חדשות ופרסומים

על רקע הפרסומים בימים האחרונים אודות שורה של אירועי סייבר במשק הישראלי, מצאנו מקום להפנות תשומת הלב לצעדים בהם יכולים ארגונים לנקוט, כדי לשפר את רמת הגנת הסייבר שלהם ואת היערכותם לאירועי סייבר.

בין הצעדים בהם ניתן לנקוט, לשיפור ההיערכות מהזווית המשפטית והרגולטורית:

♦ הכנת תוכנית מגירה ארגונית לאירוע סייבר הכוללת התאמה בין המונחים הטכנולוגיים (כדוגמת המושג "אירוע סייבר") ובין הדרישות הרגולטוריות הרלוונטיות לארגון. תוכנית זו נכון שתכלול דרישות רגולטוריות, כולל היבטים הנוגעים להעברת דיווחים לרשויות (לדוגמא: הרשות להגנת הפרטיות, רשות שוק ההון וכיו"ב), והכל בהתאמה למגזר הרלוונטי ולמאפייני הארגון.

♦ באסטרטגיית הגנת הסייבר הארגונית-עסקית בשגרה, יש לשלב את הדרישות הרגולטוריות הרלוונטיות לארגון, וכן בקרות המאפשרות ניהול סיכונים משפטי וצמצום החשיפה המשפטית.

♦ יש למפות מראש היבטים משפטיים להם יש לתת את הדעת בקרות אירוע סייבר בארגון, לרבות בהתייחס למחויבויות ללקוחות ולספקים מסוגים שונים ולהסכמים עימם.

♦ שרשרת האספקה לארגון היא אחת מנקודות התורפה שראוי לתת להן מענה ככל הניתן מבעוד מועד, ולצמצם סיכונים מראש במידת האפשר. בהסכמי ארגונים עם ספקים, בהם הדבר רלוונטי, חשוב להבטיח דרישות מוקדמות הנוגעות להגנת סייבר (ובפרט ביחס לעמידתו של הספק בסטנדרטים מינימליים להגנת סייבר), ולממשק הנוגע לדיווחים ולהתנהלות בקרות אירוע סייבר אצל הספק (לדוגמא: יש לשקול מחויבות הספק לעדכן את הארגון על אירוע סייבר משמעותי שאירע אצלו).

יוזכר, כי לפני חודשים ספורים, פרסמה הרשות להגנת הפרטיות (להלן – הרשות) דגשים לאבטחת מידע בחברות וארגונים והמלצות לציבור בעקבות אירוע אבטחת מידע חמור בחברת שירביט.הרשות הדגישה את חשיבות ההגנה על מידע אישי וקראה לכל גורם במשק המנהל או מחזיק מאגר מידע לוודא עמידה בהוראות תקנות הגנת הפרטיות (אבטחת מידע) ולקיים את דרישות אבטחת המידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע בארגון, תוך הדגשת המחויבות של חברות מכלל מגזרי המשק להגן על מידע אישי אודות לקוחות המצוי אצלן. להודעה המלאה של הרשות להגנת הפרטיות לחצו כאן

כתמיד, אנו עומדים לרשותכם ונשמח לסייע במתן ייעוץ משפטי, על מכלול ההיבטים המשפטיים הכרוכים בנושא, כל ארגון לפי צרכיו.