אירוע אבטחת מידע לא מגיע בהודעה מסודרת. הוא מתחיל ברוב המקרים בדוא"ל מחשיד, בהתרעה של אנטי־וירוס, בשיחת טלפון ממישהו שראה משהו מוזר, או – במקרה הגרוע ביותר – בכותרת בעיתון. מאותו רגע, לעסק שלך יש 72 שעות לדווח לרשות הגנת הפרטיות, להעריך את היקף הנזק, לעדכן גורמים מוסמכים ולהתחיל תהליך שיקום. המאמר הזה מפרק את הזמן הזה לשלושה פרקים, עם צ'ק־ליסט לכל פרק.
מה נחשב אירוע אבטחה שחייב דיווח
לפי תיקון 13 ותקנות אבטחת מידע, אירוע אבטחה חמור הוא אירוע שבו אירעה אחת לפחות מהבאות:
- חשיפה של מידע אישי של מעל 1,000 אנשים.
- חשיפה של מידע בעל רגישות מיוחדת (בריאות, גנטיקה, פיננסי, ביומטריה) ללא קשר לכמות.
- פגיעה שלמה בזמינות המערכת באופן שמונע שירות.
- פעולה זדונית שכללה שינוי / מחיקה / הצפנת כופר.
- חשיפה של מידע שעלולה לגרום לנזק ממשי (כספי, מוניטין, אפליה).
לא הכל אירוע – אבל בספק, מתעדים
לא כל התקרית היא אירוע שחייב דיווח. אבל תמיד כדאי לתעד אירועים גם אם הם נראים קטנים – כי בחקירה מאוחרת יתכן שיתגלה שההיקף גדול יותר. חוסר תיעוד = חוסר יכולת להתגונן.
פרק 1 – השעות הראשונות (0 עד 4)
זיהוי, בידוד, הפעלת צוות
המטרה: לעצור את הדימום ולא להחמיר. במקרה של חשש, עדיף לנתק קודם ולחקור אחר כך.
- בידוד הרכיבים המעורבים – ניתוק שרתים, נעילת חשבונות משתמש, הקפאת גישה למאגרים.
- הפעלת צוות תגובה – DPO, מנהל IT, מנכ"ל, יועץ משפטי. מינוי "מנהל אירוע" בעל סמכויות קבלת החלטות.
- לא למחוק כלום – לוגים, מיילים, קבצי מערכת. מחיקה עלולה להשמיד ראיות ולחבל בחקירה ובהגנה המשפטית.
- תיעוד ראשוני – מתי התגלה, איך, מי דיווח, אילו פעולות ננקטו בכל רגע.
- לא לפרסם – טרם הובנה התמונה, הצהרה פומבית עלולה להפר התחייבויות ו/או לחשוף לתביעות.
הטעות הכי נפוצה
"בואו נפתור את זה בשקט בינינו". זו הטעות שהופכת אירוע של חצי יום לפרשה של שבועות. אם יש חובת דיווח – הרשות תגלה בסוף, ואז העונש על הסתרה כפול מהעונש על האירוע המקורי.
פרק 2 – היממה הראשונה (4 עד 24)
הערכת היקף, מקור ופגיעה
המטרה: להבין מה בדיוק קרה, למי חשוף המידע, ומה חומרת הסיכון לנושאי המידע.
- ניתוח טכני מלא – איזה מאגר נפרץ, אילו שדות נחשפו, האם יש חשד לגניבה או רק גישה לא מורשית.
- כימות – כמה נושאי מידע הושפעו? אילו קטגוריות מידע (שם, ת"ז, כרטיס אשראי, בריאות, סיסמה)?
- הערכת נזק פוטנציאלי – מה הסיכון שהמידע ישמש לגניבת זהות / הונאה / פגיעה בפרטיות?
- יצירת קשר עם ספקי שירות רלוונטיים – ספק ענן, ספק אבטחה, חברת ביטוח סייבר, יועץ תקשורת (אם רלוונטי).
- הכנת טיוטת דיווח לרשות – הטופס הרשמי של רשות הגנת הפרטיות. כתיבה מדויקת חשובה.
- החלטה על יידוע נושאי מידע – אם הסיכון גבוה, יש לעדכן ישירות; אם נמוך, ייתכן שמספיק עדכון כללי.
