מ"מ ראש רשות הפרטיות: "רגולציה על הקריפטו תפריד בין מי שלגיטימי לבין השחורים בצד השני של הגדר"

ד"ר שלומית ווגמן-רטנר, מ"מ ראש הרשות להגנת הפרטיות,בכנס הסייבר של גלובס: "אירועי דליפת מידע בהיקף עצום יתרחשו, אם לחברות לא יהיה תמריץ בצורת קנסות"

המשק הישראלי נמצא תחת מתקפות סייבר הולכות וגוברות, החל מחברות ביטוח, תוכנה ועד למשרדי עורכי הדין. מי שאחראית לבדוק אם החברות נוקטות אמצעים מספקים כדי להגן על פרטיות המידע בהן הן מחזיקות היא הרשות להגנת הפרטיות, המהווה גוף מפקח ואוכף המסדיר את הרגולציה בנוגע לאופן השמירה על פרטיות האזרחים. ד"ר שלומית ווגמן-רטנר, ממלאת-מקום ראש הרשות להגנת הפרטיות וראש הרשות לאיסור הלבנת הון, מספרת לכתבת אלה לוי-וינריב בכנס הסייבר של גלובס על ההתמודדות של הרשות להגנת הפרטיות אל מול איומי הסייבר.

"ישנה עלייה גדולה בפשיעה בתחום הסייבר. חלקה טבעית, וחלקה כי העבריינים עברו לעבוד מהבית, כי זה זמין ונוח. מעבר לכך, המידע הפך להיות ערך בפני עצמו. אנחנו רואים מתקפות שהמטרה שלהן היא לגנוב מידע ולעשות בו שימוש לאחר מכן. יש לזה ערך כלכלי עצום לעבריינים", אומרת ווגמן-רטנר.

מתקפות הסייבר מעניינות את הרשות להגנת הפרטיות מכמה היבטים - גם בהיבט הפלילי ובעיקר בשמירה על פרטיות האזרחים. לדברי ווגמן-רטנר, "כאשר יש אירוע אבטחת מידע, זה מעניין את משטרת ישראל, את מערך הסייבר, את הרשות להגנת הפרטיות ולעתים גם רשות שוק ההון, כאשר הרשויות פועלות יחד".

"הדבר הראשון שאנחנו עושים זה להוריד את השאלטר. קודם כל עוצרים את דלף המידע, 'עוצרים את הדימום'. עד שלא נראה דוח של מומחה אבטחת מידע מהימן ורציני, לא נרים את השאלטר. אנחנו עושים את זה בתיאום יחד עם החברה, ביחס להיקף המידע שזולג" מסבירה ווגמן-רטנר, ומוסיפה כי מדובר בסמכות שהרשות החלה להפעיל רק בשנה האחרונה, לאחר שהמענה שניתן בעבר לא היה מספק.

"דבר שני שאנחנו עושים הוא הודעה לנפגעים", היא אומרת. "הנפגע לא יודע שהמידע זלג, ולכן אנו דורשים מהחברה להודיע לכל הגורמים על הדליפה. זה אירוע לא פשוט לחברה מסחרית, אבל יש לו משמעות רצינית להקטנת הנזק. האזרח שנפגע יכול להקטין את הנזק, בעצם זה שיהיה מודע לכך הוא יכול לצמצם את הניצול לרעה בכך שיהיה חשדן לשימוש במידע שלו.

"לאחר מכן אנחנו פותחים בהליך אכיפה מינהלי. זו חקירה שלנו, כל עוד מדובר בחקירה מינהלית. התהליך כולל הוראות לתיקון ליקויים להבא וקביעות של הפרה. אם רואים שהמצב חמור, זה יכול להגיע להליכים פליליים".

