עו"ד פיני עזריה, ראש משותף של מחלקת פרטיות וסייבר, במשרד עו"ד ש. הורוביץ ושות', ביחד עם עו"ד תומר שוירמן, מצליחים לראות את האור בקצה המנהרה בכל הקשור להגנת הפרטיות על המידע בישראל, אך מתריעים מפני סכנות סייבר שמגיעות לארגון מצד הספקים שלו.
בתוך כל ההתמודדות הקשה בעקבות המלחמה והיחס העוין של מדינות העולם לישראל, יש גם נקודת אור בימים אלה: הנציבות האירופית חידשה את ההכרה בישראל כמדינה המספקת הגנה נאותה לפרטיות במידע. עו"ד פיני עזריה, ראש משותף של מחלקת פרטיות וסייבר במשרד עורכי הדין ש. הורוביץ ושות', מיהר להוציא על כך עדכון חשוב ללקוחותיו.
מה המשמעות של ההחלטה הזו?
"הדין האירופי אוסר להוציא מידע מאירופה למדינות אחרות, ללא נקיטת אמצעי הגנה מיוחדים להגנת פרטיות המידע. נכון להיום, האיחוד הכיר רק ב-12 מדינות אליהן מותר להעביר מידע, בהן קנדה, שווייץ, ארגנטינה וישראל. הכרה בישראל נעשתה בשנת 2011 מכוח הדין האירופאי הקודם, שהוחלף ב-2018 בתקנות ה- GDPR (תקנות להגנת הפרטיות במידע). אלה תקנות שמחמירות את הפיקוח על הכרכה במדינות שאליהן מידע יוצא מחוץ לאירופה. ההכרה החדשה שניתנה השנה היא חדשות טובות מאוד מכיוון שהייתה סכנה שהנציבות לא תחדש את ההכרה בישראל"
מדוע הייתה סכנה כזו?
"כי ישראל נסמכת על חוק הגנת הפרטיות שנחקק ב-1981 שנחשב ישן יחסית, ורמת האכיפה שלו לא תמיד הייתה גבוהה. אבל מוסדות מדינת ישראל והרשות להגנת הפרטיות הצליחו להוכיח לרגולטורים האירופים שעל אף שהחוק אינו מעודכן, ממלאים את החסר שלו בתקנות חדשות, פסיקה והנחיות ומתבצעות גם פעולות אכיפה. ברגע שהמדינה הצליחה להוכיח למוסדות הנציבות האירופית שישראל נותנת הגנה נאותה, זכינו בהכרה החדשה".
מדוע זה חשוב ללקוחות?
"כי כך כל גוף בישראל המתקשר עם גורם אירופאי – עסקית, מחקרית או אקדמית – יכול לקבל מידע ממנו ללא תנאים מיוחדים. אין צורך לחתום על כל מיני התחייבויות וחוזים עם הסדרים מיוחדים להגנה על המידע, שעשויים לייקר ולסרבל את ההתקשרות. ברגע שלקוח מצהיר שהוא מקיים את הדין הישראלי וישראל היא מדינה שהוכרה כמדינה שמגנה על הפרטיות, אפשר לחסוך הסכמים קשים ומגבילים, או דרישות מורכבות, וזה גם מרגיע את הצד האירופי. יש לכך משמעות מעשית חשובה מאוד".
פגיעה בספק ענן ישראלי
עו"ד עזריה עוסק כבר יותר מ-25 שנה בממשק שבין משפט וטכנולוגיה. לש. הורוביץ ושות' הוא הצטרף לפני כשנה, לאחר שבמשך כ-17 שנה היה בעל משרד בוטיק פרטי בתחום. המחלקה שבראשה הוא עומד, ביחד עם עו"ד תומר שוירמן, עוסקת בכל הרבדים הקשורים לסייבר ולהגנה על פרטיות, כולל הסכמים, התאמות לרגולציה ייצוג בבתי משפט וטיפול בלקוחות שחוו אירועי סייבר. הלקוחות הם ממגוון מגזרים: בנקאות, ביטוח, רפואה, מכוניות מחוברות, תעשייה, חברות תוכנה, ספקי תוכן, אקדמיה, רשויות, רשויות מקומיות ועוד.
"מלחמת השבעה באוקטובר מתרחשת לא רק במישור הפיזי. מאז פרוץ המלחמה היו לא מעט מתקפות סייבר כנגד תשתיות ומערכות מחשוב ישראליות, הן שלטוניות והן פרטיות", הוא מספר ומוסיף, כי "הייתה פגיעה בספק ענן ישראלי שאחסן אצלו מערכות מידע רבות של גורמים ישראליים. גופים רבים נפגעו מכך, גם רשויות וגם שחקנים פרטיים, כי אותו ספק הותקף בעוצמות חזקות".
