צילום: ליבי קטן-נאור
פרצת האבטחה בפייסבוק: תמרור אזהרה
זה רק עניין של זמן עד שחברות טכנולוגיה ישראליות יהיו בכותרות, ותחת עיניהן הבוחנות של רשויות הגנת המידע והפרטיות באירופה
הרשת סוערת סביב פרצת האבטחה שהתגלתה בפייסבוק בסוף השבוע שעבר, והעמידה בסכנה את פרטיותם של 90 מיליון משתמשים. לא ידוע עדיין אם נעשה שימוש בפועל בפרצה שדווחה, מהי כמות המידע שנחשף, והאם נעשה שימוש בפרצה כדי להתחזות למשתמשים ברשת החברתית. עדיין, עצם גילוי הפרצה חושף את פייסבוק פעם נוספת לסכנה שיוטלו עליה קנסות אדירים בגובה מיליארדי יורו בהתאם לחוקי הגנת המידע החדשים באירופה - ה-GDPR - שנכנסו לתוקפם בחודש מאי האחרון.
קראו עוד בכלכליסט
פריצה למאגרי מידע אישי היא נושא רגיש במיוחד בחוקי הגנת המידע החדשים. בכל מקרה בו פרצת אבטחה מובילה לגילוי מידע אישי, שינויו, או מחיקתו, חלה על החברה המחזיקה במידע חובה להודיע ללא דיחוי - ולא יאוחר מ-72 שעות מרגע שהתגלתה הפרצה - לרשות הגנת המידע האירופית.
ההודעה צריכה לכלול פרטים על אופי הפריצה (או הפרצה), מספר האנשים שפרטיהם נחשפו, התוצאות האפשריות של חשיפת המידע, הצעדים שנקטה החברה כדי למזער את הנזק נוכח הפרצה, ועוד. במקרה בו הסיכון לזכויותיהם של אזרחי האיחוד עקב הפריצה הוא "גבוה" (והגדרת גובה הסיכון אינה ניתנת להערכה בקלות), על החברה להודיע על הפריצה גם לכל אחד מהאנשים שפרטיהם נחשפו, ולהסביר להם בשפה פשוטה מה קרה וכיצד עליהם לנהוג כדי למזער את הסיכון לנזק, אלא אם חלו בנסיבות העניין אחד החריגים הקבועים בחוק. כך למשל, הודיעה פייסבוק ל-90 מיליון משתמשים על הפרצה שהתגלתה, והוציאה אותם באופן אוטומטי מחשבונם.
כל מנהל בחברה טכנולוגית יודע שפריצות למאגרי מידע וגילוי כשלים באבטחת המידע של מערכות תוכנה הוא עניין שבשגרה. אמצעי אבטחה רבים נמצאים בשימוש כדי למנוע פריצות שכאלה, ונושא הגנת המידע מצוי בעדיפות עליונה בארגונים רבים. עם זאת, ההאקרים גם הם אינם קופאים על שמריהם, ואפילו טעויות אנוש יכולות ליצור פרצות אבטחה שיש לדווח עליהן, גם אם לא נגרם נזק ולא נעשה שימוש בלתי חוקי במידע. לכן, כמעט כל חברה טכנולוגיה ישראלית תמצא את עצמה, מתי שהוא, עומדת בפני הצורך להודיע לרשויות הגנת המידע באירופה על פריצה למאגרי מידע אישי.אך הבעיה האמיתית איננה ההודעה על הפריצה עצמה. הצרות הגדולות הן ההשלכות המשפטיות והכלכליות על החברה שנאלצה לתת הודעה כזו. חברות ישראליות ללא נציגות קבועה באירופה תאלצנה לדווח לכל 28 רשויות המידע במדינות האיחוד האירופי על פריצה תוך 72 שעות לכל המאוחר. במקרה של פריצה, שהוא כאמור די נפוץ, רשויות הגנת המידע יבחנו לראשונה, אך בקפידה יתרה נוכח הפריצה, האם החברה ומוצריה עומדים בהוראות חוקי הגנת המידע כולן.
ההוראות, כפי שאתם יכולים לצפות, הן רבות מאוד, ועוסקות בזכויות האנשים שפרטיהם נשמרים (כמו הזכות לגשת למידע, לתקן אותו, או "להישכח"), כמו גם בחובות החברה השולטת על מאגרי מידע אישי, חובות החברות המעבדות את המידע, החובה למנות בעלי תפקידים בארגון, דרכי ההתמודדות עם בקשות מידע, ועוד ועוד. הקנסות על הפרת ההוראות עשויים להגיע ל-20 מיליון יורו או 4% מההכנסות השנתיות של החברה, הגבוה בין השניים, ובנוסף החברה עשויה להיתבע בנזיקין על ידי האנשים שנעשה שימוש בפרטיהם שלא כדין. כך הודעה אחת על פרצת אבטחה עלולה להכניס חברת טכנולוגיה ישראלית לסחרחורת משפטית שתעלה לה בזמן רב של עורכי הדין, מנהלי המוצר, מתכנתים, אנשי אבטחת המידע, ואולי גם בהון רב בקנסות ונזקים.
בפייסבוק עובדים אלפי מהנדסי תוכנה והמומחים הגדולים בעולם לאבטחת מידע. החברה פעלה רבות בשנתיים האחרונות כדי לעמוד בהוראות ה-GDPR, ועדיין היא עומדת בפני מספר תביעות ענק בגובה מיליארדי דולרים עקב הפרת הוראות החוק. עתה, נוכח הפרצה האחרונה, עשויה רשות הגנת המידע באירלנד להטיל עליה קנסות נוספים. כיון שפייסבוק מחזיקה אוצר של מידע אישי רגיש והיא בעלת כיסים עמוקים, רשויות הגנת המידע באירופה וערוצי החדשות יתמקדו בה. אך הסיפור האמיתי הוא שפרצות אבטחת מידע ואי התאמה של אפליקציות ושירותים דיגיטליים להוראות החוק באירופה הם עניין שבשגרה. למעלה מ-90% מהחברות בארץ עוד לא נערכו כראוי להתמודדות עם הוראות ה-GDPR. זה רק עניין של זמן עד שגם חברות ישראליות יהיו בכותרות, ותחת עיניהן הבוחנות של רשויות הגנת המידע והפרטיות באירופה.הכותב הוא עו"ד, מומחה לחוקי הגנת המידע והפרטיות באירופה (GDPR), כיום הוא מנהל את GDPReady, העוסקת בהכנת חברות ישראליות להוראות חוקי הגנת המידע באירופה
לא התפרסמו תגובות לכתיבת תגובה