■ קווים מנחים לאסטרטגיית אבטחה לאומית, מזכר זה טוען כי הגופים המופקדים על הנחיית האבטחה בישראל פועלים באופן חסֵר ובלתי מסונכרן. לנוכח המצב הזה, מוצג ומנומק במזכר הצורך להקים רשות ממלכתית לאבטחה, שתהיה מופקדת על הנחיית האבטחה בישראל ותשמש גורם בר סמכא לעניין זה. רשות זאת תרכז, תכוון ותנחה את פעילויות האבטחה הלאומיות, הממלכתיות והפרטיות בישראל. בתהליך המחקר נערכה סקירה של מצב הדברים בתחום האבטחה במדינות אחדות. ראוי להדגיש שנמצא שבמדינות רבות התקיים תהליך אסדרה והגדרה של האבטחה מבחינת האחריות, התקינה והסמכויות. עוד נמצא, כי כל המדינות שנבחנו סובלות מאותה לקונה של היעדר גוף ממשלתי המרכז תחתיו את כל נושא האבטחה. בכולן קיימים מרחבים של אי־בהירות בין הגופים השונים הנוגעים לתחומי האחריות ולסמכות, אך בעוד שכמה מן המדינות פועלות לתקן חלק מהליקויים באמצעות חקיקה ואסדרה, נותרה ישראל מאחור. בקשת האיומים על ישראל יש איומים רבים של גורמי טרור ופשיעה, ולכן נדרש לבחון מודלים עדכניים ולבחור חלופה ראויה להסדרתו של תחום האבטחה. • הקמתה של רשות אבטחה לאומית - במזכר מוצגת הצעה להקים רשות לאומית עצמאית לאבטחה, שתהיה כפופה לשר ממונה ושתוכל להביא בחשבון את מכלול הצרכים, את כלל העוסקים בתחום ואת האיזון הנדרש במשטר דמוקרטי. רשות לאומית זאת תהיה גוף מטה שיקבע את התקנים ואת הקריטריונים בתחום המבצעי, המודיעיני, התורתי, ההדרכתי והטכנולוגי וכן בכל הנוגע למשאב האנושי, והיא תשמש כתובת לכל העוסקים באבטחה באשר הם. רשות האבטחה לא תחליף את גופי הביצוע הקיימים, אם כי ייתכן שכמה מהם ייאלצו לשנות את דרכי עבודתם עקב כינונה. זאת, מכיוון שההנחיה הראשית תהיה בסמכות הרשות המוצעת, ועל הגופים הקיימים תוטל האחריות לתרגם את הנחיותיה להוראות ביצוע לכפופים להם ולפקח על הביצוע. נוסף על כך, יידרשו הגופים הקיימים להעביר לרשות מודיעין שברשותם. ייעודה של הרשות יהיה לפתח (ובהמשך לעדכן) תפיסת אבטחה לאומית, ולפעול ליישומה בפועל, להמליץ לממשלה על מדיניות האבטחה בישראל ולהנחות את גופי הרגולציה ואת גופי הביצוע השונים בהתאם למדיניות זו. התפקידים העיקריים של הרשות, המפורטים להלן, ייגזרו מייעודה: לפתח תפיסה לאומית לאבטחה בישראל וליישמה בפועל. להיות הגורם המנחה המרכזי של הרגולטורים בתחום האבטחה (המשטרה, צה"ל, המלמ"ב, השב"כ), להנחות את הגופים האזרחיים שאינם כפופים לרגולטורים אלה, לייעץ לגופים הנוספים שיש להם נגיעה לתחום הרגולציה באבטחה, ובהם הרשות להגנת הפרטיות, משרד הכלכלה ואגף הפיקוח על היצוא הביטחוני (אפ"י), ולהנחות אותם בכל הנושאים המשפיעים על תחום האבטחה. לגבש את איום הייחוס ולקבוע סדרי עדיפויות במתן המענה. לפקח על יישום התפיסה. לאשר לארגון הרשות ובעלי התפקידים שבה, מוצע שהיא תיבנה במבנה מטריציוני, ולצד בעלי תפקידים נושאיים תכלול גם רפרנטים לגופים ולמוסדות שמונחים כיום וגם לגופים ולמוסדות שאינם מונחים כיום. האחריות שנמצאת היום בידי גופי ההנחיה )המשטרה, צה"ל, השב"כ והמלמ"ב) ותישאר בידיהם, אך הם יהיו כפופים לעקרונות שתכתיב הרשות בכל הנוגע לתפיסת האבטחה, לכוח האדם ולהכשרות הנדרשות. • הוגדרו תחומים אחדים שעל הרשות יהיה לפתחם, ובהם: פיתוחה של תפיסת אבטחה לאומית. מתפיסה זאת צריך יהיה