"קשה לדעת, לוקח חודשים לגלות דבר כזה, אבל מעוצמת התקיפה ניתן להבין שהסיכוי שהיא נעשתה על ידי גורם פרטי הוא נמוך. לרוב מדינות לא יתקפו בעצמן, הן עושות זאת דרך קבוצות המקושרות אליהן".
מה הנזק שנגרם לאותם גופים?
"המתקפות הללו יוצרות שיבושים אצל הגופים המותקפים. משיבוש הפעילות השוטפת ועד מידע על אזרחים שמתחיל להסתובב ברשת ומוצע למכירה".
מהם הלקחים שניתן להפיק ממה שמתרחש כיום בזירת הסייבר?
"הלקח החשוב ביותר הוא לשים לב לא רק למה שקורה בתוך הארגון שלנו, אלא לכל שרשרת האספקה של הגורמים איתם הארגון עובד. גם אם יש לי ארגון מסודר עם מערכות מוגנות, זו אינה הגנה מספקת אם הארגון עובד מול ספקים שאין להם הגנות מתאימות. תומר ואני, טיפלנו במספר לקוחות שנפגעו מההתקפה. לאחד מהם הייתה מערכת מידע בה הפסיק להשתמש לפני כמה שנים. למערכת הזו היה עותק אצל אותו ספק ענן שנפגע לאחרונה. הפגיעה פגעה בעותק של המערכת שאוחסן אצל הספק. אז אלה אמנם היו נתוני עבר שאינם מעודכנים וכמעט שלא כללו מידע אישי וגם זה היה לא רגיש, אך הם דלפו לרשת והתפרסמה ידיעה כאילו אצל הלקוח הייתה פריצת סייבר והמידע שלו דלף לרשת. אבל הפריצה לא נעשתה אצלו בכלל אלא אצל הספק. ללקוח הזה עוד היה מזל והוא גם היה אחראי לטפל בזה מיידית ובצורה רצינית ומקיפה. יש גופים אחרים שדרך הפריצה הזו הגיעו למידע האמיתי שלהם, על לקוחות אחרים. לא תמיד המידע שדולף הוא מידע רגיש, אך לוקח זמן עד שמבינים את זה. ברגע שמתפרסם שפרצו חברה מסוימת, זה יוצר פאניקה ומקטין את האמון בה. האירוע הזה לימד שמאוד חשוב לא להגן רק על עצמך אלא על כל שרשרת האספקה שלך. הבנקים וחברות הביטוח כבר עושים זאת מכוח הרגולציה שלהם לניהול סיכוני סייבר בשרשרת האספקה, כעת ההתנהלות הזו צריכה לעבור לכל השוק".
ואילו המלצות הגנת סייבר תיתן לתקופה המורכבת הזו של המלחמה?
"חלק גדול מחיינו שמור במידע דיגיטלי, הן בתצלומים והן במסמכים, וחשוב מאוד גם לאנשים פרטיים וגם לעסקים לגבות מידע בהארד דיסק חיצוני, שיאוחסן במקום בטוח ובאזור גיאוגרפי אחר. הגופים העסקיים חייבים להיות ערוכים למגוון תרחישים, ובעיקר ליכולת המשכיות עסקית ולעיצוב תוכניות להתאוששות מאסון (DRP), במקרה של כל מיני סוגים של תקלות כמו הפסקות חשמל, נפילות אינטרנט, נפילות תקשורת, מניעת גישה לבניין ועוד. היכולת לתפקד בעורף בזמן מלחמה היא חשובה מאוד. המשכיות החיים מחזיקה ומחזקת את הקולקטיב".
יש דרך להימנע לחלוטין מאירועי סייבר?
"האירועים האלה הם כנראה רע הכרחי, כי לא חשוב כמה הארגונים יגנו על עצמם, השאלה היא לא אם הם יחוו אירוע סייבר, אלא מתי, ולא מדובר רק על זמן מלחמה. חשוב לזכור שכ-80% מהפריצות נובעות מתקלות אנוש או התנהגויות אנוש של הגורם המותקף. עצה חשובה במצב כזה קשורה לעיקרון המינימיזציה של הדאטה – כולנו שומרים ומתעדים כל דבר, כל סוג של מידע. כדאי להתחיל לחשוב על מחיקת מידע שלא צריכים אותו יותר. גופים אוגרים מידע שכבר לא צריך אותו, ואז כשפורצים אליהם, העוצמה השלילית של החזקת המידע העודף – יוצאת לאור".
פורסם בעיתון דה מרקר- לקריאה
גליה היפש, בשיתוף משרד עו"ד ש. הורוביץ ושות'