העיסוק בהתגוננות מפני מתקפת סייבר מעסיק היום יותר ויותר גופים. במציאות שבה חברות רבות בישראל מפתחות מוצרים שנועדו לעזור בהגנה כנגד מתקפה אפשרית, מוצאים עצמם גופים רבים מתלבטים בשאלה מה עליהם לעשות כדי להגן על המערכות שלהם ויותר מכך, מה עליהם לעשות כדי שלא ייתפסו רשלנים ביום הדין.

אחת הבעיות המרכזיות בשאלת ההערכות למתקפת סייבר היא שבמתקפה כזו אין "אויב בעין". העובדה כי אין לדעת האם האחראי למתקפה הינו גוף ממשלתי-מדינתי, האקר משועמם בן 16, טרוריסט זדוני או אקטיביסט צדקן, מקשה עד מאוד על היערכות מוקדמת של ארגונים לקראת מתקפת סייבר.

כאשר גוף שואל את עצמו האם הוא מוכן למתקפת סייבר, אין הוראת חוק פרטנית לתחום שעליה הוא יכול להסתמך. המחוקק עדיין לא הגיע לשם. עליו להסתמך על הוראות חוק שונות, כדי לנסות להגיע למסקנה כי עשה כל מה שצריך על-פי החוק כדי להיות מוכן למתקפה.

ההוראות הרלבנטיות ביותר לנושא הן אלו המצויות בחוק הגנת הפרטיות. החוק קובע כי על כל גוף להגן על המידע האישי המצוי במערכותיו. התקנות שהותקנו מכוח החוק מפרטות אף הן את החובה להגן על המידע. אך גם בחוק וגם בתקנות אין פרוט בשאלה, מה בדיוק על גוף לעשות כדי לקיים את החובה המוטלת עליו להגנה על המידע.

אין ספק שאחת הדרכים להתגבר על הלקונה בחוק הוא לנסות להיערך לבעיה מהסוף. ומה הכוונה מהסוף? לחשוב מה יקרה ביום הדין, היום בו מתקפת סייבר על הארגון תצליח וכל המערכות שלו יפלו. כאשר מקרה כזה קורה, יגיעו גורמי האכיפה לארגון לבדוק האם פעל נכון כדי להגן על המידע, תגיע גם חברת הביטוח שעשתה ביטוח כנגד מתקפת סייבר, לארגון שעשה ביטוח כזה. מעל הכול, הארגון יבקש להמשיך לפעול וירצה להיות ערוך לכך. הן הרגולטור והן חברת הביטוח יחפשו סיבות כדי לבסס טענה שהארגון לא פעל כנדרש בהתגוננות שלו מפני מתקפת סייבר. חוסר יכולת חזרה מהירה לשגרה, תפגע בארגון וביכולת שלו לשמר את יתרונותיו.

pexels-cyber2התסריט הזה מחייב ארגונים לבדוק שהם עומדים בהוראות החוק והרגולציה בכל נושא ההגנה על המידע. כך בין היתר עליהם לבחון האם כל המידע האישי שהם מחזיקים מכונס תחת מאגרי מידע הרשומים כחוק, האם הם מקיימים את דרישות החוק ביחס לאבטחת המידע האישי, האם הקניין הרוחני שלהם מוגן כנדרש והאם המידע העסקי הסודי שלהם לא חשוף. כמובן שעל ארגונים המבקשים להיות מוכנים ליום הדין גם לדאוג לעריכת תוכנית התאוששות מאסון (Disaster Recovery Plan) מתאימה ולתוכנית המשכיות עסקית (Business Continuity Plan). בתוכניות אלו יהיה על הארגון לדאוג, בין היתר, ליכולתו לחזור לתפקד במהירות, הן על-ידי אספקת מערכות חלופיות והן על ידי שיקום המידע ממקום הגיבוי, ולהיות ערוך למתקפה הבאה.

