"נטיל סנקציות גבוהות על חברות שלא ידווחו לרשות על מתקפות סייבר"

"אנחנו רואים בשנה האחרונה מגמה ברורה של עלייה בתקיפות סייבר נגד חברות ישראליות, ולצערי המשק הישראלי עדיין לא הפנים זאת" את הדברים אמר עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות, בכנס שכותרתו "סייבר ואבטחת מידע על שולחן הדירקטוריון" בהובלת משרד עורכי הדין ליפא מאיר ושות' בשיתוף פעולה עם איגוד הדירקטורים. סממה התייחס לשינוי מדיניות הרשות ותפיסת ההפעלה בכל הנוגע לדיווח על אירועי אבטחת מידע לפי התקנות, והדרישה לדיווח מיידי לרשות.

לדבריו, דיווח מידי ושיתוף הרשות בשלביו הראשונים של האירוע יאפשרו לרשות ללוות מקצועית את הארגון, ולסייע לו לצמצם את הפגיעה הכלכלית והתדמיתית בארגון. סממה ציין כי, ככלל הרשות אינה מתכוונת להתערב בפעילות העסקית של הארגון אלא לאפשר לו לחזור במהירות לפעילות מלאה תוך הגנה מיטבית על המידע של נושאי המידע, כאשר גם היום חיוב הארגונים לשלוח הודעה לנושאי המידע נעשה במשורה ובהתאם לנסיבות כל מקרה לגופו.

עוד התייחס להצעות התיקון לחוק הגנת הפרטיות משנת 2022 לפיהן בין היתר, צפויים להיות מוטלים קנסות גבוהים יותר על הפרות התקנות לאבטחת מידע, וציין כי "אנחנו "מתמחרים" מחדש את הפרטיות. בידי הרשות להגנת הפרטיות כלים מודיעיניים שיודעים לזהות הפרות של החוק, והמטרה היא שכל חברה שמחזיקה במידע אישי תבין שמדובר בנכס של האזרח והיא צריכה לשמור עליו. אחרת היא חשופה לסנקציות כלכליות בסכומים גבוהים במיוחד".

הפרת פרטיות עלולה לגרום נזק רב לארגונים פרטיים, למשרדי ממשלה וחברות ציבוריות. סממה סיפר כי "רק לאחרונה פורסם אודות עובד מדינה שעשה שימוש במידע למטרות זרות לארגון, והרשות קנסה אותו ב- 95 אלף שקלים. "במקרה הזה בחרנו בציר המנהלי ולא בציר בפלילי, אבל גרמנו להדהוד של המקרה בכל משרדי הממשלה שמחזיקים מידע אישי ומשמעותי על אזרחים והפנמה של עקרונות דיני הפרטיות".

בכנס בהובלתה של עו"ד ורד זליכה, שותפה וראשת תחום סייבר ובינה מלאכותית במשרד ליפא מאיר ושות', השתתפו גם אל"מ (במיל') עמיר בקר, סמנכ"ל בחברת הסייבר Sygnia , שי סימקין מנהל תחום סייבר גלובאלי בחברת האודן ויובל שגב, ראש פורום הסייבר באיגוד הדירקטורים ומנהל הגנת סייבר בחברת AIDOC.

עו"ד ורד זליכה, שותפה וראשת תחום סייבר ובינה מלאכותית במשרד ליפא מאיר ושות', התייחסה בין היתר, לסיכוני סייבר שראוי שההנהלה והדירקטוריון ייתנו דעתם אליהם בשגרה, ובהם איומים משרשרת האספקה של ארגון, אשר מצריכים הסדרה הסכמית עם ספקים (במקרים מסוימים הדבר אף מתחייב על פי הרגולציה), וכן בדיקות נאותות ביחס לסיכוני סייבר ואבטחת מידע בעסקאות מיזוגים ורכישות.

