מאמרים:

שטח פרטי: על הגנת הפרטיות, החוק האירופאי GDPR ודרכי ההתמודדות

08 נובמבר 2017

גלעד ירון , מנהל תחום פרטיות ואבטחת ענן |
בקצרה

 

ההתפתחויות הטכנולוגיות מעצימות את האיומים על הפרטיות שלנו שבעידן המקוון חשופה לשני איומים מרכזיים:

גניבת מידע - פריצה למידע אגור וניצולו לרעה, כפי שקרה לאחרונה לחברות רבות, בהן חברת האשראי האמריקאית Equifax, ממנה נגנבו נתוניהם האישיים 143 מיליון אמריקאים. ניתוח מרבית האירועים מוביל למסקנה שבקרות אבטחת המידע הבסיסיות לא היו יעילות. עם זאת, יישום נכון שלהן טרם המאורע, דיווח מידי ותגובה נכונה בזמן אמת היו כנראה מצמצמים משמעותית את הסיכון.

איסוף ושימוש במידע אישי - הדוגמה הפשוטה היא חברות מסחריות שאוספות נתונים אישיים של לקוחות פוטנציאליים במטרה להפנות אליהם הצעות שיווקיות ממוקדות יותר. אולם השימוש במידע יכול להיות מאיים יותר ולכלול ניתוח ממשי של דפוסי התנהגות ליצירת פרופיל (profiling), קרי כדי לנבא היבטים שונים בהתנהגות ובהעדפות של אדם בהקשרים שונים של חייו. ניתוח כזה עלול לחשוף אותנו גם לאיומים משמעותיים יותר, כמו מעקב או הפללה.  

GDPR: החוק האירופי להגנת הפרטיות

ב-25 במאי 2018 יכנס לתוקף החוק של האיחוד האירופי להגנת הפרטיות GDPR (General Data Protection Rule) העוסק בזכויות בעל המידע והגנתו.

החוק מגדיר מידע פרטי כמידע הנוגע לאדם פרטי (ולא ארגון או תאגיד) ומאפשר לזהות את אותו האדם באופן ישיר או עקיף באמצעות פרט מזהה - שם, מיקום, מספר אישי, מאפיינים פיזיים, כלכליים ומזהים חברתיים-תרבותיים אחרים.

החוק חל על כל ארגון הפועל באיחוד האירופי, מעבד מידע של תושבי האיחוד ו/או מנטר התנהגות של תושבי האיחוד.

בעניין זכויות נושא המידע (האדם עליו נאסף המידע), החוק מגדיר כי על כל מידע פרטי שאינו נדרש מכורח החוק, נדרש על מנת לשמור על האינטרס הציבורי או נשמר בהתאם להסכם חוזי, יש לנושא המידע ארבע זכויות:

  • זכות ההסכמה המחייבת מתן הצהרה מפורשת על הסכמתו של אדם לאיסוף ושמירת המידע עליו, כאשר חלה חובה להציג לו את תכלית איסוף המידע באופן ברור ופשוט. ההסכמה עצמה מתייחסת ומוגבלת לשימוש הספציפי שפורט וניתנת לביטול בכל רגע.
  • זכות גישה למידע שנאסף אודותיו, בכל רגע וללא תשלום.
  • "הזכות להישכח" ולדרוש את מחיקת המידע אודותיו בכל עת.
  • זכות לניוד המידע, קרי לקבלת כל המידע אודותיו והעברתו לגורם אחר.

דרישות חוק GDPR

עוד קובע חוק GDPR, כי על הארגונים להגן על הפרטיות כבר משלב התכנון של השירות/מוצר Privacy by design)) ולאורך כל "חייו". ארגון השולט במידע מחויב לעצב וליישם בקרות תהליכיות וטכנולוגיות להגנת המידע האישי, כאשר ארגון שמעבד את המידע נדרש להבטיח את שמירת המידע באופן הולם, גם על ידו וגם ע"י מעבדי מידע אחרים שמספקים לו שירות.

אודות אבטחת המידע בפועל, GDPR מפרט בהרחבה מהם הכלים והתהליכים הנדרשים להגנת המידע האישי, בהם הגנה על סודיות, שלמות וזמינות המידע, והבטחת יכולת ההתאוששות באם מתרחש אסון. כמו כן:

  • בעלי השליטה במידע נדרשים לדווח לרשויות על כל פריצה בתוך 72 שעות מרגע שזוהתה
  • מאגרי מידע שפגיעה בהם מהווה סיכון גבוה לפגיעה בפרטיות נדרשים לבצע סקר להערכת סיכוני אבטחת מידע
  • וארגונים המטפלים בכמות רבה של מידע רגיש נדרשים למנות "קצין הגנת מידע" (DPO) בעל סמכויות נרחבות.

במקרה של הפרה, GDPR מעמיד עונש כספי כבד מאי פעם: 4% מהמחזור או 20 מיליון יורו (הגבוה ביניהם).

בכדי להיערך להגנת המידע האישי על פי דרישות החוק האירופי (GDPR), צוות הגנת הפרטיות במרכז הגנת הסייבר של BDO גיבש מודל ייעודי ומקיף שכולל:

  1. הקמת מסגרת ארגונית ותהליכית
  2. זיהוי וסיווג המידע האישי
  3. ניתוח סיכונים לכל המאגרים שזוהו כבעלי מידע רגיש והפקת תכנית לצמצום הסיכון
  4. פרטיות משלב התכנון - תכנון, יישום, בחינה ופיקוח של הבקרות המתאימות
  5. תחזוקה שוטפת של אבטחת המידע
  6. תיעוד שוטף להוכחת עמידת הארגון בדרישות החוק
  7. מינוי גורם אחראי על ריכוז וניהול נושא הפרטיות בארגון

 

מבוא

מאמר זה דן בסיכונים לפגיעה בפרטיות הנובעים מהסביבה הטכנולוגית המודרנית והחשיפה שלה להתקפות סייבר, לצד החוק האירופאי החדש – GDPR – האמור לצמצם סיכונים אלה, וכן מציג גישה מעשית להערכות לעמידה בחוק תוך צמצום הסיכונים.

כותב המאמר הקים צוות ייעודי העוסק בנושא הפרטיות במסגרת יחידת הגנת הסייבר של BDO ישראל.

האם זהו סוף עונת הפרטיות?

ההתפתחויות הטכנולוגיות המודרניות - הכוללות, בין היתר, מאגרי מידע עצומים המכילים נתונים אישיים רבים, שירותים מבוססי אינטרנט, רשתות חברתיות, מכשירים סלולריים, שירותים מבוססי מיקום ומצלמות המותקנות במרחב הציבורי - משנות באופן משמעותי את אורח חיינו אך, בד בבד, מעצימות את האיומים הנשקפים לזכותנו לפרטיות.

האם האמירה המיוחסת למנכ"ל גוגל, ובהמשך למייסד פייסבוק, כי "בעידן האינטרנט והרשתות החברתיות הפרטיות מתה" אכן מייצגת את המציאות לאמיתה? האם המאבק על שמירת הפרטיות אבוד מראש?

הפרטיות שלנו בעולם המקוון עלולה להיפגע בשני אופנים – מעצם איסוף המידע האישי ושימוש בטכנולוגיות מתקדמות לצורך ניתוחו והפקת רווח ממנו, או באמצעות פריצה למידע האגור אצל ספקי השירות השונים וניצולו לרעה.

אם בארזים נפלה שלהבת

לפחות לגבי גניבת מידע על ידי גורמים בלתי מורשים לא חלוקות הדעות. יש לעצור את הגנבים, לשריין את מאגרי הנתונים, להגן על הפרטיות ובא לעולם גואל.

אבל בחיים האמתיים המשימה אינה קלה כלל ועיקר. גם ארגונים גדולים וחזקים המחזיקים מידע אישי פרטי בכמויות אדירות ואמורים להיות מוגנים באופן הרמטי - נפגעים שוב ושוב.

דוגמאות בולטות לגניבת מידע

רק לאחרונה נודע על דליפת ענק של נתונים פרטיים באמצעות התקפת סייבר. נתוניהם האישיים של 143 מיליון אמריקאים – כמעט ממחצית מתושבי ארה"ב - נגנבו ממאגריה של חברת ,Equifax שבידיה מאגר נתוני האשראי השלישי בגודלו בארה"ב. לפי הודעת החברה נגנבו פרטים כמו מספרי כרטיסי אשראי, מספרי ביטוח לאומי, תאריכי לידה וכתובות ומספרי רישיונות נהיגה.

