בקרוב: צוותים מיוחדים של משרד המשפטים יערכו פשיטות בגופים המחזיקים במאגרי מידע

האם אתה משוכנע שהארגון שלך עומד בתקנות וחוקי ההגנה על הפרטיות? בקרוב מאוד תדע בוודאות: גורמי הפיקוח במשרד המשפטים יחלו לערוך ביקורות פתע בגופים המחזיקים במאגרי מידע, כך חשף ביום חמישי האחרון לראשונה עו"ד יורם הכהן, ראש הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, בכנס InfoSec 07. לדבריו, הנחה את צוותיו שיחלו לערוך ביקורות שלא תתואמנה מראש, משום ש"אלמנט ההפתעה הוא חשוב - אסור להיערך לביקורות כמו שנערכים לקראת מסדר המפקד בצבא. המצב החדש הזה יוצר תהודה טובה ועשוי לשפר את הטיפול באותם מאגרי מידע. צוותים במשרד המשפטים החלו לנקוש על דלתות וימשיכו לנקוש על דלתות. זה עובד".

"מצב נושא ההגנה על הפרטיות במדינת ישראל לא ממש טוב", אמר עו"ד הכהן. "מאגרי המידע הממוחשבים הם בעלי הפוטנציאל הרב ביותר לגרום נזק להגנה על פרטיות האזרחים. חברות אוגרות על האזרחים מידע, ומשתמשות בו לצרכים שונים. על 16,000 מאגרי מידע נדרש פיקוח איכותי יותר. יש לכך השלכות חמורות מבחינת הנזק הפוטנציאלי להגנה על הפרטיות של האזרחים".

עו"ד הכהן היה אחד משני דוברי המפתח בכנס אבטחת המידע, הנערך זו השנה הששית ברציפות. למעלה מאלף משתתפים הגיעו אתמול למלון הילטון בתל אביב לתערוכה ולכנס, שנערכו בהפקת אנשים ומחשבים. את הכנס הנחו פלי הנמר, יזם ונשיא הקבוצה המפיקה, ואופיר זילביגר, מנכ"ל חברת הייעוץ לאבטחת מידע SECOZ. לדברי עו"ד הכהן, שמקים בימים אלה את הגוף שהוא עומד בראשו, "הפעולות הרגולטוריות שנעשו עד היום לא היו ברמה הנדרשת על מנת לטפל כראוי במאגרי המידע, ואנו פועלים לשינוי החקיקה. יש להבחין בין המידע הקיים במאגר המידע, ובין המאגר עצמו. אנשים בישראל אינם מודעים כי המידע עצמו שייך לאנשים, ואילו רק מאגר המידע שייך לחברה המחזיקה במאגר. על החברות הללו חלות חובות, כגון עליהן למנות ממונה אבטחת למאגר, עליהן להקפיד במימוש נהלי אבטחת מידע הקשורים למאגר. המצב אינו מפורט מספיק ונפעל לשינויו. ישנן יחידות פיקוח, אולם הן לא יכולות להגיע לכל מקום ולכל מאגר".

הרשות שבראשה עומד עו"ד הכהן, אחראית להיבטי ה-IT במגזר הציבורי. "הרשות תפקידה להוות מרכז ידע לתפר, לממשק שקיים בין עולמות המשפט והטכנולוגיה", אמר הכהן. היא מטפלת בשלושה גורמים - רשם מאגרי המידע, רשם ה"גורמים המאשרים" המטפלים בחתימה אלקטרונית, והרשם שאמור לפעול לפי חוק שירותי נתוני אשראי.

המודל הקליפורני עו"ד הכהן אמר, כי הוא פועל לשינוי חוק הגנת הפרטיות, והחלת ה"מודל הקליפורני", לפיו גופים אשר נמצאו אצלם כשלי אבטחת מידע, ויש בכך סיכון לפרטיות - יהיו חייבים לדווח לציבור על כך. "הכנסת המודל הזה לחוק, תשיג שתי מטרות", אמר, "אם קרה כשל שכזה, אז אנשים יהוו מיודעים עליו ועל הסיכונים הנובעים ממנו. בנוסף, זה יתמרץ גופים ליישם אמצעי אבטחת מידע בצורה מסיבית יותר ממה שיש להם כיום, כי הם יבינו שלא יוכלו להסתיר את הכשלים, ויחששו מפגיעה במוניטין שלהם". הוא ציין כי הוא מאמין באפקטיביות של מודל זה, "כי אם יהיה דיווח לציבור, אזי גופים יתייחסו לנושא ברצינות".

עוד אמר הכהן, כי היבט נוסף שבכוונתו להכניס להצעת החוק, הוא היכולת של הרשם, לתת צווים אישים לאבטחת מידע. המשמעות: "אני יכול להתנות את המשך הפעילות של הגורם שאוציא לו את הצו – בכך שהוא יפעל כמה פעולות לשיפור מצב אבטחת המידע בארגוני. ההגנה על הפרטיות היא דבר חשוב מאד".

עוד תכניות

הוא סיים בציינו, כי בכוונתו לטפל ב"מזהמי הפרטיות הגדולים, מאגרים גדולים, מאגרים רגישים, או סוחרים במידע. אלו גורמים בעלי פוטנציאל גדול לפגיעה בפרטיות. לא נרדוף אחרי עסקים קטנים שיש להם עשרות בודדות של לקוחות, כי אם נטפל בגופים הגדולים שיש להם מידע רב, או גורמים בעלי מידע רגיש".

פאנל מנהלי אבטחה את חלקו הראשון של הכנס חתם פאנל מנהלי אבטחה בהנחיית זילביגר. עו"ד הכהן אמר בפאנל כי בממשלה עצמה יש מידע רגיש. "כמעט כל הגופים בממשלה מחזיקים במידע על כמעט כל דבר שעושים האזרחים. ישנם עובדי מדינה אשר מכרו מידע, והסיבה כי רק מקרים אלו – של עובדי מדינה שסרחו – פורסמה, היא כי כאשר זה קורה בארגונים פרטיים, הדבר נסגר בתוך הארגון. על המדינה להמשיך ולחקור מקרים שכאלו".

בועז דולב, מנהל פרויקט תהילה במשרד האוצר, אמר כי הוא עוסק באבטחת פרויקטים חוצי ארגון בממשלה, ומשימתו היא להגן על המידע הפרטי הרב הנמצא. הוא ציין כי ההגנה על המידע נעשית על ידי חלוקת האבטחה לשכבות, כאשר כל גוף מחויב לדאוג למידע שבאחריותו. מעל כל גורמים אלו, דוגמת מרשם האוכלוסין, אמר דולב, נמצא גוף האבטחה במשרד האוצר, אשר מהווה בבחינת השער שבין האינטרנט והנגישות של המידע לאזרחים – לבין מאגרי המידע. ההגנה, אמר דולב, היא מבוססת SOC, מרכז תפעול אבטחת מידע, לצד מערכי הגנה יישומיים, ובהם יש תוכנות או רכיבי אבטחה. הוא סיכם בציינו כי לרוב עובדי הממשלה יש מודעות לתחום, וכי הם עוברים הדרכות בנושא, בין השאר על ידי אנשי הרשות הלאומית לאבטחת מידע בשב"כ, "ככלל, עלתה רמת האבטחה במגזר הממשלתי בחמש השנים האחרונות", אמר.

איתי ינובסקי, מנהל אבטחת המידע בצים, אמר כי המידע אצלו הוא מסווג אישי, בשל היותו מידע על עובדים, כמו גם מידע עסקי. הבעיות האבטחתיות המאפיינות את העבודה שלו אמר, הן הצורך לעבוד באופן גלובלי עם רשתות פתוחות, והאופן בו הוא מטפל בשמירה על המידע היא על ידי הצפנתו, ובקרה על המקומות אליו משונע המידע.

