כל קוסמטיקאית, בעל חנות וגננת צריכים להיות מגיני סייבר
מה משמעות החלת תקנות אבטחת המידע על עסקים קטנים ובינוניים שמנהלים מאגר ממוחשב עבור בעלי העסקים
- מחקר ישראלי: כך האקר יכול לדעת באיזה סרט אתם צופים בלי לפרוץ למחשב
- אחרי עיכוב של שבע שנים: גם עסקים קטנים יחויבו בתקנות אבטחת מידע
- מחקר אמריקאי: 70% מהעסקים שנפגעו מנוזקות כופר משלמים אותו
התקנות החדשות חלות על כלל הגופים הציבוריים בישראל, על החברות הגדולות במשק, ובפעם הראשונה, גם על עסקים קטנים ובינוניים המנהלים מאגר ממוחשב עם פרטי לקוחותיהם. התקנות מחלקות לארבע את הרמות האבטחה הנדרשות על מאגרי מידע, בהתאם לאופי המאגר והגורם המחזיק אותו. החל ממאגר המנוהל על-ידי יחיד, דרך רמה בסיסית, בינונית וגבוהה. הדרישות לאבטחת המידע עולות ככל שעולים בהגדרה של רמת האבטחה.
מאגר המנוהל על-ידי יחיד, על-פי התקנות, הינו מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד, ואשר רק אותו אדם ולכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש. זאת בתנאי שלא מדובר במאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך העברה שלו לצד שלישי; מאגר שיש בו מידע אדות עשרת אלפים איש ומעלה או מאגר שבעליו כפוף לחובת סודיות מקצועית, כמו עורך-דין או רופא.
אך גם אם עסק קטן יצליח לענות על ההגדרה של מאגר המנוהל על-ידי יחיד, יחולו גם עליו חובות רבות. כך יהא עליו לנסח מסמך הגדרות למאגר שלו, שיכלול תיאור כללי של כל פעולות איסוף המידע למאגר והשימוש בו, תיאור מטרות השימוש במידע ופרוט סוגי המידע המצויים במאגר. יהא עליו לדאוג שלמידע תהיה גישה רק למי שמורשה לכך על-ידו, ובעיקר לדאוג שהמחשב שלו יישמר במקום מוגן שאי אפשר להיכנס אליו ללא הרשאה והתואם את אופי הפעילות של המאגר ורגישות המידע המצוי בו.
אבל בכך לא די. אותו בעל עסק קטן מחוייב על-פי התקנות לתעד כל מקרה שבו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע המצוי במחשב שלו או לשימוש בו ללא הרשאה או חריגה מהרשאה; יהא עליו להגביל שימוש בהתקנים ניידים, כמו דיסק און קי, רק לאותם מקרים בהם בדק את ההתקן וראה שהוא תקין והבטיח, כי מידע שיועתק להתקן אכן ישמר מאובטח; יהיה עליו להפריד בין המאגר שבו מצוי המידע האישי של לקוחותיו מיתר מערכות המחשב שלו; לדאוג לתוכנות אבטחת מידע ולעדכון שלהם אחת לתקופה סבירה; הוא יהיה מחוייב לאבטח את התקשורת, ככל ויבקש להעביר מידע אישי דרך רשת האינטרנט. ללא ספק, מעמסה לא קטנה.
עסקים קטנים קצת פחות יחוייבו, בנוסף לאמור, אף למנות ממונה אבטחת מידע, להכין נוהל אבטחת מידע אשר יעודכן לפחות אחת לשנה, תכנית בקרה שוטפת העומדת בהוראות התקנות תוך הקפדה על ביצועה, מסמך הכולל תיאור מבנה המאגר ורשימת מצאי מעודכנת של מערכות המאגר, להקפיד לגייס כוח אדם המתאים לקבל הרשאת גישה למאגר שלו תוך הקפדה על הכללים, נוהל מסודר של הרשאות גישה למאגר; לקיים שורה של הוראות אבטחת מידע כאשר הוא משתמש בשרותי מיקור חוץ.
"כאב הראש" הזה של בעלי העסקים הקטנים, הוא הביטחון שלנו. התקווה של הרשות שיזמה את קבלת התקנות ואמונה על אכיפתן, הרשות למשפט טכנולוגיה ומידע במשרד המשפטים (רמו"ט), הינה שהעיסוק בקיום החובות על-פי התקנות יגרור עיסוק קבוע בשאלה: האם המידע שמצוי בכל עסק, קטן כגדול, אכן מאובטח. יש לקוות שכך אכן יקרה.
הכותב עומד בראש משרד דן חי ושות' המתמחה בדיני תקשורת, טכנולוגיה וסייבר ועומד בראש הוועדה להגנת הפרטיות של לשכת עורכי הדין וליווה מטעמה את הליך אישור תקנות אבטחת המידע בכנסת