דלג לתוכן הראשי
LLUMINATE
אבטחה8 דקות קריאה13 בדצמבר 2024

חובות דיווח על אירועי אבטחה - מדריך מעשי

כל מה שצריך לדעת על חובת הדיווח לרשות להגנת הפרטיות על אירועי אבטחה. לוחות זמנים, טפסים, ותהליך הדיווח המלא.

חובת הדיווח על אירועי אבטחה

תיקון 13 לחוק הגנת הפרטיות מחיל חובת דיווח מיידית על ארגונים שחווים אירוע אבטחה הכולל פגיעה במידע אישי.

מהו "אירוע אבטחה" לפי החוק?

אירוע אבטחה מוגדר כ:

  • גישה לא מורשית למאגר מידע
  • שימוש לא מורשה במידע
  • חשיפת מידע לגורם לא מורשה
  • שינוי או מחיקה לא מורשים
  • פגיעה בזמינות המידע

דוגמאות לאירועים המחייבים דיווח

| סוג אירוע | דוגמה | חומרה | |-----------|--------|--------| | דליפת מידע | פריצה לבסיס נתונים | גבוהה | | פישינג | עובד מסר סיסמה | בינונית-גבוהה | | אובדן מכשיר | לפטופ עם מידע אבד | בינונית | | כופרה | הצפנת קבצים בארגון | גבוהה | | שליחה בטעות | מייל עם מידע לנמען שגוי | נמוכה-בינונית | | גישה פנימית | עובד צפה במידע ללא הרשאה | בינונית |

לוחות הזמנים לדיווח

דיווח לרשות להגנת הפרטיות

תוך 72 שעות מרגע הגילוי יש לדווח לרשות אם:

  • האירוע עלול לגרום נזק לנושאי המידע
  • מדובר במידע רגיש
  • היקף האירוע משמעותי

דיווח לנושאי המידע

בהקדם האפשרי יש להודיע לנפגעים אם:

  • קיים סיכון גבוה לזכויותיהם
  • הם צריכים לנקוט פעולה (כמו החלפת סיסמה)

תהליך הדיווח - צעד אחר צעד

שלב 1: זיהוי והכלה (מיידי)

  1. זהו את סוג האירוע והיקפו
  2. בודדו את המערכות הפגועות
  3. עצרו את הדליפה/הפריצה
  4. שמרו ראיות

שלב 2: הערכת חומרה (תוך 24 שעות)

שאלות מנחות:

  • כמה רשומות נחשפו?
  • איזה סוג מידע מעורב?
  • מה הסיכון לנושאי המידע?
  • האם המידע הוצפן?

שלב 3: דיווח לרשות (תוך 72 שעות)

הדיווח כולל:

  • תיאור האירוע
  • סוגי המידע שנפגעו
  • מספר משוער של נפגעים
  • פעולות שננקטו
  • המלצות לנפגעים
  • פרטי קשר של DPO

שלב 4: הודעה לנפגעים (בהתאם לצורך)

ההודעה כוללת:

  • תיאור פשוט של מה קרה
  • סוג המידע שנחשף
  • מה הארגון עושה
  • מה הם צריכים לעשות
  • פרטי קשר לשאלות

שלב 5: תיקון ולמידה

  • תיקון הפגיעות שאיפשרה את האירוע
  • עדכון נהלים
  • הדרכה נוספת לעובדים
  • תיעוד לקחים

תבנית דיווח לרשות

פרטי הארגון:

  • שם הארגון
  • מספר ח.פ./ע.מ.
  • כתובת
  • פרטי DPO

פרטי האירוע:

  • תאריך ושעת גילוי
  • תאריך ושעה משוערים של האירוע
  • תיאור מפורט
  • סוג האירוע (דליפה/פריצה/אובדן/אחר)

היקף הפגיעה:

  • מספר רשומות שנפגעו
  • סוגי מידע (שם, כתובת, פיננסי, רפואי וכו')
  • האם מידע רגיש מעורב

פעולות שננקטו:

  • פעולות הכלה
  • חקירה פנימית
  • שיפורי אבטחה
  • הודעה לנפגעים

חריגים מחובת דיווח

לא תמיד נדרש דיווח. חריגים כוללים:

  • מידע מוצפן בהצפנה חזקה
  • אירוע ללא השפעה על נושאי מידע
  • פגיעה זניחה

חשוב: גם אם לא נדרש דיווח לרשות, יש לתעד את האירוע פנימית.

קנסות על אי-דיווח

  • עיצום כספי עד 1.6 מיליון ש"ח
  • פגיעה במוניטין
  • חשיפה לתביעות אזרחיות
  • החמרה בסנקציות על האירוע עצמו

הכנה מראש - תוכנית תגובה

כל ארגון צריך תוכנית מוכנה:

צוות תגובה:

  • מנהל הצוות
  • DPO
  • IT/אבטחה
  • משפטי
  • תקשורת

נהלים מוכנים:

  • תהליך זיהוי אירוע
  • עץ החלטות לדיווח
  • תבניות הודעה
  • רשימת אנשי קשר

תרגול:

  • סימולציות תקופתיות
  • עדכון הנהלים
  • הדרכת הצוות

סיכום

דיווח מהיר ומקצועי על אירועי אבטחה הוא חובה חוקית וגם אינטרס של הארגון. תגובה נכונה מפחיתה נזקים ומשמרת אמון.

צריכים עזרה בבניית תוכנית תגובה? LLUMINATE מספקת ליווי מלא בהכנה ובתגובה לאירועי אבטחה.

מאמרים קשורים

אבטחה

ביקורת אבטחת מידע - צ'קליסט מלא לארגונים

צ'קליסט מקיף לביקורת אבטחת מידע פנימית. כל הנושאים שצריך לבדוק, שאלות מנחות, וטיפים להכנה.

14 דקות קריאהאבטחה

מידע רגיש - סוגים, טיפול והגנה

מדריך מקיף על סוגי מידע רגיש, חובות ההגנה המיוחדות, ואיך לטפל בו נכון לפי תיקון 13.

10 דקות קריאה

צריכים עזרה מקצועית?

צוות המומחים של LLUMINATE מספק ליווי מלא בהיערכות לתיקון 13, מינוי DPO, וכל היבטי הגנת הפרטיות.

שירותי DPOמחשבון עמידה
פורסם: 13 בדצמבר 2024מאת: LLUMINATE Privacy Experts
חזרה לכל המאמרים