דנים בתקנות להגנה על מאגרי מידע

מאגרי מידע עלולים לסכן את הפרטיות ולכן צריכים מנגנונים ייחודיים להגנה על הפרטיות, כיום מקדמים הגנה פיזית ולוגית על מאגרי מידע ולעניין סדרי הניהול וכללי העבודה בקשר למאגרי מידע של גופים ציבוריים ופרטיים.

12.01.2017 מאת: פורטל הכרמל והצפון

התקנות שהובאו לוועדת החוקה חוק המשפט לבקשת שרת המשפטים, נועדו לקבוע הסדר מעודכן, מקיף ומפורט יותר מזה הקיים כיום בתקנות הגנת הפרטיות.

ההסדר כולל מנגנונים וכלים פנים ארגוניים הממחישים את חובותיהם ואחריותם של ארגונים בתחום אבטחת מידע אישי ומטרתם להנחיל עקרונות אבטחת מידע כדי להגן על זכויות נושאי המידע במאגרים מפני שימוש לרעה על-ידי גורמים מחוץ לארגון והן על-ידי עובדי הארגון. בהיבט האחריות הארגונית, התקנות מודולריות ומחילות חובות ברמה הולכת וגדלה ככל שפעילות עיבוד המידע בארגון משמעותית יותר.

ממלאת מקום יו"ר הוועדה, חה"כ רויטל סויד (המחנה הציוני): "אחרי חמש שנים שמשרד המשפטים מנסה לקדם את התקנות שיעשו סדר בכל הקשור לאבטחת המידע והפרטיות ברשת עשינו צעד חשוב להסדרת התחום בישיבה ראשונה עם כל הגורמים. אנחנו מצויים בתקופה מאתגרת לפרטיות. כולנו מנדבים פרטים רבים בחיינו לחברות האינטרנט ולגופים שמחזיקים מאגרי מידע ברשת ויש להקפיד על שמירת המידע ואבטחתו. ראינו רק לאחרונה מספר מקרים של דליפה המונית של מידע רגיש, עד כדי השפעה על הבחירות לנשיאות ארה"ב. התקנות יקרבו אותנו לנעשה בתחום במדינות המתקדמות באירופה, בעידן של טכנולוגיה מתקדמת"

אלון בכר ראש הרשות למשפט טכנולוגיה ומידע- רמו"ט: "זה יום חשוב למדינה ולזכות החוקתית לפרטיות. התקנות שואבות השראה מתקני אבטחה בעולם ויקדמו את ישראל בזירה של אבטחת מידע אישי. מדובר על ריבוי גופים שמנהלים מאות אלפי מאגרים והחידוש העיקרי הוא בהבהרה של התחום- התקנות יסירו ספקות לגבי אמצעי האבטחה הבסיסיים ויינתן זמן למשק להיערך. המתכונת המודולרית לוקחת בחשבון שיש סוגי מידע שונים, גופים שונים ושימושים שונים וניסינו להביא להקלות לגופים קטנים שהמידע שבידיהם אינו משמעותי. לא ניתנה עדיפות לטכנולוגיה כשלהי בגלל הדינמיות של התחום וכך לא נפגעת התחרות במשק לגופים המפתחים טכנולוגיות כאלו".

חה"כ אוסאמה סעדי (הרשימה המשותפת) בירך על התקנות החדשות ואמר כי "הגנת הפרטיות והתאמתה לקדמה הם דבר חשוב והיה ראוי להכניס חלק מהתקנות לחקיקה ראשית כמו נושא הממונה על אבטחה וביקורת".

חה"כ אורי מקלב (יהדות התורה): "שלושה נדבכים חשובים הם המאגר עצמו שהוא נושא רגיש בשל הסוגים הרבים של מאגרים והבעייתיות בהתאמה לכל הסוגים. חלק נוסף הוא העברת המידע והשלישי הוא הגנת המידע- מי שיש לו מידע אילו שימושים הוא עושה בו. צריך להיות פיקוח מתוחכם".

חה"כ יוליה מלינובסקי (ישראל ביתנו): "הרשות לטכנולוגיה כיום חסרת שיניים. הבעיה הרבה יותר עמוקה ממה שאנחנו נחשפים פה. כבר חמש שנים שהרשות לא מצליחה לקדם את התקנות וזה מעורר שאלה. עד שהרשות תשתנה ותקבל סמכויות- אף תקנה לא תעזור. ביחס למדרג- החלוקה לא נכונה כי יש עמותות קטנות העוסקות באימוץ ודלפו תיקים, כך שמה שחשוב הוא רגישות המידע".

