אבטחת מידע וסייבר - חשוב גם ליזמים וקבלנים

בית ייעוץ משפטי אבטחת מידע וסייבר - חשוב גם ליזמים וקבלנים

לאחרונה אנו עדים למספר אירועי אבטחת מידע בחברות ישראליות, ככל הנראה בשל תקיפות של פצחנים (האקרים) כנגד חברות אלה. כך למשל ביום 1.12.2020 פרסמו רשות שוק ההון, ביטוח וחיסכון ומערך הסייבר הלאומי הודעה לעיתונות על אירוע דלף מידע מחברת הביטוח שירביט וביום13.12.2020  פרסמה אוריין ש.מ. בע"מ דיווח מיידי לפיו בשבוע שעבר זיהתה, לאחר קבלת התראה מאחד מספקי התוכנה שלה (עמיטל), כי כתוצאה מאירוע סייבר שהחל אצל עמיטל, דלף מידע השמור באחד משרתיה, כפי שאירע, למיטב ידיעת אוריין, לכ-40 לקוחות נוספים של עמיטל.

 

אבטחת מידע וסייבר - חשוב גם ליזמים וקבלנים

האירועים האמורים, מצביעים לדעתנו על מגמה מדאיגה של גידול בניסיונות החדירה למערכות של ארגונים שונים במשק ולמאגרי המידע שלהם.

למותר לציין שלאירועים מסוג זה עלולות להיות השפעות קשות על הארגונים עצמם (למשל בשל השבתת אתרים ומערכות חיוניות לארגון, הגשת תביעות מצד מי שמידע אודותיו דלף ממאגרי המידע של הארגון, הטלת סנקציות על הארגון ע"י הרשות להגנת הפרטיות ועוד), על בעלי התפקידים בארגון (למשל מנהלי מאגרי המידע המותקפים ונושאי המשרה בארגונים האמורים) וכמובן על האנשים שמידע אודותם דלף.

אירועים מהסוג האמור צריכים לדעתנו לזרז את מי מלקוחותינו שטרם ביצעו הליך סדור של מיפוי מאגרי המידע שברשותו ובדיקת עמידתו בהוראות חוק הגנת הפרטיות, התשמ"א-1981, תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 ורגולציה סקטוריאלית אחרת החלה עליו בהקשרים אלה (של פרטיות ואבטחת מידע), לעשות כן.

ביצוע הליך שכזה (הכולל מיפוי של מאגרי המידע ווידוא עמידה בתנאי הרגולציה הקשורים למידע האמור), על ידי צוות מומחים (משפטי וטכנולוגי), יסייע לדעתנו לארגונכם להתמודד ביתר הצלחה עם אירועים דוגמת אלה שציינו לעיל, ולצמצם את החשיפה המשפטית של הארגון (ובעלי התפקידים השונים בו).

בנוסף לאמור לעיל, אנו ממליצים:

ü להכיר את ההמלצות שפורסמו בהודעה של רשות שוק ההון, ביטוח וחסכון ומערך הסייבר הלאומי, בקשר עם האירוע של חברת הביטוח שירביט ולפעול לפיהן. לקריאת הפרסום לחצו כאן.

ü היות ואחת מהמלצות רשות שוק ההון ומערך הסייבר הינה לחדד ערנות ולהעלות את המודעות של עובדי הארגון באשר לתכנים המתקבלים מגורמים בלתי מזוהים ועלולים להיות מתחזים, אנו מצרפים כאן קישור לערכת ההדרכה לעובדים בנושא     איומי סייבר ואבטחת מידע שפרסם מערך הסייבר כאן.

ü לשוב ולבדוק את ההרשאות שניתנות לעובדים בארגון, כך שהרשאות שניתנו לעובדים הנמצאים בחופשות ממושכות ו/או הסתיימה העסקתם תבוטלנה / תצומצמנה.

ü לבחון את הכיסוי הביטוחי של הארגון ונושאי המשרה בקשר לאירועים שמנינו מעלה.

ü לוודא שקיים בארגון צוות תגובה לאירועי אבטחה (המורכב גם מיועצים חיצוניים, כגון מומחי פורנזיקה, משא ומתן וגורמי הביטוח) ולתרגל אותו.

ü לבחון את חוסן המערכות של הארגון (למשל באמצעות בדיקות חדירות וסקרי סיכונים, שלעיתים ארגונים נדרשים לקיימם גם מכוח הדין).

נשמח לסייע לארגונכם לקיים הליך סדור כאמור לעיל.

המידע האמור במזכר זה הינו מידע כללי ותמציתי בלבד, הוא אינו מהווה חוות דעת או ייעוץ משפטי ויש לקבל עצה מקצועית נפרדת בטרם נקיטת פעולה משפטית או אחרת בקשר עם הנושאים אותם סקרנו.

המאמר נכתב ע''י עו"ד סער רוסמן, שותף, מחלקת הייטק וטכנולוגיה אגמון ושות' רוזנברג הכהן ושות'

**עו"ד סער רוסמן הינו מומחה בתחומי הגנת הפרטיות