מאת: גיל שני, מנהל פיתוח טכנולוגי (CTO) של MedOne

לרגל יום הגנת הפרטיות, שחל שבוע שעבר, וזאת על רקע העננה הכבדה סביב דו"ח הרשות להגנת הפרטיות בישראל שנחשף לתקשורת השבוע, ומצביע על כשלים חמורים באבטחת הפרטיות של ילדינו ברשת.

ככלל, תיזכר 2019 כשנה סוערת במיוחד בתחום הפגיעה בפרטיות, מתקפות סייבר ואי שמירה על חוקי אבטחת המידע. שנה בה נחשפה פרטיותם של מליוני משתמשים ברחבי העולם, ונפסקו פסיקות תקדימיות בסכומים אסטרונומיים כנגד תאגידי הענק שהפרו את חוקי הגנת הפרטיות. מהתביעה של 200 מיליון דולר על פגיעה בפרטיותם של מיליוני ילדים ובני נוער ביוטיוב, לקנס חסר התקדים לפייסבוק על סך חמישה מיליארד דולר, בגין הפרות פרטיות של חצי מיליארד משתמשים, במסגרת פרשת קיימברידג' אנליטיקה, ועד לשלושת קנסות הענק במאות מליוני יורו של האיחוד האירופי כנגד גוגל.

תופעה נוספת בתחום אבטחת המידע, שצברה תאוצה בשנה האחרונה, מגיעה בדמות מתקפות סייבר רבות כנגד תאגידים וחברות מובילות, כאשר בתקופה האחרונה משנות מתקפות הסייבר את פניהן. במקום לתקוף את ה- IT של הארגון, המגמה החדשה היא מתקפות על ה OT (Operational Technology). מדובר בעליית מדרגה בעולם הסייבר, כיוון שמדובר במתקפות מתוחכמות הרבה יותר, קשות פי כמה לזיהוי, ובעיקר כאלו שאינן מסכנות רק מידע וכסף, אלא מסכנות חיים של ממש. מתקפות היכולות לשנות את אופן הפעילות של מערכות בקרה שונות. לדוגמא: תארו לעצמכם מפעל תרופות, שמתקפת סייבר משנה את אופן פעולות המכשירים, וכך מינוני הרכיבים בתרופות משתנים!

בשנים האחרונות, החברות הגדולות מבינות שכללי המשחק משתנים. בעשורים האחרונים המיקוד היה בהתמודדות בדיעבד עם מתקפות סייבר, אך לאחרונה פותחו טכנולוגיות ומטודולוגיות הגנה חדשות מסוג Zero Trust, שנועדו להתמודד מראש עם מתקפות, עוד בטרם התרחשו. בנוסף, תחום הענן שבתחילת העשור קיבל יחס של חשדנות אדירה, יהפוך עד סוף העשור הנוכחי לכלי עבודה מרכזי ועיקרי בכל מערכת מחשוב.

אך דווקא במציאות העגומה של ישראל, המודעות לתחום אבטחת המידע נמוכה ביותר. חברות וארגונים רבים עדיין מתנהלים בהתאם לתרבות ה"סמוך" ו"יהיה בסדר" השכיחים כל כך במחוזותינו, ומסכנים בכך את פרטיות המשתמשים, עתיד החברה שבראשה הם עומדים, ולעיתים, כאמור, אף חיי אדם. ב-2018 נכנסו לתוקפם חוקי הגנת הפרטיות בישראל, שהגדירו באופן ברור מאוד את האופן שבו יש לאחסן ולשמור על מאגרי המידע בישראל, אך במבחן התוצאה, החוק להגנת הפרטיות הישראלי לא מתפקד, ואין אכיפה מספקת של הרשות להגנת הפרטיות.

גם דו"ח הרשות הישראלית להגנת הפרטיות שנחשף לתקשורת ביום רביעי, מצביע על נתונים עגומים ביותר, לפיהם נמצאו ליקויים מדאיגים ב-23 מתוך 24 הגופים הנבדקים, אשר רובם הגדול (מלבד צדיק אחד בסדום) אינו מיידע את הילדים בדרך המותאמת לגילם ולהבנתם, על האופן בו נאסף המידע האישי עליהם ולאיזו מטרה, וגם על זכותם לראות את המידע הזה ולדרוש לתקן בו פרטים. אלו זכויות ותקנות שבאירופה מבינים ומיישמים לאורך שנים, ובמשנה מרץ מאז נכנס לתוקפו חוק ה- GDPR האירופי במאי 2018, אך בישראל עדיין מתקשים להפנים את הסכנות האדירות הנשקפות לילדים, ובעיקר מסרבים לאכוף את חוקי הגנת הפרטיות החדשים – מציאות שמעמידה בסכנה גדולה את פרטיותנו ופרטיות ילדנו.

חברות וארגונים בישראל, גדולים וקטנים כאחד, חייבים ליישר קו עם הסטנדרטים החדשים בתחום הפרטיות וההגנה על המידע, ולהשקיע ככל שנדרש כדי לשמור על פרטיות לקוחותיהם.

בין הדרישות של חוק ה GDPR  האירופי ניתן למנות את הנושאים הבאים בהם החברות חייבות לתת את הדעת ולטפל: מינוי מנהל אבטחת מידע ומנהל פרטיות, הכנת תוכנית לאבטחת מידע ומעקב תקופתי אחר ביצועה, הדרכת עובדים והעלאת מודעות לנושאי אבטחת מידע ופרטיות בכל האספקטים הקשורים לעבודתם, בקרת גישה למאגרי הנתונים של החברה –בהיבטי האבטחה הפיזית והלוגית וכן מתן הרשאות לעובדים מסוימים בלבד אשר יהיו רשאים לגשת למאגר המידע, הצפנת המאגרים ושאר המידע, נוהלי טיפול בתקלות אבטחת מידע,טיפול בשרשרת האספקה – על האירגון לוודא שכל קבלני המשנה שעובדים איתו, יעמדו גם כן בדרישות החוק ועוד.

אחת הדרישות החשובות ביותר של חוק הפרטיות אומרת שכל אדם זכאי לבקש מהאירגון למחוק את המידע שהאירגון מחזיק עליו ועל האירגון להיות מסוגל לעשות זאת ולבצע את הבקשה.