משפט
בכירי המשק על הכוונת: איך הממשלה עומדת לפעול נגד מתקפות הסייבר?
בעידן הדיגיטלי, בו מתקפות סייבר הפכו ל"מכת מדינה", ממשלת ישראל שוקלת להטיל אחריות אישית על דירקטורים בחברות אשר לא נקטו באמצעי זהירות מספקים מפני פריצות והתקפות זדוניות. צעד זה, מבקש להרתיע ולהבטיח כי חברות ינקטו בפעולות פרואקטיביות להגנת המידע הרגיש שברשותן, עורר דיון ציבורי ער נגד יעילותו
אין ספק כי מתקפות סייבר מהוות איום ממשי על חברות וארגונים בכל הגדלים והמגזרים. מעבר לנזק הכלכלי הישיר, הן עלולות לפגוע במוניטין, בפרטיות הלקוחות ואף לשבש את הפעילות העסקית באופן מהותי. על כן, הצורך בהגברת האחריות של חברות ודירקטורים לנושא אבטחת המידע הוא צורך השעה.
לאחרונה, פרסמה המדינה הנחיה חדשה המחייבת חברות מסוימות, ובפרט אלו שעיבוד מידע אישי מצוי בליבת פעילותן, לעמוד בסטנדרטים מחמירים של אבטחת מידע. ההנחיה, שפרטיה פורסמו לפני כשנה להערות הציבור וכעת היא צפויה להיכנס לתוקף, תקבע כי חברה שתפר את הכללים המחייבים תהיה חשופה לקנס של עד 320 אלף שקל על כל הפרה בודדת.
ההנחיה כוללת גם רשימת צעדים שיהיה על הארגון לקיים, ואלו יהיה תקפים לחברות שעיבוד מידע אישי מצוי בליבת הפעילות שלהן או שקיימת סבירות שפעילותן יוצרת סיכון מוגבר לפרטיות - בין היתר חברות סלולר, בנקים, תרופות, חברות ביטוח וחברות בתחום הרפואה.
ההנחיה החדשה שמה דגש מיוחד על האופן שבו חברות משתמשות ומנהלות מידע אישי, ומטילה על הדירקטוריון את האחריות לוודא כי מדיניות אבטחת המידע מוטמעת בנהלי העבודה בארגון. על הדירקטוריון לקיים דיונים שוטפים בנושא, לפעול בעקבות ממצאי סקרי סיכונים ומבדקי חדירות, ובמקרים מסוימים אף למנות גורם ייעודי בארגון שיהיה אחראי על יישום וניהול מדיניות אבטחת המידע.
אלא שהטלת אחריות אישית על דירקטורים היא חרב פיפיות. מצד אחד, היא עשויה להבטיח כי נושא אבטחת המידע יזכה לתשומת הלב הראויה מצד הנהלות החברות. מצד שני, היא עלולה להרתיע אנשים מלקחת על עצמם תפקידי דירקטורים, במיוחד בחברות קטנות ובינוניות, ולהקשות על גיוס דירקטורים מנוסים ובעלי ידע בתחום. יתרה מכך, היא עלולה להוביל ל"הגנת יתר" ולהשקעת משאבים מופרזת באבטחת מידע, על חשבון השקעות בתחומים אחרים החיוניים לצמיחת החברה.
הטלת אחריות כזו עלולה להיות בעייתית במיוחד לאור העובדה שדירקטורים, ברובם, אינם אנשי מקצוע בתחום הסייבר. הם ממונים לדירקטוריון בשל כישוריהם וניסיונם בתחומים אחרים, כמו פיננסים, שיווק או משפטים, ולאו דווקא בשל הבנתם בתחום אבטחת המידע. הטלת אחריות אישית עליהם עלולה להוביל לבלבול, תסכול ואף להחלטות שגויות שיפגעו בחברה במקום להגן עליה.
האתגר המרכזי הוא להגדיר מהם אותם "אמצעי זהירות מספקים". טכנולוגיות הסייבר מתפתחות ללא הרף, והאקרים מתוחכמים מוצאים דרכים חדשות לעקוף את מערכות ההגנה. קשה, עד בלתי אפשרי, לקבוע סטנדרט אחיד שיהלום את כל החברות והארגונים.
לפיכך, על הממשלה לנקוט במדיניות מאוזנת.
לפיכך, על הממשלה לנקוט במדיניות מאוזנת.
עו"ד שי שמש, צילום: מיטל אזולאי
עליה לקבוע סטנדרטים ברורים ומדידים לאבטחת מידע, תוך התחשבות בגודל החברה, במגזר הפעילות שלה ובסוג המידע הרגיש שברשותה. בנוסף, יש להבטיח כי דירקטורים יקבלו את ההכשרה והכלים הנדרשים כדי למלא את תפקידם בתחום אבטחת המידע.
הטלת אחריות אישית על דירקטורים היא צעד בכיוון הנכון, אך היא אינה הפתרון היחיד. יש לנקוט בגישה הוליסטית המשלבת רגולציה, חינוך והשקעה בטכנולוגיות מתקדמות. רק כך נוכל להבטיח כי חברות ישראליות יהיו מוגנות טוב יותר מפני מתקפות סייבר וכי הכלכלה הישראלית תמשיך לשגשג בעידן הדיגיטלי.
עוד ב-
הכותב עו"ד שי שמש שותף במשרד כהן-שמש שעוסק בחדלות פירעון וליטיגציה מסחרית
הכתבות החמות
תגובות לכתבה(0):
תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה
חזור לתגובה