ניהול סיכוני סייבר  – רגולציה מתהדקת אך מלאת חורים.

מאת עוה"ד דן אור-חוף ושרון גיא.

האיום הטמון בסיכוני סייבר על המדינה, על ארגונים וחברות וגם על הפרט בישראל, ידוע היטב. מזה מספר שנים שסיכונים אלה נתפסים כאיום אסטרטגי על המדינה וכבעיה המסוגלת לגרום לנזק רב לגופים ציבוריים ופרטיים כאחד.

בשנתיים האחרונות, המחוקק ורגולטורים בארץ פתחו בפעולה נמרצת למסד את אופן ניהול הגנת הסייבר.

תקנות, הנחיות וחוזרים פורסמו במהלך השנתיים האחרונות, ביניהם: הוראת ניהול הגנת סייבר (הוראה 361) עדכון הוראת ניהול טכנולוגיות המידע (הוראה 357) והוראת ניהול סיכונים בסביבת מחשוב ענן של המפקח על הבנקים; חוזר מנכ"ל משרד הבריאות בנושא הגנת מידע במערכת הבריאות; הקניית סמכויות לרשות הלאומית להגנת סייבר במסגרת החוק להסדרת הביטחון בגופים ציבוריים ותקנות אבטחת מידע חדשות.

לרשימה הנ"ל התווסף בימים אלה חוזר ניהול סיכוני הסייבר בגופים מוסדיים של הממונה על שוק ההון ביטוח וחיסכון במשרד האוצר. החוזר שנכנס לתוקף בימים אלה, חל על חברות ביטוח וקופות גמל.

אלא שלצד המגמה המבורכת להסדיר את התחום, יש לא מעט פגמים בדרך ההסדרה. חוזר הממונה על שוק ההון הוא דוגמה טובה לכך ומאמר זה מציג מספר כשלים מהותיים שלדעתנו כלולים בחוזר.

מטרת החוזר

מטרתו של החוזר, כך נכתב בו, היא לקבוע אמות מידה להגנת נכסי המידע של הגופים המוסדיים בכדי להבטיח את שמירת המידע אודות לקוחותיהם – העמיתים והמבוטחים.

הנחיות החוזר מטילות אחריות מוגברת על הנהלת הגוף המוסדי (הדירקטוריון והמנכ"ל) ודורשות את מינויו של מנהל הגנת סייבר בארגון. על פי ההנחיות, על גוף מוסדי להגדיר מדיניות ניהול סיכוני סייבר לארגון, להקים ועדת היגוי (בגוף שפעילותו אינה בהיקף נמוך) שתתכנס לפחות אחת לרבעון, לעדכן את הסכמי מיקור החוץ של הארגון, את נהלי קבלת העובדים לארגון ועוד.

ניכר כי ההנחיות נעשו לאחר חשיבה מאומצת ועבודה מקיפה. בטרם כניסתן לתוקף פירסמה הממונה על שוק ההון טיוטות של החוזר בכדי לקבל את עמדות הציבור על האמור בו. מדובר במגמה הולכת וגדלה בקרב הנחיות של רגולטורים. זו יוזמה ברוכה המאפשרת סיעור מוחות רחב ומקיף יותר בטרם מקבלות הנחיות מעין אלה תוקף מחייב.

אולם כפי שנפרט להלן, ישנן מספר נקודות שלדעתנו לא לובנו עד הסוף בחוזר. במקום ליצור את מסגרת העקרונות המתאימים לניהול סיכוני הסייבר, ההוראות יוצרות בלבול ואי ודאות לגבי האופן הראוי להחלת התקנות ולניהול סיכוני הסייבר בארגון.

שימוש לא נכון במושג "מידע רגיש"

בסעיף ההגדרות של החוזר מופיעה הגדרה למונח "מידע רגיש" המפנה להגדרת מונח זה בחוק הגנת הפרטיות, התשמ"א – 1981 ("חוק הגנת הפרטיות"). החוזר מוסיף בהגדרת "מידע רגיש" גם "כל מידע אשר סווג על ידי הגוף כרגיש".

אלא שחוק הגנת הפרטיות מסדיר את הטיפול במידע אישי. "מידע רגיש" בחוק זה הוא כמעט כל סוג של מידע אישי.

