טיוטת גילוי דעת בנושא “אמצעים מקובלים” להזדהות: אבטחת מידע

ביום 1.2.2026 פרסמה הרשות להגנת הפרטיות טיוטת גילוי דעת להערות הציבור, המבקשת ליצוק תוכן אופרטיבי ומדיד למונח העמום “אמצעים מקובלים” להגבלת הגישה למערכות המידע של הארגון, הקבוע בתקנה 9(א) לתקנות הגנת הפרטיות (אבטחת מידע), תשע”ז-2017.

נניח, לעת עתה, לשאלת סמכות הרשות לפרש את הוראות המחוקק ולקבוע הסדרים ראשוניים דוגמת רמות אבטחה וכו’. עוד נניח לשאלה האם קביעת רשימת סגורה, קשיחה, של אמצעים טכנולוגיים, ריאלית בעולם דינאמי של אבטחת מידע. בנוסף, נשאיר ב”צריך עיון” את שאלת הנטל הכספי על המשק ועסקים בישראל, נוכח הדרישה הרגולטורית לרכישה, התקנה והפעלה של אמצעים טכנולוגיים, כאמור.

מהם “אמצעים מקובלים”?

תקנה 9(א) מטילה על בעל השליטה במאגר מידע ועל המחזיק בו חובה לנקוט “אמצעים מקובלים” להבטחת הגבלת הגישה למאגר ולמערכותיו למורשים בלבד, בהתאם לרשימת הרשאות תקפה ומעודכנת. ואולם, בהיעדר קנה מידה טכנולוגי-נורמטיבי ברור, נותר המונח לאורך השנים פתוח לפרשנות. לעיתים, יושם ברף מינימלי, שלא שיקף בהכרח את סטנדרט האבטחה המקצועי העדכני או את רמת הסיכון הקונקרטית של מאגר המידע.

הטיוטה של הרשות להגנת הפרטיות מבקשת לצמצם עמימות זו, באמצעות אימוץ מתודולוגיה מבוססת סיכון הנשענת על תקינה בינלאומית, ובראשה מודל רמות האימות של National Institute of Standards and Technology (NIST), לרבות תפיסת ה-Authentication Assurance Levels (AAL). המשמעות המעשית היא כי שאלת “סבירות האמצעים” אותם מפעיל בעל הגישה, אינה נבחנת עוד במישור הצהרתי בלבד, אלא ביחס לרמות אימות מוגדרות, למאפייני המאגר ולרמת האבטחה הנדרשת.

מה מטרת גילוי הדעת?

הנטל להוכיח כי הארגון פעל באמצעים עדכניים ובהלימה לרמת הסיכון מוטל עליו. הסתמכות על פתרון טכנולוגי מיושן, על מנגנון אימות חד-גורמי חלש, או על פרקטיקה רווחת בענף – לא יהוו כשלעצמם מענה מספק. סטנדרט הייחוס הוא מקצועי-אובייקטיבי, ומעוגן במתודולוגיה בינלאומית.

יש לקרוא את הטיוטה בהקשר הרחב של תיקון 13 לחוק הגנת הפרטיות, אשר נכנס לתוקף ביום 14.8.2025 והרחיב באופן ניכר את סמכויות האכיפה המינהליות של הרשות, לרבות הטלת עיצומים כספיים משמעותיים והפעלת סמכויות פיקוח. על רקע זה, אין מדובר במסמך מדיניות תיאורטי, אלא בתשתית נורמטיבית צפויה אשר עשויה לשמש אמת מידה ישירה לבחינת עמידה בדרישות הדין, לרבות במסגרת הליכי אכיפה מינהליים ואף אזרחיים.

שלוש קטגוריות אימות 

הטיוטה מחדדת את ההבחנה בין שלוש קטגוריות אימות קלאסיות:

“משהו בידיעתך”

סיסמה, קוד אישי וכיו”ב. מודגש כי פרטים מזהים נפוצים, ובכללם מספר תעודת זהות, אינם יכולים להיחשב גורם אימות סודי, נוכח זמינותם היחסית והיעדר בלעדיות שליטה.

“משהו בבעלותך”

רכיב פיזי או דיגיטלי המצוי ברשות המשתמש, כגון קוד חד-פעמי (OTP), אפליקציית אימות, טוקן חומרה או מפתח אבטחה מבוסס קריפטוגרפיה.

“משהו שאתה”

אימות ביומטרי, לרבות טביעת אצבע, זיהוי פנים או מאפיינים ביומטריים נוספים, בכפוף לעמידה בדין החל על עיבוד מידע ביומטרי.

דרישת MFA לצורך הזדהות

בליבת המסמך שפרסמה הרשות עומד הדרישה לאימות רב-גורמי (MFA), קרי שילוב של לפחות שני גורמים בלתי תלויים מקטגוריות שונות. מבחינה טכנית, ההדגשה אינה רק על כמות הגורמים אלא על עצמאותם ועל עמידותם למתקפות התחזות, לרבות מתקפות פישינג בזמן אמת (Real-Time Phishing Proxies). בכך מאמצת הרשות תפיסה שלפיה גניבת סיסמה לבדה אינה אמורה עוד לאפשר גישה למאגר, במיוחד כאשר מדובר בגישה מרחוק או בהרשאות ניהוליות.

