פרשנות מסוכנת לחוק הגנת הפרטיות
חוק הגנת הפרטיות הישראלי נועד להגן על המידע הנאגר אצל גופים שונים, אך אינו יורד לפרטים באשר לרמת האיכות הנדרשת, ובפועל, משאיר את הפרשנות לארגון, אך האם באמת קיימת הבנה ברורה של מה צריך לבדוק?
חוק הגנת הפרטיות הישראלי נועד להגן על המידע הנאגר אצל גופים וארגונים שונים. החוק מחייב גופים אשר אוספים, מעבדים, או שומרים מידע רגיש או אישי לבצע בדיקות אבטחת מידע, אך החוק אינו יורד לפרטים באשר לסוג הבדיקות הנדרשות, כיצד לבצע אותן ומהי רמת האיכות הנדרשת. בפועל, החוק משאיר את הפרשנות לארגון או לממונה אבטחת המידע מטעמו. אך האם באמת קיימת הבנה ברורה של מה צריך לבדוק? הפרה עלולה להוות עונש פלילי !
הסיכון בפרשנות חופשית
החוק עצמו נוטה להיות כללי, מה שעלול לגרום לארגונים לפרש את הדרישות בצורה מינימלית, מתוך מחשבה שמספיק לבצע בדיקה בסיסית אחת בשנה או לסמוך על פתרונות אבטחה קיימים. עם זאת, גישה כזו טומנת בחובה סיכון רב. תוקפים אינם פועלים בהתאם לתרחישי התקפה "פשוטים", והם מנצלים כל חולשה שניתן למצוא במערכות הארגון, בנוסף בעל המאגר חשוף לתביעות משפטיות ואף לעיצומים כספיים. בדיקות חדירות (Penetration Testing) הן אחד הכלים החשובים שמאפשרים לארגונים לבדוק את מערכותיהם ולוודא שהן מוגנות ככל הניתן מפני תוקפים או גורמים זדוניים. מטרת הבדיקה היא לדמות תרחישי תקיפה אמיתיים שבהם גורם זדוני עלול להשתמש כדי לגנוב מידע או לשבש את פעילות המערכת.
חשוב לזכור שלא תמיד התוקף מגיע מחוץ לארגון. תרחישי תקיפה עלולים לכלול גם תוקף פנימי – בין אם מדובר במישהו שחדר לארגון באמצעות פריצה חיצונית, ובין אם מדובר בעובד ממורמר או כזה בעל גישה יתרה למידע רגיש. תוקף פנימי מהווה איום משמעותי על אבטחת המידע, מכיוון שיש לו את היתרון של גישה פנימית למערכות ולמשאבים חיוניים בארגון. במקרים אלה, הבדיקות צריכות לכלול גם בדיקות פנימיות שמטרתן לבדוק את יכולת הארגון לזהות פעולות חריגות של משתמשים בעלי הרשאות גישה שונות, וכיצד מערכות האבטחה מסוגלות להגיב לאיומים מבפנים.
תצורות בדיקות חדירות
כאשר מדברים על בדיקות חדירות, ישנן שלוש תצורות מרכזיות שניתן לבצע:
Black Box – בתצורה זו, הבודק אינו יודע דבר על המערכת מלבד כיצד לגשת אליה. תצורה זו מדמה תקיפה ללא ידע מוקדם על המערכת, ומשקפת מצב שבו הבודק בוחן את המערכת כמקור חיצוני לחלוטין.
White Box – הבודק מקבל גישה מלאה למידע פנימי על המערכת, כולל קוד מקור, מבנה תשתית, ועוד. זוהי בדיקה מעמיקה שמאפשרת זיהוי חולשות פנימיות ומבוססת על גישה פתוחה למידע הקיים.
Gray Box הבודק מקבל מידע חלקי הנדרש לביצוע הבדיקה, כגון פרטי הזדהות ברמות הרשאה שונות. שילוב בין גישות שונות מאפשר לבודק למקד את בדיקת החולשות מבלי לקבל גישה מלאה למידע.