הסיבה לכך נעוצה בצורה שבו פורש המונח בפסיקה הישראלית. "מידע רגיש" בחוק כולל גם "נתונים על אישיותו של אדם". מונח 'סל' זה פורש בהרחבה עד כדי כך שבמקרה אחד נקבע כי צירוף שמו של אדם, כתובתו ומספר הת.ז. שלו מהווים מידע רגיש כהגדרתו בחוק (ע"פ (מחוזי-ת"א) 2135/91 מדינת ישראל נ' ג'ק בן דוד מלול (פסק דין מיום 28.9.1993)).

מובן גם שמידע אישי המוחזק על ידי חברות ביטוח וקופות גמל (מידע שהוא בעיקרו על לקוחות ועובדים) תמיד יהיה 'רגיש' כמשמעותו בחוק הגנת הפרטיות.

עוד ובנוסף, המטרה העיקרית בחוק הגנת הפרטיות להבחנה בין 'מידע' ל'מידע רגיש' נוגעת לעניין פרוצדוראלי במהותו – רישום מאגר מידע בפנקס המנוהל על ידי רשם מאגרי המידע (כיום חלק מרמו"ט – הרשות למשפט טכנולוגיה ומידע). מאגר עם 'מידע רגיש' יש לרשום ללא תלות במספר הרשומות בו, להבדיל ממאגר עם 'מידע' לא רגיש המחייב רישום רק מהרשומה ה – 10,000.

כלל ידוע באבטחת מידע הוא שיש לאבטח מידע בהתאם לרמת רגישותו. עולם אבטחת המידע נוהג לסווג מידע לרמות שונות (Data classification) וארגון מיישם אמצעי אבטחת מידע לכל רמה בהתאם למידת רגישות המידע. המונח 'מידע רגיש' בחוק הגנת הפרטיות איננו הכלי הנכון בהקשר זה.

פועל יוצא הוא ששימוש במונח זה במסגרת חוזר ניהול סיכוני הסייבר חוטא לעיקר. הוא מחייב את הגופים המונחים לפי החוזר (חברות ביטוח וקופות גמל) להתייחס לכלל המידע הנמצא ברשותם כרגיש והוא מאיין את הצורך להבחין בין רמות שונות של רגישויות.

הוראות בחוזר האמורות להתייחס למידע רגיש (כדוגמת הוראות בנושא בקרה וניטור, דיווח על תקלות לממונה על שוק ההון והצפנה) חלות – בגלל ההפניה להגדרת מידע רגיש בחוק הגנת הפרטיות – על כלל המידע שבידי הגופים המונחים.

מה הם 'שירותי ענן'?

החוזר כולל הוראות מיוחדות לניהול המידע של הארגון באמצעות שירותי מחשוב ענן. הוראות אלה (שש במספר, המתווספות לשבע נוספות החלות על שירותי מיקור חוץ באופן כללי) מתייחסות לשימוש בשירותי ענן כסיכון מיוחד.

אלא שהפרק העוסק בשירותי ענן לוקה הן בהגדרת התחולה שלו והן בהוראותיו המהותיות.

המונחים "מחשוב ענן" ו"שירותי ענן" הם מושגי מפתח (buzzwords) בעולם טכנולוגיות המידע. הם אינם מושגים משפטיים.

השימוש בהם בחוזר נעשה מבלי שהמונחים הללו יוגדרו. בכך הם מנציחים בעיה דומה המופיעה בהנחיית המפקח על הבנקים בעניין ניהול סיכונים בסביבת מחשוב ענן (הוראה שעדכונה נבחן בימים אלה) – מהם 'שירותי ענן'? –

התשובות לשאלות הללו אינן מצויות בחוזר. התוצאה היא שקו הגבול בין שירותי מיקור חוץ לבין שירותי ענן איננו ברור.

כך לדוגמה, ארגון מחויב לבצע הערכת סיכונים ייעודית לפני קבלת החלטה להשתמש בשירותי ענן. הוראה מקבילה איננה קיימת לגבי שירותי מיקור חוץ. לא ברור מהחוזר בקשר לאילו שירותים יש לבצע את ההערכה. ארגון מחויב להצפין מידע בשירות ענן מחוץ לגבולות המדינה. הוראה מקבילה איננה קיימת לגבי שירותי מיקור חוץ שהם אינם שירותי ענן.

