״ההגנה על הפרטיות אינה חזות הכל״
ההתפתחויות הטכנולוגיות של עידן הסייבר מעלות סוגיות חסרות תקדים, שמטלטלות גם את מערכת החוק והמשפט. כך עלה מדיון מרתק שנערך בסייברטק בתל אביב בנושא ההיבטים המשפטיים של המהפכה הקיברנטית. בדיון השתתפו פרקליטים, היועץ המשפטי של מערך הסייבר הלאומי, אשת משרד המשפטים ונציגי החברות המתמחות בנושא הפרטיות מן ההיבט הטכנולוגי
עמי רוחקס דומבה
| 10/02/2020
פאנל המומחים בנושא הפרטיות בסייבר, בכנס סייברטק גלובל 2020. צילום: גלעד קוולרצ'יק
במסגרת אירוע סייברטק גלובל שנערך בתל אביב התקיים דיון מרתק שעסק בהיבטים המשפטיים של המהפכה הקיברנטית. את הדיון הוביל עו"ד יובל ששון, ראש מחלקת תעשיות ביטחוניות, סייבר, תעופה וחלל במשרד מיתר עורכי דין.
ששון פתח את הדיון בסקירה על התפתחויות בעולם המשפט בעקבות האתגרים הטכנולוגיים של העידן החדש. הוא התריע, בין היתר, על כך שהעיסוק העולמי הרב בשמירה על פרוטיות המידע, בא על חשבון ערכים נוספים כמו היכולת למנוע התפרצות של מחלות או פיגועי טרור, באמצעות שימוש במידע זמין שקיים ברשת. ״במציאות של ימינו קשה מאוד לתפוס את התוקפים. שיטות התקיפה מורכבות וגם לשירותי אכיפת החוק לא פשוט להתמודד עם התופעה", אמר ששון בפאנל.
"ולמרות זאת", אמר ששון, "למרות הקושי, כעת נאלצות חברות עסקיות להתמודד עם רגולציית פרטיות במקום עם הגנה מפני תקיפות. במקום שארגון ישקיע את מירב המשאבים שלו בהתמודדות עם האקרים, הוא עוסק במענה לרגולציות פרטיות למיניהן (GDPR\ CCPA). שוב, נראה כי עמידה ברגולציות פרטיות הפכה להיות חשובה יותר ממלחמה בהאקרים".
ששון הפנה את אור הזרקורים לתופעה נוספת. "ומה עם חברות הזנק? אלו חברות צעירות, לרוב דלות תקציב, שאינן יכולות לשלם קנסות גדולים כמו ארגונים מבוססים בגלל הפרות פרטיות. אז הפרטיות הפכה גם למשוכה בפיתוח טכנולוגיות חדשות שמטרתן להילחם בהאקרים", סיכם ששון. הוא הוסיף ששון כי הפער שיש כיום בין הרגולציה להתפתחות הטכנולוגיה הוא חיובי, בכך שהוא מאפשר מרחב פעולה חופשי להתפתחות פתרונות בהגנה בסייבר.
שרון שמש עזריה, ראש תחום בינלאומי ברשות הישראלית להגנת הפרטיות במשרד המשפטים, אמרה כי הזכות לפרטיות מתנגשת עם זכויות אחרות כמו הזכות לחופש הביטוי, ולכן נדרש איזון בין זכויות בחוק. "הזכות לפרטיות מוטמעת בחקיקה ישראלית מתחילת שנות השמונים עם שינויים לאורך השנים בחקיקה ותקנות. ישנן תקנות פרטיות חדשות שמטרתן לשמור על הנתונים של האזרח, כאשר האחריות נופלת על כלל שרשרת הניהול בארגון כולל בעלי המניות. לכולם יש אחריות לנושא הפרטיות", אמרה שמש עזריה.