לגזור תורת אבטחה, דהיינו לקבוע את השיטות ואת האמצעים ליישומה של תפיסת האבטחה הלאומית. הכשרת כוח אדם מקצועי מתאים, שהוא המרכיב הקריטי ביכולת לממש את תפיסת האבטחה הלאומית ואת תורת האבטחה הלאומית. כדי שתוכל להכשיר כוח אדם מקצועי, על רשות האבטחה הלאומית לאפיין את מקצועות האבטחה הנדרשים, לאפיין את תנאי הסף לקבלה להכשרה ולעבודה, לפתח תהליכי הכשרה מתאימים לבעלי התפקידים ולהקים מנגנון בקרה שיוודא את עמידתם של בעלי התפקידים בדרישות הרשות. אפיון של אמצעי הלחימה ושל האמצעים הטכנולוגיים המתאימים ביותר לגורמי הביצוע הרלוונטיים ומתן סיוע לרכישתם של אמצעים אלה. נוסף על כך, יהיה על הרשות לזהות פערים טכנולוגיים ולאפיין את הצורך המבצעי העתידי, כדי להביא לפיתוח ולרכישה של אמצעי לחימה הנדרשים להתמודדות עם איומים עתידיים, וכדי לתכנן תקציב אבטחה לטווח הארוך. בנוסף, תיקוף והטמעה של תפיסת האבטחה הלאומית ושל תורת האבטחה באמצעות תוכנית תרגילים ואימונים מקיפה שתשולב בשגרת התרגילים הלאומיים של המדינה ובאמצעות תרגילים ייעודיים שהרשות תיזום ותוציא לפועל. ולבסוף, עבודה מול הרשות המחוקקת והרשות השופטת בענייני חקיקה הנוגעת לתחום האבטחה ולפרשנות החוק בבית המשפט. אין עוררין, המצב הקיים בישראל מחייב להקים רשות אבטחה. לשם כך, נדרשים כמה צעדים מקדימים, והראשון שבהם הוא אישור עקרונות מסמך זה על ידי ממשלת ישראל, כדי שתתקבל החלטה להקים בישראל רשות אבטחה לאומית. לאחר אישור הקמת הרשות יהיה צורך לבחון את התוכנית המוצגת במזכר זה בעבודת עומק נרחבת. כמקובל בישראל, יהיה קשה להקים גוף חדש ועוצמתי ללא שיתוף פעולה של כל גורמי הביטחון והביצוע. לפיכך, מוצע שכל גופי ההנחיה בתחום האבטחה ישתתפו בגיבוש סופי ומדויק של הדרישות מהרשות ובהגדרה של מבנה הרשות בהתאם לכך. המשך קריאה בלינק, https://www.linkedin.com/posts/hagai-baram-a3721aab_%D7%A7%D7%95%D7%95%D7%99%D7%9D-%D7%9E%D7%A0%D7%97%D7%99%D7%9D-%D7%9C%D7%90%D7%A1%D7%98%D7%A8%D7%98%D7%92%D7%99%D7%99%D7%AA-%D7%90%D7%91%D7%98%D7%97%D7%94-%D7%9C%D7%90%D7%95%D7%9E%D7%99%D7%AA-activity-6895640379560198144-7fo8 המאמר נכתב ע"י: גבי סיבוני, חגי ברעם, פרי נובוטני, יצחק )יצ'קו( שד"ר, חיים קניג, עודד רז, צביקה קנפר, שלמה הרנוי, שלמה אהרונישקי. הפניות: המכון למחקרי ביטחון לאומי INSS, מזכר 192 יולי 2019 https://www.inss.org.il/he/publication/strategy-protection-national-a-for-g

לשכת עורכי הדין מציגה כללים חדשים: דין משמעתי למי שישתמש בתוכנות חינמיות כמו ג'ימייל ■ דרמה של ממש בתחום הגנת הפרטיות במשרדי עורכי הדין. לאחר היוועצות עם ועדה הכוללת בכירים במערך הסייבר הלאומי, הרשות להגנת הפרטיות ומחלקת ייעוץ וחקיקה במשרד המשפטים, ועדת האתיקה הארצית של לשכת עורכי הדין בראשות עו"ד מנחם מושקוביץ יוצאת ברפורמה המטילה על ציבור עורכי הדין אחריות חוקית לאבטחת המידע הסודי של לקוחותיהם. ■ מנגנון אימות דו שלבי ושימוש בזום למעשה, ועדת האתיקה מציבה רף מינימלי של חובת אבטחת מידע - אי עמידה בו תשמש כחזקה, לכאורה, בדבר הפרת חובתו האתית של עורך הדין בקשר עם חובת הסודיות וחיסיון עורך דין/לקוח, המוטלת עליו לאבטחה הולמת של המידע הסודי . ■ עמידה ברף המינימלי כשלעצמה תהווה תנאי חיוני, אך לא בלעדי, כדי להוות ראיה בדבר עמידת עורך הדין בחובתו. על-מנת שעורך הדין ייהנה מהחזקה לתקינות פעולתו, עליו להראות כי נקט באמצעי אבטחה התואמים את אופי המידע הסודי ופעילות משרדו. גם אם יתברר שזלג מידע, עמידה בהמלצות תשמש כבסיס להנחה כי עורך הדין עמד בחובותיו האתיים לאבטחת המידע. המשך קריאה בלינק, https://www.globes.co.il/news/article.aspx?did=1001400731

