תפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות
כמות אירועי הסייבר שארעו במהלך השנה הנוכחית שברה ללא ספק את השיא הקיים. דומה שמרבית הארגונים בארץ חוו מתקפות סייבר במהלך השנה הזו או השנה הקודמת, ולפיכך ארגונים רבים נערכים ככל האפשר מבחינה טכנולוגית, במסגרת מגבלות התקציב לאירועי סייבר.
עם זאת נראה שחומרת הנושא טרם הגיעה לרמת לדירקטוריון, מאחר והוא עדיין נתפס כמשבר טכנולוגי קצר מועד, אבל דברים מתחילים להשתנות. הרגולציה בארצות הברית מתחילה לתת את אותותיה כאן אצלנו בארץ הקודש. ב- 10 בספטמבר 2023 פרסמה הרשות להגנת הפרטיות, טיוטת הנחיה שהייתה פתוחה להערות הציבור למשך שבועיים. הטיוטה עסקה באחריות הדירקטוריון בנוגע לקיום חובות החברה, זאת בהתאם לתקנות הגנת הפרטיות.
הקו המנחה ברשות הוא שבחברה שבה עיבוד המידע האישי מצוי בליבת הפעילות שלה, או שקיימת סבירות שפעילותה תיצור סיכון מוגבר לפרטיות, הדירקטוריון הוא הגורם המתאים והיעיל לבצע את הפעולות הנדרשות מבחינת אבטחת מידע.
כן, סוף סוף נושא הסייבר מגיע לדירקטוריון, והרשות אף מבהירה ומפרטת את הפעולות שבאחריותו והן: קביעת האחראים בחברה לביצוע דרישות התקנות, דיווח מיידי לרשות להגנת הפרטיות על קרות אירועי אבטחת מידע, יישום הליכי בקרה על ביצוע הדרישות וקביעת מדיניות בנוגע לאופן השימוש במידע אישי בחברה.
מי שמוביל את הקו הם בתי המשפט בארצות הברית. לקביעתם על הדירקטוריון מוטלת מטבע הדברים החובה ליצור מנגנוני בקרה ופיקוח פנימיים בחברה, במטרה לנטר את אופן עמידת החברה בכלל הוראות הדין החלות עליה. סייבר לטעמם אינו יוצא מהכלל בהיבט הזה, ולכן הוא גם באחריות הדירקטוריון. גם בארץ הוגשו בשנים האחרונות מספר תביעות נגד דירקטורים, בטענה שהתרשלו בפיקוח על איומי הסייבר על החברה, וגרמו להטלת קנסות או סנקציות בשל הפרת דין. לא פלא שבחלק מהחברות ישנה בקשה להרחיב את ביטוח הדירקטורים בכדי שיחול גם על אירועי סייבר. חשוב לזכור, שהנחיות אלו לא מפחיתות מהאחריות המוטלת על מנכ”ל, הנהלת החברה וכל גורם שהוסמך לביצוע החובות על פי התקנות והרגולציה.
איגוד הדירקטורים בישראל פרסם גילוי דעת כבר בשנת 2022 בנושא “אחריות הדירקטוריון בנושא הסייבר” שהתמקד בנושאים הבאים:
- אישור העקרונות המרכזיים בנוהל אבטחת המידע הארגוני
- קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות, ואישור הפעולות הנדרשות לתיקון הליקויים
- אישור מסמך הגדרות המאגר
- קיום דיון רבעוני או שנתי, על פי רמת האבטחה של המאגר לפי התקנות, באירועי אבטחת המידע שהתרחשו בארגון
- קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות
לאור הכרות מעמיקה עם דרישות הרגולציה והביטוח, אנו ב Madsec security ממליצים על שבע הפעולות הבאות בכדי לחזק את רמת האבטחה של הארגון. יישום הפעולות הללו יקטין את החשיפה המשפטית של ההנהלה והדירקטורים מפני תביעות במקרה של אירוע סייבר.
1. קביעת מדיניות סייבר לארגון:
- זיהוי הרגולציות הרלוונטיות לארגון
- קביעת נהלי אבטחת מידע מול לקוחות וספקים
- הכנת מסמכי IR וביצוע הסכם מול חברה שמספקת שירות IR בהיקף של 24/7
2. ביצוע סקר סיכוני סייבר, על מנת למפות את נכסי המידע והסיכונים
3. בחינת רכישה של ביטוח סייבר
4. יישום תכנית עבודה – ביצוע תיעדוף לסיכונים, ובהתאם קביעת תוכנית מתוקצבת למימוש
5. יישום נהלי אבטחת מידע – אבטחה פיזית, מדיניות סיסמאות, הרשאות גישה, מדיניות לציוד ממוחשב המתחבר לרשת הארגונית, אופן השימוש במחשוב ענן, תהליכי הכנסה והוצאה של מידע מהארגון ועוד.
6. העלאת מודעות
- ביצוע הדרכות באופן שוטף לעובדים
- ביצוע סימולציית אירוע סייבר להנהלה
- ביצוע הדרכות בנושא פיתוח מאובטח למתכנתים
7. מינוי של מנהל אבטחת מידע CISO – Chief Information Security Officerלארגון, שיהיה אחראי על הובלת הגנת הסייבר בארגון. בנוסף יש להקים ועדת היגוי בהשתתפות CISO, מנמ”ר, חבר הנהלה בכיר והיועץ משפטי