רשות הפרטיות: בשנת 2018 צפויות מאות ביקורות לעסקים בישראל

רשות הפרטיות: בשנת 2018 צפויות מאות ביקורות לעסקים בישראל

בתמונה, מימין לשמאל: עו"ד לימור שמרלינג מגזניק, עוזי נבון מנכ"ל אורקל ישראל, נטליה דיסקין מנהלת תחום אבטחת מידע באורקל, אורן אלימלך מנכ"ל ומייסד CyberTeam360, ועינת מירון יועצת Cyber Resilience. קרדיט צילום: עזרא לוי 

"מאי 2018 הוא רגע המפץ הגדול שבגללו יועצים משפטיים עובדים בשבועות האחרונים שעות נוספות" - כך אמרה עו"ד לימור שמרלינג מגזניק, מהרשות להגנת הפרטיות במשרד המשפטים בכנס שקיימה חברת אורקל ישראל במשרדיה בפתח תקוה. הכנס עסק בנושא הרגולציה החדשה להגנה על פרטיות (GDPR וחוק הגנת הפרטיות הישראלי) שנכנסות לתוקף בחודש מאי הקרוב. "העובדה שכמעט כל ארגון יהיה חייב בחובת דיווח על אירוע אבטחת מידע חמור במאגרי המידע שלו היא לא פחות מאשר מהפכה של ממש", הוסיפה שמרלינג.

לדבריה, ברשות להגנת הפרטיות מתכוונים לאכוף את התקנות החדשות ולהיות רגולטור עם שיניים. "אכיפה זה כלי מאוד משמעותי גם לייצר הרתעה וגם מודעות. לצד הדרכה והסברה שיאפשרו לארגונים להיות מוכנים ולצאת בלי סנקציות. הרשות מונה כ-40 אנשים, מתוכם 14 חוקרי מחשב שמפקחים וחוקרים שמבצעים פעולות אכיפה. זו המחלקה הכי גדולה אצלנו, יותר מפי 2 מהמחלקות האחרות".

שמרלינג ציינה כי בשנתיים הקרובות תנקוט הרשות כמה צעדים, בהם הקמה של יחידת ביקורת שתתחיל לפעול במחצית השנייה של 2018 ותעשה מאות ביקורות בשנה, כשלב ראשון של תקנות אבטחת המידע. "השנה הראשונה תוקדש להטמעה ולהתאקלמות, עם ביקורות שטח. ניתן הערות לשיפור וסקירת ליקויים שמצאנו. אם יהיו ליקויים רציניים נעביר לטיפול יותר "קשוח" אצלנו. את פעולות האכיפה שלנו אנחנו מפרסמים כדי שארגונים יידעו להיערך". שמרלינג הוסיפה כי ברשות נערכים לטפל באירועי אבטחת מידע עם מדיניות אכיפה וקריטריונים כיצד לטפל באירועי אבטחה חמורים שקרו במשק. "לא הכל אבוד, הפרטיות לא מתה, התקנות ישפיעו משמעותית על נכונות הארגונים ליישם את חוק הגנת הפרטיות".

מטרת הכנס היתה לספק מידע והדרכה לארגונים בהיערכות למהפכה הרגולטיבית שתשנה את מערך היחסים בין ארגונים ללקוחות ואת התנהלותם הפנימית של ארגונים. הוא עסק בהכנות הנדרשות מבחינה טכנולוגית ומשפטי, וכמובן בשאלה - האם החברות הישראליות מוכנות לתקינה האירופית המגנה על פרטיות המידע? ומה מצב המוכנות לחוק הישראלי להגנה על פרטיות, שייכנס לתוקף במקביל, בחודש מאי הקרוב. שני החוקים קובעים סייגים וכללים לשמירה על פרטיות המידע ומכתיבים סנקציות כתוצאה מאי עמידה בתקנות.

את הכנס, שהתקיים במשרדי אורקל בהשתתפות מנהלי ארגונים גדולים במשק, יועצים, מכוני מחקר וסטארטאפים, פתחו מני מלר, טכנולוג ראשי באורקל ישראל ונטליה דיסקין מנהלת תחום אבטחת מידע בחברה. לדברי נטליה דיסקין: "2017 הייתה שנת שיא שלילי מבחינת אבטחת המידע כשתועדו בעולם 5,207 פריצות ומקרי גניבת מידע, עלייה של 20% ביחס ל-2015. כך גם לגבי מספר הרשומות שנפגעו, למעלה מ-7.8 מיליארד, עלייה של 24.2% לעומת 6.3 מיליארד בשעה שעברה. עם הנתונים המטרידים הללו אנו נכנסים לשנת 2018, שנת המהפכה התפיסתית והרגולטורית מבחינת התייחסות העולם כולו למידע אישי ופרטיותו, מהפכה שבאה לידי ביטוי בחקיקת ה- GDPR. בחודשים האחרונים אנו מרגישים שגם ארגונים ישראלים החלו להפנים את משמעות המהפכה ומתחילים להיערך, מגמה שמשתקפת בביקוש העצום להשתתפות בכנס. זוהי ללא ספק הזדמנות ליישר קו עם סטנדרטים חדשים של אחריות ארגונית כלפי מידע המצוי ברשותם".

