מגזין כלכליות ספטמבר 2024 - גיליון מספר 33

First page Table of contents Previous page 49 Next page Last page

בתחום אבטחת מידע ברשות או את נותני השירות המתאימים, והקצו להם את המשאבים המתאימים לביצוע עבודתם. זכרו! חסכון ואי הקצאת משאבים למניעת אירוע אבטחת מידע עלולים לעלות ביוקר רב בהמשך הדרך. .2 מאגרי המידע הנמצאים ברשותכם – הבינו מהיכן מתקבל מידע, למי המידע נמסר, היכן הוא נשמר, ומהן נקודות התורפה המרכזיות של הארגון, וגבשו תכנית כיצד להתמודד עמן. .3 נהלים ברורים – לכל תחום מנו אחראי ודאגו כי הוא יודע מהו תפקידו וכיצד למלא אותו. השתמשו רק בתוכנות אשר .4 היצרן מתחייב לתמוך בהן ולהוציא עדכונים לאורך כל מחזור חיי התוכנה המתוכנן. שימוש בתוכנה לא מעודכנת חושף את הארגון לסיכוני אבטחה משמעותיים. מחקו מידע רב ככל הניתן – .5 הדרך הכי טובה להימנע מדליפת מידע היא לצמצם מלכתחילה את המידע העודף והמיותר שנאגר על ידכם, ולמחוק באופן פרואקטיבי מידע אשר אינו רלוונטי יותר. גבשו תכנית להתמודדות עם .6 אירוע אבטחת מידע מראש, ועדכנו את התכנית כל עת שישנו שינוי במבנה הרשות, במבנה מערכות המידע, או בסביבה התומכת שלו. רשויות ותאגידים שלא ינקטו בפעולות הנ"ל, עשויים למצוא את עצמם מתמודדים עם תוצאות לא פשוטות כגון פגיעה בתפקוד השוטף של הרשות ומערכותיה, חשיפה לתביעות מצד כאלו שנתונים אישיים שלהם נחשפו כתוצאה מאבטחת מידע לקויה ואף, חשיפה פלילית וחשיפה לקנסות בהיקפים גבוהים מאוד בגין אי עמדה או הפרת הוראות חוק הגנת הפרטיות. אחת לשנה ערכו מיפוי של כלל עבדו בצורה מסודרת לפי

ציבוריות, עם דגש על עיצומים כספיים שניתן להטיל על הפרות החוק כמפורט לעיל. בנוסף, הרשויות והתאגידים יהיו חייבים למנות ממונה על הגנת הפרטיות, לעדכן את נהלי אבטחת המידע שלהם ולהיערך להתמודדות עם אירועי אבטחת מידע. צעדים אלו נועדו להבטיח שגופים אלה יפעלו באופן המגן על המידע האישי של הציבור ויימנעו מהשלכות משפטיות וכלכליות כבדות. כמו כן, גם רשויות שהסתמכו עד כה על חברות חיצוניות לניהול ואבטחת המידע שלהן, לא יוכלו לעשות שימוש בהסתכמות זו במקרה של אירוע סייבר שכן, על פי התיקון החדש, האחריות על עמידה בהוראות החוק ממשיכה להיות על הרשות גם אם נעשה שימוש בגורמים חיצוניים.

פיקוח, הדרכה ונהלים, גדל הסיכון לשימוש לרעה במידע המגיע לפתחי הרשות המקומית וזרועותיה, בייחוד משום שהרשות הינה בעלים של מאגרי מידע רבים הניתנים להצלבה זה עם זה תוך הפקת תובנות חדשות על התושבים, או לדליפת מידע ברשלנות, כגון באמצעות שיתוף המידע בתוכנות חיצוניות, או השלכת דיסקים קשיחים המכילים מידע אישי לאשפה. המישור השני, הינו הסיכון החיצוני לרשות, הכולל התקפות סייבר על ידי גורמים פליליים או אף מצד מדינות זרות. לפי נתוני דוח מבקר המדינה האחרון, כמחצית מהרשויות המקומיות חוו אירוע בו מערכות הרשות הותקפו על ידי גורם חיצוני; ניסיונות לגנוב את המידע מצד גורמים מסחריים; ולבסוף, רשלנות מצד ספקים ונותני שירות. יצוין, כי התיקון החדש לחוק כולל הרחבה של הגדרות המידע המחייבות הגנה, מה שמעמיד את הרשויות המקומיות והתאגידים בפני אתגר חדש של עמידה בדרישות החוק. רמת העמידה של רשויות מקומיות בהוראות חוק הגנת הפרטיות והתקנות מכוחו. מבדיקות הרשות להגנת הפרטיות ומבקר המדינה, נראה כי בעוד שישנו שיפור מסוים בשנים האחרונות באופן עמידת הרשויות המקומיות בהוראות הדין, עדיין מרבית הרשויות המקומיות רחוקות מאוד מעמידה באופן מלא בהוראות וההנחיות. זאת, כאמור עוד לחוק 13 לפני הכניסה לתוקף של תיקון הגנת הפרטיות שהוזכר כאן, שיטיל חובות נוספים על הרשויות והתאגידים. לאי עמידה בהוראות החוק ישנן סיבות שונות, כגון היעדר תקצוב, חוסר יכולת לגייס כח אדם מתאים, מודעות ואף סיבות תרבותיות, אך התוצאה זהה - מידע אישי רב ורגיש נמצא בסיכון. התיקון החדש מביא כאמור לשינוי מהותי במערכת האכיפה כלפי רשויות

הצעדים שעל הרשויות והתאגידים לנקוט מבעוד מועד כדי להתמודד עם האיומים לאור הגידול בכמות האירועים והתגברות הסיכון הנשקף לרשויות ולתאגידים, עליהם להיערך מבעוד מועד למתקפת הסייבר הבאה. לאור הצורך להסדיר את התחום ועל מנת להימנע מעיצומים כספיים משמעותיים אנו ממליצים לרשויות והגופים הקשורים בהן לנקוט בפעולות הבאות להיערכות לאירועי סייבר: .1 המתאימים לאיוש משרות מפתח דאגו למצוא את האנשים

49

Made with FlippingBook flipbook maker