הרשות למשפט טכנולוגיה ומידע במשרד המשפטים (רמו"ט), האמונה על אכיפת ויישום דיני הפרטיות וההגנה על מידע אישי בישראל, ניסחה תקנות אבטחת מידע חדשות, אשר עתידות לעלות לדיון ואישור במושב החורף הקרוב של הכנסת. סיכום על כך הושג בין רמו"ט למחלקת יעוץ וחקיקה במשרד המשפטים והוכרז במהלך ישיבה מיוחדת של הועדה להגנת הפרטיות בלשכת עורכי הדין, בראשות עו"ד דן חי, בהשתתפות ראש רמו"ט, עו"ד אלון בכר וראשי הרשות.
המדובר בתקנות, אשר טיוטה ראשונה שלהן פורסמה על-ידי רמו"ט עוד בחודש פברואר 2010, אז הציגה אותן בכנסים מקצועיים ובימי עיון שונים. לאחר קבלת הערות מהציבור ומגורמים במגזרים מקצועיים ועסקיים שונים, וכן לאחר הליכי הפקת לקחים מאירועי אבטחת המידע שהיו קשורים בפרשה ידועה שפרצה ב-2012 הקרויה על שם "ההאקר הסעודי", פירסמה רמו"ט טיוטה שנייה ומעודכנת בחודש יוני 2012.
אישור התקנות יהווה צעד ראשון וחשוב של רמו"ט בנושא הסדרת החובות החלות על ארגונים בישראל, המנהלים או מחזיקים במידע אישי, במסגרת המאבק מול התקפות סייבר אפשריות כנגד ארגונים שונים, פרטיים וציבוריים כאחד, ותוך מטרה כוללת לצמצם את החשש מפני שימוש לרעה במידע האגור אצלם או פגיעה באבטחת המידע ויכולת ההגנה עליו.
התקנות החדשות מבקשות להסיר את הערפל בנושא אבטחת המידע העולה מהוראות החוק והתקנות הקיימות, אשר אינן תואמות את המצב הטכנולוגי הקיים היום. החידוש העיקרי המהווה את גולת הכותרת בתקנות הוא החובה לדווח לרמו"ט על אירועי מתקפות סייבר חמורים אצל הארגונים השונים, אשר במסגרתם נפרץ או נחשף מאגר מידע המכיל מידע אישי. בהמשך לכך קובעות התקנות את סמכותה של רמו"ט לחייב את בעל מאגר המידע הרלבנטי להודיע למושאי המידע על אירוע הפריצה שארע.
נוסף על כן, התקנות החדשות מבקשות לקבוע ולהכין מראש, נהלים סדורים פנים-ארגוניים, אשר יפרטו את נהלי ואת יכולות הארגון להתמודדות עם אירועי אבטחת מידע שונים, וכן יבהירו במסגרת זו את חובותיהם ואחריותם של מורשי הגישה השונים למידע שבארגון. מטרת התקנות הינה, מחד, להגן על הארגון עצמו מפני פגיעה אפשרית בפרטיות מושאי המידע ולהימנע מהשלכות אי מילוי החובות על-פי חוק, הן במישור הפלילי, הן במישור המנהלי והן במישור האזרחי; ובנוסף, ליצור סטנדרט שוק אחיד, בהתבסס על תקני אבטחת מידע מקובלים בעולם ובדגש עם עקרונות ניהול המידע האירופאים המחמירים, באופן שיסייע בידי כלל הגורמים לשתף פעולה ולהתמודד עם סיכוני אבטחה חיצוניים משותפים, דוגמת פרשת "ההאקר הסעודי", בעתיד.
טיוטת התקנות קובעת שורה ארוכה של פעולות שעל ארגון לנקוט לצורך הסדרת נושא אבטחת המידע במסגרתו, תוך קביעת החובה להכפיף את ממונה אבטחת המידע בארגון ישירות לנושא משרה בכיר, ותוך הטלת האחריות לביצוע הפעולות המוזכרות בטיוטת התקנות על בעל המאגר ובין היתר יצירת מסמך "הגדרות המאגר" לכל מאגר ומאגר, אשר יכיל תיאור כללי של סוגי המידע, פעילות האיסוף, השימוש במידע, העברת המידע מן המאגר אל מחוץ למדינה ועוד; יצירת נוהל אבטחת מידע בארגון תוך מתן דגשים והוראות מפורטות לכתיבתו; מיפוי וביצוע סקרי סיכונים ותדירותם; קביעת נהלים בתחום המידור והניטור על השימוש במערכות המידע והגישה למאגרים; קביעת נוהל אבטחה פיזית וסביבתית, בהתאם לאופי פעילות המאגר ורגישות המידע בו; קביעת נוהל סדור אודות אבטחת המידע בניהול כוח האדם בארגון, ניהול הרשאות גישה, נוהל זיהוי ואימות, בקשה ותיעוד גישה ועוד; תיעוד אירועי אבטחה; קביעת נוהל שימוש בהתקנים ובמכשירים חיצוניים או ניידים למערכות המידע; ניהול מאובטח של מערכות המאגר, ניהול נושא החיבור לרשתות תקשורת ואבטחתו, קביעת נהלי עבודה לגיבוי שחזור והתאוששות, ביקורות תקופתיות, החלת אחריות בעל המאגר על מנהל המאגר ועוד.
לבסוף, מטילה טיוטת התקנות על בעל המאגר את החובה לשוב ולבחון את הנהלים שנקבעו בידיו מידי שנה ולעדכנם במידת הצורך, או בהתרחש אחד מן המקרים הבאים: שינויים מהותיים הנעשים במערכות המאגר או בתהליכי עיבוד המידע במאגר; סיכונים טכנולוגיים חדשים הרלוונטיים למערכות המאגר; כתוצאה מביקורת תקופתית או מאירוע אבטחה אחר.
בעוד שהשינויים המבורכים וההכרחיים טרם אושרו רשמית בידי המחוקק הישראלי, אזי שהם משקפים את עמדת רמו"ט הנוהגת כבר כיום, בהתבסס על הוראות החוק והתקנות הקיימות, בבואה לאכוף את ההוראות מול הגופים והארגונים המנהלים מאגרי מידע בישראל.
הכותב עומד בראש משרד עורכי הדין דן חי ושות’ המתמחה בפרטיות, מאגרי מידע וסייבר