מני מלר, טכנולוג ראשי באורקל, אמר כי מציאות שבה יש ריבוי עננים מחייבת את אורקל כספקית פתרונות ענן רב שכבתיים לספק פתרונות אבטחת מידע וניהול ייחודיים. עוד ציין כי תפיסת ה-BlockChain משנה חוקי משחק גם בנושא פרטיות והגנת מידע, ואורקל משקיעה בהנגשת פתרון מסוג זה ללקוחותיה.

מני ברזילי, חוקר השפעות טכנולוגיות על חברות ואיש סייבר, CTO של מרכז מחקר הסייבר באונ' ת"א, אמר כי "התקינה היא מהלך יפה של הרגולטור, אך למעשה מדובר במלחמה אבודה... אנחנו צריכים לבדוק היטב למי אנחנו נותנים את המפתחות לפרטיות שלנו. להבין שהמודל העסקי הוא כזה שבו אנחנו נותנים את הפרטיות שלנו כדי לקבל בתמורה שירותים או דברים בחינם".

עינת מירון, יועצת Cyber Resilience, הנחתה פאנל מרתק בהשתתפות מנהלי אבטחת מידע שכבר מיישמים בפועל את תקנות GDPR. הפאנליסטים דנו בדרישות הרגולציה ואכיפתה, המליצו על הדרך הנכונה והיעילה ביותר ליישם את התקנות וענו על השאלות הקהל. דניאל צ'צ'יק, מנהל אבטחת מידע בחברת WALKME, שכבר נערכה ל-GDPR סיפר על התהליך שעברו, לרבות פיתוח עצמי של כלי טכנולוגי ייחודי שיסייע לחברה לעמוד ברגולציה. בתגובה לשאלה של סטארטאפיסט בקהל, שתהה כיצד יכול עסק קטן לעמוד בכל ההוצאות המתחייבות מעצם ה-GDPR ותקנות הפרטיות. התשובה שקיבל מכל חברי הפאנל היתה, לנהל נכון את הסיכונים שלו ולהיעזר בשירותי DPOaaS (Data Privacy Officer-as-a-Service).

Allessandro Vallega, דירקטור לנושא GDPR, אורקל איטליה, הסביר כיצד להגן על פרטיות המידע תוך שימוש נכון בפתרונות אבטחה טכנולוגיים: לגבי המצב בחו"ל ציין, ש"גם המצב באירופה מבחינת מוכנות הארגונים, אינו מזהיר. מלבד הסקטור הפיננסי, שכבר מתקדם בהיערכות, הצפי הוא שתעשיות רבות אחרות לא יעמדו בלוח הזמנים ולא יהיו מוכנות".

אורן אלימלך, חוקר ומומחה סייבר, יועץ אבטחת מידע, מנכ"ל ומייסד CyberTeam360: "2018 היא שנת הרגולציה: כזו שתאלץ ארגונים לשנות תפיסות ודפוסי התנהגות מן היסוד. ארגונים בישראל לא ממש מבינים מה עומד לפתחם, ורובם טרם נערכו". לדבריו, יש להבין כי "אנחנו המידע, ולכן אנחנו לא משלמים על זה בכסף. האם זה סוף עידן הפרטיות? אני חושב שלא. זה הזמן שלנו לעשות את המקסימום הנדרש כדי להגן על פרטיות המידע. כמו GDPR באירופה, יש תהליך בכל העולם, כדי שנוכל לשמור על המידע של כולנו. הפרטיות משלבת גם את ההיבט העסקי, של אבטחת מידע ואת ההיבט המשפטי

בכנס דיברו גם ד"ר דותן ברוך, עו"ד, ראש מחלקת אינטרנט ופרטיות, ברנע ושות', שסקר את ה-GDPR מזווית משפטית, ועמית קורן מייסד חברת Innosec, סטארט-אפ ישראלי בתחום GDPR, שפיתח את פלטפורמת STORM, שזכתה לאחרונה בפרס של האיחוד האירופי בתחום ה-GDPR.

בין המשתתפים בקהל היו מנהלים מארגונים גדולים במשק, יועצים, מכוני מחקר, ועד למנהלים בסטארטאפים, שהינם מוכווני-שוק עולמי, ולכן חייבים לעמוד ב-GDPR, אך נמצאים במצב מאתגר בשל המשאבים הרבים הדרושים.

אולי יעניין אותך גם