החוזר סותר חוק קיים ביחס להעברת מידע לחו"ל

החוזר יוצר הבחנה בין אחסון מידע בשירותי ענן בתוך גבולות מדינת ישראל לעומת אחסון מידע בשירותי ענן מחוץ לגבולות המדינה. הוראותיו קובעות תנאים מצטברים המקשים על ההתקשרות עם האחרונים באופן שאין לו בסיס.

כך, סעיף ה.3.ב לחוזר קובע שעל הארגון המאחסן מידע רגיש או נתוני לקוחות בענן מחוץ לגבולות המדינה, לוודא ביחס לספק שירותי הענן הזר –

א. שהספק מקיים את רמת ההגנה המתאימה בהתאם לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001 ("תקנות העברת מידע").

ב. שהספק מקיים את רמת ההגנה המתאימה בהתאם לדירקטיבה על הגנת המידע של מדינות האיחוד האירופי.

הדרישה השניה לעיל, דהיינו שספק השירותים יקיים את רמת ההגנה הנהוגה בדין האירופי היא תעתיק חלקי (ובלתי מוצלח לדעתנו) להוראה דומה הקיימת בהנחיית המפקח על הבנקים בעניין ניהול סיכונים בסביבת מחשוב ענן (סעיף 3.2 שם).

אלא שקובץ ההוראות הנ"ל בחוזר הממונה על שוק ההון רצוף בשגיאות ואי דיוקים –

ראשית, כפי שהבהרנו לעיל, נתוני לקוחות של חברות ביטוח וקופות גמל הם במהותם 'מידע רגיש' כהגדרתו בחוק הגנת הפרטיות. אין סיבה לציין נתוני לקוחות בנפרד.

שנית, בניגוד לאמור בחוזר, רמת הגנת המידע קבועה בחוק הגנת הפרטיות ולא בתקנות העברת המידע (המפנות לחוק בעניין זה).

שלישית, תקנות העברת מידע קובעות כי מספיק שספק השירותים עומד בהוראות הדין הישראלי או בהוראות הדין האירופי. הן אינן דורשות ציות כפול ומצטבר למערכות הדינים בישראל ובאירופה.

רביעית, הדירקטיבה על הגנת מידע איננה חוק ב'מדינות האיחוד האירופי'. הדירקטיבה (Directive 95/46/EC) היא מעין חוק-על הקובע עקרונות להגנת מידע. את העקרונות אימצו מדינות האיחוד האירופי לתוך חקיקה מקומית – כל מדינה החברה באיחוד והחוק שלה.

חמישית, ימיה של הדירקטיבה ספורים. מחליף אותה חוק חדש, שמו – GDPR – General Data Protection Regulation. החוק החדש אושר במאי 2016 והוא ייכנס לתוקף במאי 2018. החוזר איננו מתייחס כלל לשינוי החקיקתי באירופה ואם הוא לא יתוקן בזמן, הוראותיו לא יאפשרו, הלכה למעשה, שימוש בשירותי ספק שירותי ענן זר.

החוזר של הממונה על שוק ההון מעתיק באופן חלקי הוראות בהנחיית המפקח על הבנקים בעניין ניהול סיכונים בסביבת מחשוב ענן. גם ההוראה של המפקח על הבנקים שגויה בנקודה זו. היא יוצרת דרישה שאיננה עומדת בקנה אחד עם תקנות העברת המידע ואף היא מתייחסת לדירקטיבה בלבד, שכאמור היא איננה חוק בפני עצמה ואף תעבור בקרוב מן העולם.

אין כל הצדקה לסטות מהוראות התקנות שחוקקו על ידי משרד המשפטים הישראלי וליצור הסדר קשה עד בלתי אפשרי ליישום. ההסדר הקיים בחוזר מקשה איפוא שלא לצורך את ההתקשרות עם ספקי שירותי ענן.

דרישה חלקית ולא קוהרנטית להצפנה

בפרק הנוגע להצפנה, חוזר ניהול סיכוני סייבר מורה לגוף המוסדי להצפין כל מידע רגיש "להגנה על חיסיון בתווך התקשורת מחוץ לחצרותיו".

החוזר גם דורש הצפנה של מידע המאוחסן בשירותי ענן מחוץ לגבולות ישראל, בניגוד לכאורה לאחסון מידע בשירותי ענן המצויים בישראל.