למרות עוצמת הפגיעה מבחינת מספר האנשים, לא מדובר בפריצת הסייבר הגדולה בהיסטוריה. לפני כשנה נגנבו ממאגרי יאהו מידע אישי של 500 מיליון איש.

במאי 2015 נפרצו מאגרי המידע של חברת הביטוח הרפואי השנייה בגודלה בארה"ב, ,Anthem ונחשפו רשומות פרטיות ורפואיות הכוללות כרטיסי אשראי ומידע אישי רגיש של למעלה מ-8 מיליון מטופלים.

ביולי 2015 נחשפו פרטים אישיים של למעלה מ-20 מיליון עובדים בעבר ובהווה של הממשל האמריקאי מבסיס הנתונים של המשרד הממשלתי העוסק בכך (OPM).

ככה *לא* עושים את זה

ניתוח של רוב האירועים שהתרחשו בשנים האחרונות מגיע למסקנות דומות – בקרות אבטחת מידע בסיסיות  לא היו יעילות. יישום נכון שלהן יכול היה, ככל הנראה, לצמצם במידה לא קטנה את הסיכון. יותר מזה – דיווח מידי ותגובה נכונה בעת התממשות הסיכון יכולה הייתה לצמצם את הנזק.

סיפור Equifax נראה כמו סיפור קלאסי "כיצד לא לעשות זאת". ההתקפה התבצעה תוך ניצול של פרצה ידועה של שרת WEB בקוד פתוח – Apache. טלאי המתקן את הפרצה לא עודכן למרות שהיה קיים. לא יושם בחברה קו הגנה טכנולוגי נוסף שיכול היה לעצור את התקיפה. הפריצה התגלתה בארגון כחודשיים לפני שהתפרסמה לציבור.

כשאנחנו אומרים לא – למה אנחנו מתכוונים? (בעצם, מי שואל אותנו בכלל?)

נחזור לסוגיה הראשונה – חברות רבות מחפשות לדעת עלינו כמה שיותר, כדי לעשות שימוש בנתונים אלה לעשיית רווח ישיר או עקיף. דוגמא פשוטה לכך הינה איסוף ושמירת פרטים אישיים על לקוחות פוטנציאליים שהשאירו פרטים באתרים שונים, על מנת להפנות אליהם מבצעי שיווק ומכירות ממוקדים יותר.

דוגמא מורכבת יותר הינה שימוש במידע אישי כדי לנבא היבטים הנוגעים לתפקודו של אדם בעבודה, בתהליך כלכלי, בהקשר לבריאותו, להעדפותיו ולאינטרסים שלו, להתנהגותו, למיקומו ולתנועותיו – ניתוח המכונה יצירת פרופיל (profiling). ניתוח של דפוסי ההתנהגות שלנו עשוי לסייע לחשוף אותנו לפרסומות התפורות בדיוק למידותנו או – במקרה הפחות טוב - גם למטרות אחרות כמו מעקב, הפללה, ניתוח אמינות וכדו'.

בואו נעצור רגע ונשאל את עצמנו:

  • האם אנחנו מודעים לכל המקרים בהם נאסף עלינו מידע אישי?
  • האם אנחנו מודעים לשימוש שנעשה במידע זה?
  • האם מישהו ביקש את רשותנו לאסוף את המידע, לשמור ולעבד אותו?
  • האם ביכולתנו לדרוש לשנות או למחוק מידע הקשור אלינו?

במקרים רבים התשובות לכל השאלות שלעיל הן שליליות.

GDPR: האם במאי 2018 העולם יראה טוב יותר?

במאי 2018 יכנס לתוקפו החוק של האיחוד האירופאי – General Data Protection Rule (GDPR). חוק זה מתייחס לשני ההיבטים שדנו בהם – זכויות בעל המידע והגנה עליו.

מהו מידע פרטי

GDPR מגדיר מידע פרטי כמידע הנוגע לאדם "טבעי" (כלומר אדם פרטי ולא ארגון או תאגיד) אשר ניתן לזהותו במישרין או בעקיפין, באמצעות התייחסות למזהה כדוגמת שם, מספר מזהה, מידע על מיקום, מזהה אינטרנטי, או באמצעות מאפיינים פיזיים, פיזיולוגיים, גנטיים, מנטאליים, כלכליים, או מזהים תרבותיים-חברתיים של אותו אדם.

