תקנות הגנת הפרטיות (אבטחת מאגרי מידע)

תקנות אבטחה המידע והפרטיות. מכירים?

פרטיות ואבטחת מידע במאגרי מידע הוא נושא חשוב שנמצא בעצם ימים אלו בלב ליבה של העשייה המשפטית בדיני הטכנולוגיה השונים. כך למשל ה-GDPR האירופי (שתקנות אלו מהוות תחילת יישומה בארץ) קובעת סטנדרטים משמעותיים של אבטחת מידע והגנת הפרטיות, ובדומה גם תקנות אלו.

חשוב להדגיש – תקנות אבטחת המידע החדשות יוצרות התחייבויות לא מבוטלות. יש לשים אליהן לב וללמוד אותן באופן אינטנסיבי בשיתוף פעולה של מומחי אבטחה ועורכי דין.

ב-8.5.2017 פורסמו תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 אשר משפיעות על רבים מאיתנו. כמעט לכל חברת הזנק (סטארט-אפ) ועסק אחר יש מאגרי מידע שמומלץ מאוד להגן עליהם כמפורט בתקנות.

סוף סוף מגדיר המחוקק בצורה מדוקדקת, יחסית, את הצעדים שעל בעל מאגר מידע לנקוט לשם הגנה על המאגר ומניעת הפרת הפרטיות של נשואי המידע. למשל: אילו מסמכים עליו להכין, אילו תכניות עליו לתכנן מראש, מול אילו תרחישים עליו להתמודד, חובתו למפות את מאגר המידע שלו, חובתו לאתר את האיומים על המאגר ודרכי ההתמודדות שלו עימם, חובתו לעקוב אחר השינויים המתרחשים בנושא, ועוד.

שימו לב שהתקנות יכנסו לתוקפן בעוד שנה ממועד פרסומן, כך שזה הזמן להתחיל ולהתארגן. אל תאמרו "מחר".

מטרת מאמר זה היא סקירה כללית, מתן מידע כללי ואין להסתמך עליו כיעוץ. בכל מקרה שקשור אליכם באופן ספציפי, הרי מדובר בנושא מורכב ביותר ואני ממליץ בכל לשון של המלצה לגשת לעורך דין מומחה בתחום. התקנות מורכבות הרבה יותר מכפי שנראה במאמר זה ולכן זהו סיכום חלקי בלבד.

על מי חלות התקנות?

התקנות חלות על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל, כולל ארגונים, גופים, חברות, עסקים ואנשים פרטיים. כל אחד מאלו עשוי להיות חשוף אם לא יפעל כדין לפי התקנות.

סוגי מאגרי המידע

התקנות מחלקות את המאגרים לארבעה סוגים, כשרמת האבטחה הנדרשת ביחס לכל אחד מהם הולכת וגוברת.

ראשית, מאגר מידע המנוהל על ידי יחיד. זה הוא מאגר שהגישה אליו נמצאת בידי לא יותר מ-3 אנשים, ובלבד שמטרתו אינה איסוף מידע לצורך מסירתו לאחר (כמו שירות דיוור ישיר), הוא אינו מכיל מידע על יותר מ-10,000 איש ואינו כולל מידע הכפוף לחובת סודיות.

מאגר המידע הבא הינו מאגר מידע ברמת אבטחה בסיסית (זו הגדרה שיורית – מאגר שאינו מוגדר כמנוהל על ידי יחיד ואינו נכנס לאחת הקבוצות הבאות של רמת אבטחה גבוהה יותר).

הרמות הבאות של אופי מאגרי המידע נמצאות בתוספות לתקנות – בתוספת הראשונה (רמת אבטחה בינונית) והשניה (רמת אבטחה גבוהה) לתקנות.

