לידיעתכם: חברות שאוספות עלינו מידע לא חייבות לדווח על פרצות אבטחה
עם זאת, במאי 2018 ייכנסו לתוקף, באיחוד האירופי, תקנות ה "GDPR", שיחייבו חברות שאוספות עלינו מידע פרטי, התנהגותי ופיננסי לדווח על כל פירצת אבטחה שהייתה להם וזאת תוך 72 שעות
חברות, תאגידים ואפילו אפליקציות, ממש לא ירצו שתדעו שהם חוו פרצת אבטחה כלשהי, על אחת כמה וכמה אם גנבו משרתי החברה מידע של לקוחותיה. במציאות בה אנו חיים כל אתר, אפליקציה או שירות אינטרנטי, יבקש מכם פרטים אישיים בדמות אימייל, טלפון, שם מלא, מיקום, שימוש במצלמה ועוד ולרוב אנו מאשרים הבקשות הללו.
אך מה יקרה כשהפרטים הללו יופצו ברבים? או מישהו ימנע גישה לשרתי החברה וידרוש כופר? אם הדבר נשמע לכם הזוי או בדיה כלשהי, כדאי שתהיו מעודכנים. במציאות שלנו דברים מסוג זה קורים כמעט על בסיס יומי. מרבית עיסוקם של ההאקרים הינו פריצה (Hack) לחברות, ארגונים ואפליקציות כדי לסחוט אותם או לסחור במידע שהם מצליחים לחלץ מאותן חברות. ביקשנו מעו"ד ניר אלקבץ, המתמחה בפשעי סייבר לשפוך אור על הנושא.
"חשיפה ופרסום של פרטים וחומרים אישיים היא בעיה אמיתית וקשה, אף אחד לא רוצה להתעורר בוקר אחד ולגלות שהמידע הפרטי של לקוחותיו וכן המידע הארגוני שלו מופצים ברשת האינטרנט", אומר אלקבץ. "פרטיותו של אדם מעוגנת בחוקי היסוד של מדינת ישראל (חוק יסוד כבוד האדם וחירותו) וכן בחוקים נוספים. אתם וודאי שואלים את עצמכם, איך הדבר קורה, כמעט על בסיס יומי ואנו לא שומעים על כך? ובכן התשובה די פשוטה. כלל החברות פשוט לא רוצות שתדעו. עו"ד רונן מאיר, המתמחה בפשעי סייבר: "אחד השיקולים הקשים שיש לחברה שסבלה/ת מפרצת אבטחה הוא האם לדווח על כך לרשויות. במקרים כאלה, השיקול הוא מה יסב לה יותר נזק, לשלם כופר/דמי סחיטה להאקר ולחזור לשגרת פעילות? או שמא הנזק התדמיתי?״ לרוב ניתן להבין כי הנזק שבפרסום הפריצה עולה משמעותית על נזקי הפריצה עצמה".
אז מה לעשות במידה והותקפתם?
בראש ובראשונה תצטרכו להגיש תלונה בתחנת המשטרה הקרובה לאזור מגורכם, ואז התלונה אמורה לעבור לטיפול יחידות הסייבר המחוזיות או יחידת הסייבר הארצית הלהב 433. "כשאזרחים ניגשים לתחנה כדי להגיש תלונה, מי שיגבה מהם עדות לא בהכרח ידע לשאול את השאלות הנכונות וזה יכול ליצור בעיה בהמשך טיפול התלונה, מכיוון שכך מומלץ לפנות, טרם הגשת התלונה, לעורך דין שמתמחה בתחום אשר יכינם להגשת התלונה במשטרה באמצעות העברת החומרים הרלבנטיים ובכך הסיכוי שהתלונה תטופל כיאות יהיה משמעותי הרבה יותר ואף בפיקוח משפטי של עורך דין. בנוסף, תשמרנה זכויותיו של קורבן העבירה במגוון תחומים (מניעת נזק מתמשך, החזרת מידע שנגנב וכו') מול גופי האכיפה" מסביר עו"ד ניר אלקבץ.
חשוב להבין, כי בעבר היו מקרים בהם חברות נסגרו, איבדו מערך המניה שלהן, קרסו כלכלית ותדמית החברה נפגעה באופן קשה כתוצאה מתקיפות סייבר וגניבת מידע. ומכיוון שלרוב מדובר בתאגידים בעלי גב כלכלי ומשאבים גדולים, מקרים אלה לרוב מטופלים הרחק מאור הזרקורים.
במאי 2018, ייכנסו לתוקף, באיחוד האירופי, תקנות ה "GDPR", שיחייבו חברות שאוספות עלינו מידע פרטי, התנהגותי ופיננסי לדווח על כל פירצת אבטחה שהייתה להם וזאת תוך 72 שעות, וכן לעמוד בביקורות ועוד. במידה ולא יעשו כן, תהיינה החברות חשופות לקנסות כבדים, עד 4% מהמחזור השנתי או 20 מיליון אירו, ללא צורך באישור בית משפט. כמובן שחברות גדולות ותאגידים יוכלו לעמוד בקנסות, ואלה הקטנות, לא.
חשוב להוסיף כי התקנות הללו יחולו הן על חברות שלקוחותיהן, או חלקם ממוקמים בשטחי האיחוד האירופי ו/או אם יש לחברות סניפים או עובדים בשטחי האיחוד ולפיכך תהיה לכך השפעה מיידית גם על השוק הישראלי.
עו״ד ניר אלקבץ מומחה בעבירות מחשב וסייבר שימש מפקד החקירות של יחידת הסייבר בלהב 433