$
בארץ

אחרי עיכוב של שבע שנים: גם עסקים קטנים יחויבו בתקנות אבטחת מידע

הכנסת צפויה לאשר תקנות חדשות לאבטחת מידע ולהחילן על כלל בעלי העסקים בישראל. הבנקים, חברות הביטוח ומשרד הפנים כבר ביקשו החרגה

שחר אילן 07:0413.03.17

תקנות חדשות להגנה על הפרטיות יחילו לראשונה כללי אבטחה משמעותיים על מאות אלפי בעלי עסקים קטנים ובינוניים, בעלי מקצועות חופשיים, חברות קטנות ועמותות. לאחר עיכוב של שבע שנים, אישור התקנות כמעט הסתיים בכנסת. מובילת תהליך האישור, ח"כ רויטל סויד (המחנה הציוני), מקווה לסיימו בשבועיים הקרובים.

 

את התקנות יזמה הרשות למידע וטכנולוגיה במשרד המשפטים (רמו"ט). הכנתן החלה בראשית העשור, אך התעכבה, בין היתר, בשל חוסר עניין שגילו שרי המשפטים הקודמים. השרה הנוכחית, איילת שקד, החליטה לקדמן.

 

התקנות החדשות יחולו על כלל הגופים הציבוריים בישראל. זאת בעוד שלהבדיל ממאגרי מידע גדולים, כמו של בנקים ושל קופות חולים, אינספור מאגרי מידע קטנים יותר, כמו של עורכי דין, מרפאות וקוסמטיקאיות, אינם נתונים כמעט לפיקוח. "אבסורד שעד היום, עם כל הקידמה הטכנולוגית, לא חוקקנו כללים שיגנו על הזכויות שלנו לגבי המאגרים של הקוסמטיקאית ועורך הדין", אומרת סויד. התקנות מחלקות את מאגרי המידע לארבעה סוגים, לפי מספר בעלי ההרשאות, מספר האנשים שיש עליהם נתונים ורגישות החומר. לדוגמה, מאגרים של פסיכולוגים, רופאים, רואי חשבון ועורכי דין לא יהיו ברמת האבטחה הנמוכה ביותר בשל רגישות המידע.

 

 

כל בעלי המאגרים, מכל רמות האבטחה, ידרשו לכתוב מסמך מפורט על המאגר והסיכונים בו ולעדכן אותו בקביעות. בנוסף, בתקנות נכתב כי בכל רמות האבטחה, המאגר "ישמר במקום מוגן המונע חדירה וכניסה אליו בלא הרשאה". לטענת רמו"ט, הכוונה היא להגנות תוכנה ולא לדרישה מחמירה לחדר נפרד, אבל בפועל הטקסט קובע.

בנוסף, התקנות מחייבות את בעלי המאגרים לדווח על דליפת מידע לרמו"ט, שעשויה להחליט לפרסם את הדליפה לציבור. יש מי שמבקשים להחריגם מתקנה זו: הבנקים מבקשים לדווח על דליפות נתונים רק לבנק ישראל, בטענה שפרסום עלול לגרום לפאניקה ציבורית ולקריסת הבנק. מלבדם עוד גופים חזקים במשק — בנק ישראל ורשות שוק ההון, משרד הפנים וחברות הביטוח והתקשורת — מבקשים שחלק מהתקנות לא יחולו עליהם. זאת בין היתר בטענה שתיווצר כפילות בעייתית בפיקוח.

 

לטענת עו"ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות, ראוי היה שהדיווח לציבור על כל דליפת מידע יהיה חובה ולא אפשרות. "אם לא נאמץ תקנות מחמירות ונגביל גישה למאגרים, חברות ההייטק יאבדו את הזכות לעבד מידע על אזרחי האיחוד האירופי", אמר קלינגר בדיון בוועדה. "אי אפשר אפילו לדמיין את הנזק שיגרם לכלכלה הישראלית".

 

כיוון שארגונים גדולים כבר משקיעים הרבה כסף באבטחת מידע, תוספת העלויות העיקרית צפויה לעסקים הקטנים והבינוניים. סביר להניח שחלק ניכר מהעלות הזו עבור אותם עסקים תהיה שכירת שירותי יועץ אבטחת מידע ומינוי והכשרה של ממונה על אבטחת מידע. העלות הצפויה המוערכת לעסק קטן תנוע בין מאות לאלפי שקלים לשנה. עם זאת, ראש רמו"ט אלון בכר טען בדיוני הוועדה שההוצאות הן "לא ברמה שתמוטט גופים".

 

בנוסף, בשל שכירת שירותי אבטחת מידע, ההערכה היא שהענף יזכה לזינוק משמעותי לאחר אישור התקנות.

 

מי שנכחו פחות בדיונים הם דווקא נציגי העסקים הקטנים והבינוניים. יו"ר לשכת ארגוני העצמאים רועי כהן אומר שההסדרה של התקנות טובה לעסקים, כיוון ש"נושא בטיחות המידע פרוץ מכל הכיוונים ועסקים מקבלים תביעות ייצוגיות".

 

עם זאת, לטענתו, "אם המוסך ובית המרקחת יצטרכו לממן יועץ אבטחת מידע, הצרכן ישלם יותר" כי אלו יגלגלו את ההוצאות לכיסי הלקוחות. לטענת הילי זליבנסקי מאגף המחשוב בעיריית תל אביב, רשויות מקומיות קטנות לא יוכלו לעמוד בהוצאות.

 

אחת הבעיות עם התקנות החדשות היא היעדר סנקציות. ח"כ יוליה מלינובסקי (ישראל ביתנו) טוענת כי רמו"ט חסרת שיניים, שכן האיום היחיד שיש בידי הרשות על העסקים היא האפשרות שתפרסם לציבור את העובדה שהפרו את התקנות.

 

מלשכת שרת המשפטים איילת שקד נמסר כי השרה החליטה לקדם את התקנות בגלל שתי סיבות. אחת היתה "האיום של האיחוד האירופי להסיר לנו את התואר adequacy שניתן רק ל-12 מדינות בעולם". המעמד הזה מאפשר לחברות ישראליות לעבד מידע על אזרחי האיחוד. השנייה "מכיוון שהחברות (גם הקטנות והבינוניות) טענו שזה טוב להן כי אז יש סטנדרט ברור. רק מהחשש שלא יעמדו ברף הנדרש. הרף בתקנות שקבענו הוא מינימאלי". לפני קבלת ההחלטה השרה נפגשה עם נציגי העסקים והעבירה את התקנות לאיגוד לשכות המסחר שברך.

בטל שלח
    לכל התגובות
    x