הגנת הפרטיות, GDPR והיום שאחרי
המירוץ לתקנות הגנת הפרטיות המקומי והחוק האירופאי GDPR עומד להסתיים כאשר בעוד פחות מחודש יכנסו לתוקפם שתי התקנות, תקנות הגנת הפרטיות (אבטחת מידע) בתאריך 8 למאי והתקנה האירופאית GDPR בתאריך 25 למאי. האם אכן המירוץ עומד להסתיים? לפחות בשלב זה לא נראה שהמירוץ עומד להסתיים כלל!
התקנות המקומיות והאירופאיות בקצרה:
תקנות GDPR
החוק מגדיר מידע פרטי כמידע הנוגע לאדם פרטי ומאפשר לזהות את אותו האדם באופן ישיר או עקיף באמצעות פרט מזהה – שם, מיקום, מספר אישי, מאפיינים פיזיים, כלכליים ומזהים חברתיים-תרבותיים אחרים.
החוק חל על כל ארגון הפועל באיחוד האירופי, מעבד מידע של תושבי האיחוד ו/או מנטר התנהגות של תושבי האיחוד.
זכויות נושא המידע, החוק מגדיר כי על כל מידע פרטי שאינו נדרש מכורח החוק, נדרש על מנת לשמור על האינטרס הציבורי או נשמר בהתאם להסכם חוזי, יש לנושא המידע ארבע זכויות:
זכות ההסכמה המחייבת מתן הצהרה מפורשת על הסכמתו של אדם לאיסוף ושמירת המידע עליו
זכות גישה למידע שנאסף אודותיו, בכל רגע וללא תשלום
הזכות לדרוש את מחיקת המידע אודותיו בכל עת
זכות לניוד המידע והכוונה לקבלת כל המידע והעברתו לגורם אחר
תקנות הגנת הפרטיות – ישנם מספר חובות החלות על בעלי מאגרים:
מאגר מידע המנוהל על ידי יחיד – מדובר על מאגרים המנוהלים בידי יחיד, לרבות תאגיד בבעלות יחיד, כאשר הגישה למידע שבמאגר הינה לבעלים ולכל היותר לעד שני מורשי גישה נוספים
מאגרים שחלה עליהם רמת האבטחה הבסיסית – מאגרים שאינם מנוהלים בידי יחיד ואשר אינם נכללים בגדר מאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה
מאגרים שחלה עליהם רמת האבטחה הבינונית – מאגרי מידע שמורשי הגישה אליהם עולה על 10 ומטרתם היא איסוף מידע לצורך מסירתו, או שהינם בבעלות גוף ציבורי כולל גופים נוספים
מאגרים שחלה עליהם רמת האבטחה הגבוהה – מאגרי מידע, לרבות של גוף ציבורי, שמטרתם איסוף מידע לצורך מסירתו, או שיש בהם מידע רגיש כדוגמת 100,000 אנשים ומעלה או מורשי הגישה למידע זה עולה על 100
אז לאחר שפורסמו התקנות התרחשו המון שינויים בתחום אבטחת המידע והסייבר הן בצד החיובי והן בצד השלילי ובתחום שהוא גם כך דינמי התוספת הנ”ל התחברה עם כל מה שקורה ביומיום והשינוי אשר חל בכל ארגון.
החל מרגע הכרזה על תקנות הגנת הפרטיות המקומי והחוק האירופאי GDPR ועד עכשיו ארגונים עובדים בשיא המרץ בכדי לעמוד בתקינה ובכדי לא להיחשף לתביעה כלשהיא, בכדי לא להיות במצב שעלול לגרום לנזק תדמיתי וכמובן בכדי למנוע נזק הכספי שיכול לבוא בעקבותיו.
במבט לאחור ניתן לראות כי התקנות השונות עשו מהפך עצום כאשר בצד החיובי היה ניתן לראות איך אבטחת מידע מקבלת התייחסות שונה בארגון החל מהשקעה במשאבים, כח אדם ,מערכות הגנה והחשוב בהם הוא בראייה של מקבלי ההחלטות וכיום ניתן לומר שאבטחת מידע זה כבר לא ברמת CISO בלבד אלא בנוסף ברמת מנהלים בכירים כולל מנכלים (C-Level). מצד שני ניתן לראות את החלק השלילי עם עליית קבוצות האקרים חדשות, התקפות סייבר שלא נראו כמותם בעבר הן ברמה כמותית והן ברמת איכות המתקפה ולראיה ההצלחות שנחלו כל אותם תוקפים. יחד עם זאת חווינו את אחת התקופות שבהם נחשפו פרצות וחולשות כמעט בכל מערכת שהיא, וישנם מערכות שעד היום נמצאות באותו מצב כמו ביום שהם נחשפו.
אבטחת מידע היא לא מה שהיתה לפני שנה כלל! הפריזמה שלנו על אבטחת מידע היא לוודא שמידע אינו דולף או לוודא המשכיות עסקית בתקיפת סייבר וכן הלאה, ונכון להיום זה לא כך בגלל שהפריזמה היא, האם אפשר לגרום להתנגשות של מכוניות בקיר או לפגוע לקלפיות דיגיטליות או להשבית ערים שלמות.
