זה כבר מזמן לא סוד – עולם הביטוח משמש יעד מועדף לתוקפים

מידע אישי ומסחרי רגיש – 'המטבע החדש שעובר לסוחר'

מתקפות סייבר, הצפנת מידע, דרישת כופר אולטימטום, ביטקוין, כופרה, רוגלה, נוזקה.
מי שמע על המושגים האלה עד תקופת הקורונה?
בד"כ היו אלה מושגים המוכרים רק לעצמאים וחברות שהותקפו ושילמו (כופר) או לא.
אך תקופת הקורונה, שאילצה ארגונים חברות ועצמאים בישראל ובעולם כולו. קבעה כאן 'כללי משחק חדשים'.
החשש של גורמי הביטוח היה מוצדק, 'אירוע שירביט' כך הוא נקרא בתעשייה, העלה לראש סדר העדיפויות את החשש בקרב גורמים בכירים בענף הביטוח, כמו גם הרגולטורים השונים ביניהם המפקח על שוק ההון, הרשות לאיסור הלבנת הון, מערך הסייבר הלאומי והרשות להגנת הפרטיות .

ענף הביטוח הוא 'יעד מועדף'

ענף הביטוח הינו ענף שכל העוסקים בו אוגרים את המידע הכי רגיש השייך לכל אחד ואחת מאיתנו, סוכני וחברות הביטוח יודעים עלינו הכל, ואין הכוונה רק למספר הזהות שלנו, למצב הרפואי, ומצבת הנכסים שהם בין יתר ההגדרות למידע רגיש עפ"י החוק. ((Startup שוו בנפשכם מידע אודות חברת הזנק שלאחר סבבי גיוס, מודבקת ו/או מושפעת ממתקפת סייבר על סוכן.ת או חברת הביטוח ומסכנת את המידע המסחרי שלה, וכך ניתן לחשוב על כל מי שמקבל שרות מחברות הביטוח, ביניהם אנשי ציבור, ממשל, משפט, מערכות הביטחון ועוד ועוד כמי שמידע אודותיו נמצא בסיכון גבוה.
נכון, צריך לומר זאת ביושר פגיעה ב 'שרשרת האספקה' של כל נותן ו/או מקבל שרות יכולה להיות הרת גורל.
רבים מאיתנו, לעבור לעבודה מהבית או ממקומות הבידוד, הביאה עימה חשיפה גדולה.
אכיפה שבוצעה על 28 סוכנויות ביטוח?
המתקפות, האכיפה, הקנסות כנגד עולם ביטוח – העלו את מודעות.
בחודש שעבר (אוקטובר 2022) פרסמה הרשות להגנת הפרטיות את תוצאות דו"ח פיקוח הרוחב בקרב 28 סוכנויות ביטוח "… כשני שליש מהסוכנויות (75%) עמדו ברמה גבוהה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע, 92% מהסוכנויות עמדו ברמה גבוהה בקריטריון של ניהול מאגרי מידע וכ- 71% מהסוכנויות עמדו ברמה גבוהה בקריטריון של בקרה ארגונית" (ההדגשה במקור י.ע)

האם זוהי צפירת ההרגעה הינה לגבי ענף הביטוח בכלל?

בל נטעה, המלאכה עוד מרובה היא – בעניין זה ניתן להביא את דבריו של עו"ד רביד פטל הממונה על פיקוח הרוחב ברשות להגנת הפרטיות : "הרשות תשקול לשוב ולבחון את עמידתן של סוכנויות הביטוח בהוראות החוק ותקנות אבטחת מידע והאכיפה כנגד גופים שלא יתקנו את הליקויים הנדרשים בהתאם להנחיות הרשות, תהיה מחמירה יותר" (ההדגשה אינה במקור י.ע)

אז מה היום צריך לעשות סו"ב על מנת להתכונן ולהתגונן?

סו"ב כמו כל מי שמחזיק מידע ומידע רגיש צריכים לעשות היום את מה שהיו אמורים לעשות 'אתמול'. כבר עתה יאמר שהדברים והחובות עפ"י חוק הגנת הפרטיות והתקנות אינם קשים ליישום, כל שנדרש היא הכרת החוק והתקנות. במילים אחרות החובות מסתכמות ב -5 צירים מרכזיים:
רישום וניהול מאגר מידע ◄ קיום נהלי אבטחת מידע ותיקופם ◄ התקנת אמצעי הגנה ◄
רכישת פוליסת ביטוח סייבר ◄ מודעות – קיום הרצאות וסדנאות הדרכות עובדים.

הקפדה על יישומם של כל חמשת הצירים תתרום משמעותית לצמצום 'משטח התקיפה' ותסייע לסו"ב בעת מתקפת סייבר, דלף מידע, אכיפה של הרשות להגנת הפרטיות ובוודאי בהליכים משפטיים עם לקוחות, עובדים, ספקים בקרות אחד או יותר מהאיומים הנ"ל.

*הכותב הינו עו"ד המתמחה בתחום דיני הגנת הפרטיות, אבטחת מידע וסייבר ויועץ לחברי לשכת סוכני הביטוח.

השירותים שלנו

אנו מתמחים במתן פתרונות לרגולציית וטכנולוגיית הגנת הפרטיות ואבטחת מידע, המותאמים לארגונים (חברות פרטיות וציבוריות, עמותות, חל"צ) וע פתרונות אישיים ומותאמים לעסק, וליישום בבתי המלון ומקומות הארחה, לרבות:
1. אפיון העסק והגדרת המאגר.
2. רישום מאגרים.
3. סקר עמידה בדרישות התקנות.
4. כתיבת נהלי אבטחה.
5. ניהול מסמכים מול שירותי מיקור חוץ הניתנים לארגון
6. ניהול יומן ביקורות תקופתיות.
7. שירות שוטף כממונה הגנת מידע פרטיות חיצוני.
8. פעילות פרו אקטיבית במטרה להקטין את הסבירות לפגיעה ולחשיפה.
9. סקר סיכונים לזיהוי חשיפות זליגת מידע (ממוקד בסוג מידע הקריטי לארגון).
10. ליווי בהטמעת טכנולוגיות אבטחת מידע והגנת הסייבר.
11. ליווי בביקורת משרד המשפטים.
אנו מייעצים לחברות ועסקים הכפופים לחוק ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017 ותקנות ה- GDPR החלות באירופה. ליווי לקוחותינו הינו תוך שימת דגש על היערכות נכונה והתגוננות בפני מתקפת CYBER העלולה לגרום נזקים רבים לעסק בכלל, ולמאגר המידע בפרט. ליווי לקוחותינו מתחיל בשלב שאלון ההכרות, בו נלמדים בקפידה פרטי מאגר המידע והתאמתו לדרישות החוק, עבור דרך תיקון ליקויים, כתיבת נהלי אבטחה, רישום מאגרי מידע, ייצוג בית העסק מול הרשות להגנת הפרטיות במשרד המשפטים. בנוסף, אנו מעניקים שרות חיצוני לביקורת אבטחת מידע והגנת הפרטיות. שירות זה כולל הטמעת נהלי אבטחת והגנת הפרטיות, ובכלל זה ביקורות תקופתיות בהתאם לדרישות התקנות והחוק.