דיווח בזמן אמת על אירוע אבטחת מידע חמור
הרשות להגנת הפרטיות פרסמה לאחרונה כי בעל מאגר מידע ברמת אבטחה בינונית או גבוהה יידרש לספק דיווח לרשות על אירוע אבטחת מידע חמור ועל הצעדים בהם נקט בעל המאגר בכדי לטפל באירוע באופן מיידי, וזאת בתוך טווח זמנים של עד 24 שעות ממועד היוודע האירוע.
מדובר בשינוי בהתייחסות הרשות לזמן הדיווח הנדרש מבעל מאגר מידע ברמת אבטחה בינונית או גבוהה כאשר מתרחש אירוע אבטחה חמור במאגר המידע, ולפרשנות שלה לדרישת התקנות לדווח על אירוע אבטחת מידע באופן מיידי. מאז כניסת התקנות לתוקף במאי 2018, כל מי שאוסף מידע בישראל נדרש לקבוע את רמת האבטחה של המאגר, ועל בעלי מאגרי אבטחת מידע ברמת אבטחה בינונית וגבוהה הוטלה החובה לדווח באופן מידי לרשות הגנת הפרטיות על אירוע אבטחה חמור.
בהתאם לפרשנות החדשה, בעל מאגר מידע ברמת אבטחה בינונית או גבוהה יידרש לדווח על האירוע ועל הצעדים אשר נקט תוך 24 שעות ממועד היוודע האירוע. זאת, בניגוד לטווח הזמנים עליו המליצה הרשות בעבר, אשר עמד על דיווח תוך 24 שעות ממועד הגילוי של קרות אירוע האבטחה החמור ולא מאוחר מ-72 שעות מהאירוע.
צמצום חלון הזמנים לדיווח מגיע על רקע ריבוי של אירועי אבטחה חמורים, בארץ ובעולם.
השלכות מעשיות של העמדה
חובת הדיווח על אירוע קיימת למנהל המאגר ולמחזיק במאגר בנפרד, אך דיווח של אחד הגורמים המצוינים (בעל, מחזיק או מנהל המאגר) מספיק כדי לעמוד בחבות הדיווח עבור שלושת הגורמים גם יחד
נוכח הפרשנות הרחבה של הרשות לביטוי "אירוע אבטחת מידע", הכולל גם נסיבות של חשש לפגיעה במידע ולא רק פגיעה בפועל, ישנה חובת דיווח מידית גם במקרה של חשש לאירוע אבטחה, ולא רק באירוע מוכח.
טופס הדיווח של הרשות שונה אף הוא. הטופס החדש כולל פרטים רבים שיש למלא, כמו דיווח על מיקום השרתים בהם היה מאוחסן, קיומו של כיסוי ביטוחי לאירוע, מספרם וזהותם של בעלי הגישה למידע ועוד.
על רקע הפרשנות החדשה, חשוב שחברות המחזיקות מאגרי מידע ייבחנו לעומק את החוזים וההסכמים עליהן הן חתומות בהקשר של אבטחת מידע וייערכו מבעוד מועד לאירוע אבטחה, הן מבחינת הטמעת נהלים העומדים בקנה אחד עם התקנות המסדירות את אבטחת המידע, הן מבחינת המלצות הרשות בנוגע לדיווח.
***
מחלקת הרגולציה במשרד עורכי דין ברנע ג'פה לנדה זמינה לכל שאלה בקשר דיווח על אירוע אבטח מידע ובסוגיות אחרות של פרטיות אבטחת מידע.