"נדרש איזון ברגולציה בתחום הסייבר"

האם הרגולציה בישראל בתחום הסייבר, ובפרט בהגנה על הפרטיות, היא קשוחה מדי או מאפשרת מדי? זאת שאלה מעניינת, שעולה במיוחד לנוכח תיקון 13 לחוק הגנת הפרטיות, שעבר בכנסת לפני כחצי שנה.

התיקון, על פי מציעיו, "מעדכן ומבהיר את החקיקה בתחום, קובע הסדרים חדשים ומתקדמים, ומקנה כלי אכיפה יעילים, באופן שיתאים לאתגרי העידן הדיגיטלי, יגביר את ההגנה על סכות הייסוד לפרטיות של הציבור בישראל ויחזק את ההתמודדות נגד איומי הסייבר הגוברים".

אם לפרוט את הכותרות האלה לפרטים, התיקון לחוק מרחיב את סמכויות האכיפה והפיקוח של הרשות להגנת הפרטיות, ומאפשר לה להטיל קנסות על חברות שלא עמדו בו; מטיל חובה למנות ממונה על הגנת הפרטיות בחלק ניכר מהארגונים במשק; קובע הסדר פיקוח מיוחד בתחום הפרטיות הגופים ביטחוניים; מצמצם משמעותית את חובת הרישום של מאגרי מידע דיגיטליים; קובע איסור גורף על עיבוד מידע אישי שנאסף באופן לא חוקי; מרחיב את הסמכות לפסוק פיצויים על פגיעה בפרטיות ללא הוכחת נזק; ומתאים את עצמו לרגולציות במדינות אחרות, כולל תקנות ה-GDPR של האיחוד האירופי.

חברה ישראלית שפועלת בתחום זה היא סייברות. החברה הוקמה לפני חודשים אחדים על ידי המנכ"ל שלה, אלי לוין, שאחרי שנתיים של פעילות ב-ELPC הוציא אותה לדרך עצמאית. סייברות עוסקת בעולם ה-GRC (ר"ת General risk and complaience). או, במילים אחרות, ניהול סיכוני סייבר ותאימות לרגולציה. היא מציעה שירותים מקצועיים כגון CISO ו-DPO, ביצוע סקרי סיכונים ורישום מאגרי מידע. למרות היותה צעירה, יש לה כבר 25 לקוחות בישראל.

אמרת לי שאחת הבעיות שתטפלו בהן היא ההקשחה ברגולציה בתחום. האם להערכתך הרגולציה קשוחה מדי?
לוין: "ההקשחה ברגולציה בעולמות הסייבר וההגנה על המידע, כולל תיקון 13 לחוק הגנת הפרטיות, אכן מעוררת דאגות שונות בקרב רגולטורים וגופים עסקיים. מצד אחד, הרגולציות נועדו להגן על המידע האישי והציבורי ולהתמודד עם האיומים הקיברנטיים הגוברים, אך מהצד השני, הן עלולות להכביד על הגופים הפועלים בשוק וליצור אתגרים בהתמודדות עם דרישות ניהול סיכונים, השקעות טכנולוגיות ועדכון מתמיד של מערכות אבטחה. וזה אמנם קורה – הרגולציות בתחום הסייבר, ובפרט אותו תיקון, אכן מציבות אתגרים לגופים העסקיים והציבוריים.

הרגולציות האלה לא בהכרח קשוחות מדי, אך יש בהן צדדים שיכולים להכביד על הגופים העסקיים ולהקשות עליהם לעמוד בדרישות הרגולטוריות. יתרה מזאת, בעוד שהרגולטורים רוצים להבטיח הגנה על המידע האישי ולהגיב בצורה אקטיבית לאיומים, הם חוששים מההשפעות הכלכליות והארגוניות של הדרישות המחמירות, במיוחד על עסקים קטנים וסטארט-אפים".

אז מה המסקנה שלך? מה הרגולטורים צריכים לעשות?
"הם צריכים להבין בצורה מעמיקה את האיזון הנדרש בין אכיפת הדרישות לבין שמירה על גמישות וחדשנות בשוק".

מהי הטכנולוגיה שלכם וכיצד היא פועלת?
"הטכנולוגיה שאנחנו עובדים איתה בעולמות אבטחת המידע והסייבר כוללת כמה מרכיבים מתקדמים, שמסייעים לנו להציע פתרונות מותאמים אישית לכל לקוח. אנחנו משתמשים בטכנולוגיות מתקדמות, שמבוססות על בינה מלאכותית ולמידת מכונה, כדי לשפר את יכולות הזיהוי, ניטור והגנה על מערכות המידע. בעזרת ה-AI וה-ML אנחנו יכולים לזהות דפוסים חריגים בזמן אמת ולהגיב במהירות לאירועים חשודים. זה כולל זיהוי מתקפות חדשות, ניטור מתקפות סייבר מתקדמות וניהול אוטומטי של מערכות אבטחה.

כמו כן, אנחנו מציעים אוטומציה של ניהול סיכונים, על ידי שימוש בכלים אוטומטיים, שמבצעים סריקות שוטפות והערכות סיכון בזמן אמת. בכך אנחנו מבטיחים שהארגון עומד בדרישות הרגולציה ושיש מענה מיידי לכל איום אפשרי.

אנחנו משתמשים בטכנולוגיות גם לטובת ניתוח אירועים אבטחתיים ותגובה SIEM)) בזמן אמת, כך שהתגובה למתקפות תהיה מהירה ומדויקת.

עוד שני שירותים שלנו הם ביצוע בדיקות חדירה אוטומטיות, שיכולות לחשוף חולשות במערכות המידע ולהנחות אותנו בתיקון בעיות מבעוד מועד, ושימוש בטכנולוגיות הצפנה מתקדמות, כדי להבטיח שמידע רגיש יהיה מוגן גם בזמן העברתו לענן ואחסונו שם".

מה השוק הפוטנציאלי שלכם?
"השוק הפוטנציאלי שלנו כולל ארגונים ועסקים בכל הגדלים, במיוחד בתחומים שדורשים הגנה מתקדמת על מידע רגיש ועמידה ברגולציות מחמירות. זה כולל תחומים כמו פיננסים, בריאות, חינוך, טכנולוגיה וארגוני ממשלה, שמחויבים לעמוד בדרישות פרטיות ואבטחת מידע. אנחנו מתכננים למקד את השיווק בכמה אסטרטגיות עיקריות: שיווק באמצעות תוכן, השתתפות בכנסים ואירועים בתחום הסייבר ושיווק ממוקד.

בסופו של דבר, אנחנו מאמינים שההצלחה תגיע בזכות יכולת ההתאמה האישית והעבודה הצמודה עם הלקוחות שלנו, תוך שמירה על איכות גבוהה ואמינות. כל אלה יעזרו לנו לבסס את המעמד שלנו בשוק המתפתח הזה".