כידוע, תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן "התקנות"), מטילות על בעל מאגר המידע חובה לבצע סקר סיכונים ומבדק חדירות למערכת המאגר ככל והמאגר מוגדר כבעל רמת אבטחה גבוהה.
סקר הסיכונים נועד לאתר את סיכוני אבטחת המידע, להעריך את רמת הבשלות הארגונית להתמודדות עם איומים העלולים להוות פגיעה בשלמות/זמינות או סודיות המידע בארגון. ביחס למבדקי חדירות, מדובר בפעולה שמטרתה לזהות ולנתח חולשות באבטחת המידע הארגונית.
בחודש מאי 2024, הרשות להגנת הפרטיות פרסמה מסמך המציג את עמדת הרשות בנושא וכן מכיל את המלצות הרשות ביחס לאופן עריכת סקר הסיכונים ומבדקי החדירות.
במסמך מוצגת עמדת הרשות, לפיה יש לקיים סקר סיכונים ומבדקי חדירות במאגר מידע באופן פרטני, בתהליך עסקי מסוים או בשניהם גם יחד. מעבר לכך, יש לבצע את סקר סיכונים כאשר נעשים שינויים טכנולוגיים משמעותיים במערכות המידע של הארגון, או שינויים משמעותיים ברכיבי מסמך הגדרות המאגר, כנדרש מכוח תקנה 2(ב) לתקנות. בנוסף, יש לערוך את סקר הסיכונים מיד ובסמוך לאחר הפעלת המאגר והקמת מערכות המאגר, שכן במועד זה נוצרים ומתגבשים הסיכונים עימם אמור הארגון להתמודד.
הרשות מדגישה כי חל צורך ברמות שונות של מבדקי חדירות ובקבלת אישור ארגון מוסמך לפעולתם וזאת על מנת למנוע עבירות על הוראות הדין, לרבות עבירות על חוק המחשבים, התשנ"א-1995.
לסיכומו של דבר, ביצוע סקרי סיכונים ומבדקי חדירות הם שלבים חיוניים ומשמעותיים, הדרושים בכל ארגון המחזיק במידע אישי.
במסמך שפורסם מודגש כי ביצוע סקר סיכונים ומבדקי חדירות הן פעולות שמומלץ ליישם בכל ארגון המכיל מידע אישי, ולא רק בארגונים שבבעלותם מאגרי מידע שחלה עליהם רמת אבטחה גבוה.