© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

איומי סייבר – צעדי מנע והתאוששות

איומי סייבר - צעדי מנע והתאוששות

הנושא החם היום הוא ה-GDPR, הרגולציה החדשה לאבטחת המידע באיחוד האירופי (General Data Protection Regulation. אולם, נדרש הרבה מעבר לציות ל-GDPR לשם הגנת הפרטיות ואבטחת המידע.

ראשית יש להבהיר באופן חד-משמעי כי בעוד ציות ל-GDPR יכול למנוע קנסות כבדים (20 מיליון יורו או עד 4% ממחזור המכירות הגלובלי), הוא אינו מגן על הארגון שלך מפני מתקפת סייבר.

 

כשבאים לנתח אירוע סייבר כלשהו, יש להתמקד בכמה עקרונות.

 

הראשון הוא משטר הגנת הפרטיות ואבטחת המידע שהונהג טרם פרצת האבטחה, הכולל, מן הסתם, הקפדה על ציות ל-GDPR ולכל רגולציה רלוונטית בתחום שיפוט אחר, אבל גם יישום נוהגים מיטביים בתעשייה (industry best practices), כגון הקפדה על עדכון מתמיד של מערכות חומת האש (firewalls) ושל תוכנות האנטי-וירוס.

 

אם זאת, ההאקרים משתכללים, ולמרות המאמצים הקדחתניים להשיג קפיצת מדרגה ביכולות טכנולוגיות, כמעט ולא קיימת דרגת היערכות המסוגלת לספק הגנה מלאה מפני מתקפת סייבר. לכן, יתכן והעקרון השני, היערכות לאחר פרצת אבטחה, הוא עקרון לא פחות קריטי, הן מבחינת המשכיות עסקית והן מבחינת מזעור הנזקים והחשיפה לתביעות.

 

נראה כי הלחץ שלפני החלת ה-GDPR גרם לחברות להתמקד רק ביישום “רשימת התיוג” הרגולטורית. אך לעיתים ההתעסקות “ברשימת תיוג” באה על חשבון תשומת הלב המתבקשת לעניין השאלה החשובה לא פחות: מה קורה אם אתה מותקף?

 

במידה והארגון שלך נופל קורבן למתקפת סייבר, אין ספק שתשאל את עצמך שתי שאלות. קודם כל: האם עשיתי את כל הנדרש מבחינת ציות כדי למנוע חשיפה לקנסות רגולטוריים? והשאלה השניה: מה אני יכול לעשות עכשיו כדי לוודא המשכיות עסקית ולהתאושש ולהחזיר את הארגון שלי לפעילות תקינה בהקדם האפשרי? בסופו של דבר, ציות ל-GDPR בהחלט יסייע לארגון שלך להתגונן מפני הרגולטור ותובעים פוטנציאלים, אבל עדיין, לא קיים מנגנון אבטחה חסין תקלות והנזק ממתקפת סייבר לא מסתכם רק בקנס רגולטורי.

 

אם למדנו דבר משנת 2017, הוא שבכל הקשור לפרצות מאגרי מידע – כולנו חשופים לסכנה. מעל 50% מהעסקים בארה”ב חוו מתקפת סייבר במהלך שנת 2017, וקרוב לשני מיליארד פרטי מידע נאבדו או נגנבו. מסיבה זו, מאוד מומלץ להיערך מנקודת המוצא שאכן תותקף ביום מן הימים.

 

איך אפשר להתכונן למצב הבלתי נמנע? להלן כמה צעדים פשוטים בתור התחלה: (1) תקדיש חלק מהתקציב שלך ל-IT ולאבטחת מידע; (2) יש למנות ממונה על נושאי הגנת הפרטיות, פיתוח אבטחת מידע ועל ציות רגולטורי כחלק מתחומי האחריות של המשרה; (3) תקים צוות ייעודי לתגובה מהירה ותגבש תוכנית תגובה לפרצות אבטחת מידע; (4) תעסיק יועץ משפטי המתמחה בתחום; (5) תתייעץ עם מומחים בחקירות סייבר (cyber forensics), בניהול סיכונים, בהתאוששות מאסון ומומחים אחרים; (6) תגבש, ביחד עם יועצים משפטיים ואנשי ה-HR, מדיניות ונוהל לאבטחת המידע ולהגנת הפרטיות; (7) תפתח תבניות וכלים לאבטחת מידע לשימוש העובדים, הספקים וצדדים שלישיים כגון שותפים עסקיים; (8) תרכוש פוליסת ביטוח סייבר; (9) תכין תבניות של הודעות ותבצע תרגולים עם צוותי יחסי הציבור והתקשורת כדי להכין אותם לקראת היום שיבוא.

 

אם תבצע את כל האמור לעיל, תהיה במצב טוב יותר מאשר בהסתמכות אך ורק על ציות ל-GDPR.

 

Source: barlaw.co.il

הזן כתובת אימייל על מנת להירשם לניוזלטר: