חובות חוקיות בנושא אבטחת סייבר בישראל
חוק הנתונים האישיים, התש״ם-1981, קבע את הדרישות היסודיות לגוף מחזיק מידע. סעיף 2 לחוק קובע כי כל בעל מאגר מידע חייב לנקוט אמצעים סבירים לשמור על נתונים מפני גנבה, הפסד, או שימוש לא מורשה. אין בחוק הגדרה מפורשת של "אמצעים סבירים", מה שמאפשר פרשנות גמישה לפי הנסיבות — תוך בחינת גודל הגוף, סוג המידע, וההשקעה בפועל בביטחון.
צו הגנת הצרכן (עיסוקים בביטחון מידע), התשפ״א-2021, הטיל חובות נוספות על עסקים הטוענים להציע שירותי אבטחה דיגיטלית. הצו דורש הצהרה ברורה לקצינות צרכנות בנוגע לרמת ההגנה המסופקת, סוג הצפנה, ותוקף הגיבוי. הפרה של הצו עלולה להוביל לקנס של עד 100,000 שקל עבור כל הפרה, בנוסף לתביעות של צרכנים שנפגעו.
תקנות הגנת הפרטיות והנתונים האישיים (חובת הסודיות), התשפ״א-2021, קובעות כי כל עובד, קבלן או צד שלישי בעל גישה למידע אישי חייב לחתום על הצהרת סודיות. הצהרה זו צריכה לכלול את הערות המעסיק על איסור העברה של נתונים לצדדים שלישיים ללא הסכמה מפורשת. בעל המאגר אחראי לכל הפרה של סודיות אפילו אם בעל הגישה הוא קבלן בלתי תלוי — משום שהחוק מטיל את הטענת האחריות על בעל המאגר.
התקנות לשיפור כושר אבטחת מידע בתשתיות קריטיות של מדינת ישראל, התשפ״ב-2022, הטילו דרישות קשוטות על בעלי תשתיות קריטיות כמו בנקים, חברות אנרגיה, ותקשורת. הדרישות כוללות: ביקורות אבטחה שנתיות, דיווח מהיר על כל הפרה, קיום צוות בטחוני בעל הכשרה, וביטוח על בסיס עודכן. גופים אלה חייבים להקים "מרכז ניטור ותגובה" להתקפות סייבר (SOC).
תקן ISO 27001 והכשרות בינלאומיות
תקן ISO/IEC 27001 הוא תקן בינלאומי המפרט דרישות מערכת ניהול אבטחת מידע (ISMS). בישראל, תקן זה אומץ כתקן ישראלי (ת״י 8000) והוא משמש כמדדי מקצועי בבתי משפט. אם גוף מחזיק בסמכת ISO 27001, זה מהווה ראיה חזקה בעיני בית משפט שהוא נקט אמצעים סבירים לשמירת אבטחה — וזה משפיע משמעותית על הסדר קנס בכל תביעה שתוגש נגדו.
התקן דורש מדיניות אבטחה כתובה הכוללת: סיווג מידע לרמות סודיות שונות, בקרת גישה מבוססת תפקידים (RBAC), הצפנה של מידע רגיש, ניהול מחזוריות של סיסמאות, בדיקות חדירה שנתיות, ותוכנית הסקה חירום. תיעוד זה צריך להישמר למשך שלוש שנים עלי פחות כדי להוכיח יישום.
חברות בעלות מעל 250 עובדים או שתחזיקות בנתוני אתרים, בריאות, או פיננסיים מומלץ בחוזקה להשתקע בהכשרת ISO 27001. עלות ההכשרה (בדרך כלל 80,000-300,000 שקל) משתלמת בהפחתת סיכון ובאפשרות להתחרות בחברות גדולות המדברות בשפה של בטחון בינלאומי.
דרישות דיווח והודעה על הפרות נתונים
תקנות הגנת הפרטיות והנתונים האישיים (דיווח על הפרות), התשפ״א-2021, קובעות שכל הפרה סבירה של נתונים אישיים חייבת להיות מדווחת לבעל הרישות של מידע — כלומר לפרט או לגוף שמידע שלהם נפגע — בחביון עד 72 שעות מהגילוי של ההפרה. דיווח מאחר יותר עולה בעיות משפטיות חמורות.
הדיווח חייב להכיל: תיאור מלא של סוג ההפרה (דלף, גנבה, שיבוש), מספר רובות של אנשים שהושפעו (אם ניתן), סוג המידע שנחשף (שם, תעודת זהות, מספר חשבון בנק וכו׳), פרטי הנוגע להתקפה אם ידוע, וצעדים שנלקחו להגן על נתונים עתידיים. בנוסף, יש להודיע לפקיד הגנת הנתונים של משרד המשפטים כשמדובר בהפרה שעלולה להציב סיכון גבוה לזכויות של אדם.
דיווח בלתי אמת או חלקי עלול להוביל לקנס של עד 1,000,000 שקל בנוסף לתביעות נפרדות מנפגעים. בחברות גדולות, חובה להקים רישום מרכזי של כל הפרה, גם אם קטנה, כדי להוכיח עמידה בדרישות הדיווח.