רפי הירש, מנהל תשתיות תקשורת ואבטחת מידע, שירותי בריאות כללית, אמר כי ברשותם נמצא מידע רפואי רב על מיליוני הלקוחות, כאשר הפרדוקס הוא שמצד אחד יש לשמור על המידע, ומאידך, ברגע האמת, כאשר מגיע מטופל, נדרש לחושפו למירב הגורמים, דוגמת רופאים ואחיות. הוא סיכם בציינו כי הכללית הולכת לקראת פרויקט ניהול זהויות גדול.

יורם גולנדסקי, RSA, אמר כי על מנהל אבטחת המידע להיות החוליה המקשרת בין העסק לטכנולוגיה. "בראש וראשונה ישנם דרישות עסקיות, ואלו צריכות להיות ממומשות בתחילה. לאחר מכן יש לטפל בהנחיות הרגולטוריות, ואז לספק מענה בעזרת כלים טכנולוגיים, אשר מאפשרים את המענה", אמר, "הדרך לעשות זאת היא על ידי יצירת ממשל IT, בצירוף הטמעת תקני אבטחת מידע".

דני קריו, מנהל אבטחת המידע בויזה כאל, אמר כי גם הוא מטפל במידע חסוי, כבשאר הגופים, אלא שמידע זה הוא חסוי בשל היותו בעל משמעויות כלכליות אודות הלקוחות. הוא ציין כי בעיות האבטחה נובעות מכך שהמידע הפיננסי שנדרש להיות מוגן, צריך להיות זמין לאוכלוסיות שונות ברשת האינטרנט.

"שיקולים עסקיים, לא הפחדה" זילביגר פתח את הכנס בפרטו את ממצאי סקר InfoSec השנתי, ובין הממצאים העולים ממנו: ל-54% מהארגונים בישראל אין תוכנית IT להתאוששות מאסון, רק מחצית מהארגונים שברשותם תכנית התאוששות מאסון - מתרגלים אותה באורח שוטף; 70% מן המנהלים רואים את אבטחת המידע כרכיב חיוני להצלחת עסקיהם; 19% רואים בה "רע הכרחי", חלקם אינם חשופים כלל להחלטות בתחום וחלקם מבקשים להשקיע בו "מעט ככל האפשר".

על פי הסקר, שנערך זו הפעם השביעית ברציפות, כ-64% מן הארגונים מאמינים שההשקעה הנוכחית באבטחת מידע אינה מספיקה או דורשת שיפור, בעוד ש-36% מאמינים כי ההשקעה מספיקה או אף גבוהה מדי. השנה, ציין זילביגר, התמקד הסקר בתחום ממשל אבטחת מידע (Information Security Governance), כלומר בהיבטים המנהליים והארגוניים של נושא אבטחת המידע. "קיים חוסר ביישום ממשל אבטחת מידע כפי שנדרש", סיכם, "אין טיפול נאות בכל היבטי הממשל – ניהול סיכונים, מדיניות, נהלי אבטחה, מיצוב גוף אבטחת המידע מול ההנהלה ולמי עליו לדווח. קיים נתק בין השכבה העסקית לבין אנשי אבטחת המידע, יש קושי להצדיק את תקציבי האבטחה. אנו ממליצים לממש תפיסת עולם של ממשל אבטחת מידע, דרך הצגת השיקולים העסקיים, ולא דרך הפחדה".

דוברים נוספים היו גיא הילטון, מנהל תחום אבטחת המידע בחטיבת השיווק, מיקרוסופט ישראל, שחשף את פתרונות החברה לתחום; איתי רוזנבויים, CTO חטיבת מוצרי התוכנה, מטריקס; מירי חזקיה, מנהלת קבוצת אבטחת מידע, יבמ GTS; דביר גורן, CTO כלקום; סול צבי, יועצת אבטחת מידע עצמאית; ורביד לז'נסקי, מנהלת טכנית, אפליקיור. לאחר מכן התפצל הכנס לשלושה מסלולים: מנהלים, IT וניהול סיכונים.