התאמת רמת האימות לרמת המאגר

החידוש המרכזי בטיוטה הוא עיגון טבלה יישומית הקושרת בין רמת אבטחת המאגר לפי התקנות (יחיד, בסיסית, בינונית, גבוהה) לבין רמת האימות הנדרשת, תוך הבחנה בין סוגי משתמשים: עובדים רגילים, בעלי הרשאות ניהוליות, וגישה מרחוק.

במאגר ברמת אבטחה גבוהה נקבעת דרישה לרמת אימות 3, המשקפת אימות רב-גורמי קריפטוגרפי מתקדם, המבוסס על רכיב חומרה פיזי שאינו ניתן לייצוא (Non-Exportable Key Material). משמעות הדבר היא כי מנגנוני OTP מבוססי מסרון (SMS), אשר פגיעים למתקפות SIM-Swapping ולהנדסה חברתית, לא ייחשבו עוד מספקים בהקשר זה.

במאגר ברמת אבטחה בינונית, גישה מרחוק מחייבת רמת אימות 2 עמידה לפישינג, ואילו בתוך הרשת הארגונית ניתן להסתפק ברמת אימות 1, בכפוף למדיניות סיסמאות מחמירה, הכוללת אורך מינימלי משמעותי (15 תווים לפחות), או לחלופין סיסמה קצרה יותר בצירוף גורם אימות נוסף. ההבחנה משקפת איזון בין סיכון תפעולי לבין רמת החשיפה לאיומים חיצוניים.

גם במאגרים ברמת אבטחה בסיסית מודגש כי ניהול סיסמאות חזק, מניעת שימוש חוזר בסיסמאות, והפרדת הרשאות בהתאם לעקרון הצורך לדעת (Need to Know) הם רף מחייב ולא המלצה.

מעבר מניהול סיסמאות לניהול זהויות והרשאות

במבט רחב, הטיוטה משקפת מעבר פרדיגמטי מניהול סיסמאות נקודתי, לניהול זהויות והרשאות כמערך שלם. אין די בקביעת מדיניות סיסמאות; נדרש מיפוי שיטתי של מאגרי המידע (ורישום מאגרי המידע, במידת הצורך), סיווגם לפי רמת אבטחה, זיהוי משתמשים ותפקידי מפתח, והגדרה מדויקת של מנגנוני אימות בהתאם לפרופיל הסיכון.

שאלת רמת האימות אינה עוד עניין טכנולוגי צר, אלא סוגיה ניהולית-משפטית בעלת השלכות ישירות על אחריות ההנהלה. ההכרעה בדבר אופן ההזדהות בגישה מרחוק, בהקצאת הרשאות ניהוליות ובהפרדת סביבות פיתוח וייצור – היא חלק בלתי נפרד מממשל תאגידי תקין ומניהול סיכוני ציות.

במישור הראייתי, ניתן לזהות היפוך נטל מעשי: באירוע אבטחה, יידרש הארגון להראות כי אימץ מנגנון התואם סטנדרט מקצועי עדכני ובהלימה לרמת הסיכון. העדר תיעוד של תהליך הערכת סיכונים, או היעדר בחינה תקופתית של עמידות המנגנונים למתקפות התחזות, עלול להקשות על ביסוס הטענה כי ננקטו “אמצעים מקובלים”.

הטיוטה אף מדגישה את אופייה הדינמי של אמת המידה: “אמצעים מקובלים” הם פונקציה של התפתחות טכנולוגית ושל איומים עדכניים. מכאן נגזרת חובה מהותית לבחינה תקופתית של מנגנוני האימות, לעדכון תצורות, ולהתאמתם לסטנדרטים בינלאומיים משתנים.

טיוטה להערות הציבור – https://www.gov.il/BlobFolder/rfp/bill9apublicnotes/he/takana%209a.pdf

לסיכום

אם תאומץ הטיוטה בנוסח מחייב, מדובר במהלך המעגן רף יישומי ברור: מעבר ממודל הצהרתי של סבירות אמצעי הזדהות כללית, למודל מדיד ומדורג של רמות אימות, עמידות לפישינג ושימוש ברכיבים קריפטוגרפיים ייעודיים. רף זה צפוי להשתלב בליבת מערך הציות, ניהול הסיכונים והניהול התקין של כל ארגון המחזיק במידע אישי, ולהפוך את ניהול הזהויות וההרשאות לאחד מצירי הבקרה המרכזיים במשפט הטכנולוגי בישראל.

נכתב על ידי עו״ד רועי וולר (LL.B, M.A), שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (C.R.O). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים, תאגידי מים וביוב, חברות ממשלתיות ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, מכהן כ-DPO ומסייע בהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי. 

פורסם: 16/02/2026.