סקר: בישראל רוב הגופים שומרים תיעוד של אירועי אבטחת מידע שאירעו אצלם
מאת:
מערכת Telecom News, 26.2.20, 14:26
הרשות להגנת הפרטיות ביצעה, במסגרת הליך בדיקה בינלאומי, סקר בקרב גופים ציבוריים ופרטיים במשק, לבחינת אופני הדיווח של גופים אלה במקרים של אירועי אבטחה (Data Breach). מה היו התוצאות בארץ מול הסקירה הבינלאומית?
הרשות להגנת הפרטיות במשרד המשפטים ביצעה, במסגרת הליך בדיקה בינלאומי, שנערך במקביל ע"י רשויות אכיפה להגנה על מידע אישי, שחברות בארגון גג בינלאומי (
GPEN - Global Privacy Enforcement Network), בו הרשות מייצגת את ישראל ומשמשת כנציגה בוועד המנהל שלו, סקר (המכונה
(Sweep, בקרב גופים ציבוריים ופרטיים במשק, לבחינת אופני הדיווח של גופים אלה במקרים של אירועי אבטחה (
Data Breach).
השנה לקחו חלק בהליך הבדיקה 16 רגולטורים מהעולם.
הרשות בחנה, בין היתר, את רמת המודעות של גופים אלה לחובת הדיווח במקרים של אירועי אבטחה חמורים על פי תקנות הגנת הפרטיות (אבטחת מידע) והאמצעים בהם נוקטים הגופים השונים למניעת הישנותם של אירועי אבטחה חמורים. כחלק מהתהליך, גופים, שהתגלו אצלם בעבר אירועי אבטחה, נדרשו להציג מסמכים שיוכיחו כי הליקויים תוקנו.
במסגרת הפעילות נבחנו סך כולל של 1,145 גופים מרחבי העולם. יודגש, שבעוד שבישראל השיבו על השאלונים
כל הגופים אליהם פנתה הרשות, בעולם סיפקו מענה לשאלונים, שנשלחו במסגרת הליך הבחינה, רק כ-21% מהגופים בממוצע. הסיבה לכך היא, שלרשות להגנת הפרטיות בישראל סמכות לפי חוק הגנת הפרטיות לדרוש ידיעות ומסמכים מגופים המנהלים מאגרי מידע, סמכות, שלא קיימת לכלל ארגוני האכיפה בעולם.
תובנות מהסקירה הבינלאומית:
84% מהגופים, שנבדקו כחלק מהבדיקה הבינלאומית של
GPEN, הצהירו, שהם מנהלים מנגנוני ונהלי עבודה לדיווח על אירועי אבטחת מידע. כ"כ, הגופים הצהירו, שהגדירו צוותים הממונים על טיפול באירועי אבטחת מידע.
ממצאי הבדיקה בישראל דומים לאלה, שהתקבלו בבדיקה של רשת
GPEN ביחס לשאר העולם. כך, מרבית הגופים, שהשיבו לשאלונים (82%), הציגו מודעות גבוהה יחסית לממצאי ה-
GPEN, להוראות חוק הגנת הפרטיות ולתקנות מכוחו, כמו גם לפרקטיקות לטיפול באירועי אבטחה חמורים.
הרשות להגנת הפרטיות אף פנתה במסגרת הבדיקה לגופים, שהתנהלו בעניינם תיקי פיקוח בעבר ושקיבלו הנחיות לתיקון ליקויים בעקבות אירועי אבטחת מידע קודמים. מהסקירה עלה, שמרביתם השלימו את יישום ההנחיות, שניתנו להם, והשאר מצויים בתהליך של השלמת יישום ההנחיות.
ב-12 מתוך 16 המדינות או תחומי השיפוט, שהשתתפו בבדיקה הבינלאומית, קיימת חובת דיווח על אירועי אבטחת מידע, אך אלה מוגדרים באופן מעט שונה ממדינה למדינה.
בישראל, חובת הדיווח על אירועי אבטחה חמורים קבועה בתקנות הגנת הפרטיות (אבטחת מידע). על פי תקנות אבטחת מידע, בעל מאגר מידע, שחלה עליו חובת אבטחה בינונית או גבוהה, מחויב להודיע לרשות להגנת הפרטיות בהתרחש אירוע אבטחת מידע חמור באופן מידי, ולדווח על הצעדים שנקט בעקבות האירוע. כ"כ, על פי התקנות, מחויבים הגופים בסדרת פעולות, שנועדו לייצר זיכרון ארגוני ולהפיק מהם לקחים עתידיים, וזאת כחלק מחובת תיעוד אירועי האבטחה.
