על רקע הלחימה בימים אלה, מצאנו מקום להפנות תשומת הלב לצעדים בהם יכולים ארגונים לנקוט, כדי לשפר את רמת הגנת הסייבר שלהם ואת היערכותם לאירועי סייבר. חלק משמעותי מצעדים אלה אף מחויב רגולטורית, בהתאם לסוג המידע המעובד על ידי הארגון, לאור תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017 (להלן – תקנות אבטחת מידע).
בין הצעדים בהם ניתן לנקוט, לשיפור ההיערכות מהזווית המשפטית והרגולטורית, ולצמצום החשיפה המשפטית (הכל כמובן בהתאמה למגזר הרלוונטי ולמאפייני הארגון):
הכנה או רענון של נוהל מגירה ארגוני לאירוע סייבר הכולל בין היתר:
– מימשל תאגידי מתאים לניהול אירועי סייבר, לרבות: חלוקת תחומי אחריות בין בעלי התפקידים הרלוונטיים בארגון; ערוצי דיווח בין הגורמים הטכנולוגיים לבין הגורמים העסקיים והנהלת החברה; וקביעת אופן ניהול המשבר בארגון.
– התאמה בין המונחים הטכנולוגיים-אבטחתיים (כדוגמת המושג "אירוע סייבר") ובין הדרישות הרגולטוריות הרלוונטיות לארגון;
– התייחסות לחובות הדיווח ולממשקים מול רשויות ורגולטורים (לדוגמא: הרשות להגנת הפרטיות, רשות שוק ההון וכיו"ב);
– מענה לחשיפות משפטיות פוטנציאליות של הארגון – יש למפות מראש היבטים משפטיים להם נדרש לתת את הדעת בקרות אירוע סייבר בארגון, לרבות בהתייחס למחויבויות ללקוחות ולספקים מסוגים שונים ולהסכמים עימם.
בנהלי ובתוכנית הגנת הסייבר הארגונית – עסקית בשגרה – חשוב להסדיר בין היתר:
– ציות לתקנות אבטחת המידע הרלוונטיות לארגון.
– ציות לרגולציית אבטחת מידע וסייבר נוספת ככל שחלה על הארגון (לדוגמא רגולציה מגזרית);
– מימשל תאגידי מתאים לניהול סיכוני סייבר, לרבות: חלוקת תחומי אחריות בין בעלי התפקידים הרלוונטיים בארגון, ערוצי דיווח בין הגורמים הטכנולוגיים לבין הגורמים העסקיים והנהלת החברה, ומנגנוני בקרה הולמים כחלק ממימשל תאגידי.
– בהקשר זה חשוב להזכיר גם את תפקידו של הדירקטוריון בקשר לפיקוח על סיכוני סייבר, וזאת אף בהתייחס לתקנות אבטחת המידע, בהתאם להנחיית הרשות להגנת הפרטיות 1/24 מהשנה האחרונה.
שרשרת האספקה לארגון היא אחת מנקודות התורפה שראוי לתת להן מענה ככל הניתן מבעוד מועד, ולצמצם סיכונים מראש במידת האפשר. בהסכמי ארגונים עם ספקים, חשוב להבטיח דרישות מוקדמות הנוגעות להגנת סייבר, ציות לדרישות לפי תקנות אבטחת מידע ולרגולציה נוספת ככל שחלה על הארגון, והסדרת הממשק בקשר לדיווחים ולאופן ההתנהלות בקרות אירוע סייבר אצל הספק (לדוגמא: מחויבות הספק לעדכן את הארגון על אירוע הנוגע למידע הלקוח או על אירוע סייבר משמעותי אחר שאירע אצלו).