© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

איומי סייבר – צעדי מנע והתאוששות

איומי סייבר - צעדי מנע והתאוששות

הנושא החם היום הוא ה-GDPR, הרגולציה החדשה לאבטחת המידע באיחוד האירופי General Data Protection Regulation. אולם, נדרש הרבה מעבר לציות ל-GDPR לשם הגנת הפרטיות ואבטחת המידע מפני איומי סייבר.

ראשית נבהיר כי בעוד ציות ל-GDPR יכול למנוע קנסות כבדים (20 מיליון יורו או עד 4% ממחזור המכירות הגלובלי), הוא אינו מגן על הארגון שלך מפני מתקפות סייבר.

 

כשבאים לנתח אירוע סייבר כלשהו, יש להתמקד במספר עקרונות:

 

הראשון הוא משטר הגנת הפרטיות ואבטחת המידע שהונהג טרם פרצת האבטחה. תנאי זה כולל, מן הסתם, הקפדה על ציות ל-GDPR ולכל רגולציה רלוונטית בתחום שיפוט אחר, אבל גם יישום נוהגים מיטביים בתעשייה (industry best practices), כגון הקפדה על עדכון מתמיד של מערכות חומת האש (firewalls) ושל תוכנות האנטי-וירוס.

 

עם זאת, ההאקרים משתכללים. למרות המאמצים הקדחתניים להשיג קפיצת מדרגה ביכולות טכנולוגיות, כמעט ולא קיימת דרגת היערכות המסוגלת לספק הגנה מלאה מפני איומי סייבר. כך ארגונים מתמודדים חדשות לבקרים עם איומי סייבר וניסיונות חדירה למערכות הארגון לשם השגת מידע אישי.

לכן, יתכן והעקרון השני, היערכות לאחר פרצת אבטחה, הוא עקרון לא פחות קריטי, הן מבחינת המשכיות עסקית והן מבחינת מזעור הנזקים והחשיפה לתביעות.

 

נראה כי הלחץ שלפני החלת ה-GDPR גרם לחברות להתמקד רק ביישום "רשימת התיוג" הרגולטורית. אך לעיתים התעסקות זו באה על חשבון תשומת הלב המתבקשת לעניין השאלה החשובה לא פחות: מה קורה אם אתה מותקף?

 

במידה והארגון שלך נופל קורבן למתקפת סייבר, אתה תשאל את עצמך שתי שאלות.

ראשית: האם עשיתי את כל הנדרש מבחינת ציות כדי למנוע חשיפה לקנסות רגולטוריים?

השאלה השניה: מה אני יכול לעשות עכשיו כדי לוודא המשכיות עסקית ולהתאושש ולהחזיר את הארגון שלי לפעילות תקינה בהקדם האפשרי?

בסופו של דבר, ציות ל-GDPR בהחלט יסייע לארגון שלך להתגונן מפני הרגולטור ותובעים פוטנציאלים, אבל עדיין, לא קיים מנגנון אבטחה חסין תקלות והנזק ממתקפת סייבר לא מסתכם רק בקנס רגולטורי.

 

אם למדנו דבר משנת 2017, הוא שבכל הקשור לפרצות מאגרי מידע – כולנו חשופים לסכנה. מעל 50% מהעסקים בארה"ב חוו מתקפת סייבר במהלך שנת 2017, וקרוב לשני מיליארד פרטי מידע נאבדו או נגנבו. מסיבה זו, מאוד מומלץ להניח כי העסק שלך יתמודד עם מתקפת סייבר ביום מן הימים.

 

מתקפת סייבר – איך אפשר להתכונן למצב הבלתי נמנע?

 

להלן כמה צעדים פשוטים שיש לבצע בארגון:

 

(1) תקדיש חלק מהתקציב שלך ל-IT ולאבטחת מידע;

(2) יש למנות ממונה על נושאי הגנת הפרטיות, פיתוח אבטחת מידע ועל ציות רגולטורי כחלק מתחומי האחריות של המשרה;

(3) תקים צוות ייעודי לתגובה מהירה ותגבש תוכנית תגובה לפרצות אבטחת מידע;

(4) תעסיק יועץ משפטי המתמחה בתחום;

(5) תתייעץ עם מומחים בחקירות סייבר (cyber forensics), בניהול סיכונים, בהתאוששות מאסון ומומחים אחרים;

(6) תגבש, ביחד עם יועצים משפטיים ואנשי ה-HR, מדיניות ונוהל לאבטחת המידע ולהגנת הפרטיות;

(7) תפתח תבניות וכלים לאבטחת מידע לשימוש העובדים, הספקים וצדדים שלישיים כגון שותפים עסקיים;

(8) תרכוש פוליסת ביטוח סייבר;

(9) תכין תבניות של הודעות ותבצע תרגולים עם צוותי יחסי הציבור והתקשורת כדי להכין אותם לקראת היום שיבוא.

 

אם תבצע את כל זה, העסק שלך יהיה במצב טוב יותר מאשר רק בהסתמכות על ציות ל-GDPR.

 

Source: barlaw.co.il