השעה 11 בלילה. איש ה-IT שלכם מתקשר: "גיליתי שמישהו גישה לבסיס הנתונים. אני לא יודע עדיין כמה זמן הם היו שם." מה עושים עכשיו?
שאלה זו מכריעה — לא רק מבחינה טכנית, אלא משפטית. חברות שמתנהלות נכון ב-72 השעות הראשונות יוצאות מהאירוע עם נזק מצומצם ומוניטין שלם. חברות שמהססות, מכחישות, או מחכות לייעוץ משפטי "נוח" — משלמות על כך שנים.
מה מחייב דיווח בישראל?
תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, מחייבות דיווח לרשות הגנת הפרטיות ⚠️ בתוך 72 שעות, כשמדובר במאגר מידע ברמת אבטחה בינונית או גבוהה שחווה "אירוע אבטחה" — פריצה, גניבת נתונים, או חשיפה בלתי מורשית. חוק הגנת הפרטיות תשמ"א-1981 מטיל חובת הגנה כללית על כל מאגר מידע.
אם החברה שלכם מנהלת נתוני לקוחות, עובדים, או מידע רגיש אחר — סביר מאוד שחלה עליה חובת דיווח. אל תניחו שאתם "קטנים מכדי שיתעניינו" — הרשות מקבלת ומחקרת תלונות על חברות מכל הגדלים.
הטיימליין: שעה אחרי שעה
שעות 0–2: עצירה ותיעוד
הפעולה הראשונה היא לא ליצור קשר עם הלקוחות ולא להתקשר לעיתונות — אלא לעצור את הדלף. נתקו את המערכת שנפרצה מהרשת אם אפשר. הפעילו גיבוי. תעדו בדיוק מה גיליתם, מתי, ומי גילה. כל הודעה ותיעוד שנשמרים מעכשיו הם ראיות — לטוב ולרע.
שעות 2–24: הבנת היקף הנזק
בעזרת איש IT או חברת אבטחת מידע חיצונית: אילו נתונים נחשפו? של כמה אנשים? כמה זמן הייתה הגישה הבלתי מורשית? האם הנתונים הועתקו או רק נצפו? ענו על שאלות אלה לפני שמדווחים — כי הדיווח לרשות צריך לכלול מידע ספציפי.
שעות 24–72: דיווח לרשות ולנפגעים
הגישו דיווח לרשות הגנת הפרטיות עם: תיאור האירוע, סוג הנתונים שנחשפו, מספר האנשים שנפגעו (גם אם הערכה), הצעדים שנקטתם, ואנשי קשר לתיאום. במקביל — שלחו הודעה לנפגעים עצמם.
לאחר 72 שעות: ניהול המשבר
המשיכו לשתף פעולה עם הרשות, בצעו חקירה פנימית מסודרת, הגישו עדכונים לפי דרישה. אם מדובר בפשע סייבר — תלמו גם במשטרה.
מה לכלול בהודעה לנפגעים
ההודעה לאנשים שנתוניהם נחשפו צריכה להיות ברורה, כנה, ומכבדת את האדם שמקבל אותה. לא תירוצים, לא עגה משפטית. הכלילו: מה קרה (בפשטות), אילו נתונים שלהם נחשפו, מה עלול להיות הסיכון להם, מה הם יכולים לעשות כדי להגן על עצמם (כמו לעקוב אחרי חשבון הבנק, לשנות סיסמאות), ומי לפנות לשאלות.
הודעה שמגיעה מוקדם ומכבדת את האדם — תמיד עדיפה על הכחשה שאחריה חשיפה בתקשורת.
מה קורה לחברות שלא דיווחו?
חוק הגנת הפרטיות מאפשר הטלת קנסות על חברות שלא עמדו בחובות האבטחה והדיווח. מעבר לכך, כשדליפה מתגלה בדיעבד — בין אם דרך תקשורת, דרך קורבן שתובע, או דרך חוקר אבטחה שמפרסם — הנזק למוניטין כפול: גם בגין הדליפה עצמה, וגם בגין ההסתרה. משרדים עורכי דין הגישו תביעות ייצוגיות נגד חברות ישראליות בגין דליפות מידע שלא טופלו כנדרש.
לאחר המשבר: לא לחזור לשגרה ישירות
לאחר שהאירוע מטופל, עשו חקירת שורש (Root Cause Analysis). מה אפשר את הפריצה? היה זה סיסמה חלשה? עובד שלחץ על קישור פישינג? תוכנה שלא עודכנה? כל אחת מהתשובות מייצרת שינוי תפעולי ספציפי — לא רק "נחזק את האבטחה" כהצהרה כללית.
קראו גם:
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: הכינו ללקוחות שלכם Incident Response Plan לפני שמתרחשת דליפה. כשמגיע האירוע — ה-IRP הוא ההבדל בין לקוח שמתנהל מסודר לבין לקוח שמקבל החלטות בפאניקה בשעה 2 בלילה. הרשות להגנת הפרטיות מתייחסת בחיוב לארגונים שפועלים לפי נוהל מתועד.
- עילות חשיפה: אחריות ישירה בגין הפרת תקנות אבטחת מידע תשע"ז-2017, ואחריות עקיפה כלפי נפגעים שנזקם (עיוות זהות, נזק כלכלי) נובע מהדליפה — שתיהן עמדות לעמוד בפני בית משפט בישראל.
- טעות נפוצה: המתנה לאישור עורך דין לפני שליחת הדיווח לרשות. שעון ה-72 שעות מתחיל ברגע הגילוי — לא ברגע שנוח לכם. דיווח מוקדם ולא מלא לחלוטין עדיף על דיווח מאוחר ומושלם.
- נקודה טקטית: בעת ניסוח ה-IRP, הכניסו סעיף מפורש שקובע מי מוסמך להחליט על דיווח לרשות (בדרך כלל CEO + יועמ"ש), ומי מוסמך לתקשר עם הציבור. ריבוי מוקדי החלטה בזמן משבר הוא הגורם העיקרי לבעיות.