עלייה בסיכון להפרת רגולציה בתחום הפרטיות עקב המלחמה

 

מורלי דורי

 

עקב עלייה בסיכון להתקפות סייבר בשל המלחמה והחמרת גישת הרשות להגנת הפרטיות, קיימת עלייה מהותית בסיכון להפרות רגולציה ותביעות ייצוגיות עקב כך. במקביל, מקודמת גם החקיקה לענקת סמכויות להטלת עיצומים כספיים לרשות להגנת הפרטיות.


השבוע פרסמה רשות להגנת הפרטיות (להלן: הרשות) הליך אכיפה מנהלית אשר בוצע כנגד פאי פיננסיים בע”מ.


פאי פיננסיים הינה סוכנות ביטוח המציעה גם פתרונות פיננסיים. בסוכנות הביטוח אירע אירוע אבטחת מידע שגרם לדלף מידע אישי אודות לקוחות. הרשות ביצעה ביקורת לאחר האירוע ומצאה כי מסמך הגדרות מאגר המידע לא עודכן, הוגש סקר אבטחת מידע חלקי, החדירה לא זוהתה על ידי מנגנון הבקרה על הגישה למאגר ועוד.
הרשות קבעה בתום הבדיקה כי הסוכנות הפרה את הוראות תקנות הגנת הפרטיות (אבטחת המידע) התשע”ז-2017.


הדגש החשוב – חלק מההפרות טמונות באמצעים טכנולוגיים להגנת על מערכות המידע. אבל חלק משמעותי מההפרות שנמצאו טמונות בליקויים שנמצאו בתהליכי הניהול ובקרה של נהלים ויצירת שגרות ניהול המבטיחות את ההגנה על המידע הרגיש.


תהליך האכיפה המינהלית כנגד פאי פיננסיים התרחש עוד טרם מלחמת חרבות ברזל, אך פורסם השבוע. מאז תחילת המלחמה ב-7 לאוקטובר דווח על ידי גורמים רבים על עלייה מהותית במתקפות כנגד מטרות ישראליות. בנובמבר פורסם על ידי צ’קפוינט כי העלייה הינה בשיעור של למעלה מ-20%. עוד פורסם השבוע כי איקאה ישראל הוציאה פנייה ללקוחותיה הרשומים לאתר האינטרנט שלה, עקב התקפת סייבר שחוותה חברה אחרת אשר איחסנה את אתר האינטרנט של איקאה בעבר. בעקבות זאת, פירסמה הרשות להגנת הפרטיות השבוע כי היא דורשת מחברות המאחסנות מאגרי מידע עבור לקוחות עסקיים החמרת ההגנות לרבות דיווחים מיוחדים לרשות.


עוד פורסם השבוע בפורטל המשפטי לאינטרנט, סייבר וטכנולוגיות מידע, כי הרשות להגנת הפרטיות מבקשת לזרז את אישור תיקון מס’ 14 לחוק הפרטיות, על רקע התגברות תקיפות הסייבר מאז תחילת המלחמה. תיקון מס’ 14 לחוק הגנת הפרטיות נמצא על המדוכה כבר מספר שנים. הוא טומן בחובו שינויים רבים המחמירים עם בעלי מאגרי מידע והמחזיקים במאגרי מידע. אחד מהשינויים המהותיים הוא הרחבת סמכויות האכיפה של הרשות לפרטיות, בין היתר, להטלת עיצומים כספיים עד לסך 800,000 ש”ח שיכול להיות מוכפל עד פי 4. בהפרה חוזרת יוכפל הסכום. בעבירה נמשכת יתווסף סכום של 2% לכל יום. ניתן לקרוא עוד על התיקון הצפוי לחוק באמצעות תיקון מס’ 14 בפורטל המשפטי.


לסוכנויות ביטוח, נותני אשראי מורחב וכמובן חברות ביטוח, קיימת חשיפה רבה יותר מאשר לגוף רגיל, גם עוד לפני תיקון החוק. מעבר לביקורת והחקירה שתתנהל על ידי הרשות להגנת הפרטיות, צפויה גם ביקורת מצד רשות שוק ההון אשר עשויה לנקוט צעדים אשר בסמכותה וכמובן לתביעות על ידי לקוחות, לרבות תביעות ייצוגיות, בשל הנזק שנגרם להם עקב דלף המידע. עם תיקון החוק כאמור, יתווסף גם הסיכון של הטלת קנסות על ידי רגולטור נוסף – הרשות להגנת הפרטיות.


ועוד מילה על נזק המוניטין – כגופים פיננסיים המחזיקים מידע רגיש של לקוחות לגבי נכסיהים, מצבם הבריאותי, הכנסותיהם, מצבם האישי ועוד, דליפת מידע מסוג זה עשויה לגרום נזק מוניטין מהותי לגוף הפיננסי ולפגום ברמת האמון של הלקוחות בגוף. בסופו של דבר, האמון של הלקוחות בתחום הפיננסי, הוא היעד שכל נותן שירות בתחום שואף אליו והפגיעה בו, עשויה להיות מכה אנושה לגוף.


כאמור, עמידה בהוראות הרגולציה אינה מסתיימת במינוי איש אבטחת מידע והקצאת תקציב להגנות אבטחת מידע. הרגולציה של רשות הפרטיות קובעת שורה ארוכה של צעדים ניהוליים אשר יש לבצע באופן שוטף ולרענן באופן עקבי, כדי להבטיח שההגנה על המידע הפרטי של לקוחות, עובדים, ספקים ואחרים נשמרת בכל עת. באופן טבעי, הפעילות בכל חברה פיננסית משתנה מהר והיא דינמית מאד, עובדים מתחלפים, הרגולציה מתעדכנת, תהליכי עבודה משתנים, מערכות המידע מתעדכנות ולכל אלו יש השלכה קריטית גם על מערכות המידע בסוכנות וגם על ההגנה על המידע האישי הנמצא במערכות אלו.


עמידה בהוראות הרגולציה של הרשות להגנת הפרטיות אינה עבודה חד פעמית שנכנסת למגירה, אלא קביעת שגרות תואמות רגולציה אשר יבטיחו את עמידת הסוכנות בהוראות הרגולציה בכל עת ואת מוכנותה לביקורת של רשות הפרטיות.


המחשבה כי הטמעת הגנות אבטחת מידע וקבלת שירותי אבטחת מידע ממומחי אבטחת מידע מהווה עמידה בהוראות הרגולציה של רשות הפרטיות היא מחשבה שגויה. ללא יישום נהלים סדורים והטמעה של שגרות ריענון, כל גוף פיננסי יכול למצוא את עצמו מפר רגולציה בתחום הפרטיות.


זוהי קריאת השכמה להיערכות לנושא קריטי זה, אשר רק על פניו עשוי להיראות כמשימה שתמיד ניתן לדחות אותה בלחץ הטירוף היומיומי המוטל עליכם ביום-יום.