קנסות במיליונים: לראשונה המדינה תטיל על דירקטורים אחריות למניעת מתקפות סייבר

הרשות להגנת הפרטיות מוציאה בימים אלו הנחיה מחייבת שתקבע כי לצד בעלי התפקידים הרלוונטים בחברה, מי שיישא בין היתר באחריות על תחום אבטחת המידע בארגון יהיה הדירקטוריון - כך נודע לגלובס. ההנחיה, שפרטיה פורסמו לפני כשנה להערות לציבור וכעת היא צפויה להיכנס לתוקף, תקבע כי חברה שתפר את הכללים המחייבים תהיה חשופה לקנס של עד 320 אלף שקל על כל הפרה בודדת. ההנחיה כוללת גם רשימת צעדים שיהיה על הארגון לקיים, ואלו יהיה תקפים לחברות שעיבוד מידע אישי מצוי בליבת הפעילות שלהן או שקיימת סבירות שפעילותן יוצרת סיכון מוגבר לפרטיות - בין היתר חברות סלולר, בנקים, תרופות, חברות ביטוח וחברות בתחום הרפואה.

● הצרות של רשת המלונות בראון, הרוכשים הפוטנציאליים והעיכובים בהחזר הלוואות
● צירוף מקרים? הדירקטורית החדשה באל על היא בתו של יו"ר כלל ביטוח

עוד בטרם פרוץ מלחמת חרבות ברזל, וביתר שאת במהלכה, מהווה ישראל מוקד חם למתקפות סייבר חיצוניות, מה שהוביל לתפיסה רחבה כי על החברות השונות למגן עצמן בתחום. ההנחיה של הרשות להגנת הפרטיות - שיוצאת במסגרת רפורמה כוללת בתקנות - קובעת למעשה לראשונה כי הדירקטוריון נמנה ברשימת האחראים על אבטחת המידע בחברה. לפי ההנחיה, על הדירקטוריון תוטל החובה לפקח ולוודא שהיא מצייתת להוראות החוק והתקנות, ולגבש מדיניות ארגונית בנושא. כמו כן, הדירקטוריון יהיה מחויב להיות מעורב באופן ספציפי בחלק מהתקנות, כמו חובת הדיווח הכללית והכנסת מסמך הגדרות המאגר (מסמך שבו מגדירה החברה את המידע שנמצא ברשותה והשימוש שנעשה בו).

ההנחיה קובעת כאמור כי היא תקפה ל"חברות שעיבוד מידע אישי מצוי בליבת הפעילות שלהן או שקיימת סבירות שפעילותן יוצרת סיכון מוגבר לפרטיות". אלו כוללות חברות כוח אדם, חברות תרופות, קמעונאים גדולים, חברות סלולר וחברות שאוספות נתוני מיקום; לצד אלו נכללים גם מכוני מיון וחברות שעוסקות בהערכת אישיות, ספקיות אחסון מידע, חברות הייטק שעובדות עם מידע אישי בהיקף גדול, חברות שאוספות מידע על קטינים, ובוודאי בנקים, חברות ביטוח וחברות בתחום הרפואה.

נזכיר כי לפני חודש אושר תיקון נרחב לחוק הגנת הפרטיות - התיקון המשמעותי ביותר שנעשה בתחום ב־40 השנים האחרונות. התיקון כלל שינויים רבים - דוגמת שינוי מונחים והגדרות והגברת כלי אכיפה כלפי הגופים. בין היתר נקבע בתיקון כי הרשות להגנת הפרטיות יכולה להטיל עיצומים כספיים בסכומים שיכולים להגיע גם למיליוני שקלים על הפרות.

מה יחויב הדירקטוריון לעשות?

ההנחיה מתייחסת בעיקר לאופן שבו משתמשים במידע האישי בחברה ומנהלים אותו, וכן לכך שעל הדירקטוריון לוודא שהמדיניות מוטעמת בנהלי העבודה בארגון. לפי ההנחיה, על הדירקטוריון לקיים לכל הפחות דיון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני, ואף לפעול בעקבות תוצאות סקר הסיכונים ומבדקי חדירות שהחברה מחויבת לעשות. במקרים המתאימים ובהתאם למידת הסיכון לפרטיות, יהיה אפשר לקבוע גורם אחר בחברה שיהיה אחראי על ביצוע הפעולות, אבל הדירקטוריון עדיין יהיה מחויב לפקח על כך בפועל.

