אילו חוקים מחייבים עסקים בתחום הסייבר?
⚠️ שימו לב: הגוף המרכזי הוא "חוק הגנת הפרטיות, התשמ"א-1981" — לא "חוק הנתונים האישיים". המחוקק קבע כי כל בעל מאגר מידע חייב לנקוט "אמצעים סבירים" לשמירה על נתונים מפני גנבה, אובדן, או שימוש לא מורשה. מה זה אומר בפועל? שאין רשימה ממצה — בית המשפט בוחן לפי הנסיבות: גודל הגוף, רגישות המידע, ועלות ההגנה.
צו הגנת הצרכן (עיסוקים בביטחון מידע), התשפ״א-2021, הטיל חובות נוספות על עסקים הטוענים להציע שירותי אבטחה דיגיטלית. הצו דורש הצהרה ברורה לקצינות צרכנות בנוגע לרמת ההגנה המסופקת, סוג הצפנה, ותוקף הגיבוי. הפרה של הצו עלולה להוביל לקנס של עד 100,000 שקל עבור כל הפרה, בנוסף לתביעות של צרכנים שנפגעו.
תקנות הגנת הפרטיות והנתונים האישיים (חובת הסודיות), התשפ״א-2021, קובעות כי כל עובד, קבלן או צד שלישי בעל גישה למידע אישי חייב לחתום על הצהרת סודיות. הצהרה זו צריכה לכלול את הערות המעסיק על איסור העברה של נתונים לצדדים שלישיים ללא הסכמה מפורשת. בעל המאגר אחראי לכל הפרה של סודיות אפילו אם בעל הגישה הוא קבלן בלתי תלוי — משום שהחוק מטיל את הטענת האחריות על בעל המאגר.
התקנות לשיפור כושר אבטחת מידע בתשתיות קריטיות של מדינת ישראל, התשפ״ב-2022, הטילו דרישות קשוטות על בעלי תשתיות קריטיות כמו בנקים, חברות אנרגיה, ותקשורת. הדרישות כוללות: ביקורות אבטחה שנתיות, דיווח מהיר על כל הפרה, קיום צוות בטחוני בעל הכשרה, וביטוח על בסיס עודכן. גופים אלה חייבים להקים "מרכז ניטור ותגובה" להתקפות סייבר (SOC).
תקן ISO 27001 והכשרות בינלאומיות
תקן ISO/IEC 27001 הוא תקן בינלאומי המפרט דרישות מערכת ניהול אבטחת מידע (ISMS). בישראל, תקן זה אומץ כתקן ישראלי (ת״י 8000) והוא משמש כמדדי מקצועי בבתי משפט. אם גוף מחזיק בסמכת ISO 27001, זה מהווה ראיה חזקה בעיני בית משפט שהוא נקט אמצעים סבירים לשמירת אבטחה — וזה משפיע משמעותית על הסדר קנס בכל תביעה שתוגש נגדו.
התקן דורש מדיניות אבטחה כתובה הכוללת: סיווג מידע לרמות סודיות שונות, בקרת גישה מבוססת תפקידים (RBAC), הצפנה של מידע רגיש, ניהול מחזוריות של סיסמאות, בדיקות חדירה שנתיות, ותוכנית הסקה חירום. תיעוד זה צריך להישמר למשך שלוש שנים עלי פחות כדי להוכיח יישום.
חברות בעלות מעל 250 עובדים או שתחזיקות בנתוני אתרים, בריאות, או פיננסיים מומלץ בחוזקה להשתקע בהכשרת ISO 27001. עלות ההכשרה (בדרך כלל 80,000-300,000 שקל) משתלמת בהפחתת סיכון ובאפשרות להתחרות בחברות גדולות המדברות בשפה של בטחון בינלאומי.
דלפו נתונים — מה אתם חייבים לעשות תוך 72 שעות?
תקנות הגנת הפרטיות והנתונים האישיים (דיווח על הפרות), התשפ״א-2021, קובעות שכל הפרה סבירה של נתונים אישיים חייבת להיות מדווחת לבעל הרישות של מידע — כלומר לפרט או לגוף שמידע שלהם נפגע — בחביון עד 72 שעות מהגילוי של ההפרה. דיווח מאחר יותר עולה בעיות משפטיות חמורות.
הדיווח חייב להכיל: תיאור מלא של סוג ההפרה (דלף, גנבה, שיבוש), מספר רובות של אנשים שהושפעו (אם ניתן), סוג המידע שנחשף (שם, תעודת זהות, מספר חשבון בנק וכו׳), פרטי הנוגע להתקפה אם ידוע, וצעדים שנלקחו להגן על נתונים עתידיים. בנוסף, יש להודיע לפקיד הגנת הנתונים של משרד המשפטים כשמדובר בהפרה שעלולה להציב סיכון גבוה לזכויות של אדם.
דיווח בלתי אמת או חלקי עלול להוביל לקנס של עד 1,000,000 שקל בנוסף לתביעות נפרדות מנפגעים. בחברות גדולות, חובה להקים רישום מרכזי של כל הפרה, גם אם קטנה, כדי להוכיח עמידה בדרישות הדיווח.