רפאל פרנקו ראש רשות הסייבר: "אחד העקרונות המובילים בתקנות הוא שארגון יכול להבין איפה הוא נמצא על הרצף של פגיעות לסייבר ועד כמה הוא צריך להשקיע ובמה. אנחנו פועלים ברמת המגזר ונותנים לגוף כלים לשפר את מוכנותו להתקפות סייבר". לדרישת הח"כים מקלב ומלינובסקי לעמוד על אופן התיאום בין רמו"ט לרשות הסייבר השיב כי "התקנות מתואמות איתנו ומה שחשוב לשים על השולחן כרגע הוא העובדה שבחנו האם יש סתירה בין הגנת סייבר לאבטחת המידע והתשובה היא שלא. מי שיפעיל את התקנות זה רמו"ט ויהיו שיתופי פעולה".

איציק כוכב מנהל הגנת הסייבר והפרטיות בקופת חולים כללית: "בעידן האינטרנט האגרסיבי הפרטיות כמעט נעלמת ולכן יש מקום להדק את התקנות ולעדכן אותן אחת לשנה שנתיים בהתאם לאיומים. רופא עצמאי פרטי גניקולוג עם 300 מטופלות יש לו מידע רגיש ביותר והחשיבות היא לכן לרגישות המידע. התעשייה דוחפת להעביר מידע רב לשירותי ענן לאומיים ואסור לנו להיות שם. ברגע שמידע יוצא לענן מאוד קשה לעשות עליו אבטחה. אני נגד מידע רפואי מזהה בשירותי ענן. צריך יהיה להגדיר גם רשת אדומה של מידע סופר רגיש שלא יהיה מחובר לסייבר. לצערי הרב, מנהלים במשק מתקשים להקצות תקציבים לאבטחת מידע והתקנות צריכות לחייב זאת". ביחס לנושא הענן אמר ראש רשות הסייבר פרנקו כי "יש מדיניות ענן לישראל של מה יכול ומה לא לעלות ומי רשאי להפעיל ענן. כרגע מאושרת בקשה בקשה לכל משרדי הממשלה ול-25 התשתיות שהוגדרו קריטיות לאומית".

הילי זליבנסקי מנהל אבטחת מידע בעיריית ת"א: "גופים מוניציפליים מחזיקים מידע רב ממגוון רב של שירותים חברתיים וחינוך, שכל מאגר בפני עצמו הוא ברמת אבטחה בינונית או גבוהה, אבל להטיל תקנות כאלו מבלי להתחשב בעלות ובזמן הביצוע זה יהיה לחטוא לעניין. אני לא רואה איך גופים שאנחנו מסייעים להם ואיך נוכל בעצמנו לעמוד בתקנות שעולות מיליונים. יש לנו 15 עובדים בתחום אבטחת המידע, ההכנה והעריכה של סקר סיכונים לוקחת כחצי שנה. היום יש לנו כמה עשרות מאגרים והכוונה לצמצם ל-20 ואנחנו עוד עירייה מסודרת. צריך להבין את ההבדל בין ביצוע סקר סיכונים לבין הטיפול בממצאי הסקר. זה שינוי של סדרי עולם של מערכות הקיימות 40-30 שנים". עו"ד גילי בסמן ריינגולד היועצת משפטית של רמו"ט השיבה כי "התקנות לא מוסיפות עלויות אלא מחדדות את הדרך לעשות זאת וההוצאה הנוספת אינה יותר ממאות אלפים לגוף גדול, ועשרות אלפים לגוף בינוני" ראש רמו"ט בכר הוסיף כי "לא בכדי הועברה החלטת ממשלה ש-8% מתקציב –IT ילך לאבטחת מידע. נכון שהגופים יידרשו להתאמות אך הדרישה קיימת כבר הרבה שנים. בגופים גדולים שבהם ממילא יש תקציב IT, רק צריך לחלקו נכון. השוק יתאים עצמו ויש פתרונות שלא ימוטטו גופים".

יהושע פרייס, מרכז תחום אבטחת מידע במכון התקנים: "כמי שסוקר את כל הבריאות כולל בתי החולים הממשלתיים וקופות החולים, והספקים הגדולים, נעשה מהפך בהגנה על המידע במערכות הללו, כי יש שיטה מסודרת של עבודה להגן על נכסי מידע, וכי יש גוף מקצועי חיצוני אובייקטיבי שבודק אחת לשנה. אני מציע להכליל בתקנות את הדרישה שמי שרוצה להגן נכון, יפנים את iso 270001".