ההנחה היא, כך נראה, שהצפנת מידע מעניקה שכבת הגנה נוספת למידע ומנסחי החוזר דורשים אותה במקום שבו נדרשת שכבת הגנה נוספת כזו.

ההוראות הללו בחוזר מניחות שתי הנחות ללא ביסוס מספק –

האחת – ההנחה שהמידע בטוח יותר אצל הארגון מאשר אצל ספק שירותי ענן. אלא שסיכוני הסייבר אינם פוסחים על מידע המאוחסן בשרתי הארגון המצויים בדלת אמותיו. לא ברור מנין שאובה ההנחה שהמידע מאובטח פחות טוב אצל הספק מאשר אצל הארגון. לכאורה ספק אחסון מידע אמור לאבטח את המידע טוב יותר מלקוחותיו, משלוש סיבות עיקריות –

יתכן שהרציונל להבדל נובע מההנחה שלארגון יש שליטה פחות טובה כאשר המידע מאוחסן בענן. לדוגמה, עובדי הספק יכולים לגשת ללא רשות למידע. אם זו הסיבה, הרי שגם היא לא מבוססת, שכן גישה בלתי מורשית יכולה להיעשות על ידי עובדי הארגון והספקים שלו (לרבות ספקי מיקור החוץ), גם כאשר המידע מאוחסן אצל הארגון.

ההנחה השניה המובלעת בחוזר היא שאחסון מידע אצל ספק זר יוצר סיכון גדול יותר מאשר אחסון אצל ספק מקומי. גם הנחה זו איננה ברורה. אף בהקשר זה הדעת נותנת שספקים בינלאומיים, המספקים את שירותיהם בכל העולם ולכמות לקוחות גדולה, יודעים לספק רמת אבטחה שלפחות איננה נופלת מאשר זו המסופקת על ידי ספקים מקומיים.

עוד ובנוסף, החוזר שם דגש רב על הצפנה מקצה לקצה של תקשורת ותעבורת נתונים (in transmission), אולם הוא איננו כולל הוראות מפורשות לגבי הצפנה באחסון (at rest).

הצפנה היא אמצעי סטנדרטי ונהוג כיום לצורכי אבטחת מידע והגנת הפרטיות.

יש להצפנה מגרעות (על כך נרחיב במאמר נפרד), אולם יתרונותיה הפכו אותה לפופולרית בקרב מחוקקים ורגולטורים. ההסדרה בנוגע להצפנה בחוזר של הממונה על שוק ההון היא חלקית ולטעמנו בלתי מבוססת דיה. אפשר היה ליצור הסדר קוהרנטי יותר שעיקרו בדרישת הצפנה כאשר נסיבות האחסון או השימוש במידע דורשות זאת.

התעלמות מסייגים לשימוש באמצעי אבטחה ביומטריים

על פי החוזר "על בקרת הגישה באזורים המוגדרים ברגישות גבוהה לכלול לפחות שער כניסה אחד הנפתח על ידי אמצעי זיהוי חזק, כגון אמצעי ביומטרי או כרטיס חכם". כלומר, החוזר מנחה את הגופים המוסדיים להשתמש באמצעי אבטחה פיסיים ומציע מנגנונים ביומטריים כאמצעי זיהוי.

לאחרונה קבע בית הדין הארצי לעבודה כי שימוש באמצעים ביומטריים ייחשב כפגיעה בזכותו של העובד לפרטיות אם השימוש באמצעים כאלה נעשה ללא קבלת הסכמה פרטנית של העובד לכך (עס"ק (ארצי) 7541-04-14 הסתדרות העובדים הכללית החדשה נ' עיריית קלנסווה. פסק דין מיום 15.3.2017).

על כן, החוזר צריך היה להפנות את הגופים המוסדיים לסייג החשוב הזה בכדי למנוע מהם להפר את החוק הנוגע לזכויות עובדיהם לפרטיות בבואם להגן מפני סיכוני הסייבר של המידע המצוי ברשותם.

קבלת הסכמה מעובדים, בפרט במקומות עבודה מאוגדים בהם קיימים וועדי עובדים חזקים, איננה עניין פשוט כלל ועיקר.