שלוש התצורות הללו ניתנות ליישום על מגוון סוגי מערכות וטכנולוגיות, הן חיצוניות והן פנימיות לארגון, בהתאם למטרות הבדיקה ולמאפייני הסיכון של הארגון.
את הבדיקות נדרש לעשות בהתאם לאופי וצורכי הארגון – ולרוב בדיקה חיצונית בלבד אינה מספיקה.
תיקון 13 – הגברת הענישה
אחד השינויים המשמעותיים ביותר שנכנס לתוקף הוא תיקון 13 לחוק הגנת הפרטיות, המהווה נקודת מפנה בכל הקשור לאחריות הארגונים. התיקון הזה לראשונה "מתמחר" את התקנות שלהן יש ציית והעיצום הכספי עלול להגיע למיליוני שקלים. בנוסף גם קיימת חבות פלילית המוטלת על מנהלי חברות ועל ממוני אבטחת מידע במקרים של הפרות חמורות.
"החוק הישראלי, ובעיקר תיקון 13 לחוק הגנת הפרטיות, מגדיל את החשיפה לסיכונים ולא רק מבחינה כלכלית. החבות הפלילית המוטלת על מנהלים וממוני אבטחת מידע יוצרת מציאות שבה לא ניתן להתפשר על איכות הבדיקות ועל המקצועיות שלהן"
המשמעות היא שלא מדובר רק באחריות כלכלית, אלא גם באחריות אישית של מנהלי הארגון. אי עמידה בדרישות החוק ובביצוע בדיקות אבטחה ראויות עלולה להוביל לא רק להפסדים כספיים ולפגיעה במוניטין הארגון, אלא גם לאישומים פליליים. לכן, ביצוע בדיקות חדירות על פי סטנדרטים גבוהים הוא לא רק חובה חוקית, אלא גם מפתח להגנה אישית על מנהלי הארגון.
הביצוע הנכון – הכנה מצמצמת סיכון
לפני שפונים לחברת ייעוץ שמבצעת בדיקות חדירות, מומלץ להכין את הארגון ולבצע את הצעדים הבאים:
הגדרת הנכסים החשובים בארגון – יש להגדיר מהם הנכסים החשובים ביותר בארגון שיש להגן עליהם, בדגש על מאגרי המידע האישיים והרגישים.
הגדרת גורמי האיום – חשוב למפות מהם גורמי האיום המרכזיים עבור הארגון. האם מדובר בתוקפים חיצוניים, בתוקפים פנימיים, או אולי בתרחישי תקיפה שנובעים משגיאות אנוש או חולשות במערכות?
מיפוי גישות וממשקים – יש לבדוק מהם הממשקים והנקודות שדרכן נעשית גישה למידע הארגוני הרגיש. (זה כולל אפליקציות, שרתים, חיבורים חיצוניים כגון VPN ואף חיבורים פנימיים).
לסיכום, בדיקות חדירות הן חלק חיוני בהגנה על מערכות מידע ובשמירה על נכסי הארגון מפני איומים חיצוניים ופנימיים כאחד. החוק הישראלי, ובעיקר תיקון 13 לחוק הגנת הפרטיות, מגדיל את החשיפה לסיכונים ולא רק מבחינה כלכלית. החבות הפלילית המוטלת על מנהלים וממוני אבטחת מידע יוצרת מציאות שבה לא ניתן להתפשר על איכות הבדיקות ועל המקצועיות שלהן.
הדבר החשוב ביותר הוא שהבדיקה תבוצע ברמת האיכות הגבוהה ביותר, תוך התאמה לצרכים הספציפיים של הארגון שלכם. בדיקה יסודית יכולה למנוע פרצות, לחסוך עלויות משפטיות, ולהגן על המידע החשוב ביותר בארגון. ההשקעה באבטחת מידע איכותית אינה רק חובה חוקית, אלא מפתח לשמירה על פעילות עסקית יציבה ובטוחה.
הכותב הוא מנהל חטיבת הסייבר באוריין ישראל.
כתוב יפה, תודה!
מאוד מעניין, תודה רבה