המירוץ לתקנות הגנת הפרטיות המקומי והחוק האירופאי GDPR מזכיר מאד את הבאזז של באג 2000 (Y2K Millennium Bug) בעיקר בגלל מה שעלול להתרחש והעבודה, כסף וזמן אשר מושקעים סביב הנושא, אז נכון שעדיין זה לא אותו הדבר והתקנות שמגיעות הם משהו אחר אך שוב הרעש סביב מה שהולך להיות אולי מוגזם? נדע בעוד פחות מחודש.
אין ספק שבין כל הבעיות שהתקנות מביאות עמם אחת המרכזיות בהן היא ניהול מידע אישי (של משתמש) ואיך לטפל בו כאשר צריך להעביר לגורם אחר, למחוק את המידע והאם זה יקרה בפועל, ולראיה Facebook והאירועים סביב פרטיות המידע.יתר על כן התקנות עלולות להשפיע באופן משמעותי על חברות מכיוון שאי עמידה בחוקים עלולה לגרום לנזק כספי כבד, תדמית רעה מאד וכן אף אחד לא רוצה להיות הארגון אשר דלף ממנו מידע.
/2012%2F12%2F28%2Fe1%2Ffacebookpri.bf1e2.jpg?resize=600%2C337&ssl=1)
היום שאחרי
לצד המאמצים של כל אותם ארגונים לעמוד בדרישות השונות יש את הצד השני אשר מורכב מקבוצות שונות של תוקפים, קבוצות האקרים, אנשי הריגול התעשייתי וקבוצות נוספות אשר מנצלות את התקנות לטובתם בגלל לא מעט סיבות, בין היתר:
- ארגון וחברה שלא תעמוד בתקנות תקבל קנס גבוה ולכן כל אותם תוקפים מבינים ויודעים מה הם יכולים לקבל בעקבות המתקפה ומה התועלות שלהם מכל ארגון כבר ביצירת קמפיין התקיפה
- מעבר לעובדה שארגון אשר לא יעמוד בדרישות יחשוף את עצמו לקנס שוב אותם תוקפים יבינו שאותו ארגון חשוף למתקפה וינצלו זאת
- קבוצות האקרים רוצים להוכיח שניתן לפרוץ לכל אותם ארגונים שצריכים לעמוד בדרישות גם לאחר כל ההשקעה המסיבית של זמן, כסף ומשאבים
לצד כל הסיבות הנ”ל יש את הפעילות אשר מתרחשת ברקע והחל מרגע הכרזת על כל אותן תקנות ישנה עליה של התקפות סייבר והמגמה של מתקפות יותר מתוחכמות, קיצוניות ובעלות השפעה תלך ותגבר במיוחד סביב תאריך כניסת התקנות המקוקמיות ובפרט האירופאיות.
אם נביט על כל אותן מתקפות שהיו בשנה האחרונה נבין שלקראת החודש האחרון כל אותן מתקפות התגברו ועל רובן איננו שומעים כלל ורק 10% מכלל המתקפות מדווחות ומקבלות כותרות, המתקפות המרכזיות היו בשנה החולפת:
Equifax – נתוניהם האישיים של 143 מיליון אמריקאים נגנבו ממאגרי החברה
Bad Rabbit – הותקפו ארגוני תחבורה באוקראינה, כמו גם כמה ארגונים ממשלתיים סבלו ממתקפת סייבר.
Not Petya – מתקפת כופר גלובלית נוספת אשר גרמה נזק קבוע לדיסק ולא שמר את המידע שהוצפן כך, שהוא לא ניתן לשחזור.
Double locker מתקפה מול מכשירים חכמים שמטרתה להצפין את הקבצים והתיקיות במכשיר ולשנות את סיסמת הנעילה ובכך למנוע גישה למכשיר האנדרואיד.
והנוספת שבהם מתקפת סייבר אשר שיתקה למשך מספר ימים את השירותים העירוניים באטלנטה, בדרישה לתשלום כופר של 51 אלף דולר בלבד.
היו מתקפות רבות שבוצעו במהלך החודשים האחרונים ובפרט בחודש האחרון על ארגונים ובין מדינות כחלק משגרת הסייבר היומית, לקראת מאי 2018 נוכל לראות מתקפות סייבר שהולכות וגוברות וסביב התאריכים הרשמיים כל אותן מתקפות יתגברו באופן משמעותי!
לסיכום
המירוץ לתקנות הגנת הפרטיות המקומי והחוק האירופאי GDPR ממש קרוב לסיום אך האם נראה זה יהיה כמו באג 2000 עם המון בלאגן מסביב אך לאחר מכן שקט כאילו לא היה כלום? ימים יגידו.
כן נוכל לראות מגמה אחרת שכבר מתעצבת בימים אלה והיא הפרטיות שלנו והחשיבות בפרטיות שלנו וכן והדרישה של משתמשים לדעת מה קורה עם המידע שלנו ברשת, האם מידע נמחק,האם מנוהל נכון והאם ניתן לתת אמון בחברות שמאחסנות את המידע שלנו.
מי “ינצח” אנו תומכי הפרטיות או שלטון התאגידים? לדעתי התשובה ברורה וידועה מראש.