מדריך לארגונים: משרד המשפטים ■ הרשות להגנת הפרטיות, מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו, היתרונות לארגון וללקוחות מינויו של ממונה על הגנת הפרטיות באופן וולונטארי מהווה פרקטיקה ראויה ומומלצת (Practice Best ) לארגונים האוספים ומעבדים מידע אישי, בעלי מאגרים ומחזיקים כאחד. מדוע ? • הממונה יסייע לארגונכם לוודא כי הוא עומד בהוראות דיני ההגנה על מידע אישי בישראל. • עצם המינוי הוא אינדיקציה כי הארגון שלכם נקט ונוקט צעדים לצמצום הסיכון לפגיעה בפרטיות ולהגנה על המידע האישי הנשמר ברשותו. • מינוי הממונה יחסוך לארגון זמן וכסף. ■ מיהו ממונה הגנה על הפרטיות בארגון? • מופקד על קידום הזכות לפרטיות ועל יישום דיני ההגנה על מידע אישי בארגון. ■ תפקידו המרכזי: • להביא להפנמה של עקרונות ושיקולי פרטיות בתהליכי העבודה בארגון, ולסייע לארגון במימוש אחריותו וחובותיו לפי דיני הגנת הפרטיות. ■ מעמדו בארגון? • חלק מההנהלה הבכירה של הארגון, או לכל הפחות מי שממלא תפקיד זה בארגון ידווח ישירות להנהלה הבכירה, וישולב בהיררכיה של הארגון בעמדה בכירה דיה, שיאפשר לו להשפיע באופן אפקטיבי על התהליכים המרכזיים בארגון. ■ באילו ארגונים כדאי למנות ממונה הגנה על הפרטיות? • ארגונים שעסקיהם או השירותים שמספקים הם מבוססי מידע ) .)data driven • ארגונים שקיימת סבירות שפעילותם תיצור סיכון מוגבר לפרטיות, בין היתר מהטעמים הבאים: • מאפייני הארגון )למשל גופים ציבוריים וגופים הסוחרים במידע(. • סוג המידע ורגישותו )למשל מידע רפואי רגיש או מידע ביומטרי(. • מידע על אוכלוסיות מיוחדות )למשל קטינים(. • היקף המידע או מספר מורשי הגישה אליו. ■ האם עלינו למנות ממונה הגנה על הפרטיות מתוך הארגון או מחוצה לו? • ממונה הגנת הפרטיות יכול להיות מינוי פנימי, עובד החברה, או מינוי חיצוני לחברה. ■ תפקידיו של ממונה ההגנה על הפרטיות • היקף תפקידו של הממונה על הגנת הפרטיות בארגון ייקבע על פי מורכבות פעולות עיבוד המידע האישי שמתבצעות בארגון וגודלו! • להלן מפורטים תפקידים ומשימות שמומלץ לשקול להטיל על הממונה בהתאם למאפייני הארגון: הסדרת תהליכי ניהול מידע בארגון: • לנסח את מדיניות הפרטיות של הארגון ולהביאה לאישור ההנהלה הבכירה. • להיות מעורב לאורך כל מחזור החיים של תהליכי עיבוד מידע בארגון, על מנת לוודא שפעילות עיבוד המידע מבוצעת באופן המפחית ככל הניתן את הסיכונים לפרטיות לקוחות הארגון. • מעורבות בעיצוב מערכות המידע של הארגון ובתהליכים הקשורים בהן, על מנת לוודא, ככל הניתן מראש, כי מערכות המידע בנויות באופן שיפחית את הסיכון לפגיעה בפרטיותם של נושאי המידע בהתבסס על תפיסת "עיצוב לפרטיות" (Privacy By Design) ותפיסת "פרטיות כברירת מחדל" (Privacy By Defaul). ■ מהן תפיסות עיצוב לפרטיות ופרטיות כברירת מחדל? • אלו תפיסות הדוגלות