מאמר בגלובס: אבטחת מידע ברשת - מתי בישראל?
חברות בישראל לא נערכו כראוי לחוקי הגנת הפרטיות
*** מאמר מאת עו"ד עודד ישראלי, פורסם במקור בגלובס 31/10/2018 ***
צילום: Shutterstock / א.ס.א.פ קרייטיב (לגלובס)
הרשת סערה בשבועות האחרונים סביב פרצת האבטחה שהתגלתה בפייסבוק והעמידה בסכנה את פרטיותם של מיליוני משתמשים, ומייד לאחריה פרצת אבטחה שחשפה גוגל בשירות גוגל פלוס. הפרצות חושפות את פייסבוק וגוגל לקנסות אדירים בהתאם לחוקי הגנת המידע החדשים באירופה, ה-GDPR, שנכנסו לתוקפם במאי האחרון. מנהלים בישראל סבורים אולי שמדובר בבעיה רחוקה של חברות הענק האמריקאיות, אך בפועל מדובר בבעיה כמעט ודאית של כל חברת טכנולוגיה, שמעטות החברות בישראל שערוכות להתמודד איתה.
חוקי הגנת המידע החדשים באירופה חלים על כל חברה בעולם ששומרת נתונים אישיים של אזרחי האיחוד האירופי. החברה שלך מנהלת מאגר מידע של לקוחות באירופה? האפליקציה שלך אוספת מידע אישי של משתמשים בעולם? מספק שירות דיגיטלי ששומר תמונות, אחת מהן במקרה של תושבת האיחוד האירופי? כן כן, גם החברה שלך כפופה ל-GDPR.
כל מנהל בחברות תוכנה יודע שפריצות למאגרי מידע וכשלים באבטחת מידע הם עניין שבשגרה. על אף השימוש הרב באמצעי אבטחה, האקרים עדיין פורצים וטעויות אנוש יוצרות פרצות, שיש לדווח גם עליהן. לכן, כמעט כל חברה טכנולוגיה תמצא את עצמה, מתי שהוא, עומדת בפני הצורך להודיע לרשויות באירופה על פריצה למאגרי מידע אישי.
מעבר להודעה על הפריצה, הצרות הגדולות הן ההשלכות שבמתן הודעה כזו. אז, יבחנו הרשויות בקפידה האם החברה עומדת בכלל הוראות ה-GDPR. ההוראות הן רבות מאוד ועוסקות בזכויות האנשים שפרטיהם נשמרים, בחובות החברות שהמידע בידיהן, בבעלי תפקידים ותהליכים בארגון, ועוד. הקנסות על הפרת ההוראות עשויים להגיע ל-20 מיליון אירו או 4% מההכנסות השנתיות של החברה, ובנוסף החברה עשויה להיתבע בנזיקין על-ידי האנשים שנעשה שימוש בפרטיהם.
כך, הודעה אחת על פרצת אבטחה עלולה להכניס חברת טכנולוגיה ישראלית לסחרחורת שתעלה לה בזמן רב של עורכי דין בארץ ובחו"ל, בעלויות פיתוח ואבטחה בלתי מתוכננות, ויתכן גם בהון עתק בקנסות.
בפייסבוק וגוגל עובדים אלפי מהנדסים והמומחים הגדולים בעולם לאבטחת מידע. החברות פעלו רבות כדי לעמוד בהוראות ה-GDPR, והנה עדיין הן עומדת בפני מספר תביעות ענק בגין הפרתן. מכיוון שענקיות האינטרנט מחזיקות אוצר של מידע אישי רגיש, והן בעלות כיסים עמוקים, רשויות הגנת המידע וערוצי החדשות יתמקדו בהן קודם. אך הסיפור האמיתי הוא שפרצות אבטחה ואי-עמידה בהוראות החוק האירופי מסכנים כל חברת טכנולוגיה.
חברות הטכנולוגיה הישראליות, קטנות כגדולות, פונות כמעט כולן לשוק הבינלאומי ואוספות מידע אישי של משתמשים ברחבי העולם. כמעצמה טכנולוגית בתחומי הפרסום הדיגיטלי, הפיננסים, הטלקום והבינה המלאכותית, המידע שנאסף בידי חברות ישראליות הוא עצום בהיקפו. באותה עת, מנטליות ה"לי זה לא יקרה" ו"כשנגיע לגשר נעבור אותו", מביאה חברות רבות להתעלם מהסיכון הכמעט-ודאי של הוראות החוק החדש. סקרים בחו"ל מעריכים כי כ-90% מהחברות אינן עומדות בהוראות ה-GDPR, ולהערכתי, המספר אף גבוה יותר בארץ. זה רק עניין של זמן עד שגם חברות ישראליות יהיו בכותרות, ותחת עיניהן הבוחנות של רשויות הגנת המידע והפרטיות באירופה.