השוואת תוצאות הסקירה בישראל לעומת הסקירה הבינלאומית:
דיווח על אירוע אבטחה:
מממצאי הסקירה הבינלאומית, עולה שמתוך 1,198 אירועי האבטחה, שאירעו ב-258 ארגונים, 36 אירועים דווחו לגופי האכיפה ולרגולטורים ולא לאנשים, שעלולים היו להיפגע מן האירועים, ו-157 אירועים דווחו לאנשים, שעלולים היו להיפגע מן האירוע אך לא לגופי האכיפה ולרגולטורים.
בישראל, חובת הדיווח היא לרשות להגנת הפרטיות. על אף האמור, הבדיקה בישראל העלתה, שבמיעוט של המקרים (9%) דווח האירוע גם לאנשים, שהיו עלולים להיפגע מן האירוע.
כלים:
מרבית הגופים, שנבדקו בישראל (64%) ציינו, שהמידע והכלים, שמספקת הרשות להגנת הפרטיות בנוגע לדיווח על אירועי אבטחת מידע, כמו מדריכים ומידע באתר, טפסים מקוונים ודיווח מקוון על אירועי אבטחה חמורים, סייעו או מסייעים להם בטיפול באירועי אבטחת מידע ושגם הליכי הפיקוח, שניהלה מולם הרשות להגנת הפרטיות, סייעו להם בתהליך התחקור והטיפול באירוע.
לעומת זאת, מהבדיקה הבינלאומית עולה, שרק מיעוטם של הגופים (36%) השיבו, שהמידע והכלים, שמספקים הרגולטורים, הם שימושיים. בנוסף, גופים קטנים יותר מבחינת גודל המאגר ומספר בעלי ההרשאה למאגר ציינו, שהם מתקשים להתמודד עם הנחיות רבות ועם חוסר במשאבים או מומחיות בנושא, וכי קשיים אלה מונעים מהם לפתח מדיניות או נהלים מסודרים בנושא.
תיעוד אירועי אבטחה:
83% מהגופים בעולם שומרים תיעוד עדכני של אירועי אבטחת מידע או אירועים, שיש להם פוטנציאל להתגבש לאירועי אבטחת מידע. בדומה, בישראל, מירב הגופים (82%) שומרים תיעוד של אירועי אבטחת מידע, שאירעו אצלם.
בעולם, למעלה מ-30% מהגופים דיווחו, שהם לא מקיימים ביקורות תקופתיות או הערכה עצמית בנוגע לתוכניות אבטחת המידע. בישראל, לעומת זאת, אחוז הגופים, שדיווחו על קיום ביקורות תקופתיות ובחינת ביצועיהם בנוגע למצב אבטחת המידע נמצא גבוה יותר - 82%.
יצוין, כי מאז כניסתן של תקנות הגנת הפרטיות (אבטחת מידע) לתוקף במאי 2018, דווחו לרשות להגנת הפרטיות מעל ל-150 אירועי אבטחת מידע חמורים. אולם, ההערכה היא, שקיימים אירועים נוספים, שלא דווחו, כפי שמחייבות התקנות, ובכוונת הרשות לחקור כל הפרה של הוראות חוק הגנת הפרטיות והתקנות מכוחו.
עו"ד
לינא כמאל – טרודי, הממונה על האכיפה המנהלית ברשות: "חובת הדיווח לרשות על אירועי אבטחת מידע חמורים מהווה נדבך חשוב במדיניות אבטחת המידע ובהליך התיעוד, התחקור והמניעה של ארגונים בהתמודדותם עם עולם חדש של סיכוני אבטחה. אנו ברשות שמחנו לגלות, שמצב הדיווח בישראל אינו שונה מזה שבשאר המדינות שנבדקו, וממשיכים ללוות את הארגונים ולסייע להם בטיפול באירועי אבטחה חמורים.
במקביל, אנו דואגים לקיים הליכי אכיפה במקרים בהם לא עמד הארגון בחובותיו, ובמסגרת זו גם בחובת הדיווח לרשות, ובמידת הצורך אף קובעים הפרה ומפרסמים פרטיהם של גופים, שהפרו את הוראות חוק הגנת הפרטיות.
תחקור אירועי אבטחה חמורים ע"י הארגון, מגלה פעמים רבות ליקויים במדיניות ונהלי אבטחת המידע שלו ובמערכות ההגנה שלו, ועשוי למנוע נזקים גדולים לארגון ופגיעה בשמו הטוב".