ההיצע הגדול של תוכנות הגנה מפני חדירה למערכות המחשב שלו יכול לגרום לבלבול. כך גם ההבדלים הגדולים בעלויות בין האפשרויות השונות שעל מדף המוצרים. לכן, על גוף להעריך את מידת הרגישות והסודיות של המידע שנמצא במערכותיו, כדי לצרוך את התוכנה הנכונה והתפורה, בעלויות שלה, לצרכי הארגון.

אתגר גדול עומד גם בפני גופים השומרים מידע עבור גופים אחרים ומנהלים, למעשה, את מה שמכונה היום "ענן". לגופים אלה לא תמיד יש את קנה המידה להעריך את רגישות המידע שהם אוגרים בקרבם עבור אחרים, ולא נותרה להם הברירה אלא להסתמך על הצהרות הגופים שמבקשים לשמור את המידע במערכותיהם. כך למשל, גוף האוספת מידע רגיש אודות לקוחותיה, אשר נשמר בשירות ענן מסוים. הערכה לא נכונה של גופים כאלה, תזמין חילופי האשמות ביום הדין ולכן גם גוף כזה, השומר מידע עבור אחרים, צריך לעשות גם את הבדיקות בעצמו, כדי שלא יימצא רשלן.

אין ספק שאם החוק היה מספק תשובות ברורות יותר, כל מערך ההכנה של גופים לקראת מתקפת סייבר היה יכול להיות מובנה וסדור יותר. כמו בכל דבר, ראוי שתהא הסדרה ברורה, בחוק ובתקנות של נושא אבטחת המידע וההתגוננות מפני מתקפות סייבר. הסדרה כזו צריכה ליצור סטנדרט ברור שבו על גופי הממשלה וחברות לעמוד, סטנדרט שייקח בחשבון את מידת רגישות המידע שיש בידי כל גוף וגוף. אבל, המחוקק הישראלי אינו מצליח להדביק קצב ההתקדמות של הטכנולוגיה, ולא ראוי להמתין לו בנושא הזה. לכן, עד שזה יקרה, דומה שגופים ששומרים מידע יצטרכו, כאמור, לקבוע דרוג עצמאי למידת הרגישות של המידע שהם שומרים ודרכי השמירה עליו. גוף שידע לעשות זאת נכון, יימצא מרוויח במבחן הזמן הן לצורך תפעול המערכות שלו עצמו, הן מול אלו שהמידע שלהם שמור אצלו, והן כלפי אחרים, שיבקשו להפקיד בידיו מידע בעתיד.

אין ספק שביום הדין ייבחנו כל בעלי התפקידים בחברה בשאלה, אם עשו את מה שאדם סביר ונבון היה עושה באותן נסיבות ונקטו במידת הזהירות הסבירה הנדרשת מאופי המידע המצוי במערכות החברה. מסקנה שלילית לשאלות האלו תוכל להוביל לטענת רשלנות נגדם, על כל הכרוך בכך. מסקנה שלילית תוכל לשרת גם את חברת הביטוח, ככל ונערך לחברה ביטוח מפני מתקפת סייבר, שתוכל לבוא ולטעון כי בשל רשלנות החברה, פוליסת הביטוח אינה חלה. לכן בגוף שיפעל נכון, ימצאו מוגנים גם המנהלים וחברי הדירקטוריון, מפני הטענה האפשרית שלא עשו את הנדרש כדי להגן על המידע האגור במחשבי אותו גוף. כאשר מגיעים לחובה האישית, יש להאמין, התמריץ לפעול יהיה כפול. עד שתהיה חקיקה שתקבע חובה ברורה בעניין, דומה שזו תהיה הדרך היחידה להבטיח הגנה טובה יותר על המידע המצוי במערכות המחשב של חברות וגופים כאלו.

אין לראות במידע המוצג כייעוץ משפטי ואין להסתמך עליו ככזה. המידע עשוי להיות לא מעודכן ולהשתנות בכל עת ללא הודעה מראש או בדיעבד.