שם הכותב: תאריך: 04 יולי 2015

אבטחת מידע והגנה על הפרטיות נתפסת תמיד כבעיה של מישהו אחר, "למה שמישהו ינסה להגיע אליי? מה יש לי להסתיר? מה הוא כבר יכול לקחת?". המידע על החיים הפרטיים שלנו בין היתר נתונים, תמונות, היסטוריה, לאן אנחנו נוסעים, מה אנחנו קונים,ועוד נאסף על ידי אלפי אמצעים ולנו אין יכולת לבקר, לנטר ולשמור עליהם חסויים.

כמה פעמים גלשתם באינטרנט והתבקשתם להכניס פרטים אישיים לטובת רישום?

האם הגשתם מועמדות לחברות והעברתם את קורות החיים שלכם?

כיצד הקניון שבו אתם מצולמים שומר את התמונות שלכם?

מי מחזיק את המידע הרפואי שלכם? האם בקשת הסיוע לשירותי הרווחה ברשות המקומית נשארת חסויה?

האחריות של מי לשמור על הפרטים שלכם? עד כמה תאגידים משקיעים באבטחת מידע? האם זה חלק מהאחריות התאגידית? מה מחייב החוק? כיצד אוכפים? מי אוכף? האם יש תקינה?

ללא שם

שאלות אלו ועוד מצריכות התייחסות רצינית וחשיבה על פתרונות אשר יעלו את רמת המודעות הארגונית והאחריות התאגידית בנושא הגנת הפרטיות.

עם התפתחות הטכנולוגיה יש עלייה משמעותית בהתקפות סייבר וזליגת מידע. בעבר, התקפות הסייבר היו ממוקדות כלפי ארגונים גדולים וזירת פשעי הסייבר התמקדה בעיקר בגניבת כספים. כיום הזירה התפתחה וכל ארגון מהווה מטרה לתקיפה. לפעמים המידע שלנו בהתקפה הוא רק אמצעי כדי להביך את התאגיד ולפגוע בו ולפעמים המידע הוא המטרה. אז מי באמת שומר על המידע ועד כמה הוא עושה את זה מתוך אחריות ושליחות?

במדינת ישראל קיים חוק הגנת הפרטיות אשר נחקק ב 1981 ובנוסף, ישנן מספר תקינות ורגולציות הנוגעות לחיסיון מידע. לכל תחום יש את הרגולטור שלו (בנקים – בנק ישראל, ביטוח – הממונה על שוק ההון באוצר, קופות חולים ובתי חולים – משרד הבריאות וכו') ובשנת 1986 תוקן החוק ונוספה לו התייחסות למאגרי המידע, המחייב לרשום כל מאגר מידע בצורה מסודרת במשרד המשפטים כאשר למאגר מוגדר בעל מידע, מטרה ואופן ניהולו.

מבקר המדינה ביקר לא פעם את התנהלות הגופים הציבוריים בנושא אבטחת מידע והגנת הפרטיות. בשנת 2012 בחן המבקר 8 רשויות מקומיות מהגדולות בישראל ומצא ליקויים חמורים בנושא הגנת המידע, ההתייחסות לאבטחת מידע, מודעות הארגון בגישה למידע רגיש וכו'

ללא שם

מעבר לעמידה בחוק ההגנה על הפרטיות ניתן למצוא ארגונים אשר נדרשים במסגרת מתן השירותים שלהם, השתתפות במכרזים או במסגרת התחרות, לעמוד בתקני אבטחת מידע ולעיתים רגולציה בינלאומית. התקן הנפוץ הינו משפחת 27000ISO, המתאר פלטפורמה של נהלים ופעילויות על מנת לנהל את אבטחת המידע בארגון. בדרך כלל היישום נשאר מאוד מופשט ואין חשיבה על המידע וסיווגו כחלק מהטמעת הנוהל.

כחלק מקוד מ.ע.ל.ה. – הקוד לניהול חברתי בעסקים, קיימת התייחסות לנושא הגנת הפרטיות בסעיף לקוחות ומודגש כי לפירמה יש את האמצעים הטכנולוגיים והניהוליים לעמידה בחוק.

