הרשות להגנת הפרטיות פרסמה להערות הציבור (1.2.2026) טיוטת גילוי דעת, המבקשת לצקת תוכן קונקרטי למונח העמום "אמצעים מקובלים", המופיע בתקנה 9(א) לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017. התקנה מחייבת כיום את בעלי השליטה במאגרי מידע לנקוט אמצעים טכנולוגיים כדי לוודא שרק מורשים יוכלו לגשת למערכות, אך אינה מפרטת באילו טכנולוגיות יש להשתמש. לאור זאת, הרשות מבהירה כי הנטל להוכיח שהאמצעים שנבחרו הם אכן מספקים מוטל על כתפי הארגון, ומציגה במסמך מתודולוגיה סדורה המבוססת על תקינה בינלאומית, שנועדה להתאים את מנגנוני ההזדהות לרמת הסיכון של המאגר.
בליבת המסמך עומד הצורך במעבר משיטות אימות מיושנות למנגנונים מודרניים של אימות רב-גורמי (MFA). הרשות מסווגת את שיטות האימות לשלוש קטגוריות מרכזיות: "משהו בידיעתך" (כגון סיסמה או קוד PIN), "משהו בבעלותך" (כגון כרטיס חכם, מכשיר נייד המקבל קוד OTP או מפתח אבטחה פיזי), ו"משהו שאתה" (זיהוי ביומטרי כגון טביעת אצבע או זיהוי פנים). הרשות מדגישה באופן מפורש כי מספר תעודת זהות אינו נחשב לגורם אימות סודי, ולכן אין להסתמך עליו ככזה. המסמך מעודד שילוב של שניים מתוך הגורמים הללו באופן בלתי תלוי, פרקטיקה המקשה באופן ניכר על תוקפים לפרוץ למערכות, שכן השגת הסיסמה לבדה לא תאפשר גישה למידע.
כדי ליצור אחידות במשק, הרשות מאמצת את המדד של המכון הלאומי לתקנים וטכנולוגיה של ארה"ב (NIST) ומגדירה שלוש רמות אימות מדורגות. רמה 1 מתייחסת לאימות בסיסי, לרוב באמצעות סיסמה בלבד, ומספקת ביטחון מוגבל. רמה 2 מחייבת אימות רב-גורמי, כאשר הרשות מציינת שעדיף להשתמש באמצעים המוגנים מפני התחזות (Phishing Resistant), כגון אפליקציות אימות מאובטחות, על פני מסרונים פשוטים. רמה 3, שהיא המחמירה ביותר, דורשת אימות באמצעות רכיב חומרתי קריפטוגרפי (כגון כרטיס חכם או מפתח פיזי) שאינו ניתן לשכפול או לייצוא, ומבטיח עמידות מלאה בפני מתקפות "פישינג" מתוחכמות בזמן אמת.
החידוש המרכזי בטיוטה הוא טבלה המתרגמת את רמות האבטחה של מאגרי המידע (מנוהל בידי יחיד, בסיסית, בינונית וגבוהה) לדרישות אופרטיביות עבור סוגי משתמשים שונים. כך למשל, במאגר המוגדר ברמת אבטחה "גבוהה", נדרש סטנדרט מחמיר במיוחד: מנהל המאגר או Admin וכן כל עובד בעל הרשאה המבקש לגשת למערכת מרחוק (מחוץ לארגון), יחויבו להשתמש באמצעי אימות ברמה 3 – קרי, רכיב חומרה פיזי. לעומת זאת, במאגר ברמת אבטחה "בינונית", הגישה מרחוק לארגון מחייבת רמת אימות 2 (MFA סטנדרטי), בעוד שבתוך הארגון ניתן להסתפק ברמה 1 עם סיסמה מורכבת.
עוד עולה מהמסמך כי גם עבור מאגרים ברמת אבטחה "בסיסית" או כאלו המנוהלים בידי יחיד, נקבעו סטנדרטים ברורים לניהול סיסמאות. במקרים אלו, רמת האימות הנדרשת היא לרוב 1, אך על הסיסמה להיות בת 8 תווים לפחות בשילוב אמצעי זיהוי נוסף, או בת 15 תווים ללא צורך בהחלפה תדירה, אלא אם קיים חשש לדליפה. הרשות מבהירה כי ההנחיות הן דינמיות ועשויות להתעדכן בהתאם להתפתחויות הטכנולוגיות, ומזמינה את הציבור להעיר את הערותיו לטיוטה בטרם גיבוש הנוסח הסופי.
בסיכומו של דבר, טיוטת הרשות מסמנת מעבר מתפיסה הצהרתית של "אמצעים מקובלים" לסטנדרט אופרטיבי ומדיד, המטיל על ארגונים אחריות ממשית להתאמת מנגנוני ההזדהות לרמת הסיכון של מאגרי המידע שבניהולם. אימוץ מסגרות תקנים בינלאומיים והצבת דרישות ברורות לניהול הרשאות גישה צפויים לצמצם פרשנויות מרחיבות ולהגביר את הוודאות הרגולטורית, אך גם להעלות את רף הציות בפועל. ככל שהטיוטה תגובש לנוסח מחייב, יידרשו ארגונים לבחון מחדש את מערכי האימות והגישה הקיימים, ולהיערך מבעוד מועד לשדרוג תשתיות, נהלים ותהליכי עבודה, כחלק מהתנהלות אחראית ושיטתית בתחום אבטחת המידע והגנת הפרטיות.
