top image

דיווח על אירוע אבטחה חמור – סייבר ברשויות המקומיות

דיווח על אירוע אבטחת מידע סייבר

הרשות להגנת הפרטיות עדכנה בחודש ספטמבר 2022, את מדיניות הדיווח בנוגע לאירועי אבטחה חמורים. המדיניות מחמירה ביחס לעבר, וקובעת הוראת דיווח מיידי על אירוע אבטחה חמור (כהגדרתו בתקנות), וכן ידווח לרשות על הצעדים שנקט בעקבות האירוע. זאת, בהתאם לתקנה 11(ד)(1) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, הקובעת כי בעל מאגר מידע שחלה עליו רמת אבטחה בינונית או גבוהה (כהגדרתן בתקנות) מחויב להודיע לרשות להגנת הפרטיות באופן מיידי. עם זאת, גופים – ובכלל זאת רשויות מקומיות – לעיתים לא מודעים לקרות האירוע החמור במערכותיהם, או שאינם מודעים לחובתם לדווח.

דיווח על אירוע אבטחה חמור אינו גורע מהחובה לנקוט בכל הצעדים הנדרשים לטיפול באירוע האבטחה החמור ולצמצום הנזקים בהתאם להוראות החוק והתקנות. הרשות רשאית לבקשת הבהרות או מידע נוסף בעקבות הדיווח הראשוני המועבר לה.

דרכים בהן ניתן לדווח על אירוע אבטחה:

 

על מי מוטלת החובה?

חובת הדיווח חלה גם על מנהל המאגר ועל המחזיק במאגר, כל אחד בנפרד. אולם די בדיווח של אחד מהגורמים הללו על האירוע (בעל המאגר/מחזיק/מנהל המאגר) כדי לקיים את החובה עבור שלושת הגורמים גם יחד.

 

אבטחת מערכות מידע ברשויות המקומיות

דו"חות מבקר המדינה בנושא ניהול מערכות המידע ברשויות המקומיות (כפי שנסקרו כאן), מעלה תמונת מצב מדאיגה. ברשויות המקומיות נמצאים ליקויים שונים בתחום הגנת הסייבר ואבטחת המידע. הרשויות המקומיות הנן יעד משמעותי לתקיפה, שכן הן מחזיקות מאגרי מידע רבים לצרכי עבודתן. לכן, אנו ממליצים על ביצוע מספר פעולות:

  • הגדרה חוקית והסמכה כנדרש של "בעל מאגר המידע", "מחזיק המאגר", ו"מנהל המאגר".
  • איתור המידע הנאסף (ברשות וע"י קבלני המשנה שלה), סיווג המידע למאגרים, קביעת רמות האבטחה והרגישויות, ורישום כלל מאגרי המידע שבידי הרשות, במשרד המשפטים.
  • בדיקת מדיניות הרשות בתחום המידע, בדיקת פעולות הרשות בעת איסוף המידע, בדיקת מטרת איסוף המידע.
  • ניסוח מסמכי הסכמה וקבלת הסכמת האנשים והגופים עליהם נאסף המידע.
  • מינוי ממונה אבטחת מידע.
  • קביעת תכניות עבודה שנתיות.
  • בחינת הסכמים וחוזים מול נותני שירות, החשופים למידע אישי של הארגון.
  • בדיקה ועדכון של נהלי העבודה של הרשות המקומית, במקרה של אירוע אבטחת מידע. זאת, על מנת להבטיח עמידה מלאה בהוראות הדין.
  • במידה של חשש לאירוע אבטחה, או של אירוע אבטחת מידע – פנו מייד להתייעצות עם עורך דין אבטחת מידע, לצורך קבלת ליווי משפטי צמוד, וחוות דעת מדויקת ומהירה.

 

עורך דין אבטחת מידע ברשויות מקומיות

משרד עורכי דין וולר ושות' מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי אבטחת מידע והגנת הפרטיות. זאת, בשילוב הערך המוסף – ניסיון ארוך שנים והתמחות בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו"ד רועי וולר, המוביל את התחום, הנו ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ"ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, צרו קשר.

שתפו עם חברים
צרו איתנו קשר