מערך הסייבר והרשות להגנת הפרטיות: מתקפות סייבר בישראל עולות לנו ביוקר

דו"ח חדש של מערך הסייבר הלאומי (מאי 2024) מעריך, שהעלות הכלכלית המצטברת למשק הישראלי מנזקי מתקפות סייבר עומדת על לפחות 12 מיליארד ₪ בשנה. אומדן הנזקים מבוסס על ניתוח של עלויות הטיפול בנזקי המתקפה בטווח הקצר, כגון תשלומים לצוות תגובה ראשוני, השבתה, שחזור נתונים וייעוץ משפטי; וכן עלויות בטווח הבינוני-ארוך, כגון אובדן הכנסות עתידי, אובדן הזדמנויות עסקיות, פגיעה במוניטין, תביעות ונזקים מצד שלישי.

הדו"ח מציג מחקרים חדשים המראים, כי ניתן להפחית את הסיכוי לתקיפה בכ-30%-50% אם הארגון משקיע בצעדי הגנה בסיסיים. בין הצעדים המומלצים: אימות רב-שלבי, מדיניות סיסמאות חזקה, שימוש באמצעי גילוי וסיכול כגון אנטי וירוס, שימוש בתוכנות מקוריות והטמעת עדכוני תוכנה שוטפים. מחקר אמפירי שפורסם לאחרונה על ידי פרופ' ניל גנדל ונועה ברניר מאוניברסיטת תל אביב בשיתוף חוקרים נוספים, מראה שצעדים בסיסיים להגנת סייבר כגון אלה הנזכרים ועוד, יכולים להביא לירידה משמעותית בהסתברות למתקפות סייבר.

בהמשך לאמור, הרשות להגנת הפרטיות פרסמה עוד באותו החודש את עמדתה לעניין ביצוע סקרי סיכונים ומבדקי חדירות למערכות הארגון, בין היתר ביחס לחובה הקבועה בתקנות 5(ג)ו-5(ד) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן "התקנות") ביחס למאגרי מידע שחלה עליהם רמת אבטחה גבוהה.

הרשות מדגישה שביצוע סקר סיכונים ומבדקי חדירות נדרשים לא רק מתוך החובה הקבועה בתקנות, אלא הרשות ממליצה לבצע סקר סיכונים גם בארגון שהוא בעליו של מאגר מידע ברמת אבטחה בינונית ואף ברמת אבטחה בסיסית (כמוגדר בתקנות), הכול בהתאם לאופי המידע, רגישות, היקפו וחשיבותו לארגון וללקוחותיו. הנה כי כן, הרשות מרחיבה את הוראות התקנות לביצוע פעולות לשמירה ואבטחת המידע שהארגון אמון עליו. מדובר בהרחבה שעשויה להיות מכבידה למדי נוכח העובדה שפעולות אלו עשויות להיות כרוכות בהשקעת זמן, עלויות ומשאבים נוספים לארגון. יחד עם זאת מדובר בהמלצה בלבד.

עוד מבהירה הרשות, שעל אף שהתקנות קובעות ביצוע סקר סיכונים מקיף מיד בתחילת חיי המאגר ולאחר מכן, אחת ל-18 חודשים, יש לפעול גם לפני מועד זה במצבים כגון התוודעות הארגון לסיכוני אבטחה או לשינויים בתמונת המצב של סיכוני הארגון לפגיעה במידע שעליו הוא אמון (כגון לאור אירועי אבטחת מידע חמורים או במסגרת בחינה והצורך בעדכון נהלי אבטחת המידע של הארגון כנדרש בתקנה 4(ה) לתקנות), וזאת באופן מידי ולמזעור אותם שינויים.

בהקשר של התקשרות עם ספקי צד ג', בהתאם לתקנה 15 לתקנות הרשות מבהירה כי – "ארגון שלא ערך סקר לבחינת הסיכונים המיוחדים להתקשרות עם גורם חיצוני כאמור )שאינו מחליף או גורע מביצוע סקר הסיכונים הכללי למאגר המידע), לא יוכל להבטיח שספקיו לא יסכנו אותו ואת לקוחותיו בהיבטי אבטחת מידע." לסיכום, נראה שריבוי התקפות הסייבר על ארגונים רבים ומגוונים בתקופה האחרונה, כמו גם העלות הכלכלית למשק בגין מתקפות אלו, תרמו להחלטת הרשות להגנת הפרטיות לספק פרשנות מרחיבה להוראות התקנות, לרבות ביחס לביצוע סקרי סיכונים ומבדקי חדירות, וזאת גם ביחס לארגונים שלכאורה אינם נדרשים לעשות זאת בהתאם להוראות התקנות משום שרמת האבטחה שלהם על מאגרי המידע היא בינונית-נמוכה.

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

חברת ביוטכנולוגיה ענקית – תשלם 4.5 מיליון דולר לשלוש מדינות בארה"ב בגין אירוע אבטחת מידע

שלוש מדינות בארה"ב הודיעו על תשלום של 4.5 מיליון דולר מחברת Enzo Biochem Inc. – חברת ביוטכנולוגיה (להלן "החברה") שספגה מתקפת כופר באפריל 2023 בשל ...

תיקון 13 לחוק הגנת הפרטיות – המדריך

היסטוריה בעולם הפרטיות הישראלי. הכנסת אישרה לאחרונה את תיקון מס' 13, לחוק הגנת הפרטיות, התשמ"א-1981 (05.08.2024) להלן "התיקון לחוק" ו-"החוק", בהתאמה) (אשר נספר בכנסת עקב ...

אושר תיקון 13 לחוק הגנת הפרטיות

מליאת הכנסת אישרה (05.08.24) בקריאה שניה ושלישית את תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981. התיקון התקבל לאחר שוועדת חוקה חוק ומשפט של הכנסת הקדישה לו ...

ועדת חוקה אישרה את התיקון המקיף לחוק הגנת הפרטיות

ועדת חוקה חוק ומשפט של הכנסת אשירה (21.07.2024) תיקון מקיף והיסטורי לחוק הגנת הפרטיות (תיקון מס' 13 שבטעות נספר תחילה כתיקון 14) והוא צפוי לעבור ...
דילוג לתוכן