כיצד תתגוננו נכון מפני מתקפת סייבר ?
אחת הבעיות המרכזיות בשאלת ההיערכות למתקפת
סייבר היא שבמתקפה כזו אין "אויב בעין". העובדה כי
אין לדעת האם האחראי למתקפה הינו גוף ממשלתי-
מדינתי, האקר משועמם בן 16, טרוריסט זדוני או
אקטיביסט צדקן, מקשה עד מאוד על היערכות מוקדמת
של ארגונים לקראת מתקפת סייבר.
כאשר גוף שואל את עצמו האם הוא מוכן למתקפת סייבר,
אין הוראת חוק פרטנית לתחום שעליה הוא יכול להסתמך.
המחוקק עדיין לא הגיע לשם. עליו להסתמך על הוראות
חוק שונות, כדי לנסות להגיע למסקנה כי עשה כל מה
שצריך על-פי החוק כדי להיות מוכן למתקפה.
ההוראות הרלבנטיות ביותר לנושא הן אלו המצויות בחוק
הגנת הפרטיות. החוק קובע כי על כל גוף להגן על
המידע האישי המצוי במערכותיו.
התקנות שהותקנו מכוח החוק מפרטות אף הן את החובה
להגן על המידע. אך גם בחוק וגם בתקנות אין פרוט
בשאלה, מה בדיוק על גוף לעשות כדי לקיים את החובה
המוטלת עליו להגנה על המידע.
אין ספק שאחת הדרכים להתגבר על הלקונה בחוק הוא
לנסות להיערך לבעיה מהסוף. ומה הכוונה מהסוף ?
לחשוב מה יקרה ביום הדין, היום בו מתקפת סייבר על
הארגון תצליח וכל המערכות שלו יפלו. כאשר מקרה כזה
קורה, יגיעו גורמי האכיפה לארגון לבדוק האם פעל נכון
כדי להגן על המידע, תגיע גם חברת הביטוח שעשתה
ביטוח כנגד מתקפת סייבר, לארגון שעשה ביטוח כזה.
מעל הכול, הארגון יבקש להמשיך לפעול וירצה להיות
ערוך לכך. הן הרגולטור והן חברת הביטוח יחפשו
סיבות כדי לבסס טענה שהארגון לא פעל כנדרש
בהתגוננות שלו מפני מתקפת סייבר.
חוסר יכולת חזרה מהירה לשגרה, תפגע בארגון
וביכולת שלו לשמר את יתרונותיו.
התסריט הזה מחייב ארגונים לבדוק שהם עומדים
בהוראות החוק והרגולציה בכל נושא ההגנה על המידע.
כך בין היתר עליהם לבחון האם כל המידע האישי שהם
מחזיקים מכונס תחת מאגרי מידע הרשומים כחוק, האם
הם מקיימים את דרישות החוק ביחס לאבטחת המידע
האישי, האם הקניין הרוחני שלהם מוגן כנדרש והאם
המידע העסקי הסודי שלהם לא חשוף.
כמובן שעל ארגונים המבקשים להיות מוכנים ליום הדין
גם לדאוג לעריכת תוכנית התאוששות מאסון
(Disaster Recovery Plan) מתאימה
ולתוכנית המשכיות עסקית (Business Continuity Plan).
בתוכניות אלו יהיה על הארגון לדאוג, בין היתר, ליכולתו
לחזור לתפקד במהירות, הן על-ידי אספקת מערכות
חלופיות והן על ידי שיקום המידע ממקום הגיבוי,
ולהיות ערוך למתקפה הבאה.
ההיצע הגדול של תוכנות הגנה מפני חדירה למערכות
המחשב שלו יכול לגרום לבלבול.
כך גם ההבדלים הגדולים בעלויות בין האפשרויות השונות
שעל מדף המוצרים.
לכן, על גוף להעריך את מידת הרגישות והסודיות של
המידע שנמצא במערכותיו, כדי לצרוך את התוכנה
הנכונה והתפורה, בעלויות שלה, לצרכי הארגון.
אין ספק שביום הדין ייבחנו כל בעלי התפקידים בחברה
בשאלה, אם עשו את מה שאדם סביר ונבון היה עושה
באותן נסיבות ונקטו במידת הזהירות הסבירה הנדרשת
מאופי המידע המצוי במערכות החברה.
מסקנה שלילית לשאלות האלו תוכל להוביל לטענת
רשלנות נגדם, על כל הכרוך בכך. מסקנה שלילית תוכל
לשרת גם את חברת הביטוח, ככל ונערך לחברה ביטוח
מפני מתקפת סייבר, שתוכל לבוא ולטעון כי בשל רשלנות
החברה, פוליסת הביטוח אינה חלה.
לכן בגוף שיפעל נכון, ימצאו מוגנים גם המנהלים וחברי
הדירקטוריון, מפני הטענה האפשרית שלא עשו את
הנדרש כדי להגן על המידע האגור במחשבי אותו גוף.
כאשר מגיעים לחובה האישית, יש להאמין,
התמריץ לפעול יהיה כפול. עד שתהיה חקיקה שתקבע
חובה ברורה בעניין, דומה שזו תהיה הדרך היחידה
להבטיח הגנה טובה יותר על המידע המצוי במערכות
המחשב של חברות וגופים כאלו.
אז מה עליכם לעשות כדי להגן על המערכות שלכם
וכדי שלא תיתפסו רשלנים ביום הדין ?
אנו מזמינים אתכם למפגש שולחן עגול שיתקיים
ביום ד', 14/12/2022 בשעה 12:00 ברח' הסוללים
5 בת"א בהשתתפות עורכת הדין מריאנה דן,
מומחית בתחום הגנת הפרטיות, אבטחת מידע וסייבר
והשותפה העסקית של משרדנו, יחד עם חברת צ'ק
פוינט ופרטנר וגם אנחנו כמובן נהיה שם.
אתם מוזמנים להגיע, להקשיב וללמוד כיצד להגן על
החברה/העסק/הארגון שלכם מפני התקפת סייבר
וסיכוני אבטחת המידע ולקבל את "כיפת הברזל"
המשפטית והטכנולוגית החזקה ביותר שאתם
מחויבים לעמוד בה בהתאם להוראות החוק השונות !
אתם תקבלו ה-כול במקום אחד – ללא תשלום –
כולל חניה וכיבוד עשיר.
להצטרפות למפגש שולחן עגול ברח' הסוללים 5
בת"א, נא השאירו פרטי התקשרות (לרבות מס' רכב)
במייל חוזר או שלחו פרטי
התקשרות לנייד 0528328676
אהבתם ? שתפו את הדיוור עם הקהילה שלכם.
יש לכם שאלות, הערות, הארות, תובנות ותגובות ?
נשמח מאד לקרוא ולשמוע.
פנו אלינו עכשיו
אפשר בתגובה לדיוור זה
אפשר בוואצאפ ואפשר גם להתקשר – 0528328676
נשמח מאד לייעץ ולעמוד לרשותכם.
אנחנו מבטיחים לענות ולחזור לכולם.
שלכם,
שרית ואילן צדק
