דיגיטל וטק

כיצד תתמודדו עם תקיפות סייבר?

בשנת 2023 חוו כ-33,000 עסקים תקיפות סייבר, הקורבנות מהשבועות האחורנים: חברת עמיגור, משרד עורכי הדין הגדול גולדפרב-זליגמן, רשויות מקומיות (מודיעין עלית) ומשרד הבטחון. עו"ד מוטי כהן שמשרדו מתמחה בהגנה על הפרטיות ואבטח מידע מסביר מהן דרישות החוק, מהן הסנקציות למפירים ומהן פעולות המנע לשרוד התקיפות

מוטי כהן | 28/5/2024 20:08

בשבוע שעבר התרחש אירוע סייבר במערכות המידע של חברת עמיגור. ככל הנראה במסגרת האירוע נפרצו מספר מאגרי מידע בחברה וקיים חשש כי מידע רגיש מתוך המאגרים זלג לגורמים בלתי מורשים.

נזכיר, כי עמיגור מנהלת נכסי נדל"ן, והיא החברה השניה בגודלה בתחום הדיור הציבורי. ככזו, החברה מחזיקה מידע כלכלי רגיש אודות מספר רב של אנשים כגון – נתוני שכר, מידע על מצב משפחתי, נתוני אשראי, מידע על חובות והלוואות וכיוב'. מידע זה עשוי לגרום לפגיעה בפרטיות של אותם אנשים אשר נעזרים בשירותי החברה.

מאז פרוץ מלחמת חרבות ברזל, חלה עלייה חדה בהיקף ניסיונות פריצה וחדירה על ידי גורמים זרים למאגרי מידע. לפי דו"ח שפורסם חודשיים מפרוץ המלחמה, זירת הסייבר הפכה לזירה מרכזית נוספת בה נאבקים גורמים עוינים בישראל, והתקיפות הפכו לממוקדות ומכוונות לשיבוש ממשי של ארגונים.

רק בשבועות האחרונים שמענו על נסיונות פריצה למשרדי עורכי דין גדולים (גולדפרב-זליגמן), לרשויות מקומיות (מודיעין עלית), משרד הבטחון ועוד. לכן, השאלה אם אירוע אבטחת מידע יתרחש בארגון, היא כבר לא שאלה של "אם", אלא שאלה של מתי, והאם הארגון ערוך ומוכן לכך.

תקיפות סייבר לא מכוונות רק כלפי ארגונים גדולים, בנקים או גופים בטחוניים, להפך: מפת יעדי התקיפה מראה כי ניסיונות תקיפה רבים נעשים כנגד ארגונים אזרחיים ואף כנגד מוסדות חינוך. גם עסקים קטנים ובינוניים על הכוונת. לפי דוח של משרד הכלכלה, בשנת 2023 חוו כ-33,000 עסקים תקיפות סייבר, ומתוכם כ-7,000 נפגעו פגיעה משמעותית.

הצד המשפטי

חוק הגנת הפרטיות קובע כללים בכל הנוגע לשמירה על פרטיות ואבטחת מידע. ההוראות החוקיות חלות על כלל המשק, הן על עסקים וארגונים קטנים, והן על רשויות והחברות הגדולות במשק.

החובות שחלות על כל ארגון נקבעות לפי סיווג מאגרי המידע שברשותו. הסיווג נקבע בין היתר לפי מספר בעלי ההרשאה בארגון, מספר האנשים שעליהם נשמר מידע ורגישות המידע שנשמר.

ככל שיש יותר בעלי הרשאה, או ככל שנשמר מידע רגיש בהיקף נרחב, הארגון יסווג ברמה גבוהה יותר ויחולו עליו חובות נוספות.

מהן החובות מצד הארגון?

כדי לעמוד בדרישות החוק, יש לבצע פעולות בכמה מישורים:
משפטית – נדרש לערוך נהלים ומסמכי אבטחת מידע, יש לערוך חוזים והסכמים לשמירת סודיות ואבטחת מידע עם עובדים וספקים, במקרים מסוימים אף נדרש לרשום את מאגר המידע במשרד המשפטים.