חובות עובדים והדרכה בטחונית
⚠️ חוקי עבודה כלליים בישראל מטילים אחריות על המעסיק לאומן את העובדים בנושאים של בטחון מידע המשפיעים על עבודתם. בהקשר של אבטחת סייבר, זה כולל: הכרה בתקיפות דיוג (phishing), מדיניות סיסמאות חזקות, יצירת סביבה בטוחה להדיווח על תקריות חשודות, ושימוש נכון במערכות הצפנה.
תקנות בטיחות בעבודה (בריאות וביטחון) קובעות את זכות העובד לבטחון פיזי ונפשי. עובד שחוש שמערכות בטחון ארגוני חלשות או שהוא חושש מפני דליפת מידע רגיש יכול להגיש תלונה למפקח עבודה. בנוסף, עובד שנפטר בשל התריעו על ליקויי בטחון מידע רשאי להגיש תביעת פיטורים שלא כדין.
חברות שלא מתעדות את הדרכות הסייבר שלהן מסתכנות כפול: גם בקנס על הפרת חובת ההכשרה, וגם באי-יכולת להוכיח "good faith" אם אכן אירע פרצת מידע. שמרו תיעוד: תאריך ההדרכה, הנושאים, ורשימת משתתפים — זה יכול להיות ההבדל בין קנס של 100,000 שקל לפשרה.
מתי מנהל חברה נושא באחריות פלילית אישית?
חוק העונשין, התשל״ז-1977, סעיפים 336-337, קובע כי גנבת מידע או הפרה של סודות המהווה קניין מידע מהווה עבירה פלילית. אם מנהל חברה או אחראי IT מפקידים מידע לאדם שלא מורשה, או מניחים לכם גישה לא מפוקחת, הם עלולים להיתבע פלילית בנוסף לתביעה אזרחית מהחברה.
בעניין עבירות מחשב, חוק עבירות המחשב, התשמ״ג-1986, סעיף 4, קובע כי גישה לא מורשית למחשב או לנתונים במחשב היא עבירה. אם הגנת סייבר של חברה כל כך חלשה שאפשר לחדור אליה בקלות, אחריות קרימינלית יכולה להטיל על גם מנהלים אינדיבידואלים, לא רק על התאגיד עצמו.
בנושא מידע רגיש כמו נתוני בריאות או פיננסים, העונש עלול להיות קשוח יותר. פרקליט המדינה הנחה כללים בשנת 2019 לגבי קדימויות בהגשת כתבי אישום במקרים של הפרות סייבר — ראשיות לחברות שלא נקטו אמצעים סבירים או שהסתירו הפרות.
איזה ביטוח סייבר נדרש מכם לפי החוק?
בעלי תשתיות קריטיות וחברות בעלות נתוני אתרים רגישים חייבות לקחת ביטוח סייבר המכסה הפרות נתונים, התקפות ransomware, והשבתות של מערכות. הביטוח צריך לכסות: שיחזור נתונים, ביול ראשוני של ההפרה, דיווח משפטי, וקנסות רגולטוריים.
חברות גדולות (יותר מ-200 עובדים) צריכות לקיים פוליסת ביטוח מינימלית של 500,000 שקל. חברות בגודל בינוני צריכות לפחות 200,000 שקל. פוליסה זו משמשת גם כבחינה של "מבחן הסבירות" בחזון רגולטורי — אם חברה לא רואה את עצמה בהסיכון מספיק גבוה כדי לקנות ביטוח, היא כנראה לא נקטה אמצעים סבירים.
בדיקות חדירה ותוכנית תגובה לשברים
קדימות משרד הביטחון לתשתיות קריטיות דורשות בדיקות חדירה (penetration tests) לפחות פעמיים בשנה. בדיקה זו היא בדיקה של צריך חברה מסייברית להנסות לחדור למערכות הייזום כדי למצוא חולשות. התוצאות צריכות להישמר תיעוד ובחברה צריכה לתקן את כל הליקויים שנמצאו בתוך 30 יום.
בנוסף, כל ארגון צריך להחזיק תוכנית תגובה ב"חירום סייבר" (Incident Response Plan). התוכנית צריכה לכלול: שלבים ראשיים בזיהוי ותיעוד הטמון, צעדים בהעצרת ההפרה, התחשבות בדיווח רגולטורי, וצעדים בהחזרת מערכות לפעילות. צוות שכזה צריך להתרגל קטע בחודשים כדי שכולם יודעים את תפקידם.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: DPA צריך לכלול מדדי ביטחון ברמה ספציפית. בדוק שה-DPA עם בעלי עניין כוללים ISO 27001 compliance ו-breach notification terms.
- פסיקה רלבנטית: קיימת פסיקה בנושא עירעור על קנסות סייבר תחת חוק הגנת הפרטיות.
- טעות נפוצה: הנחה שמחויבות סייבר חלות רק על חברות טכנולוגיה. זה שגוי — כל עסק המטפל בנתונים חייב להתאים.
- נקודה טקטית: תכניות תגובת חירום מתועדות היטב יכולות להיחשב "mitigating factor" בהוצאת קנסות.