משרד המשפטים: גופים יחויבו לדווח על פריצות למאגרי מידע

המשרד מפרסם תקנות חדשות לטיפול באבטחת מאגרי מידע של אזרחים; התקנות מתבססות גם על לקחים מפרשת ההאקר הסעודי

שתפו כתבה במיילשליחת הכתבה באימייל
עודד ירון

ארגונים שסבלו מפריצה של האקרים ודליפה של מידע יחויבו לדווח על הפריצה לרשם מאגרי המידע, והוא יוכל לחייב אותם להודיע על כך לציבור שנפגע מהפריצה, כך קובעת טיוטת תקנות אבטחת מידע, שמפרסם היום משרד המשפטים.

התקנות שמפורסמות בידי הרשות למשפט טכנולוגיה ומידע (רמו"ט) ומחלקת ייעוץ וחקיקה במשרד המשפטים מסדירות את אחריותם של ארגונים להתמודדות עם אבטחת המידע לפי חוק הגנת הפרטיות. הן מפורסמות לאחר תהליך קבלת הערות בידי הציבור על טיוטה קודמת, ולאחר שהופקו לקחים גם מפרשת ההאקר הסעודי בתחילת השנה הנוכחית ובסוף 2011.

פרשת ההאקר הסעודי חשפה את המצב הלקוי ששרר במאגרי מידע פרטיים רבים ברחבי המדינה - מה שהוגדר בידי מומחים רבים כבטן הרכה של אבטחת המידע במדינה. לפתע, בעקבות פעילותם של האקרים, שחלקם אמנם היו בעלי ידע רב, אולם אחרים היו מה שמכונה סקריפט קידיז המשתמשים בכלים מן המוכן מהרשת, התברר כי פרטים אישיים חשובים של עשרות אלפי אנשים יכולים להיחשף בקלות בשל נוהלי אבטחה לקויים בארגונים שונים. למעשה, התברר שכל חנות מקוונת הופכת לנקודת תורפה של הגולש שהשתמש בשירותיה ונתן לה פרטים כמו כרטיס אשראי, וחמור מכך תעודת זהות.

התקנות קובעות נהלים שונים לטיפול במידע, החל מקביעת אחראי לטיפול באבטחת המידע - שאמור להיות כפוף רק למנכ"ל או לנושא משרה בכירה אחרת, וכלה בנוהלי האבטחה, הביקורות וההדרכות הדרושות.

הארגונים שלהם נוגעות התקנות מחולקים לרמת אבטחה בינונית וגבוהה, לפי סוג הארגונים וגודל מאגרי המידע שבהם הם מחזיקים.

יורם הכהןצילום: טלי מאייר

ארגונים בעלי רמת אבטחה בינונית יכולים להיות ארגונים ציבוריים או פרטייים שמחזיקים במידע פרטי למטרות עסקיות, כמו אתרי קופונים ששולחים הצעות עסקיות או ארגונים ציבוריים. כמו כן, מוגדר כבעל רמת אבטחה בינונית כל ארגון שמחזיק במידע רגיש כמו מידע על דעות פוליטיות, מידע כלכלי, עבר פלילי, מידע רפואי, או נפשי, ובנוסף מידע שמאפשר לאפיין בני אדם בצורה ביומטרית, כלומר מאפיין ייחודי. עוד נכלל בכך המידע הגנטי של אדם.

ארגון בעל רמת אבטחה גבוהה הוא כזה שמחזיק במידע על 100 אלף איש ומעלה או כזה שמספר מורשי הגישה למאגר המידע שלו עולה על 100.

אחד ההבדלים בין הארגונים נוגע לחובת הדיווח המחמירה במקרה של ארגון בעל רמת אבטחה גבוהה. במקרה שלו, די במקרה יחיד של שימוש לרעה במאגר, בין אם פנימי ובין אם חיצוני, כדי לחייב את הארגון בדיווח. במקרה של ארגון בעל רמת אבטחה בינונית חובת הדיווח חלה רק כאשר יש דליפה ממשית של מידע. כאשר התקנות יגיעו לחקיקה, גם הקנסות שיוטלו במקרה של הפרתן יהיו מדורגות בהתאם לגודל הארגון ורמת האבטחה לה הוא נדרש.

תגובות

הזינו שם שיוצג כמחבר התגובה
בשליחת תגובה זו הנני מצהיר שהינני מסכים/ה עם תנאי השימוש של אתר הארץ