זוהי ההגדרה הרחבה ביותר שראינו עד כה. כך, למשל, בעולם בו לכל אדם מכשיר טלפון אישי, ציון מספר טלפון של אדם הוא מספיק כדי לזהות אותו.

תחולת החוק

GDPR חל על כל ארגון העומד באחד או יותר מן הפרטים הבאים: פועל באיחוד (גם אם באמצעות נציגות מינימאלית), מעבד מידע של תושבי האיחוד או מנטר התנהגות של תושבי האיחוד.

GDPR חל הן על ארגונים שהם בעלי השליטה בפועל במידע וכן על ארגונים המעבדים מידע - למשל באמצעות שירותי ענן. החוק מספק דגשים לכל אחד מסוגי הארגונים.

החוק יכנס לתוקפו ב-25 במאי 2018.

זכויות נושא המידע

GDPR מספק תשובה יפה ומקיפה לסוגיית זכויות נושא המידע לגבי המידע שנאסף עליו ואופן עיבודו.

החוק מגדיר כי עבור כל מידע פרטי שאינו נדרש מכורח החוק, נשמר בהתאם להסכם חוזי או נדרש על מנת לשמור על אינטרס ציבורי יש לנשוא המידע את הזכויות הבאות:

  • זכות ההסכמה: על נושא המידע להצהיר באופן מפורש על הסכמתו לאיסוף ושמירת המידע. יש להציג לנושא המידע את תכלית איסוף המידע באופן ברור ופשוט. הודעה קריפטית כמו "האתר כולל עוגיות, לחץ כאן לאישור" אינה ברורה ופשוטה ולכן אינה מקובלת.

זוהי גישה הפוכה מזו הגורסת כי ניתן לשמור את המידע כל זמן שלא נאמר אחרת. נושא המידע יכול לבטל את הסכמתו בכל רגע נתון. ההסכמה מתייחסת באופן מפורט לשימוש מסוים במידע ואינה תקיפה לכל סוג עיבוד.

  • זכות גישה למידע: לנושא המידע הזכות לקבל את כל הפרטים לגבי הנתונים המתייחסים אליו ללא תשלום ובכל עת שיבקש.
  • "הזכות להישכח": לנושא המידע הזכות לדרוש את מחיקת המידע אודותיו בכל עת.
  •  זכות לניוד המידע: לנושא המידע זכות לקבל לידיו את כל המידע אשר סופק על ידו לבעל השליטה ולהעביר את אותו לגורם אחר.

פרטיות משלב התכנון (Privacy by design)

בעל השליטה במידע מחויב לתכנן וליישם בקרות תהליכיות וטכנולוגיות להגנה על המידע האישי החל משלב התכנון של הפתרון ובכל מחזור החיים של כל שירות או מערכת מידע פנימית או חיצונית.

מעבד המידע נדרש לשמור על המידע בצורה הולמת ולהבטיח כי גם מעבדי מידע אחרים המספקים לו שירות ישמרו על המידע באופן הולם.

אבטחת המידע

GDPR אינו מפרט בצורה מלאה את הכלים והתהליכים הנדרשים על מנת להגן על המידע הפרטי אך הוא מציין כי יש להשתמש בכלים כגון הצפנת המידע, להגן על הסודיות, שלמות וזמינות המידע וכן לוודא את יכולת להתאושש לאחר התרחשות אסון.

GDPR דורש מבעל השליטה במידע לדווח לרשויות על כל פריצה למידע תוך לא יותר מ-72 שעות מהיוודע לו דבר הפריצה.

החוק דורש ביצוע של סקר להערכת סיכוני אבטחת מידע עבור כל מקור מידע שפגיעה במידע האגור בו עלולה לגרום לסיכון גבוה לפגיעה בפרטיות.

ארגונים המטפלים בכמות רבה של מידע פרטי רגיש נדרשים למנות בעל תפקיד "קצין הגנת המידע" (DPO) בעל סמכויות נרחבות.