בעיצוב מערכת המידע להגנה אופטימאלית על הפרטיות ולצמצום איסוף המידע ועיבודו למינימום ההכרחי, כבר משלב התכנון המוקדם וגם לאורך כל מחזור החיים של המידע והשימוש בו. המטרה היא שעיצוב המערכות ישרת את התכליות העסקיות של הארגון, בד בבד עם מזעור הסיכונים לפרטיות. • לבדוק את הנהלים ומדיניות הארגון בתחום הפרטיות ואת עמידתם בהוראות חוק הגנת הפרטיות וכן לבצע מעקב, בקרה, ועדכון של הנהלים במידת הצורך. • לנהל את עריכתו של תסקיר השפעה על הפרטיות (Privacy Impact Assessment) במקרים בהם ביצועו נדרש על פי דין או מבוצע באופן וולונטרי ביוזמת הארגון, ולעקוב אחר הטמעת מסקנותיו. • לקבל דיווח על ביצוע סקר סיכוני אבטחת מידע ולעקוב אחר הטמעת המלצותיו. • לטפל בתלונות הנוגעות לעיבוד מידע אישי ולזכות לפרטיות, ובפניות של לקוחות הארגון לרבות בקשות לעיון במידע או לתיקונו. ■ פיקוח ובקרה: • להכין תכנית עבודה שנתית שתובא לאישור ההנהלה הבכירה בארגון, ליישום ופיקוח על קיום הוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו, ולבירור הפרות של הוראות החוק. • לדווח להנהלה הבכירה בארגון, בלא דיחוי, על ממצאים של פעולות הפיקוח, הבדיקה, והבירור שביצע. • לקיים בקרה על אופן תיקון הליקויים שהתגלו בממצאי הפיקוח והבירור. • להגיש להנהלה הבכירה בארגון ולדירקטוריון, אחת לשנה, דוח על פעילותו בנושא פרטיות. • לשתף פעולה באופן הדוק עם הממונה על אבטחת המידע בארגון בנושאים הקשורים בהגנת פרטיות המידע, ובקיום הוראות חוק הגנת הפרטיות. • לשמש איש קשר מול הרשות להגנת הפרטיות - להיות אחראי על הגשת דיווחים ועדכונים לרשות, ככל הנדרש על פי דין, לרבות הודעה על שינוי בפרטי רישום המאגר ודיווח על התרחשות אירוע אבטחת מידע חמור. ■ הדרכה והטמעה: • לשמש סמכות מקצועית ומוקד ידע. • להנחות את הנהלת הארגון ועובדיו בנושא הגנת פרטיות. • לקדם את ההגנה על הפרטיות במידע ואת הציות להוראות חוק הגנת הפרטיות בארגון, בין היתר, בדרך של הדרכת העובדים. ■ סמכויות ועצמאות: • הבטיחו כי הממונה יהיה מעורב בכל הנושאים המהותיים הנוגעים להגנה על מידע אישי בארגון. • דאגו כי כל המשאבים והסמכויות הנדרשים למילוי תפקידו עומדים לרשותו, ובכלל זה גישה למידע אישי ותהליכי עיבוד מידע, כמו גם המשאבים הנדרשים לשימור מומחיותו בנושא דיני ההגנה על מידע אישי בישראל. • הבטיחו כי הממונה יהיה בעל עצמאות מוסדית ומקצועית. • במידה והממונה משמש במקביל בתפקיד נוסף בארגון, וודאו כי הדבר אינו יוצר ניגוד עניינים. ■ ידע והכשרה: מומחיותו של ממונה ההגנה על הפרטיות נדרשת להיות משולבת, כך שתאפשר הבנה מיטבית של התהליכים בארגון ברמה טכנולוגית והעסקית, לצד יכולת לבחון את התאמתם לדרישות החוק ולמדיניות הארגון. - כדי שיוכל למלא את תפקידו באופן אפקטיבי, תחומי הידע של ממונה הגנה על פרטיות צריכים לכלול לכל הפחות - • ידיעה מעמיקה של דיני הפרטיות וההגנה על מידע אישי בישראל (לא בהכרח במסגרת השכלה משפטית פורמאלית); • הבנה מספקת בתחום טכנולוגיות המידע והבנה בסיסית בתחום אבטחת המידע, בשים לב להיקף ולמידה בהם הארגון מבוסס מידע וטכנולוגיה. דהיינו, ככל שליבת העיסוק של הארגון כרוכה בעיבוד מידע אישי, נדרשת מידת הבנה רבה יותר בתחום אבטחת המידע וטכנולוגיות המידע. - הכשרה