צילום: עמית שעל
"המטרה בפרסום כרטיסי האשראי לא היתה לגנוב - אלא להשפיע על הציבור"
ראש הרשות למשפט וטכנולוגיה במשרד המשפטים ל"כלכליסט": "על גופים להפנים שכל שקל שלא תשקיע באבטחת מידע היום יעלה חמישה אחר כך"
"גניבת פרטי האשראי היא מקרה פורץ דרך לגבי מה זה בעצם פשע סייבר. כי מה עשו פה? רצו לזרוע בלבול ומבוכה בציבור הישראלי. המטרה לא הייתה לגנוב כסף, אלא להשפיע על הציבור הישראלי. זה אירוע תקדימי מהבחינה הזאת" – כך אומר ל"כלכליסט" ראש הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים (רמו"ט), עו"ד יורם הכהן.
הגניבה הגדולה התאפשרה, בין השאר, מכיוון שהאתרים שמהם נגנבו פרטי כרטיס האשראי לא יישמו תקני אבטחת מידע מחמירים, דוגמת אלו בהם מחויבים גופים פיננסיים גדולים המחזיקים מידע דומה כמו בנקים או חברות אשראי. ואולם, לדברי הכהן, היעדר תקני רגולציה ספציפיים אינו פוטר אתרי מסחר מאחריות למידע. "הם מחויבים להגן על המידע", הוא אמר בראיון ל"כלכליסט". "יש להם חובה כללית לפי חוק הגנת הפרטיות. כל מי שמנהל מידע אישי, צריך להבין שיש לו חובה לאבטח את המידע. היא כתובה בחוק הגנת הפרטיות ואין עליה שאלה. השאלה היא באיזה אופן אבטחו את המידע. יכול להיות שאבטחו את המידע באופן ראוי, והוא נפרץ בכל זאת. אבל בדרך כלל זה לא המקרה". וכדי לוודא שמידע מסוג זה יאובטח באופן ראוי, אומר הכהן, פועלת רמו"ט ליישום תקנות מחייבות בתחום. "לפני שנה פרסמנו מסמך בנושא אבטחת מידע אישי, שנמצא בהליך להפיכה לתקנות. אנשים יודעים איך להגן על המידע המדובר, יש כלים בשוק".מה יכללו התקנות האלו?
"יהיה מפרט שידרוש יישום אמצעים בהתאם למידת רגישות המידע, גם טכנולוגיים וגם נוהליים. הרבה פעמים, אנשים חושבים שאמצעים טכנולוגיים פותרים את הבעיה. אבל אם לא מלווים אותם בתהליך עבודה מסודר, אתה ולי תחשוב שאתה מוגן אבל זה לא יהיה המצב. אז יש פה שילוב. לגבי הסוגיה הספציפית הזו, יש תקן של חברות האשראי הבינלאומיות (PCI DSS), שמחייב יישום אמצעי אבטחת מידע ברמה מסוימת. חלק מהמידע שנאסף עם פרטי כרטיס אשראי לא אמור היה להישמר, או אף להיאסף".
איך תוכלו לאכוף את התקנות האלו על אלפי, אם לא עשרות אלפי אתרי המסחר שיש בישראל?
"אנחנו פועלים ברגולציה לא טריוואלית, כי אנחנו לא עומדים מול קהל מוגדר כמו בנקים או חברות ביטוח, אלא מול כלל השוק. לכן, בסופו של דבר, זה עניין גם של מודעות הגופים ושינוי חקיקה. מנהלים צריכים להבין שיש סיכון עסקי. האירוע מסוג זה יגרום לגופים נזק כלכלי, כי הם יצטרכו לפצות את הלקוחות שלהם. דרך זה, גופים יפנימו את העיקרון שכל שקל שלא תשקיע באבטחת מידע היום, יעלה לך חמישה שקלים אחר כך. הפעילות ברשת חוסכת כסף, ואם אתה לא לוקח חלק מהחיסכון ומשקיע באבטחת מידע אתה פוגע בארגון שלך. בתור רגולטור, אנחנו פעולים על מנת שגופים יפנימו את זה".
לא התפרסמו תגובות לכתיבת תגובה