תוצאות הפרה

GDPR מעמיד עונשים שלא היו כדוגמתם: עד 20 מיליון יורו או 4 אחוז מהמחזור - הגבוה בין השניים.

כיצד נערכים להגנה על המידע הפרטי (ועמידה בדרישות החוק)

כהרגלנו בקודש (וגם של לא מעט מקומות אחרים) אנו מתעוררים כמעט בדקה התשעים ומבינים שגם אנחנו צריכים לעשות משהו בדרישות ה- GDPR רגע לפני תחולת החוק – מאי 2018.  (אגב, באותו תאריך ממש נכנס לתוקפו גם חוק הפרטיות הישראלי – על כך נדבר במאמר נפרד).

כיצד נערכים להגנה על המידע האישי בהתאם לדרישות GDPR? צוות הגנת הפרטיות במרכז הגנת הסייבר של BDO גיבש מודל הכולל את ההיבטים הבאים:

הקמת המסגרת הארגונית והתהליכית

שלב זה כולל הגדרת בעלי תפקידים ואחריות בנושא הגנת הפרטיות, גיבוש מדיניות ארגונית והפצתה, בניית מסגרת כללית להתמודדות עם נושא הפרטיות בארגון.

זיהוי וסיווג של מידע אישי

שלב זה מספק מענה לשאלות: איזה מידע אישי אנו אוספים, לאיזה צורך אנו אוספים מידע זה? למי אנו חושפים מידע זה ומדוע? מה אורך חיי המידע? היכן אנו מאחסנים מידע זה?  

התהליך מתחיל בתשאול הגורמים השונים בארגון. יחד עם זאת, קשה להאמין כי ניתן לזהות באופן ידני את כל הנתונים הנאספים בארגון, במיוחד במקורות מידע שאינם מו‏‏בנים (כמו, למשל, שרתי קבצים) ועל כן רצוי להיעזר בכלים ממוחשבים על מנת לאסוף ולתחזק מידע זה.

ניתוח סיכונים

עבור מקורות מידע שהתגלו בשלב הקודם כמי שמכילים מידע העלול לגרום לסיכון גבוה לזכויות הפרט, יש לבצע ניתוח סיכונים מפורט. הסקר בוחן את פעולות העיבוד, מטרות העיבוד, הצורך בעיבוד, הסיכונים האפשריים והבקרות המיושמות או המתוכננות ליישום. בהתאם לסקר הסיכונים מופקת תוכנית לצמצום הסיכון.

יישום פרטיות משלב התכנון

יש לשלב את היבטי הפרטיות בעת תכנון ויישום של מערכות המידע אשר הארגון מקים, בין אם לשימוש פנימי או כשירות ללקוחותיו. יש לתכנן, ליישם, לבחון ולוודא כי יושמו הבקרות המתאימות.

ניהול ותחזוקה שוטפת של התפעול ואבטחת המידע

יש לדאוג לכלל היבטי הפרטיות ואבטחת המידע של המידע הפרטי בכל מחזור החיים של מערכות המידע של הארגון. הקמה ותחזוקה של מערכת ניהול אבטחת מידע (ISMS) בהתאם לתקנים המקובלים בתעשייה כגון 27001 ISO יכולה לעזור.

תיעוד, תיעוד, תיעוד

39 סעיפים מתוך 99 הסעיפים של GDPR דורשים באופן מפורש לשמור ראיות המוכיחות כי הארגון עומד בדרישות החוק. "עשית ולא דיווחת – לא עשית".

ניהול שוטף

ניהול ותחזוקה של מערך הגנת המידע הפרטי אינו פשוט. החוק מדבר על הצורך בבעל תפקיד מיוחד לנושא זה (שונה ממנהל אבטחת המידע) במידה ובארגון מידע פרטי רב ורגיש. גם במידה ותפקיד פורמלי כזה אינו נדרש על פי החוק, חשוב כי בארגון ימונה גורם אשר ירכז וינהל את כל ההיבטים הסבוכים של נושא הפרטיות.

--

נשמח לסייע לארגונכם בכל המשימות הכרוכות בהגנת הפרטיות כולל תכנון, תיעוד, הכנה ותחזוקה של מסגרת להגנת הפרטיות בארגון.


 

 

צור קשר עם המומחים שלנו