רמת אבטחה בינונית מתייחסת למאגר מידע שמורשי הגישה אליו עולים של עשרה, שהוא בבעלות גוף ציבורי או שיש בו מידע רגיש. מאגר ברמת אבטחה גבוהה הוא כזה שהוא של גוף ציבורי שמטרתו לאסוף מידע לצורך מסירתו לאחר או כזה המכיל מידע רגיש, ובלבד שהוא מכיל מידע על 100,000 אנשים ומעלה או שמספר מורשי הגישה אליו עולה על 100.

מידע רגיש יכלול למשל מידע מהסוגים הבאים: מידע על צנעת חיי האדם; התנהגותו של אדם ברשות היחיד; מידע רפואי או נפשי; מידע גנטי; מידע אודות דעות פוליטיות או אמונות דתיות; על עבר פלילי; נתוני תקשורת; מידע ביומטרי; מידע על נכסיו, חובותיו והתחייבויותיו של אדם; הרגלי צריכה של אדם וכדומה.

תוכן המידע במאגר קובע רק חלק ממידת האבטחה הנדרשת ויש חשיבות רבה גם להיקפו ולמידת הנגישות של אנשים אל המידע שבו. גם הם משפיעים על מידת האבטחה הנדרשת בכל מאגר.

טרם שנמשיך אזכיר רק כי חלק גדול מהחובות המפורטות להלן, כלל אינן חלות על מאגר מידע שבבעלות יחיד, ומומלץ לבחון זאת היטב (החובות העיקריות החלות על מאגרים שכאלו הן חובת ניסוח מסמך הגדרות המאגר, אבטחה פיזית של המאגר, נקיטת אמצעי אבטחה לגישה רק של כח אדם מורשה במידה הנדרשת בלבד, תיעוד ארועי אבטחה וחשש לפגיעה או חריגה מהרשאה, הגבלת התחברות להתקנים ניידים, הפרדת המערכות ואבטחת התקשורת).

מינוי ממונה אבטחת מידע

מחזיקי מאגרי מידע מסויימים (למשל חברות ציבוריות, חברות פיננסיות, חברות המחזיקות בחמישה או יותר מאגרי מידע החייבים רישום) צריכים למנות ממונה אחראי לתחום אבטחת המידע, שיהיה כפוף ישירות למנהל המאגר עצמו.

ממונה אבטחת המידע יכין נוהל אבטחת מידע וידאג לאישורו. הממונה אף יכין תוכנית לביקורת שוטפת על העמידה בתקנות, יבצע אותה ויודיע לבעל המאגר על התוצאות והממצאים.

התקנות מסדירות מספר חובות וזכויות נוספות של הממונה כמו הכפיפות הישירה לבעל מאגר המידע, האיסור על המצאות במצב של ניגוד עניינים והחובה להכין תכניות ולבדוק אותן באופן שוטף.

מסמך הגדרות מאגר המידע

התקנות מחייבות כל בעל מאגר מידע לבדוק את עצמו ולהכין מסמך הגדרות מאגר, כבסיס לשאלת היקף הצורך באבטחת מידע.

מסמך הגדרות המידע יכלול, בין היתר:

1. תיאור כללי של פעולות האיסוף והשימוש במידע שנאגר אצלו.
2. תיאור מטרות השימוש במידע.
3. סוגי המידע השונים הנכללים במאגר.
4. פרטים על העברת המאגר או חלק מהותי ממנו אל מחוץ לגבולות המדינה (שימו לב. גם אחסון בשרתי ענן נכנס בגדר רכיב זה).
5. פעולות העיבוד המבוצעות במידע.
6. סקירת סיכוני האבטחה העיקריים וקביעת מדיניות התמודדות.
7. שם מנהל המאגר, מחזיק המאגר וממונה האבטחה בו.

אין המדובר בפעילות חד פעמית אלא יש חובה לעדכן את המסמך בכל עת בו נעשה שינוי מהותי בנושאים הנכללים בו. כלומר, הארגון חייב לדאוג שיהיה אצלו אדם שתפקידו להיות מודע לנושא זה של אבטחת מידע, לעקוב אחריו ולבדוק את שינויים (במאגר או בחוק).