הרציונל מאחורי ההנחיה הוא שכיום, דירקטוריון מודרני לא יכול שלא לעסוק בסייבר. בתקנות שפורסמו עד כה, מצטטת הרשות (שפועלת מטעם משרד המשפטים) מפסק הדין Caremark בדלאוור, שם הראו כי על הדירקטוריון מוטלת חובה ליצור מנגנונים של בקרה ופיקוח בחברה. ברשות ראו בפסק הדין הזה אחריות לדירקטוריון בשני סוגי מצבים: כאשר הוא זה שצריך להטמיע את מערכות הבקרה וקבלת המידע, וכאשר הוא זה שהטמיע אך כשל במודע לפקח על היישום בפועל.

הרשות להגנת הפרטיות אף הוסיפה דיסקליימר בסוף ההנחיה שמבהירה כי אין בה כדי לפטור או להפחית אחריות למנכ"ל או להנהלת החברה, או כל גורם אחר רלוונטי. יתרה מכך, יש מי שמעלה את האפשרות של האחריות המוגברת לחברי הדירקטוריון: משמע, בהנחיה של הרשות למעשה יוצקים תוכן ומפרטים מה החובה של הדירקטורים לגבי החברה. דבר זה עלול להיות בסיס לתביעות נגזרות כלפי דירקטורים בתוקף חוק ניירות ערך או חוק החברות - זאת מצד בעלי המניות.

"דירקטורים הם אינם אנשי מקצוע"

ההנחיה החדשה מעוררת מחלוקות בקרב אנשי המקצוע בתחום. עו"ד רבקי דב"ש, עמיתה בכירה במכון הישראלי למדיניות טכנולוגיה ולשעבר ראש הרשות להגנת הפרטיות (בפועל), סבורה אמנם כי ההנחיה החדשה נכונה ואף "תואמת מגמות עולמיות", אך לצד זאת מציינת כי יש צורך בהבהרת ההנחיות שפורסמו עד כה. "ברשות בחרו להגדיר בצורה עמומה על אילו חברות תחול ההנחיה החדשה", היא מסבירה. "היה אפשר להיצמד להגדרות שקיימות כבר בחוק, כמו שלוש רמות אבטחת המידע שיש בחוק או הגדרת מידע רגיש שמחייב ברישום. שנית, צריך להבהיר לאיזה רמת פיקוח מצד הדירקטוריון מכוונים. האם מדובר במעבר על מסמכים או לאשר, או שמא בכל מה שקשור לדיווח על אירוע סייבר - הדירקטורים ממש בעצמם צריכים לדווח? חשובה פה בהירות וחידוד".

עו"ד ד"ר דן חי, שעומד בראש משרד עורכי דין שמלווה גופים רבים בתחום הסייבר ואבטחת המידע, דווקא מתנגד להנחיה החדשה של הרשות להגנת הפרטיות, וטוען שזו תסרבל את עבודת הדירקטוריון. "זה ללכת גבוה מדי. בהנחיה הזו הם מבקשים שהדירקטוריון יירד לפרטים הקטנים, ובמילים אחרות - למרות שהרשות אומרת שזו עבודת פיקוח של הדירקטוריון, הלכה למעשה זה ניהול החברה. זה יכול ליצור הרבה בעיות - זאת משום שהדירקטורים אינם בעלי הידע הדרוש כדי שיפעלו בצורה שבה הם רוצים שיפעלו. לדוגמה, לפי ההנחיה הם צריכים לעבוד על מסמך הגדרות מאגר.

"יצא לי להיות הרבה בפורומים של אבטחת מידע בחברות, והדיונים שם ברמה גבוהה והמנהלים בפורום צוחקים על המונחים המקצועיים ומבקשים הבהרות. מצב כזה יכול לגרום לזה שהדירקטוריון יחליט את ההחלטות הלא נכונות, כי הם אינם אנשי מקצוע", מסביר ד"ר חי. "אם אני הייתי דירקטור בחברה, אדרוש ללכת לקורס ושיהיה לי יועץ כדי לא לעשות טעות. כי כשיש אירוע אבטחת מידע בחברה, פועלים כמה שיותר מהר בחברות ומערבים רק את האנשים הרלוונטיים. מה שדורשים ברשות להגנת הפרטיות זה לרוץ לדירקטוריון ולהסביר לו מה קורה, וזה יסרבל את הכל".

לדברי ד"ר חי, המשמעות של ההנחיה בסופו של דבר היא עלייה בעלויות, שכן היא תצריך בקשת חוות דעת ותהליכים ארוכים לכל פעולה בארגון. מעבר לכך, לדבריו, ההנחיה עשויה להוביל לשני מצבים שונים: "זה יכול לגרום לדירקטוריון להפוך להיות חותמת גומי, או שזה יכול לגרום לכך שהדירקטוריון ייכנס ללחץ ויסבך את העבודה של הארגון. מעבר לכך, זה ייקר את העלויות, כי זה להביא ייעוץ חיצוני וחוות דעת".