ותחומי ידע נוספים העשויים לשפר את תפקוד הממונה ואת התועלת שתצמח ממנו לארגון: • הכשרה אקדמית או מקבילה במשפטים, חשבונאות, טכנולוגיית מידע, ניהול תהליכים או ברגולציה; • היכרות עם דיני ההגנה על מידע אישי באירופה ובארצות הברית או בשווקים אחרים בעולם הרלוונטיים לארגון; • היכרות עם הפן העסקי של ניהול ארגון; • אתיקה. מקורות: משרד המשפטים, הרשות להגנת הפרטיות, https://www.gov.il/BlobFolder/reports/dpo_doc_kit/he/dpo_kit.pdf

הרשות להגנת הפרטיות משיקה לומדות שיאפשרו הכרה טובה יותר של הוראות חוק הגנת הפרטיות והתקנות מכוחו https://www.gov.il/he/departments/news/new_interactive_software

האם חשבתם שיש לכם פרטיות? חישבו שוב בבקשה הרשות להגנת הפרטיות פרסמה דוח מדאיג, מן הכתוב: "פיקוחי הרוחב שאנו מבצעים נועדו לבדוק את רמת העמידה בהוראות חוק הגנת הפרטיות במגזרים שונים במשק בהם קיים סיכון מוגבר לפרטיות. ממצאי דו"ח פיקוח רוחב בקרב • 70 רשויות מקומיות בישראל, • 5 מיליון תושבים. • מידע אישי ורגיש על התושבים בהיקפים משמעותיים ובתחומי חיים שונים כגון חינוך, רווחה, כלכלה, דיור ועוד • בהתאם לממצאי הפיקוח, נמצאו ליקויים הדורשים תיקון בכל הרשויות שנבדקו. • מרבית הרשויות עמדו ברמה בינונית או נמוכה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע, כאשר כמחצית מהרשויות (48%) עמדו ברמה נמוכה בהוראות החוק בנושא. • הרשויות קיבלו מהרשות להגנת הפרטיות הנחיות ודרישה לתיקון הליקויים אז יש לנו פרטיות? הלינק לדוח המלא: https://www.gov.il/BlobFolder/reports/audit_report_local_municipality/he/local_authority_inspection_nov21.pdf

ועדת השרים לחקיקה אישרה את הצעת שר המשפטים לקידום תיקוני החקיקה בחוק הגנת הפרטיות. קידום תיקוני החקיקה בחוק הגנת הפרטיות שמוביל סגן רה"מ ושר המשפטים גדעון סער, נועדה לקדם את ההגנה על האזרח ולהתאים את החוק והאכיפה לעידן הדיגיטלי. להלן עיקרי תיקוני החקיקה בחוק הגנת הפרטיות: הפחתת הנטל הבירוקרטי באמצעות צמצום משמעותי בחובת הרישום על מאגרי המידע - במטרה למקד את הפעילות הרגולטורית של הרשות להגנת הפרטיות במאגרים המציבים איומים משמעותיים לפרטיות ולהפחית את הנטל הבירוקרטי על גופים המנהלים מאגרי מידע התאמת ההגדרות בחוק להתפתחויות הטכנולוגיות והחברתיות. הרחבת האכיפה המנהלית של הרשות להגנת הפרטיות - התאמת אמצעי הפיקוח וכלי האכיפה של הרשות להגנת הפרטיות לעידן הנוכחי ולמציאות הטכנולוגית, בדגש על כלי אכיפה מנהלית, ובראשם הסמכות להטיל עיצומים כספיים, תאפשר הרחבת הפעילות בתחומי ההגנה על המידע האישי גם אל מול חברות גדולות במשק. https://www.gov.il/he/departments/news/amendments_privacy_protection_act

בית משפט הוציא צו המורה על הסרת מידע אישי שהודלף משרתי חברת CyberServe - ספקיות האינטרנט ומנועי החיפוש ימנעו גישה אליו. הרשות להגנת הפרטיות: פתחנו בחקירה נגד אטרף, נאסר על החברה להעלות את האתר מחדש. בינתיים Black Shadow, קבוצת ההאקרים שחשפה את מאגרי המידע של אטרף ומכון מור, ממשיכה להדליף: פרסמה מידע מאתרים נוספים. https://www.gov.il/he/departments/news/leak_recommendations?fbclid=IwAR0cHWU3DNx_Ja9IMGP3yafk7MFOSeKJarw1aesXmgQeoNfxFx28_zGbf6I