חובות עובדים והדרכה בטחונית
סעיף 8 של חוק עבודת נשים, התשי״ד-1954, וחוקי עבודה כלליים בישראל מטילים אחריות על המעסיק לאומן את העובדים בנושאים של בטחון מידע המשפיעים על עבודתם. בהקשר של אבטחת סייבר, זה כולל: הכרה בתקיפות דיוג (phishing), מדיניות סיסמאות חזקות, יצירת סביבה בטוחה להדיווח על תקריות חשודות, ושימוש נכון במערכות הצפנה.
תקנות בטיחות בעבודה (בריאות וביטחון) קובעות את זכות העובד לבטחון פיזי ונפשי. עובד שחוש שמערכות בטחון ארגוני חלשות או שהוא חושש מפני דליפת מידע רגיש יכול להגיש תלונה למפקח עבודה. בנוסף, עובד שנפטר בשל התריעו על ליקויי בטחון מידע רשאי להגיש תביעת פיטורים שלא כדין.
מומלץ לחברות לקיים הדרכה שנתית חובה בנושא אבטחת סייבר, דיוג מדומה תקופתית (שבה החברה שולחת דוא״ל מעודכן להנעה עובדים ובוחנת התנהגות), ותוכנית חיזוק מודעות (cyber awareness program). תיעוד ההשתתפות בהדרכות צריך להישמר כדי להוכיח שהחברה פעלה בהגינות וביעילות בטיפול בסיכונים.
אחריות מנהלית ופלילית
חוק העונשין, התשל״ז-1977, סעיפים 336-337, קובע כי גנבת מידע או הפרה של סודות המהווה קניין מידע מהווה עבירה פלילית. אם מנהל חברה או אחראי IT מפקידים מידע לאדם שלא מורשה, או מניחים לכם גישה לא מפוקחת, הם עלולים להיתבע פלילית בנוסף לתביעה אזרחית מהחברה.
בעניין עבירות מחשב, חוק עבירות המחשב, התשמ״ג-1986, סעיף 4, קובע כי גישה לא מורשית למחשב או לנתונים במחשב היא עבירה. אם הגנת סייבר של חברה כל כך חלשה שאפשר לחדור אליה בקלות, אחריות קרימינלית יכולה להטיל על גם מנהלים אינדיבידואלים, לא רק על התאגיד עצמו.
בנושא מידע רגיש כמו נתוני בריאות או פיננסים, העונש עלול להיות קשוח יותר. פרקליט המדינה הנחה כללים בשנת 2019 לגבי קדימויות בהגשת כתבי אישום במקרים של הפרות סייבר — ראשיות לחברות שלא נקטו אמצעים סבירים או שהסתירו הפרות.
דרישות ביטוח ובעלי מקום עבודה
בעלי תשתיות קריטיות וחברות בעלות נתוני אתרים רגישים חייבות לקחת ביטוח סייבר המכסה הפרות נתונים, התקפות ransomware, והשבתות של מערכות. הביטוח צריך לכסות: שיחזור נתונים, ביול ראשוני של ההפרה, דיווח משפטי, וקנסות רגולטוריים.
חברות גדולות (יותר מ-200 עובדים) צריכות לקיים פוליסת ביטוח מינימלית של 500,000 שקל. חברות בגודל בינוני צריכות לפחות 200,000 שקל. פוליסה זו משמשת גם כבחינה של "מבחן הסבירות" בחזון רגולטורי — אם חברה לא רואה את עצמה בהסיכון מספיק גבוה כדי לקנות ביטוח, היא כנראה לא נקטה אמצעים סבירים.
בדיקות חדירה ותוכנית תגובה לשברים
קדימות משרד הביטחון לתשתיות קריטיות דורשות בדיקות חדירה (penetration tests) לפחות פעמיים בשנה. בדיקה זו היא בדיקה של צריך חברה מסייברית להנסות לחדור למערכות הייזום כדי למצוא חולשות. התוצאות צריכות להישמר תיעוד ובחברה צריכה לתקן את כל הליקויים שנמצאו בתוך 30 יום.
בנוסף, כל ארגון צריך להחזיק תוכנית תגובה ב"חירום סייבר" (Incident Response Plan). התוכנית צריכה לכלול: שלבים ראשיים בזיהוי ותיעוד הטמון, צעדים בהעצרת ההפרה, התחשבות בדיווח רגולטורי, וצעדים בהחזרת מערכות לפעילות. צוות שכזה צריך להתרגל קטע בחודשים כדי שכולם יודעים את תפקידם.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: DPA צריך לכלול מדדי ביטחון ברמה ספציפית. בדוק שה-DPA עם בעלי עניין כוללים ISO 27001 compliance ו-breach notification terms.
- פסיקה רלבנטית: קיימת פסיקה בנושא עירעור על קנסות סייבר תחת חוק הגנת הפרטיות.
- טעות נפוצה: הנחה שמחויבות סייבר חלות רק על חברות טכנולוגיה. זה שגוי — כל עסק המטפל בנתונים חייב להתאים.
- נקודה טקטית: תכניות תגובת חירום מתועדות היטב יכולות להיחשב "mitigating factor" בהוצאת קנסות.