בעת האחרונה, מדינת ישראל חווה תקיפות סייבר מרובות. כך לאחרונה חברות רבות במשק חוות אירועי סייבר, בתי חולים ואף משרד הביטחון. תקיפת סייבר הינה תקיפה דיגיטלית וטכנולוגית, בדגש כיום על תקיפה של מערכות מידע מקושרות.
בגלל אופייה הדיגיטלי של תקיפת הסייבר, לתוקף קיימת היכולת לנדוד בין מערכת למערכת, להגיע לשרתים המכילים מידע רגיש וסודי של חברות ואף למידע אישי של אנשים פרטיים.
במצבים בהם מתרחשת תקיפת סייבר, אשר מערבת סוגים שונים של מידע, אותו ארגון צריך לשאול את עצמו האם עליו לדווח על אותו אירוע, ואם כן למי.
מהן החובות במקרים של תקיפות סייבר?
כאמור, תקיפות סייבר יכולות לפגוע בכל ארגון, בין אם ממשלתי ובין אם פרטי. אותו ארגון שנפגע צריך לבצע את הבאים:
1. לעשות בקרת נזק כדי לבדוק איזה מידע (אם בכלל) נחשף או דלף.
2. לשאול את עצמו האם יש לו רגולטור ספציפי שהוא צריך ליידע אותו בדבר אותו אירוע?
נתייחס לשתי הנקודות בנפרד.
מה בדיוק נחשף או דלף?
ראשית, ארגון צריך לוודא עם עצמו מה בדיוק קרה. כלומר, איך פרצו אליו, מה נפגע, לאן פרצו, לאיזה מידע הייתה גישה, האם המידע זלג ממערכות המידע של אותו ארגון וכו'.
אם נשים דגש רגע על שאלת המידע שדלף, ישנם שני סוגים עיקריים של מידע שאפשר להפריד ביניהם – מידע סודי/עסקי ומידע אישי (השייך לאנשים בשר ודם).
ביחס למידע סודי/עסקי, ברמת הדיווח השאלה העיקרית היא גודל האירוע ואופיו וההשפעה שלו על אותו ארגון, שכן החובה לדיווח תהיה בעיקר מכוח כפיפות לרגולטור מסוים.
ביחס למידע אישי, הדיווח יידרש להיות לרשות להגנת הפרטיות. הדיווח לרשות להגנת פרטיות מותנה ברמת האבטחה של מאגר המידע, בו המידע היה מצוי וכן בנסיבות האירוע.
קיימים שלוש סוגים של רמות אבטחה לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, מאגר בסיסי שאינו חייב בדיווח, מאגר בינוני שחייב בדיווח רק אירוע קרה בחלק מהותי ממנו ומאגר גבוה אשר יהיה חייב בדיווח על כל אירוע אבטחת מידע שעלול לפגוע בשלמות המידע אישי.
לכן, ארגונים יידרשו לשאול את עצמם, מהו המידע שנפגע, אם מדובר במידע אישי, מאיזה מאגר מידע הוא, ומהי רמת אבטחת המידע של אותו מאגר. אציין שמאגר יחשב ברמת אבטחת מידע גבוהה, אם יש בו מעל ל-100,000 נושאי מידע או מעל 100 מורשי גישה (גורמים שונים שיכולים לגשת למידע שבמאגר).
הרשות להגנת פרטיות, פרסמה רשימה של מקרים בהם גופים יידרשו לדווח על אירועי אבטחת מידע הקשורים במידע אישי.
חשוב לציין, שאין חובה בדין לדווח לנושאי מידע שנפגעו מהאירוע, אלא רק אם הרשות להגנת פרטיות הורתה על כך.
האם עליי לדווח לגורם נוסף מלבד הרשות להגנת פרטיות?
בתמצית, התשובה היא תלוי.
תלוי האם הארגון שחווה את האירוע, הוא ארגון מפוקח, למשל בנק, גוף מוסדי, בית-חולים וכו׳ והאם מדובר בחברה ציבורית.
במקרים בהם מדובר בארגון אשר יש לו רגולטור ספציפי, ובמקרה של אירוע סייבר, אותו ארגון יידרש לבחון דיווח גם אם מדובר במידע שאיננו מידע אישי, מאחר והמבחנים הם שונים. כך למשל, אם בנק יחווה אירוע אבטחת מידע, ביחס למידע אישי במערכותיו, הוא יידרש לבחון דיווח למפקח על הבנקים וגם לרשות להגנת פרטיות.
בנוסף, יידרש לקחת בחשבון, נוכח היותו מונפק בבורסה, לבחון את הצורך בדיווח מידי לבורסה, זאת במסגרת אירוע אבטחת מידע מהותי החורג מעסקי התאגיד הרגילים.
שאלות נוספות שחשוב לשאול אשר יכולות להשפיע על חובות הדיווח השונות, הינן האם התקיפה או האירוע גרמו לפגיעה מהותית לאותו ארגון (למשל – השפעה משמעותית על מצבו הפיננסי, שינוי במדיניות החברה בעקבות האירוע וכו'), האם קיימת דרישת כופר, כשלים טכנולוגיים מהותיים וכו'.
רק אציין שניתן לדווח בנוסף למערך הסייבר הלאומי אשר משמש כארגון מייעץ לעניין אירועי סייבר, אולם מדובר בבחירה ולא בחובה.
הכותב הוא מומחה למשפט וטכנולוגיה
אין באמור לעיל בכדי להוות משום יעוץ משפטי או תחליף לייעוץ משפטי או חוות דעת משפטית