"בהיבט האכיפה", היא הדגישה, "לצד קנסות בגין הפרות, אנחנו עוזרים לחברות לעמוד בתקנות באמצעות כלים להעלאת מודעות. אחד מהם הוא שאלון מקוון ללא עלות מצד החברה. המטרה היא לחנך את השוק בישראל כיצד לשמור על פרטיות. במשוואה הזו גם לאזרח, צרכן השירותים, יש אחריות לאבטח את המידע שלו. כל אחד צריך להיות מודע לסכנות הטמונות בתחום הפרטיות. חלק מהצרכנים בוחרים בסוף לוותר על הפרטיות לטובת שירותים בחינם. לצדם, יש אחרים שאינם מודעים לסיכונים".
אריק נאוגל, סגן נשיא לתחום הסייבר בחברת Intuit, הסביר כי בעבר עסקים היו צריכים להתעסק רק עם GDPR, וכיום יש גם את ה-CCPA בקליפורניה, ארה"ב. "אנו רואים שחלק מהצרכנים מוכנים להמיר את הפרטיות שלהם עבור שירותים בחינם כמו פייסבוק ורשתות חברתיות אחרות. עם זאת, החפיפה בין פרטיות לאבטחת מידע יוצרת גם הזדמנות. שאלות בתחום הפרטיות גורמות לחברה לפתח תהליכי עבודה שתורמים גם לאבטחת מידע בסוף הדרך", הסביר נאוגל.
"עוד נקודה חשובה היא היתרון לגודל בתחום העמידה בתקנות פרטיות. היות והקנסות גדולים, ארגונים מבוססים יכולים לשם קנסות ביתר קלות וכן לבצע פעולות התאמה של המערכות לתקנות פרטיות יותר מאשר ארגונים קטנים. 'סף הכניסה' לעולם הפרטיות גבוה, ולכן חברות גדולות בשוק מחזיקות ביתרון בכל הקשור להיצע שירותים שעומדים בתקינת פרטיות", הוא אמר.
משתתף נוסף בפאנל היה סאקט מודי, מנכ"ל ומייסד משותף בחברת Lucideus Technologies. מודי הוא גם האקר "לבן" מפורסם. "העולם מתחלק לשני סוגי עסקים - כאלו שנפרצו וכאלו שלא יודעים שהם נפרצו. אנחנו פועלים ב-16 מדינות, וכל שבוע פורצים לבנק אחד לפחות או לחברת תעופה במסגרת מחקר מוזמן. אנו מראים לחברות איך פורצים אליהן למרות כל מערכות ההגנה. וזה לא רק אנחנו. ישנן הרבה חברות ויחידים בעולם עם יכולות כאלו. אנו עושים זאת ללא תקציבי ממשלה מאחורינו. תתארו לכם מה יכולים לעשות האקרים עם תקציב ממשלתי", הסביר מודי.
"אחת הסיבות לכך היא שמערכות לפני עשור ושניים לא נבנו עם מחשבה על אבטחת מידע בשלב התכנון והפיתוח. אז טוב לדבר על פרטיות. במציאות, האקר עקשן יוכל להיכנס או לגנוב מה שהוא ירצה. יש לזכור כי פרטיות ואבטחת מידע אלו שני עולמות שונים. בשביל איזון ביניהם ארגון צריך מדדים אוניברסליים למדידת סיכון סייבר. לדעת כמה אתה מאובטח ואיך לאזן בין אבטחה לפרטיות. שוב, במציאות אין מדדים כאלו. מרבית הארגונים אינם יודעים מה מידת הסיכון האמיתית שלהם. כמעט כל בנק שאתם שומעים שנפרץ החזיק תעודות SSL, שלא עזרה לו באירוע. צורך נוסף לצד מדידת סיכון ריאלית היא שפה משותפת בין מנהלים לדרג הטכני", אמר עוד ההאקר המפורסם.
