בתחילת השנה נכנסה לתוקף רגולציה עדכנית ומהפכנית בתחום אבטחת הסייבר, אשר מחייבת לראשונה את כלל הגופים הציבוריים בישראל לעמוד בסטנדרטים מחמירים, במטרה להגן על המידע הרגיש של הציבור ולמנוע מתקפות זדוניות. השינויים בחוק מבוססים על ניסיון העבר, מקרי פריצה חמורים שנרשמו בשנים האחרונות, וההבנה שגם גופים מדיניים ומוסדות עירוניים נמצאים כיום בקו החזית של איומי הסייבר העולמיים.
מה כוללת הרגולציה החדשה?
החוק המתוקן קובע שורה של נהלים ודרישות:
* חובת מינוי ממונה אבטחת מידע וסייבר בכל גוף ציבורי.
* ביצוע סקרי סיכונים והערכת פרצות באופן שנתי.
* נהלי דיווח מהירים למוקד הסייבר הלאומי על כל אירוע חריג.
* יישום הגנות טכנולוגיות מתקדמות (כגון אנטי-וירוס, פיירוול, הצפנה והפרדת רשתות).
* חובת הדרכה והסמכת עובדים להתמודדות עם איומי סייבר ומתקפות "פישינג".
* אחריות אישית למנהלי מערכות המידע והסייבר לסיכונים שהתממשו כתוצאה ממחדל ניהולי או תפעולי.
החידוש העיקרי טמון באכיפה המוגברת: הרשות להגנת הסייבר תורשה לבצע ביקורות פתע, להטיל קנסות על גופים שיימצאו לא עומדים בדרישות, ואף לדרוש פרסום לציבור במקרה של אירוע דליפה. לצד גזרים אלה ישנן גם תמיכות – המדינה תקצה תקציבים מיוחדים לשדרוג מערכות מידע ולהדרכת כוח אדם, בייחוד ברשויות מקומיות קטנות.
מה ההשלכות המעשיות?
עבור הגופים הציבוריים – עיריות, משרדי ממשלה, קופות חולים, חברות תשתית ועוד – הרגולציה אינה בגדר המלצה. היא מחייבת השקעה מיידית בשדרוג מערכות, הכנסת נהלים ברורים, ותיעוד שוטף של כל פעילות שיכולה להיחשב "אירוע אבטחה". רבים מבקשים לדעת – כיצד ישפיעו הכללים החדשים על איכות השירות? האם הביורוקרטיה תכביד, או דווקא תוביל לחדשנות?
יתרון מרכזי טמון בהאחדה: כל גוף ציבורי, ללא קשר לגודלו, חייב לעבוד על-פי אותם תקנים. המשמעות – תקלות באבטחת מידע לא ישארו "בינאריות" או עניין פנימי של כל רשות, אלא חשופות לתיאום, סיוע ופתרונות טכנולוגיים ברמה הלאומית. בנוסף, החשש מאחריות אישית יוביל, ככל הנראה, לשיפור תמידי בתוקף ובטכנולוגיה המופעלים.
עם זאת, יש גם ביקורת: לא כל הגופים ערוכים לקלוט את התקנות בזמן קצר, ומנהלי מערכות המידע מזהירים מפערי תקציב, חוסר משאבים ובעיקר – פערי ידע. בפועל, מדובר בשינוי תרבותי עמוק שחייב להיבנות על אימון, הבנה ונכונות לשתף מידע בין כלל הגופים.
חזון להמשך
המהלך הנתון מרחיב את השיח על אחריות המדינה בתחום ההגנה על המידע האישי. האם ישראל עומדת בתחרות מול תקנות באיחוד האירופי (GDPR) או בארה"ב? ימים יגידו. מה שבטוח – ההגנה על הסייבר הופכת להיות עניין חוקי ממדרגה ראשונה, והציבור יכול לדרוש דין וחשבון כאשר ידע אישי יזלוג חלילה החוצה. הרגולציה החדשה לא רק מחייבת להיערך טוב יותר, אלא עשויה לשפר את השירות, להגביר אמון הציבור, ולשים את ישראל בחזית החדשנות באבטחת מידע ציבורית.