דיווח על אירוע אבטחה חמור – סייבר ברשויות המקומיות

הרשות להגנת הפרטיות עדכנה בחודש ספטמבר 2022, את מדיניות הדיווח בנוגע לאירועי אבטחה חמורים. המדיניות מחמירה ביחס לעבר, וקובעת הוראת דיווח מיידי על אירוע אבטחה חמור (כהגדרתו בתקנות), וכן ידווח לרשות על הצעדים שנקט בעקבות האירוע. זאת, בהתאם לתקנה 11(ד)(1) לתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017, הקובעת כי בעל מאגר מידע שחלה עליו רמת אבטחה בינונית או גבוהה (כהגדרתן בתקנות) מחויב להודיע לרשות להגנת הפרטיות באופן מיידי. עם זאת, גופים – ובכלל זאת רשויות מקומיות – לעיתים לא מודעים לקרות האירוע החמור במערכותיהם, או שאינם מודעים לחובתם לדווח.

דיווח על אירוע אבטחה חמור אינו גורע מהחובה לנקוט בכל הצעדים הנדרשים לטיפול באירוע האבטחה החמור ולצמצום הנזקים בהתאם להוראות החוק והתקנות. הרשות רשאית לבקשת הבהרות או מידע נוסף בעקבות הדיווח הראשוני המועבר לה.

דרכים בהן ניתן לדווח על אירוע אבטחה:

• באמצעות טופס דיגיטלי – יש להיכנס לקישור הייעודי באתר הרשות ולדווח באופן מיידי – לטופס דיווח על אירוע אבטחה חמור.
• באמצעות דואר אלקטרוני או פקס – יש להיכנס לקישור הייעודי באתר הרשות לטופס דיווח על אירוע אבטחה חמור, ללחוץ על “הדפסה” כדי להדפיס את הטופס ולמלא אותו באופן ידני. לאחר מכן באפשרותך לשלוח אותו לכתובת הדוא”ל הייעודית – [email protected] או בפקס- 02-6467064.

על מי מוטלת החובה?

חובת הדיווח חלה גם על מנהל המאגר ועל המחזיק במאגר, כל אחד בנפרד. אולם די בדיווח של אחד מהגורמים הללו על האירוע (בעל המאגר/מחזיק/מנהל המאגר) כדי לקיים את החובה עבור שלושת הגורמים גם יחד.

אבטחת מערכות מידע ברשויות המקומיות

דו”חות מבקר המדינה בנושא ניהול מערכות המידע ברשויות המקומיות (כפי שנסקרו כאן), מעלה תמונת מצב מדאיגה. ברשויות המקומיות נמצאים ליקויים שונים בתחום הגנת הסייבר ואבטחת המידע. הרשויות המקומיות הנן יעד משמעותי לתקיפה, שכן הן מחזיקות מאגרי מידע רבים לצרכי עבודתן. לכן, אנו ממליצים על ביצוע מספר פעולות:

• הגדרה חוקית והסמכה כנדרש של “בעל מאגר המידע”, “מחזיק המאגר”, ו”מנהל המאגר”.
• איתור המידע הנאסף (ברשות וע”י קבלני המשנה שלה), סיווג המידע למאגרים, קביעת רמות האבטחה והרגישויות, ורישום כלל מאגרי המידע שבידי הרשות, במשרד המשפטים.
• בדיקת מדיניות הרשות בתחום המידע, בדיקת פעולות הרשות בעת איסוף המידע, בדיקת מטרת איסוף המידע.
• ניסוח מסמכי הסכמה וקבלת הסכמת האנשים והגופים עליהם נאסף המידע.
• מינוי ממונה אבטחת מידע.
• קביעת תכניות עבודה שנתיות.
• בחינת הסכמים וחוזים מול נותני שירות, החשופים למידע אישי של הארגון.
• בדיקה ועדכון של נהלי העבודה של הרשות המקומית, במקרה של אירוע אבטחת מידע. זאת, על מנת להבטיח עמידה מלאה בהוראות הדין.
• במידה של חשש לאירוע אבטחה, או של אירוע אבטחת מידע – פנו מייד להתייעצות עם עורך דין אבטחת מידע, לצורך קבלת ליווי משפטי צמוד, וחוות דעת מדויקת ומהירה.

ניצול גישה למאגרי מידע ברשויות המקומיות ובמשרדי הממשלה

חוזר שפרסמו נציבות שירות המדינה והרשות להגנת הפרטיות בחודש פברואר 2023, מבהיר את איסור השימוש במאגרי מידע בלתי חוקיים ואת ההשלכות של שימוש כזה. החוזר מדגיש כי מידע אישי של אזרחים, הנמסר בחוק לשירות המדינה, ראוי להגנה מוחלטת מפני ניצול לרעה ולפגיעה. החוזר מזהיר כי כל שימוש לרעה במאגרי מידע, גם אם הוא נראה “תמים” ואינו נועד לפגוע באיש או למסור מידע לגורם בלתי מורשה, הינו עבירת משמעת ועלול להוות עבירה פלילית, ואף להביא להטלת קנסות מינהליים כבדים.

עורך דין אבטחת מידע ברשויות מקומיות

משרד עורכי דין וולר ושות’ מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי אבטחת מידע והגנת הפרטיות. זאת, בשילוב הערך המוסף – ניסיון ארוך שנים והתמחות בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו”ד רועי וולר, המוביל את התחום, הנו ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, צרו קשר.