טכנולוגית – צריך להטמיע מערכות בקרה ואבטחת מידע על מערכות המחשוב בארגון, רשתות התקשורת, וכן הגנה בעת גלישה באינטרנט. חשוב מאד לוודא כי המידע מגובה, באופן שיאפשר לשחזר מידע בתרחישים שונים.

ארגונית – על הארגון להיות ערוך בתחום – יש לבצע הדרכות לעובדים, להטמיע תהליכים ארגוניים שמטרתם הגנה על פרטיות, לא פחות חשוב, על הארגון לבנות תכנית להתמודדות עם אירועי אבטחת מידע וכן תכניות להתאוששות עסקית.

אירועי אבטחת מידע - החשיפה המשפטית

לצד החובות, החוק מציב סנקציות למפרים. רשות הגנת הפרטיות רשאית לקנוס ארגונים שמפרים את החוק. המגמה בשנים האחרונות היא החמרה, לדוגמא, בדצמבר 2022 הרשות להגנת הפרטיות הטילה קנס של 320,000 ₪ על חברה מפרה, וב-2023 הוטל קנס בגובה 95,000 ₪ על עובד מדינה שהפר את החוק. ככל הנראה, מגמת ההחמרה תמשיך, שכן זוהי מגמה רוחבית שקורית גם באירופה ובארה"ב. יצוין שבימים אלה הכנסת דנה בתיקון חוק הגנת הפרטיות, שאחת ממטרותיו היא לתת סמכויות אכיפה רחבות יותר לרשות להגנת הפרטיות.

מלבד הקנסות, ארגון שלא עומד בדרישות החוק, חשוף לתביעות ייצוגיות מצד הנפגעים, ובמקרים מסוימים הפרת החוק תהיה עבירה פלילית. כמו כן, לפי עמדה הרשות להגנת הפרטיות, על נושאי משרה בתאגיד עשויה לחול אחריות אישית להפרות.

אירועי אבטחת מידע – סיכונים נוספים

הסיכונים הכרוכים באירועי אבטחת מידע אינם מסתכמים בפן המשפטי.
ארגון שחווה אירוע פריצה ודלף מידע, עלול לסבול מנזקים נוספים: פגיעה במוניטין ובשם הטוב של הארגון.

פגיעה בהמשך פעילות עסקית - אירוע אבטחת מידע עשוי להשבית או לשבש פעילות של ארגון למשך זמן ממושך. אבדן מידע, פגיעה בשרתי אחסון, נעילה של חשבונות.

בהקשר זה חשוב לציין כי יישום הוראות החוק והטמעת תהליכים נכונים, מובילים למודעות גבוהה יותר, וכתוצאה מכך לרמת אבטחה גבוהה יותר של המידע בארגון. לכן – ארגונים שיעשו זאת, ישפרו בפועל את אבטחת המידע בארגון ויצמצמו סיכונים.

עצות פרקטיות לכל ארגון:
נהלו את המידע שבידכם – למשל, צמצמו את המידע שאתם אוספים, למינימום הנדרש. אם אינכם זקוקים עוד למידע מסוים, מחקו אותו ובכך תצמצמו סיכונים.

קיימו הדרכות ורעננו נהלים לעובדים – בעניין אבטחת המידע, כוח האדם הוא חוליה חלשה בתוך הארגון. לכן וודאו שעובדים עוברים הדרכות בנושא. מעת לעת רעננו נהלים בכל הקשור לנסיונות פריצה כמו "פישינג".

אבטחת מידע – וודאו שהארגון מוגן בצד הטכנולוגי. אנטי וירוס מעודכן ואיכותי, הגנה מפני אתרים וקבצים זדוניים בגלישה ברשת, הגנה על שרתים, גיבויים. כל אלו ועוד, ישפרו מאד את ההגנה על המידע בארגון.

קבלו ייעוץ משפטי – תחום הגנת הפרטיות הוא תחום מתפתח ומשתנה. מומלץ מאד לקבל ייעוץ משפטי ולוודא שהארגון ומנהליו מכוסים מבחינה משפטית, וערוכים לאירועי אבטחת מידע.

כותב המאמר, עו"ד מוטי כהן, מתמחה בהגנת הפרטיות ואבטחת מידע, מלווה ארגונים ועמותות בתחום.