נוהל אבטחת מידע

בעל מאגר המידע חייב להכין מסמך נוהל אבטחת מידע, שיוכן על בסיס מסמך הגדרות המאגר ויתאם לתקנות אבטחת המידע. נוהל האבטחה יכלול בין השאר גם –

1. הוראות בדבר אבטחה פיזית של אתר המאגר וסביבתו.
2. פירוט הרשאות הגישה למאגר ולמערכותיו.
3. תיאור אמצעי הגנה על מערכות המאגר ואופן הפעלתם.
4. הוראות למורשי הגישה למאגר ולמערכותיו לצןרך הגנה על המידע שבמאגר.
5. הסיכונים להם חשוף המידע שבמאגר במסגרת הפעילות השוטפת של בעל המאגר (לרבות סוגי סיכונים שונים), אופן קביעת הסיכונים ואופן הטיפול בהם (כולל מנגנוני הצפנה מקובלים, ועוד).
6. אופן התמודדות עם ארועי אבטחה.
7. הוראות ניהול ושימוש בהתקנים ניידים.

במאגרים ברמת אבטחה בינונית וגבוהה יכלול נוהל אבטחת המידע גם את –

1. אמצעי הזיהוי ואימות לצורך מתן גישה למאגר.
2. אופן הבקרה על השימוש במאגר המידע, והתיעוד שלו.
3. הוראות לעריכת ביקורות תקופתיות ווידוא קיום אמצעי האבטחה.
4. הוראות ביחס לגיבוי הנתונים.
5. הוראות ביחס לביצוע פעולות פיתוח במאגר ותיעודן, כולל גישת אנשי הפיתוח לנתונים עצמם.

נדרשת בדיקה שנתית ובעקבותיה יש לפעול לעדכון הנוהל, אם יש צורך בכך. כלומר, התקנות מחייבות מעקב ונדרש עדכון שוטף. מעבר לכך מחוייב עדכון הנוהל גם כאשר נעשים שינויים מהותיים במאגר או במערכות עיבוד המידע וכן כאשר נודע על סיכונים טכנולוגיים חדשים. מועדי הבחינה של הארועים השוטפים ותדירות עדכון נוהל אבטחת מידע תלויים ברמת האבטחה של המאגר (אחת לשנה או אחת לרבעון, ברמה הבינונית או הגבוהה, בהתאמה).

הנוהל צריך להתייחס לכל מאגרי המידע שבניהול ובבעלות אותו עסק.

מבנה מאגר המידע

בעל מאגר מידע חייב להחזיק, נוסף על כל האמור לעיל, גם מסמך מעודכן של מבנה מאגר המידע ורשימת מצאי של מערכות המידע. מסמך מבנה מאגר המידע ורשימת המצאי של מערכות המידע במאגר יכללו גם פרטים אודות:

1. תשתית ומערכות חומרה, סוגי רכיבי תקשורת ואבטחת מידע במאגר.
2. מערכות התוכנה המשמשות להפעלת מאגר המידע, לניהולו ולתחזוקתו, לתמיכה בפעילותו, לניטור שלו ולאבטחתו.
3. תוכנות וממשקים המשמשים לתקשורת אל מערכות המאגר ומהן.
4. תרשים הרשת שפועל בה המאגר, כולל תיאור הקשרים בין רכיבי המערכת השונים ומיקומם הפיזי.
5. תאריך עדכון אחרון של המסמך והרשימה.

מסמכים אלו נחשבים חסויים, ויש למסרם לבעלי התפקידים בחברה רק בהיקף הנדרש לצורך ביצוע תפקידיהם.

סקר סיכוני אבטחת מידע ומבחני חדירה

במאגר מידע ברמת אבטחה גבוהה חלה חובה לערוך סקר סיכוני אבטחת מידע, לדון בו, לבחון אותו, לעדכן את המסמכים השונים בהתאם לו ולפעול לתיקון הליקויים שהתגלו בסקר. סקר כזה ייערך כל 18 חודשים לפחות.

