$
הכסף

כל קוסמטיקאית, בעל חנות וגננת צריכים להיות מגיני סייבר

מה משמעות החלת תקנות אבטחת המידע על עסקים קטנים ובינוניים שמנהלים מאגר ממוחשב עבור בעלי העסקים

עו"ד דן חי 13:2623.04.17
מה יודעת עלינו הקוסמטיקאית שלנו? לעיתים, הרבה מאוד. היא יודעת מה הרגישויות שלנו, מאיזה מחלות עור סבלנו, על ניתוחים שעברנו ועוד שלל בעיות רפואיות. אפילו חנות החיות שלנו והגן שבו לומדים הילדים שלנו שומרים עלינו פרטים רגישים כמו מספרי טלפון, כתובות מייל ומידע אישי נוסף. את כל המידע הזה היו רושמים פעם בכרטיסיות ידניות, אבל היום הוא נמצא במחשבים של אותם עסקים ונחשב למאגר מידע לפי החוק. לא נרצה הפרטים שמצויים במאגרים ידלפו. נצפה שבתי העסק הללו ישמרו עליהם וידאגו לאבטח את המידע.
אותה קוסמטיקאית, השומרת מידע אישי רגיש על לקוחותיה, עמדה מול עיניהם של חברי ועדת חוקה חוק ומשפט של הכנסת, כאשר אישרו לאחרונה תקנות אבטחת מידע חדשות. הבשורה הבולטת של התקנות הינה, שאם אבטחת מידע הייתה תמיד "כאב ראש" של החברות הגדולות ועסקים קטנים לא הקדישו לכך זמן, עכשיו עם קבלת התקנות החדשות, המצב עומד להשתנות. מאות אלפי עסקים קטנים, עמותות ובעלי מקצועות חופשיים יצטרכו מעתה לדאוג לאבטח את המידע שברשותם.

 

גם בעלי עסקים קטנים מחוייבים להגן על המידע שברשותם גם בעלי עסקים קטנים מחוייבים להגן על המידע שברשותם צילום: shutterstock

 

התקנות החדשות חלות על כלל הגופים הציבוריים בישראל, על החברות הגדולות במשק, ובפעם הראשונה, גם על עסקים קטנים ובינוניים המנהלים מאגר ממוחשב עם פרטי לקוחותיהם. התקנות מחלקות לארבע את הרמות האבטחה הנדרשות על מאגרי מידע, בהתאם לאופי המאגר והגורם המחזיק אותו. החל ממאגר המנוהל על-ידי יחיד, דרך רמה בסיסית, בינונית וגבוהה. הדרישות לאבטחת המידע עולות ככל שעולים בהגדרה של רמת האבטחה.

עו"ד דן חי עו"ד דן חי צלם: ערן לוי

 

מאגר המנוהל על-ידי יחיד, על-פי התקנות, הינו מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד, ואשר רק אותו אדם ולכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש. זאת בתנאי שלא מדובר במאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך העברה שלו לצד שלישי; מאגר שיש בו מידע אדות עשרת אלפים איש ומעלה או מאגר שבעליו כפוף לחובת סודיות מקצועית, כמו עורך-דין או רופא.

 

אך גם אם עסק קטן יצליח לענות על ההגדרה של מאגר המנוהל על-ידי יחיד, יחולו גם עליו חובות רבות. כך יהא עליו לנסח מסמך הגדרות למאגר שלו, שיכלול תיאור כללי של כל פעולות איסוף המידע למאגר והשימוש בו, תיאור מטרות השימוש במידע ופרוט סוגי המידע המצויים במאגר. יהא עליו לדאוג שלמידע תהיה גישה רק למי שמורשה לכך על-ידו, ובעיקר לדאוג שהמחשב שלו יישמר במקום מוגן שאי אפשר להיכנס אליו ללא הרשאה והתואם את אופי הפעילות של המאגר ורגישות המידע המצוי בו.

 

אבל בכך לא די. אותו בעל עסק קטן מחוייב על-פי התקנות לתעד כל מקרה שבו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע המצוי במחשב שלו או לשימוש בו ללא הרשאה או חריגה מהרשאה; יהא עליו להגביל שימוש בהתקנים ניידים, כמו דיסק און קי, רק לאותם מקרים בהם בדק את ההתקן וראה שהוא תקין והבטיח, כי מידע שיועתק להתקן אכן ישמר מאובטח; יהיה עליו להפריד בין המאגר שבו מצוי המידע האישי של לקוחותיו מיתר מערכות המחשב שלו; לדאוג לתוכנות אבטחת מידע ולעדכון שלהם אחת לתקופה סבירה; הוא יהיה מחוייב לאבטח את התקשורת, ככל ויבקש להעביר מידע אישי דרך רשת האינטרנט. ללא ספק, מעמסה לא קטנה.

 

עסקים קטנים קצת פחות יחוייבו, בנוסף לאמור, אף למנות ממונה אבטחת מידע, להכין נוהל אבטחת מידע אשר יעודכן לפחות אחת לשנה, תכנית בקרה שוטפת העומדת בהוראות התקנות תוך הקפדה על ביצועה, מסמך הכולל תיאור מבנה המאגר ורשימת מצאי מעודכנת של מערכות המאגר, להקפיד לגייס כוח אדם המתאים לקבל הרשאת גישה למאגר שלו תוך הקפדה על הכללים, נוהל מסודר של הרשאות גישה למאגר; לקיים שורה של הוראות אבטחת מידע כאשר הוא משתמש בשרותי מיקור חוץ.

 

"כאב הראש" הזה של בעלי העסקים הקטנים, הוא הביטחון שלנו. התקווה של הרשות שיזמה את קבלת התקנות ואמונה על אכיפתן, הרשות למשפט טכנולוגיה ומידע במשרד המשפטים (רמו"ט), הינה שהעיסוק בקיום החובות על-פי התקנות יגרור עיסוק קבוע בשאלה: האם המידע שמצוי בכל עסק, קטן כגדול, אכן מאובטח. יש לקוות שכך אכן יקרה.

 

הכותב עומד בראש משרד דן חי ושות' המתמחה בדיני תקשורת, טכנולוגיה וסייבר ועומד בראש הוועדה להגנת הפרטיות של לשכת עורכי הדין וליווה מטעמה את הליך אישור תקנות אבטחת המידע בכנסת
בטל שלח
    לכל התגובות
    x