עמית אשכנזי, היועמ"ש של מערך הסייבר, הסביר כי הזכות לפרטיות זוכה לרגולטור ייעודי. "אין זה כך עם כל זכות", מסביר אשכנזי. "בגלל שיש רגולטור לפרטיות, כל אזור בתחום אבטחת מידע כולל מרכיב של פרטיות. עם זאת, הGPDR או הCCPA כוללות מנגנוני פיצוי על מנת לאפשר יישום אבטחת מידע לצד פרטיות. בישראל, המטרה היא לספק למשק תקנות וחוקים ברורים ככל הניתן בשני נושאים אלו על מנת שהזכויות יוכלו לחיות יחד.
אנו במערך רוצים שכל עסק, בכל גודל, יוכל להתמודד עם רגולציה ותקנות בתחומים אלו. שאיפה נוספת היא להעלות מודעות לנושא הפרטיות ואבטחת המידע בקרב עסקים. הנהלה של ארגון צריכה להבין את התחום ולעסוק בו. בהיבט אבטחת מידע, יש לבחון כיצד מידע שנאסף ומעובד למטרה זו משמש רק עבורה, ואינו משמש למטרות אחרות", אמר אשכנזי.
עידן בן יעקב , מנהל פיתוח עסקי בחברת Snowplow, הסביר כי תהליך היישום של ה-GPDR גורם לעסק לחשוב על פרטיות. "אם אתה מניח שמישהו יכול לחדור לרשת שלך, השאלה היא כיצד אתה מצמצם את כמות ואופי המידע שאתה אוסף. עולות שאלות לגבי למה אתה אוסף את המידע שאתה אוסף. זאת, מתוך הבנה שאם אם מישהו כבר גונב מידע, שיגנוב כמה שפחות ומידע שאינו אישי".
"חברות חושבות היום כיצד להקטין את משטח התקיפה על המידע האישי של הלקוחות. נתקלנו בחברות ששכפלו כל נתון עשר פעמים לצרכי גיבוי בעבר, וכיום שואלות למה צריך את זה. פעולה כזו למשל מגדילה את משטח התקיפה על הנתונים. עוד שאלה מנחה היא למי יש גישה למאגרי המידע של הארגון. פחות הרשאות, פחות חשיפה. מדובר בשינוי תרבותי שעובר על המשק העסקי. הרבה חברות עוסקות גם בסיכוני שרשרת האספקה כולל הגנה על API. גם זה נובע בחלקו מהיבט ההגנה על הפרטיות", אמר בן יעקב.
ההתפתחויות הטכנולוגיות של עידן הסייבר מעלות סוגיות חסרות תקדים, שמטלטלות גם את מערכת החוק והמשפט. כך עלה מדיון מרתק שנערך בסייברטק בתל אביב בנושא ההיבטים המשפטיים של המהפכה הקיברנטית. בדיון השתתפו פרקליטים, היועץ המשפטי של מערך הסייבר הלאומי, אשת משרד המשפטים ונציגי החברות המתמחות בנושא הפרטיות מן ההיבט הטכנולוגי
פאנל המומחים בנושא הפרטיות בסייבר, בכנס סייברטק גלובל 2020. צילום: גלעד קוולרצ'יק
במסגרת אירוע סייברטק גלובל שנערך בתל אביב התקיים דיון מרתק שעסק בהיבטים המשפטיים של המהפכה הקיברנטית. את הדיון הוביל עו"ד יובל ששון, ראש מחלקת תעשיות ביטחוניות, סייבר, תעופה וחלל במשרד מיתר עורכי דין.
"ולמרות זאת", אמר ששון, "למרות הקושי, כעת נאלצות חברות עסקיות להתמודד עם רגולציית פרטיות במקום עם הגנה מפני תקיפות. במקום שארגון ישקיע את מירב המשאבים שלו בהתמודדות עם האקרים, הוא עוסק במענה לרגולציות פרטיות למיניהן (GDPR\ CCPA). שוב, נראה כי עמידה ברגולציות פרטיות הפכה להיות חשובה יותר ממלחמה בהאקרים".