עו"ד זליכה פירטה אודות מספר התפתחויות בעולמות המשפט והרגולציה של הגנת הסייבר ואבטחת המידע בשנה החולפת, בעלות פוטנציאל להשלכות משמעותיות למשק, שכללו, נוסף לעדכון מדיניותה של הרשות להגנת הפרטיות בנוגע לדיווח על אירוע אבטחה חמור, גם התפתחויות ברגולציה מגזרית (בין היתר במגזרי הביטוח, נותני שירותים פיננסיים והבריאות), דו"ח המלצות בעניין חוקיות תשלום כופרה שהוגש למנכ"ל משרד המשפטים על ידי צוות משנה מטעם משרד המשפטים, וכן ממצאי ביקורת של הרשות לניירות ערך על כך שחברה שחוותה תקיפת סייבר, לא התייחסה מראש כראוי לסיכון הסייבר בהערכת הסיכונים הרלוונטיים לחברה, ובדיווחים הנדרשים לפי דיני ניירות ערך.

עו"ד זליכה הדגישה, כי ניכרת מגמה של התפתחות מואצת ברגולציה, בהתייחס לניהול סיכוני סייבר ואבטחת מידע בארגונים וביחס לתפקידם של הדירקטוריונים בהקשר זה, וכי אף במבט לחו"ל, הליכים משפטיים ורגולטוריים בשנת 2022 בארה"ב, ממחישים כיצד גבולות האחריות של גורמי ההנהלה ושל הדירקטוריון מתעצבים בימים אלה.

עמיר בקר, סמנכ"ל בחברת הסייבר Sygnia התייחס לשינויים בדפוסי הפעולה של תוקפי הסייבר בשנים האחרונות, ובפרט בעקבות המעבר לעבודה מרחוק עקב הקורונה. "כיום יותר ויותר אנשים עובדים מהבית, מה שגורם לחברות ולארגונים השונים להרחיב את הסביבה הדיגיטלית שלהם, והדבר שינה לחלוטין את מרחב התקיפה של תוקפי הסייבר. בקר ציין, כי "כל ארגון בנוי ממספר שכבות מחשוב ששולטות במידע שברשותו, והזכיר בין היתר את השימוש בטכנולוגיה מתקדמת והתבססות על אפליקציות, ספקי צד שלישי או מעבר לסביבת ענן. בעקבות זאת, כל נקודה חדשה בה נעשה שימוש במערכות ממשלתיות או אזרחיות הכי סטנדרטיות, מהווה דרך חדירה למידע האישי בארגון". בסיכום דבריו ציין, כי נדרשת תשומת לב משמעותית של נושאי המשרה בחברה, להכיר את איומי הסייבר ואת הנקודות הרגישות ביותר בחברה, ולהיות מעורבים באופן היערכותו של הארגון בהתאם".

שי סימקין, ראש תחום סייבר גלובאלי בענקית הביטוח האודן ציין כי סיכוני סייבר מדורגים במקום עליון מבין כלל הסיכונים המשמעותיים ביותר הנשקפים לארגונים, שכן הנכסים הדיגיטליים של ארגונים הינם יקרי ערך, פעמים רבות יותר מנכסיהם הפיזיים. בשונה מתחומים אחרים של ביטוח, באירועי סייבר, המבטחים משתלבים באירוע מהרגע הראשון, ומעמידים בידי הארגון אמצעים להתמודדות עם האירוע ולצמצום הנזק. דירקטורים ונושאי משרה נדרשים לקבל החלטות מושכלות, ועליהם לכל הפחות לבחון את השאלה האם ביטוח סייבר יכול לשמש בין האמצעים להתמודדות עם הסיכון בארגון, גם אם יחליטו בסופו של יום שלא לרכוש ביטוח כזה.

יובל שגב, ראש פורום הסייבר באיגוד הדירקטורים ומנהל הגנת סייבר בחברת AIDOC התייחס לאחריותם של דירקטורים לשאול את השאלות הנכונות, לבחון את הקצאת המשאבים לתחום הסייבר בארגון, ולקיים הערכת מצב צופת פני עתיד לעניין ניהול סיכוני סייבר לאור השינויים הטכנולוגיים הצפויים בארגון, במגמה לתכנן לעתיד קדימה.