון, וכן להנחיות חדשות של משרד האוצר האמריקני בנושא".
אז איך יכולים המעסיקים להתגונן? לדברי עו"ד תמיר שנהב, עליהם להקפיד על שמירה פיזית של תשתיות ומערכות החומרה המשמשות את המאגר, במקום מוגן המונע כניסה אליו ללא הרשאה.
במאגר מידע שרמת הסיווג שלו בינונית או גבוהה, יש לתעד את הכניסות והיציאות של עובדים ממערכות המאגר. בנוסף, מעסיק המחזיק מאגר מידע צריך לנקוט באמצעים סבירים בהליכי מיון עובדים, בהתאם לרגישות המידע אותו מחזיק. הוא מסביר, כי אמצעים סבירים יכולים להיות למשל ביצוע מבחני התאמה של עובדים במכונים מקצועיים או המלצות ממעבידים קודמים. ככל שהמידע רגיש יותר יש לנקוט באמצעים זהירים יותר בהליכי מיון עובדים. כמו כן, יש לקבוע הרשאות גישה לעובד רק במידה הנדרשת לו לביצוע תפקידו.
עוד מציין עו"ד שנהב, כי יש לנקוט באמצעי אבטחה טכנולוגיים, כגון אימות זהות והרשאה של מי שניגש למידע במאגר, למשל באמצעות סיסמה. "תתעדו אירועי אבטחה ופרצות עימן התמודדתם", הוא ממליץ. "ככל האפשר, יש להתבסס על רישומים אוטומטיים. המטרה היא לייצר 'זכרון ארגוני' ביחס לאירועי אבטחה. כמו כן יש לבצע הדרכות לבעלי הרשאות גישה למידע אצל המחזיק במאגר, בנושא החובות לפי חוק הגנת הפרטיות והתקנות".
עו"ד תמיר שנהב: "חשוב מאוד לשמור רק את המידע שאתם צריכים, לא מעבר. ככל שמאגרי המידע שלכם גדולים יותר, כך השמירה עליהם הופכת למורכבת, מסובכת ויקרה יותר"
לדבריו, רבים מהמחזיקים במאגר מידע, נעזרים בחברה חיצונית לצורך עיבוד המידע. במקרה של העברת המאגר לגורם חיצוני לצורך עיבודו יש לוודא קיומן של הוראות שונות בהסכם מולו, כגון: מה המידע שאותו גורם רשאי לעבד ולאלו מטרות; לאלו מערכות הוא רשאי לגשת; מה סוג העיבוד שהוא רשאי לבצע; משך ההתקשרות ואופן השבת המידע לבעליו בסיום ההתקשרות; אופן יישום הוראות תקנות אבטחת מידע; חובתו של הגורם החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמירה על סודיות המידע, ופרטים נוספים.
האם ניתן לתבוע עסק שלא פועל כך?
עו"ד שנהב מציין כי "חשוב לדעת כי כל הפעולות הללו הן חובה לפי החוק לכל מי שמחזיק מאגר מידע, ובימינו - מדובר כמעט בכל בעל עסק או ארגון. מי שלא יפעל לפיהן, מסתכן בהטלת סנקציות מנהליות, ובפני חשיפה לביצוע עוולה אזרחית ואף עבירה פלילית, ואפילו חושף עצמו להגשת תובענה ייצוגית נגדו בסכומי עתק. לכן, חשוב ללכת לפי הכללים; יישום התקנות מצמצם באופן משמעותי חשיפה משפטית. בנוסף, חשוב מאוד לשמור רק את המידע שאתם צריכים, לא מעבר. ככל שמאגרי המידע שלכם גדולים יותר, כך השמירה עליהם הופכת למורכבת, מסובכת ויקרה יותר"