ששון הפנה את אור הזרקורים לתופעה נוספת. "ומה עם חברות הזנק? אלו חברות צעירות, לרוב דלות תקציב, שאינן יכולות לשלם קנסות גדולים כמו ארגונים מבוססים בגלל הפרות פרטיות. אז הפרטיות הפכה גם למשוכה בפיתוח טכנולוגיות חדשות שמטרתן להילחם בהאקרים", סיכם ששון. הוא הוסיף ששון כי הפער שיש כיום בין הרגולציה להתפתחות הטכנולוגיה הוא חיובי, בכך שהוא מאפשר מרחב פעולה חופשי להתפתחות פתרונות בהגנה בסייבר.
שרון שמש עזריה, ראש תחום בינלאומי ברשות הישראלית להגנת הפרטיות במשרד המשפטים, אמרה כי הזכות לפרטיות מתנגשת עם זכויות אחרות כמו הזכות לחופש הביטוי, ולכן נדרש איזון בין זכויות בחוק. "הזכות לפרטיות מוטמעת בחקיקה ישראלית מתחילת שנות השמונים עם שינויים לאורך השנים בחקיקה ותקנות. ישנן תקנות פרטיות חדשות שמטרתן לשמור על הנתונים של האזרח, כאשר האחריות נופלת על כלל שרשרת הניהול בארגון כולל בעלי המניות. לכולם יש אחריות לנושא הפרטיות", אמרה שמש עזריה.
"בהיבט האכיפה", היא הדגישה, "לצד קנסות בגין הפרות, אנחנו עוזרים לחברות לעמוד בתקנות באמצעות כלים להעלאת מודעות. אחד מהם הוא שאלון מקוון ללא עלות מצד החברה. המטרה היא לחנך את השוק בישראל כיצד לשמור על פרטיות. במשוואה הזו גם לאזרח, צרכן השירותים, יש אחריות לאבטח את המידע שלו. כל אחד צריך להיות מודע לסכנות הטמונות בתחום הפרטיות. חלק מהצרכנים בוחרים בסוף לוותר על הפרטיות לטובת שירותים בחינם. לצדם, יש אחרים שאינם מודעים לסיכונים".
אריק נאוגל, סגן נשיא לתחום הסייבר בחברת Intuit, הסביר כי בעבר עסקים היו צריכים להתעסק רק עם GDPR, וכיום יש גם את ה-CCPA בקליפורניה, ארה"ב. "אנו רואים שחלק מהצרכנים מוכנים להמיר את הפרטיות שלהם עבור שירותים בחינם כמו פייסבוק ורשתות חברתיות אחרות. עם זאת, החפיפה בין פרטיות לאבטחת מידע יוצרת גם הזדמנות. שאלות בתחום הפרטיות גורמות לחברה לפתח תהליכי עבודה שתורמים גם לאבטחת מידע בסוף הדרך", הסביר נאוגל.
"עוד נקודה חשובה היא היתרון לגודל בתחום העמידה בתקנות פרטיות. היות והקנסות גדולים, ארגונים מבוססים יכולים לשם קנסות ביתר קלות וכן לבצע פעולות התאמה של המערכות לתקנות פרטיות יותר מאשר ארגונים קטנים. 'סף הכניסה' לעולם הפרטיות גבוה, ולכן חברות גדולות בשוק מחזיקות ביתרון בכל הקשור להיצע שירותים שעומדים בתקינת פרטיות", הוא אמר.
משתתף נוסף בפאנל היה סאקט מודי, מנכ"ל ומייסד משותף בחברת Lucideus Technologies. מודי הוא גם האקר "לבן" מפורסם. "העולם מתחלק לשני סוגי עסקים - כאלו שנפרצו וכאלו שלא יודעים שהם נפרצו. אנחנו פועלים ב-16 מדינות, וכל שבוע פורצים לבנק אחד לפחות או לחברת תעופה במסגרת מחקר מוזמן. אנו מראים לחברות איך פורצים אליהן למרות כל מערכות ההגנה. וזה לא רק אנחנו. ישנן הרבה חברות ויחידים בעולם עם יכולות כאלו. אנו עושים זאת ללא תקציבי ממשלה מאחורינו. תתארו לכם מה יכולים לעשות האקרים עם תקציב ממשלתי", הסביר מודי.