במאגר כזה גם קמה חובה לבצע מבדקי חדירות אקטיביים למאגר, לבחינת עמידותו. גם זאת, לפחות אחת ל-18 חודשים. כמובן שחובה לטפל בממצאים ולתקנם.

חובת אבטחת מידע פיזית

החובה לאבטח מאגר אינה חלה רק על הצד הדיגיטלי אלא גם על הצד הפיסי שלו, החצרים והחומרה.

בעל מאגר מידע חייב לשמור את מערכות המאגר באתר מוגן, המונע כניסה וחדירה אליו ללא הרשאה, ותואם את רגישות התוכן שבמאגר. למשל – חדר נעול, למשל כספות מאווררות וממוזגות וכדומה, לפי הצורך.

ככל שרמת הרגישות של המאגר גדלה, חלות חובות נוספות על בעל המאגר ביחס לרכיבים הפיזיים, לדוגמא – חובת תיעוד כניסות ויציאות והכנסת ציוד.

בעל המאגר אף חייב להגביל את האפשרות לחבר התקנים ניידים למערכות המידע במידה ההולמת את המידע המאוחסן שם, ולהתקין אמצעי הגנה בפני מצבים שעלולים לצוץ בעקבות חיבור שכזה. בעל המאגר גם חייב להתייחס למידע שהועתק להתקן נייד ולקבוע אמצעי הגנה מתאימים, כמו למשל הצפנה של תוכן כאמור.

צריכה להיות גם הפרדה בין מערכות המאגר המאפשרות גישה למאגר, ליתר מערכות המחשוב של בעל המאגר.

חובת אבטחה של המערכת

מערכות המאגר, החומרה והתוכנה, חייבות להיות מעודכנות באופן שוטף, להתאים למטרתן ולאפשר תמיכה של היצרן באבטחה שלהן.

עוד אבטחה של המערכת חייבת להתייחס לתקשורת היוצאת ונכנסת למאגר. אסור למשל לחבר את מאגר המידע לרשת האינטרנט או לרשת ציבורית ללא אמצעי הגנה מתאימים בפני חדירה לא מורשית או מפני נוזקות שונות.

עוד חובה המתייחסת לגישה למאגר היא גם אמצעי זיהוי מתקשרים מרחוק ואימות הרשאות. במיוחד כאשר מדובר במאגרים ברמה בינונית וגבוהה.

חובת אבטחת המידע מול כח האדם של המחזיק/הבעלים

אחת מחובות בעל מאגר המידע היא לדאוג לניהול הרשאות הגישה של עובדיו למאגר, באופן שימנע גישה של עובדים מיותרים או חשיפה מיותרת של הנתונים. על בעל המאגר להבין ולנהל את חובת נקיטת אמצעי ההגנה מול עובדיו כבר בשלב שכירת העובדים (ולהתאים לכך את הסכם ההעסקה שלו) וכן בהמשך הדרך בעת קביעת הרשאות הגישה למאגר.

בעל המאגר חייב לנהל את הרשאות הגישה למאגר בצורה מסודרת ובהתאם למטרות כל תפקיד בלבד. מעבר לכך, החובה אינה רק בשלב ההרשאה, אלא גם בשלב זיהוי האדם כשהוא מבקש להכנס למאגר. כשמאגר המידע הרלוונטי הוא ברמת אבטחה יותר גבוהה, מנגנונים אלו של הרשאות וזיהוי הופכים להיות נוקשים יותר, כולל החובה לבטל את ההרשאות במקרים המתאימים.

עוד חובה חדשה הקבועה בתקנות היא החובה להעביר את העובדים הדרכות שוטפות לבעלי הרשאות ביחס לחוק ולתקנות הפרטיות – אבטחת מאגרי מידע. לכל רמת מאגר מידע יש חובה תואמת של הדרכות ברמה הנדרשת.