פרק 3 – חובת הדיווח (24 עד 72)
דיווח, תקשורת, שיקום
המטרה: למלא את חובות החוק במלואן, להחזיק בשליטה על הנרטיב, ולהיכנס לתהליך שיקום מסודר.
- דיווח לרשות הגנת הפרטיות – טופס דיגיטלי מלא, תוך 72 שעות מרגע הידיעה. אם לא מספיק מידע, אפשר דיווח ראשוני ואז השלמה.
- יידוע נושאי מידע – במקרים של סיכון ממשי. הודעה אישית, ברורה, הכוללת: מה קרה, מה המידע, מה הסיכון, מה נעשה, מה הלקוח יכול לעשות.
- דיווחים נלווים – במידת הצורך: משטרה (סייבר), בנק, חברת אשראי, ספקים עסקיים.
- תקשורת ציבורית מוסדרת – הצהרה לתקשורת / באתר. עדיף להקדים; תמיד גרוע יותר כשעיתונאי מתקשר ראשון.
- תיעוד ראייתי – יומן אירוע מלא, צילומי מסך, לוגים, מיילים, הקלטות של ישיבות התגובה.
"72 שעות זה מעט זמן. אבל 72 שעות עם תוכנית מסודרת מראש – זה מספיק. 72 שעות בלי תוכנית – זה אסון."
מה לכתוב לרשות – מבנה הדיווח
הדיווח לרשות חייב לכלול, לכל הפחות:
- תיאור האירוע – מה קרה, מתי התגלה, כיצד.
- היקף המידע שהושפע – כמות נושאי מידע, קטגוריות מידע.
- השלכות אפשריות – הערכת הסיכון לנושאי המידע.
- אמצעי תגובה שננקטו – בידוד, שחזור, חקירה.
- אמצעי מניעה עתידיים – איך יימנע הישנות.
- פרטי איש קשר (DPO או עו"ד) למעקב.
טעויות נפוצות שהופכות אירוע קטן למשבר
טעויות שחוזרות על עצמן
מחיקת לוגים לפני החקירה · דיווח מוקדם מדי עם מידע לא מדויק שצריך אחר כך לחזור בו · איחור בדיווח ללקוחות שמגלים זאת מהתקשורת · הבטחות מוגזמות "לא דלף שום מידע אישי" לפני שהחקירה הסתיימה · העדר DPO שמוביל לכך שאף אחד לא יודע מה לעשות · תקשורת לא אחידה – שלושה אנשי צוות מדברים עם שלושה עיתונאים בשלוש גרסאות שונות.
צ'ק־ליסט מוכן: מה צריך להיות מוכן מראש
אסון לא מתכוננים כשהוא קורה – מתכוננים אליו בזמן שלום. ודאו שיש לכם את הבאים מוכנים לפני שאירוע מתחיל:
- נוהל תגובה לאירוע אבטחה כתוב ומעודכן (עודכן בשנה האחרונה).
- רשימת אנשי קשר פנימיים וחיצוניים עם טלפונים ניידים.
- תבנית דיווח לרשות הגנת הפרטיות מוכנה, עם שדות לסמן.
- תבנית הודעה לנושאי מידע בעברית ואנגלית.
- גישת חירום ל־DPO – 24/7.
- ביטוח סייבר תקף עם פרטי איש הקשר של המבטח.
- תרגול שנתי (Table-top exercise) לצוות התגובה.
רוצה נוהל תגובה לאירוע אבטחה מוכן לעסק שלך?
Privora בונה תוכנית תגובה מלאה ב־5 ימי עבודה – כולל נוהל, תבניות דיווח, ותרגול צוות. מונע את האסון לפני שהוא מגיע.
דבר איתנו ←לסיכום
אירוע אבטחת מידע הוא לא "אם" – הוא "מתי". הסטטיסטיקה העולמית מראה שתוך 5 שנים, לכל ארגון יש סבירות גבוהה לחוות אירוע כלשהו. ההבדל בין חברה שנושרת לחברה ששורדת הוא בדיוק נקודה אחת: היערכות מראש. עם תוכנית כתובה, נוהל מתורגל, DPO זמין, וצוות שיודע מה לעשות – 72 השעות הקריטיות הופכות ממשבר שמאיים על העסק, לאירוע מנוהל שנסגר מהר, בלי עיצומים, ובלי נזק למוניטין. עד כדי כך חשוב זה להתכונן.