מקרי זליגת מידע, חשיפות פרטים אישיים ונזקים פיננסים כבדים מתרחשים כמעט כל יום. ארגונים משקיעים לא מעט כסף באבטחת מידע, הרגולטורים מחייבים התייחסות משמעותית ומפרסמים דרישות אשר לעיתים אף גורמות להשקעה גבוהה מצד הארגונים.

כחלק מתהליך הציות והממשל התאגידי מוטלת אחריות על הדירקטוריון ועל ההנהלה בנושא אבטחת מידע וסייבר. במסגרת אחריות זו עולות שאלות רבות: האם יש עומס רגולציה? האם הרגולציה "מכוונת" למקום הנכון? מהי מידת ההשקעה הכספית שארגון צריך על מנת לעמוד בדרישות? האם עמידה בדרישה אומרת שהארגון ביצע בסבירות גבוהה את כל מה שצריך בכדי לוודא שהמידע שלנו לא דולף? האם הארגון צריך לנקוט בפעילויות מעבר לחוק? מהי אחריות הארגון על שרשרת האספקה והיכולת שלה לטפל במידע הפרטי (לדוגמה מקרה Target וגניבה של 110 מיליון רשומות פרטיות דרך ספק תחזוקה של מקררים……)?

ללא שם

ניתן לקחת לדוגמה את הוראות בנק ישראל בנושא אבטחת מידע וסייבר כגון  ונב"ת 361 שיצא לאחרונה.

מחויבות בנק ישראל היא ליציבות הפיננסית של הבנקים בארץ ואחד התרחישים איתו מתמודד הבנק הוא תרחיש דלף מידע שבעקבותיו תתערער היציבות במשק. לאחרונה חווינו ארוע דלף משמעותי בחברת כרטיסי האשראי לאומי קארד, ארוע אשר היווה סיכון ותרחיש קיצון עבור המשק הפיננסי בארץ.

כחלק מנושא זה הבנק מגדיר לכל הבנקים בישראל באמצעות רגולציה את המחויבות שלהם לשמירת מידע וכחלק מהוראות אלו, גם שמירה על המידע האישי. אך לא כך הדבר בארגונים פרטיים שברובם נשענים על המומחיות והרצון של מנהל אבטחת המידע (במידה וקיים אחד כזה…).

ברוב הארגונים הבינוניים והקטנים ניתן לראות כי ההשקעה באבטחת המידע נמוכה לאין שיעור מהארגונים הגדולים ורמת המחויבות והמודעות שלהם לנתונים האישיים שלנו נמוכה. עולם הסייבר השתנה וכפי שציינתי בתחילה, כל ארגון מהווה מטרה. מצד שני השקעה באבטחת מידע מאוד יקרה, ארגונים קטנים ובינוניים לא תמיד מסוגלים להשקיע את הסכומים הנדרשים, לא בהכרח מבינים את הסיכונים העסקיים ולא רואים בהשקעה באבטחת מידע יתרון תחרותי.

כרגע הרוב המוחלט של הארגונים בהיררכית האחריות התאגידית נמצא בשלב המשפטי, מילוא המשימה הכלכלית, במסגרת ציות לחוקים ולתקנות. השלב הבא בהיררכיה הינה האחריות האתית, פעולות אשר מצופות מהחברה לבצע מעבר למסגרת החוקית- סטנדרטים, נורמות וציפיות המשקפות התייחסות לתפיסות ההוגנות של הפירמה כלפי המידע האישי שלנו ויתרה מזה, שילוב ופיתוח עולם אבטחת המידע והאחריות התאגידית כחלק מהאסטרטגיה העיסקית של הארגון לטובת יתרון תחרותי והובלת שוק.

הפרטים שלנו נמצאים בכל רחבי הרשת והשאלות שמצריכות התייחסות לטעמי הן:

  1. האם ארגונים עושים מספיק על מנת לשמור על המידע?
  2. האם רגולציה הדוקה יותר תביא לשמירה טובה יותר על הפרטיות שלנו או שתעשה דבר הפוך ותיצור האקרים מתוחכמים יותר?
  3. האם כחלק מתהליך האחריות התאגידית הארגון צריך לשקף את פעילותיו בתחום ההגנה על פרטיות?

 

תגובות סגורות.