וכמובן חובת תיעוד הגישות למאגר. ברמות אבטחה גבוהות חובה זו צריכה להיות מנוהלת בצורה אוטומטית ולכלול את כל הנתונים הרלוונטיים (כמו זהות המשתמש, תאריך ושעת נסיון הגישה, הרכיב אליו בוצע הנסיון, סוג הגישה, היקפה ומידת הצלחתה). נדרש למנוע עד כמה שניתן אפשרות לעקוף מנגנון זה ולאפשר שליחת הודעה בזמן אמת לאחראים.

מה קורה כשמתרחש ארוע אבטחה ופריצה למאגר המידע?

כל ארוע שיש בו משום חשש לגישה לא מורשית, לפגיעה בשלמות המידע או לשימוש לא מורשה בו נחשב ארוע אבטחה ויש ליצור תיעוד שלו.

בעל מאגר מידע חייב להכין בנוהל אבטחת המידע גם סצנריו של התייחסות לארועי אבטחה שונים לפי מידת החדירה ("חומרת הארוע") ולפי רגישות המידע הנפגע. הנוהל צריך לכלול, למשל, ביטול מיידי של הרשאות, דיווח לבעל המאגר וכל צעד מיידי אחר הנדרש בנסיבות.

במקרה של ארוע אבטחה חמור, חייב בעל מאגר המידע ליידע את הרשם מיידית אודות הארוע ואף על הצעדים שנקט בעקבותיו. הרשם רשאי להורות לבעל המאגר גם לדווח על הארוע לנשואי מאגר המידע.

מיקור חוץ

בנושא זה נעמיק פחות,אך רק נזכיר כי בעל מאגר מידע שמתכוון להעזר בשירותי מיקור חוץ חייב לבחון מראש את סיכוני האבטחה של ההתקשרות ולקבוע סטנדרטים שיחולו עליה ויאפשרו אבטחה ראויה (כמו היקף המידע הנחשף, המערכות שניתן לגשת אליהן, אבטחה והרשאות אצל הקבלן וכדומה).

עוד חובה היא ליצור חובה משפטית מול צד שלישי שנחשף, למידע. בעברית שאינה משפטית משמעות הדבר היא החתמת הנחשפים למידע והקבלן על מסמכים מתאימים כמו למשל הסכמי סודיות הכולל גם סעיפי שימוש מוגבל במידע.

בתקנות קיימות חובות נוספות ביחס למיקור חוץ, ומומלץ לעיין בהן היטב טרם שכירת קבלן חיצוני.

ביקורות תקופתיות

במאגר מידע ברמה בינונית או גבוהה, החוק מחייב ביקורות תקופתיות שייערכו על ידי בעל מקצוע שאינו הממונה על האבטחה במאגר. ממצאי הביקורת צריכים להיות מדווחים לבעל המאגר ועליו לעדכן את מסמכי המאגר בהתאם להם ולנקוט פעולות לתיקון הפגמים.

אחריות אישית

אמנם מרבית החובות לעיל חלות על "בעל המאגר"  בלבד, אך סעיף קטן בתקנות מטיל על מנהל המאגר אחריות כמעט זהה לבעל המאגר. משמע – גם בעל המאגר וגם מנהלו – כפופים אישית לחובות הקבועות בתקנות.

סוף דבר

ארוך, מייגע וחשוב.

התקנות החדשות מחילות סטנדרטים מאוד חשובים של אבטחת מידע והגנה על מאגרי נתונים. אנא שימו לבכם אליהן ופעלו לפיהן.

קחו בחשבון שעל אף אורכו של מאמר זה, הוא מהווה סקירה כללית ראשונית בלבד, הוא אינו מלא, אינו מחליף יעוץ משפטי ואין להסתמך עליו בכל מקרה של שאלה ספציפית ביחס למאגר שלכם. חשוב שתתייעצו עם עו"ד מומחה בתחום שיסייע לכם, ולא על המאמר.

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-19.1.2022.