מאמר דעה

אין לחברות אינטרס לשפר את הגנת הסייבר

| מאת:

כל עוד מנהלים יעריכו, ובצדק, שהסיכון מפני תביעות או סנקציות עקב דליפת מידע אישי הוא נמוך, המוטיבציה שלהם לבצע שיפור במתווה ההגנה בסייבר בארגון, תישאר נמוכה

Shutterstock

שבועות בודדים חלפו מאז פריצת הסייבר לחברת הביטוח שירביט וחשיפת המידע האישי על מאות רבות של לקוחות החברה, האם מישהו שואל עצמו מה עלה בגורל כמויות המידע שהודלפו? כנראה שלא. סביר שאף אחד גם לא תהה היכן היו גורמי הפיקוח והאכיפה, והאם הם פועלים כדי למנוע מקרים עתידיים.

בצירוף מקרים מעניין, פרסם החודש מערך הסייבר הלאומי מסמך בשם "טיוטת תורת ההגנה בסייבר לארגון 2.0", להערות הציבור. המסמך נועד לסייע למנהלי חברות וארגונים לבנות תוכנית עבודה להגנת סייבר, כשבבסיסו הצורך לבצע הערכת סיכונים לארגון כתוצאה ממתקפת סייבר, עם פירוט השיקולים שיש לקחת בחשבון, דוגמת אופי הנכסים של הארגון, תמריצים אפשריים לתקיפה, השפעת מתקפת סייבר על המוניטין, וחשש מפני גניבת קניין רוחני.

שיקול נוסף שמציף המסמך מדבר על החשש שאירוע סייבר יוביל לתביעות משפטיות עקב טענות להפרה של חקיקה מצד הארגון, או להטלת סנקציות עליו. התפיסה היא שככל שמנהלי הארגון יחשבו שהסיכון הצפוי להם מתביעות או סנקציות גבוה יותר, כך יאמצו הגנת סייבר מחמירה יותר. עם זאת, למרבה האירוניה, דווקא השיקול הזה עלול להוביל ארגונים להפחית את רמת ההגנה שיעניקו ללקוחות שלהם, שכן הסיכון שצפוי לחברות מתביעות עקב דליפת מידע אישי, נמוך.

אסביר. התבוננות בדיני הגנת הפרטיות במדינת ישראל מגלה תמונה עגומה. החוק מיושן, חסר הסדרים בסיסיים שנוגעים למידע דיגיטלי, ואין בו הגנה על חלק ניכר מהזכויות המהותיות של מי שהמידע האישי שלהם נאסף על ידי חברות וארגונים (כמו, למשל, זכות החזרה מהסכמה או הזכות להישכח). אמצעי האכיפה והענישה הנתונים בידי הרשות להגנת הפרטיות חלשים ביותר ומתמצים בהטלת קנסות כספיים בסכומים נמוכים יחסית. תיקון החוק, שאמור היה להעניק לרשות להגנת הפרטיות סמכויות אכיפה ופיקוח מחמירות יותר, תלוי ועומד כבר משנת 2011. בינתיים, הרשות להגנת הפרטיות, על אף פעילותה בשנתיים האחרונות, משמשת יותר כגוף מנחה ומייעץ, אך נותרה חסרת שיניים.

לכן, ויותר מכל, המסמך של מערך הסייבר מלמד על סוג של מעגל קסמים: מצד אחד, המדינה השקיעה בהקמת מערך סייבר לאומי שיוביל לחיזוק הגנת מרחב הסייבר לטובת האזרחים. אלו מפקידים את המידע האישי הרגיש שלהם באתרי אינטרנט שונים, עושים שימוש בשירותים רפואיים ופיננסיים באמצעות יישומונים לטלפונים ניידים, ואמורים לעשות כן בידיעה שיש מי שמגן עליהם מכך שהמידע ידלוף ויוביל לסחיטתם על יד פושעים, לגניבת הזהות שלהם על ידי עבריינים, או אפילו לצורך שינוי פרמיות הביטוח שלהם.

מצד שני, מערך הסייבר עצמו מפרסם מסמך שמייעץ למנהלי חברות וארגונים לבצע הערכת סיכונים לפי הסיכון שיתבעו או יענישו אותם במקרה של פריצה. כל עוד מנהלים יעריכו, ובצדק, שהסיכון לארגון, ולהם אישית, מפני תביעות או סנקציות עקב דליפת מידע אישי הוא נמוך, המוטיבציה שלהם לבצע שיפור במתווה ההגנה בסייבר בארגון, תישאר נמוכה.

כדי לקטוע את מעגל הקסמים הזה, נדרשת תפיסה הוליסטית של מה שמכונה "מערך הגנת הסייבר". אין כל טעם בחיזוק רשות אחת, מערך הסייבר הלאומי, ללא תיקונים מהותיים בחוק הגנת הפרטיות ובלי חיזוק מקביל של הרשות לפרטיות וסמכויותיה. ככל שמדובר במרחב הסייבר האזרחי, חלק ניכר מן הפריצות יהיה כדי לאסוף מאגרי מידע אישי ולהשתמש בהם לצורך סחיטה אישית או לצורך מסחר בנתונים האישיים. לכן, פרטיות והגנת סייבר אינן עניין זהה, אבל הן תאומות סיאמיות. זו גם זו - הפרטיות ואבטחת הסייבר - אינן נושאים שבמחלוקת פוליטית, וחבל שנבחרי הציבור שלנו אינם מצליחים להתעלות מעל מחלוקות פוליטיות הנוגעות לנושאים אחרים לגמרי, ולתקן את המצב החוקי החסר בישראל.

פורסם לראשונה בהארץ.