לפני שאנו דואגים האם יפרצו לנו לארגון, אנחנו צריכים לשאול את עצמנו האם אנחנו באמת צריכים לאגור את המידע הזה

לפני שאנו דואגים אם יפרצו לנו מאגרים, אנחנו צריכים לשאול את עצמנו האם אנחנו באמת צריכים לאסוף את המידע, ואם המידע נחוץ, כיצד שומרים עליו ומה אומר החוק באשר למאגרי מידע.

הדברים נאמרו במסגרת הרצאתו של עו"ד דן חי, מומחה בתחום ההגנה על הפרטיות ואבטחת מידע במשפט הישראלי במסגרת מפגש מועדון השבבים הישראלי שהתקיים מעט לפני חופשת הפסח והתמקד בנושא אבטחת מידע. חי התייחס בין השאר למתקפה המשויכת לממשלת צפון קוריאה על חברת סוני פיקצ'רס שבין היתר אחת מתוצאותיה הייתה חשיפת מידע רגיש על העובדים.

"מה שקרה לסוני זה לא עניין רק של סוני אלא של כל מי שמסביבם ויכול לקרות גם בחברה שלכם. העובדה שפרצו אליכם יכולה לעניין את הלקוחות ש"לא כל כך ישמחו" על כך, את העובדים שגם להם יש  עניין במידע הנמצא במערכות, את בעלי התפקידים שמחר ימצאו עצמם אחראים ומשלמים את המחיר, ואת בעלי המניות שלא יאהבו שמידע רגיש של החברה נחשף. גם את המדינה מעניין לדעת אם עסק כלשהו פוגע בביטחון הכללי של ההתנהלות העסקית.

מי יפרוץ? מסתבר שעלינו לחשוד בכולם. האקרים, עובדים, אקטיביסטים, טרור ובסופו של דבר פשיעה – גם צווארון לבן. כלומר המתחרים שרוצים לדעת מה אנו עושים.

"נקודות החולשה שלנו במידע המצוי במערכות: מידע אישי, פיתוח לא מוגן – כזה שאמור להיות מוגן בזכויות יוצרים, מידע עסקי וסודות מסחריים אחרים ששמורים בתוך המערכות. לדוגמה המידע על העובדים. בין הגורמים שתבעו את סוני יש גם 4 עובדים שתובעים בסכומים גבוהים וטוענים שסוני לא שמרה על המידע האישי שלהם שהיה במערכות."

"בארגונים גדולים יש מידע רב על העובדים – טופס 101 , משכורות, גליונות נוכחות, נתונים ביומטריים – בדרך כלל טביעת אצבע, מידע על ימי המחלה כלול פרטי המחלה, הכשרות והדרכות, חוות דעת מנהלים, מסמכי קבלה לעבודה, דירוג זכאות לקבלת מתנות לחג."בהמשך מסביר עו"ד חי מתי יש לרשום את מאגר המידע על העובדים. האם המידע על העובדים שלנו הוא בגדר מאגר מידע (לפי החוק) אם כן האם צריך לרשום את המאגר ומה יקרה אם לא רשמנו: "מאגר מידע מוגדר כאוסף נתוני מידע, מוחזק באמצעי מגנטי או אופטי, מיועד לעיבוד ממוחשב, משמש למטרות העסק, ואינו כולל רק שם ומען ודרכי התקשרות או כולל רק שם מען ודרכי התקשרות אך אינו המאגר היחידי.

חובה לרשום מאגרים אם מתקיים אחד מהתנאים: יש במאגר מידע על 10,000 איש, המאגר הוא של גוף ציבורי, המידע לא נמסר על ידי מושאי המידע. המאגר משמש לשירותי דיווח ישיר, יש במאגר מידע רגיש (כפי שקרה במקרה של סוני.)

אם לא נרשום את המאגר, העונש הוא שנת מאסר וקנס מנהלי בגובה של 3,000 שקל על כל רשומה -300 אלף שקל למשל במקרה של חברה המעסיקה מאה עובדים. בנוסף ניתן להגיש תביעה ייצוגית, תביעה נזיקית, ולדרוש אחריות מנהלים ואחריות דירקטורים.

אם ברישום דיווחנו כי מאגר העובדים שלנו מיועד להפקת שכר עובדי החברה. שימוש במאגר מידע שלא במסגרת המטרה הרשומה אסור. חשוב גם שהעובדים יסכימו כי אסור לעשות שימוש במידע אישי ללא הסכמת מושא המידע. גם אסור להשתמש במידע פרטי שלא למטרה לשמה נמסר. בנוסף לכל בתחום אבטחת המידע קיימת רגולוציה וזו אף תגבר. בעלי המניות צריכים לשאול את עצמם האם פעלנו באופן יחסי למידע שברשותינו, או אולי השקענו כסף מיותר שיכול היה ללכת לתחומים העסקיים.

גם אבטחת מידע זה לא רק הרצון הפנימי שלי בעסק שהעסק יהיה מאובטח. יש לנו פה גם ענין עם הרגולציה – אם ייפרצו למערכות שלנו. עם הזמן יחוקקו חוקים שיאפשרו לרגולטור  להגיד שלא קיימתם את דרישות החוק.

לכן, על המנהלים והדירקטורים מוטלת חובה לדאוג לאבטחת מידע אישי – כולל הגנה על  שלמות המידע, סודיות, שימוש או העתקה שלא כדין. זאת כדי למנוע טענות רשלנות. כדי לעמוד בהוראות החוק צריך אבטחה פיזית ולקבוע כללים פנימיים בחברה לאבטחת מידע ובראש ובראשונה ניהול הרשאות גישה. יש לקבוע תקנון אבטחת מידע חתום על ידי כל מורשי הגישה ולמנות ממנוה על אבטחת מידע. בזמן הפיתוח יש לדאוג שהאבטחה תוטמע במוצר ולא להמתין לסיום הפיתוח. וכמו כן יש צורך לבחון אסטרטגית הגנה לעומק (שכבות מרובות של הגנה כנגד איומי הסייבר).

ולבסוף – יש גם צורך להכין תוכנית התאוששות למקרה של מתקפה שתתגבר על כל אמצעי ההגנה. זאת לרבות גיבוי חיצוני, הסדרת ציוד חלופי, קביעת נוהל סדור לנושאי משרה בכירים וכן נוהל הפקת לקחים.

השאלה איננה האם יום אחד זה יקרה לנו. זה יקרה בוודאות, ולכן אנו צריכים לשאול את עצמינו האם אנו מוכנים ליום הזה.