דו"ח חדש של מערך הסייבר הלאומי (מאי 2024) מעריך, שהעלות הכלכלית המצטברת למשק הישראלי מנזקי מתקפות סייבר עומדת על לפחות 12 מיליארד ₪ בשנה. אומדן הנזקים מבוסס על ניתוח של עלויות הטיפול בנזקי המתקפה בטווח הקצר, כגון תשלומים לצוות תגובה ראשוני, השבתה, שחזור נתונים וייעוץ משפטי; וכן עלויות בטווח הבינוני-ארוך, כגון אובדן הכנסות עתידי, אובדן הזדמנויות עסקיות, פגיעה במוניטין, תביעות ונזקים מצד שלישי.
הדו"ח מציג מחקרים חדשים המראים, כי ניתן להפחית את הסיכוי לתקיפה בכ-30%-50% אם הארגון משקיע בצעדי הגנה בסיסיים. בין הצעדים המומלצים: אימות רב-שלבי, מדיניות סיסמאות חזקה, שימוש באמצעי גילוי וסיכול כגון אנטי וירוס, שימוש בתוכנות מקוריות והטמעת עדכוני תוכנה שוטפים. מחקר אמפירי שפורסם לאחרונה על ידי פרופ' ניל גנדל ונועה ברניר מאוניברסיטת תל אביב בשיתוף חוקרים נוספים, מראה שצעדים בסיסיים להגנת סייבר כגון אלה הנזכרים ועוד, יכולים להביא לירידה משמעותית בהסתברות למתקפות סייבר.
בהמשך לאמור, הרשות להגנת הפרטיות פרסמה עוד באותו החודש את עמדתה לעניין ביצוע סקרי סיכונים ומבדקי חדירות למערכות הארגון, בין היתר ביחס לחובה הקבועה בתקנות 5(ג)ו-5(ד) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן "התקנות") ביחס למאגרי מידע שחלה עליהם רמת אבטחה גבוהה.
הרשות מדגישה שביצוע סקר סיכונים ומבדקי חדירות נדרשים לא רק מתוך החובה הקבועה בתקנות, אלא הרשות ממליצה לבצע סקר סיכונים גם בארגון שהוא בעליו של מאגר מידע ברמת אבטחה בינונית ואף ברמת אבטחה בסיסית (כמוגדר בתקנות), הכול בהתאם לאופי המידע, רגישות, היקפו וחשיבותו לארגון וללקוחותיו. הנה כי כן, הרשות מרחיבה את הוראות התקנות לביצוע פעולות לשמירה ואבטחת המידע שהארגון אמון עליו. מדובר בהרחבה שעשויה להיות מכבידה למדי נוכח העובדה שפעולות אלו עשויות להיות כרוכות בהשקעת זמן, עלויות ומשאבים נוספים לארגון. יחד עם זאת מדובר בהמלצה בלבד.
עוד מבהירה הרשות, שעל אף שהתקנות קובעות ביצוע סקר סיכונים מקיף מיד בתחילת חיי המאגר ולאחר מכן, אחת ל-18 חודשים, יש לפעול גם לפני מועד זה במצבים כגון התוודעות הארגון לסיכוני אבטחה או לשינויים בתמונת המצב של סיכוני הארגון לפגיעה במידע שעליו הוא אמון (כגון לאור אירועי אבטחת מידע חמורים או במסגרת בחינה והצורך בעדכון נהלי אבטחת המידע של הארגון כנדרש בתקנה 4(ה) לתקנות), וזאת באופן מידי ולמזעור אותם שינויים.
בהקשר של התקשרות עם ספקי צד ג', בהתאם לתקנה 15 לתקנות הרשות מבהירה כי – "ארגון שלא ערך סקר לבחינת הסיכונים המיוחדים להתקשרות עם גורם חיצוני כאמור )שאינו מחליף או גורע מביצוע סקר הסיכונים הכללי למאגר המידע), לא יוכל להבטיח שספקיו לא יסכנו אותו ואת לקוחותיו בהיבטי אבטחת מידע." לסיכום, נראה שריבוי התקפות הסייבר על ארגונים רבים ומגוונים בתקופה האחרונה, כמו גם העלות הכלכלית למשק בגין מתקפות אלו, תרמו להחלטת הרשות להגנת הפרטיות לספק פרשנות מרחיבה להוראות התקנות, לרבות ביחס לביצוע סקרי סיכונים ומבדקי חדירות, וזאת גם ביחס לארגונים שלכאורה אינם נדרשים לעשות זאת בהתאם להוראות התקנות משום שרמת האבטחה שלהם על מאגרי המידע היא בינונית-נמוכה.