באשר לביקורת על כך שמצד אחד הרשות לא עושה מספיק שימוש, ומצד שני אין לה די כלים, והיא לא מהווה פקטור משמעותי, ווגמן-רטנר אומרת כי "חוק הגנת הפרטיות בישראל הוא חוק ישן בן 40 שנה. החורים בו מאוד משמעותיים, ואחד הפערים הקיימים אלה הקנסות. היום הרשות יכולה להטיל קנסות רק בעשרות אלפי שקלים, וזה לא מספיק מרתיע, כי כחברה עלול להיות לי זול יותר לקחת את הסיכון ולשלם קנס מאשר להגן על המידע. לשם השוואה - באירופה הטילו רבע מיליארד אירו קנסות. אני, כחלק ממדיניות פרו-אקטיבית, הנחיתי את הצוות לחפש מכפלות, ואנחנו מסתכלים על תת-אירועים כהפרות".

ווגמן-רטנר מקדמת בשנים האחרונות תיקון חקיקה על-מנת לייצר סנקציה מרתיעה. התיקון מצוי על שולחן הממשלה, והיא קוראת לממשלה הבאה: "אמצו את הרפורמה של חוק הגנת הפרטיות, ואחד הדברים הראשונים שהוא מתקן כדי להגן על הציבור הוא הקנסות. לא צריך לחכות שתהיה קטסטרופה. אירועי דליפת מידע בהיקף עצום יתרחשו, אם לחברות לא יהיה תמריץ מספק".

אירוע אבטחת מידע יכול להקריס חברה. איפה האחריות של החברות להפסדים שלהן?

"הנושא של הגנת המידע לא מוצה בישראל. אנחנו פוגשים את זה בתובענות ייצוגיות שמהוות מנגנון שוק. היום ההגנה על המידע של הלקוחות הופך להיות מין תו ירוק, אחריות חברתית. אנחנו באים בגישה ליצור מסגרת של אחריות. פנינו לחברות למנות קצין ציות לפרטיות, גורם שיבדוק איפה המידע נמצא. אנחנו מוציאים בימים הקרובים מסמך על צמצום המידע שחברות מחזיקות. היתרון בכך זה שכשאתה לא כבד מדי במידע, הסיכונים מצטמצמים משמעותית. לא תמיד חברה צריכה את כל המידע שיש לה. לפעמים טוב יותר למחוק ולעבור הלאה".

ווגמן-רטנר נשאלה בכובעה כרשות הרשות לאיסור הלבנת הון על דרישת התשלום בכופר בקריפטו ובעיקר בביטקוין ועל הצו חדש ששם תחת זכוכית מגדלת את המטבע הווירטואלי.

לדבריה, "פלטפורמות שעושות שימוש במטבעות קריפטוגרפיים - נכסים וירטואליים - נדרשים כמו כל גוף פיננסי לעשות זיהוי, הכרת לקוח, דיווח לרשות, רישום פרטים על כל פעולה מעל 5,000 שקל. מי שמשלם כופר יודע שהוא לא מעביר כופר לאמא תרזה - במקרה הטוב הוא מעביר לעבריינים ובמקרה הרע לגורמי טרור. אנחנו רואים דברים מסמרי שיער ברשות להלבנת הון. מהבחינה הזו, בגלל היעד של כספי הקריפטו, המשטר שחל על הבורסות יגרום לכך בהיבט של ניהול הסיכונים שהן יסרבו להעברת הכספים לגורמים עלומים. כל הרגולציה על הקריפטו הולכת בצורה ברורה לשים קו בין שחור ולבן, בין מי שלגיטימי לבין השחורים שנמצאים בצד השני של הגדר".

על הנוכחות הנשית המעטה בעולם הסייבר והלבנת ההון אמרה ווגמן-רטנר: "לצערי, אני רואה צמצום במספר הנשים בעולם הסייבר ובמשרדי הממשלה. לטעמי, נשים הן מנהלות מוכשרות ובעיקר במשברים, מתוכננות ומסודרות, פחות מונעות מאגו, ורואים את זה בשטח. אני קוראת לממשלה החדשה לקחת בחשבון מנכ"ליות למשרדי ממשלה, צריך יותר נשים במקומות האלה". 

*** גילוי מלא: הכנס נערך בחסות אלרון, משרד עורכי דין שיבולת, גלובל X , מיקרוסופט ישראל ואורקסטרא גרופ 

צרו איתנו קשר *5988