כדי להשתמש באמצעי הזדהות ביומטריים, גופים מוסדיים כדוגמת חברת ביטוח או קופת גמל, צריכים לנהל את הטיפול בנושא באופן נכון. ניהול לא נכון יטרפד את השימוש באמצעים אלה.

כפילות וחוסר בהירות בדיווח על אירועי אבטחת מידע

החוזר מגדיר אירועי סייבר כ"כל מקרה של תקיפת מערכות או אמצעי טכנולוגי אחר ששייכים לגוף מוסדי, העלולה לפגוע בסודיות, שלמות או זמינות מערכות או המידע של גוף מוסדי".

החוזר מנחה את הגופים המוסדיים לדווח לממונה על שוק ההון ולדירקטוריון הארגון על "כל אירוע סייבר משמעותי שכתוצאה ממנו, באופן ישיר או עקיף: (1) נפגעו או הושבתו מערכות ייצור המכילות מידע רגיש למשך של יותר מ-3 שעות. (2) יש אינדיקציות לכך שמידע רגיש של לקוחות הגוף המוסדי או עובדיו נחשף או דלף".

לאחרונה אושרו תקנות הגנת הפרטיות (אבטחת מידע) ("תקנות אבטחת המידע"). התקנות חלות על כלל השוק הפרטי וגופי הממשל בארץ.

הכפיפות של חברות ביטוח וקופות גמל להוראות הממונה על שוק ההון איננה פוטרת אותן באופן אוטומטי מציות לתקנות אבטחת המידע. במקום זאת, עליהם לפנות לרשם מאגרי המידע, האחראי על יישום התקנות ולהגיש בקשה מיוחדת לפטור. עד אז, הן מחויבות הן בהנחיות הממונה על שוק ההון והן בתקנות אבטחת המידע.

תקנות אבטחת המידע קובעות מונחים שונים לאירוע אבטחת מידע ודורשות דרישות שונות מבעל מאגר המידע.

ההגדרה המקבילה באופן חלקי ל"אירוע סייבר" בתקנות אבטחת המידע היא "אירוע אבטחה חמור" ופירושה "(1) במאגר מידע שחלה עליו רמת אבטחה גבוהה – אירוע שנעשה בו שימוש במידע מן המאגר, לרבות אירוע בו היתה כניסה למערכות המאגר באופן שמאפשר גישה למידע שבמאגר, בלא הרשאה או בחריגה מהרשאה או שנעשתה פגיעה בשלמות המידע; (2) במאגר מידע שחלה עליו רמת אבטחה בינונית – אירוע שנעשה בו שימוש בחלק מהותי מן המאגר בלא הרשאה או בחריגה מהרשאה או שנעשתה פגיעה בשלמות המידע לגבי חלק מהותי מן המאגר".

התקנות דורשות מבעל מאגר המידע להודיע באופן מיידי לרשם מאגרי המידע על אירוע שכזה.

כלומר, חברת ביטוח וקופת גמל כפופות למערכת דיווח רגולטורית כפולה וחופפת באופן חלקי.

מובן גם שבמקרה אמת שני הרגולטורים עשויים לפתוח בחקירה, לדרוש דרישות מהגוף המדווח, להנחות אותו וכו'.

ברי שמצב מסוג זה הוא בלתי סביר. הוא גורם לבלבול ובזבוז משאבים וחושף את הארגון לטענות לאי ציות להנחיות רגולטור.

לסיכום

חוזר ניהול סיכוני הסייבר של הממונה על שוק ההון ביטוח וחיסכון הוא מסמך חשוב ובעל ערך.

על אף זאת, מוטב היה להוציא את הנושאים הללו מתחומי ההנחיות של רגולטורים סגמנטליים ולהשאיר אותם בידי רשות אחת שתדע להנחות את כלל הגופים בשוק.

בנוסף, הראינו שיש מקום לתקן את החוזר במספר נושאים מהותיים כדי להפוך אותו למדויק ובהיר יותר. כל עוד ההוראות נותרות בעינן, הן משאירות מקום לפרשנות ולאי וודאות מיותרת.

 

המזכר לעיל מספק סקירה כללית של הנושא האמור בו. אין מדובר בחוות דעת משפטית. לקבלת מידע נוסף ניתן לפנות

לעוה"ד דן אור-חוף ושרון גיא, טל – office@or-hof.com ; 03-5620992