"אחת הסיבות לכך היא שמערכות לפני עשור ושניים לא נבנו עם מחשבה על אבטחת מידע בשלב התכנון והפיתוח. אז טוב לדבר על פרטיות. במציאות, האקר עקשן יוכל להיכנס או לגנוב מה שהוא ירצה. יש לזכור כי פרטיות ואבטחת מידע אלו שני עולמות שונים. בשביל איזון ביניהם ארגון צריך מדדים אוניברסליים למדידת סיכון סייבר. לדעת כמה אתה מאובטח ואיך לאזן בין אבטחה לפרטיות. שוב, במציאות אין מדדים כאלו. מרבית הארגונים אינם יודעים מה מידת הסיכון האמיתית שלהם. כמעט כל בנק שאתם שומעים שנפרץ החזיק תעודות SSL, שלא עזרה לו באירוע. צורך נוסף לצד מדידת סיכון ריאלית היא שפה משותפת בין מנהלים לדרג הטכני", אמר עוד ההאקר המפורסם.
עמית אשכנזי, היועמ"ש של מערך הסייבר, הסביר כי הזכות לפרטיות זוכה לרגולטור ייעודי. "אין זה כך עם כל זכות", מסביר אשכנזי. "בגלל שיש רגולטור לפרטיות, כל אזור בתחום אבטחת מידע כולל מרכיב של פרטיות. עם זאת, הGPDR או הCCPA כוללות מנגנוני פיצוי על מנת לאפשר יישום אבטחת מידע לצד פרטיות. בישראל, המטרה היא לספק למשק תקנות וחוקים ברורים ככל הניתן בשני נושאים אלו על מנת שהזכויות יוכלו לחיות יחד.
אנו במערך רוצים שכל עסק, בכל גודל, יוכל להתמודד עם רגולציה ותקנות בתחומים אלו. שאיפה נוספת היא להעלות מודעות לנושא הפרטיות ואבטחת המידע בקרב עסקים. הנהלה של ארגון צריכה להבין את התחום ולעסוק בו. בהיבט אבטחת מידע, יש לבחון כיצד מידע שנאסף ומעובד למטרה זו משמש רק עבורה, ואינו משמש למטרות אחרות", אמר אשכנזי.
עידן בן יעקב , מנהל פיתוח עסקי בחברת Snowplow, הסביר כי תהליך היישום של ה-GPDR גורם לעסק לחשוב על פרטיות. "אם אתה מניח שמישהו יכול לחדור לרשת שלך, השאלה היא כיצד אתה מצמצם את כמות ואופי המידע שאתה אוסף. עולות שאלות לגבי למה אתה אוסף את המידע שאתה אוסף. זאת, מתוך הבנה שאם אם מישהו כבר גונב מידע, שיגנוב כמה שפחות ומידע שאינו אישי".
"חברות חושבות היום כיצד להקטין את משטח התקיפה על המידע האישי של הלקוחות. נתקלנו בחברות ששכפלו כל נתון עשר פעמים לצרכי גיבוי בעבר, וכיום שואלות למה צריך את זה. פעולה כזו למשל מגדילה את משטח התקיפה על הנתונים. עוד שאלה מנחה היא למי יש גישה למאגרי המידע של הארגון. פחות הרשאות, פחות חשיפה. מדובר בשינוי תרבותי שעובר על המשק העסקי. הרבה חברות עוסקות גם בסיכוני שרשרת האספקה כולל הגנה על API. גם זה נובע בחלקו מהיבט ההגנה על הפרטיות", אמר בן יעקב.
