ככל שמתפתחות טכנולוגיות שונות כמו העברת נתונים מהירה, בינה מלאכותית ומחשוב ענן (Computing Cloud), יותר ארגונים מעבירים את מאגרי המידע שלהם לענן. עם זאת, תהליך מורכב זה מערב מחלקות ארגוניות מרובות ודורש תכנון ותיעוד קפדניים.

האתגרים השונים שיש לשים לב אליהם במהלך תהליך מעבר כזה:

• הגדרות שגויות – הגדרות שגויות אשר עשויות להוביל לכך שמידע ארגוני ייחשף לעיני גורמים שאינם מורשים. לצורך התמודדות עם אתגר זה, יש להקצות כוח אדם מיומן ובהיקף הנדרש לביצוע המיגרציה.
• ממשקי API שלא אובטחו כראוי –  לממשקים אלו גישה למידע הארגוני ברמות שונות. לכן, כשל בהגנה על ממשקי API עלול לאפשר שליפה של נתונים ומידע ע"י גורמים שאינם מורשים. לצורך אבטחת ממשקי ה-API יש לשלב מנגנוני בקרה ותיעוד עדכניים בתהליכי המיגרציה והעבודה השוטפת בתשתיות הענן.
• חוסר התאמה של הארכיטקטורה הנוכחית (Incompatibility of the Current Architecture) – כאשר מועבר מידע מסביבה אחת לסביבת אחרת, חשוב לבחון האם הארכיטקטורה בסביבה החדשה בנויה בצורה המתאימה, שכן חוסר תאימות עלול לגרום להעברת נתונים איטית או שגויה. על מנת להתאים את הארכיטקטורה למעבר לענן, על הארגון לבצע סקירה מעמיקה של  הארכיטקטורה  המקומית ולייצר תיעוד מקיף שלה
• חוסר אסטרטגיה במעבר לענן – במידה וקיים במערכות הארגון מידע רגיש, יש לשקול האם לאחסן מידע רגיש זה בסביבה המקומית, ולהשתמש בפלטפורמת ענן ציבורית. כמו כן, חשוב לדעת מהם היתרונות והחסרונות בבחירת אסטרטגיה של עבודה מול מספר ספקי ענן.
• אובדן נתונים (Data Loss) – לפני המעבר לענן, יש להקפיד לגבות את כל הנתונים השמורים במערכות הארגון, ובמיוחד את הקבצים המיועדים לעבור לענן. זאת, שכן במהלך הליך העברת המידע לענן, ייתכנו בעיות הקשורות לאובדן נתונים כגון קבצים חסרים, קבצים לא שלמים או קבצים פגומים.
• סיכוני אבטחה – העברת נתונים לענן עלולה להביא לסיכוני אבטחה רבים, כגון איומים פנימיים, שגיאות מקריות, התקפות חיצוניות, תוכנות זדוניות, הגדרת תצורה שגויה ברשת, מתן הרשאות גישה באופן שגוי, בעיות בצד של ספק הענן, הפרות חוזיות, הפרות תאימות ועוד. בהקשר זה חשוב להזכיר כי חובות אבטחת המידע הקבועות בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, חלות על הארגון, בהתאם לרמת האבטחה החלה על מאגרי המידע של הארגון, גם בעת ביצוע מעבר לענן.

על ידי ביצוע הנחיות אלה, ארגונים יכולים לנהל טוב יותר את המורכבות של העברת ענן תוך מזעור סיכוני אבטחה והבטחת ההגנה על המידע הרגיש שלהם.

The post המעבר לטכנולוגיית ענן מציע יתרונות רבים אך גם מציג אתגרים משמעותיים, במיוחד בכל הנוגע להעברה מאובטחת של מסדי נתונים ומערכות. מסמך זה מתאר את האתגרים הקריטיים שארגונים צריכים להתמודד איתם בתהליך המעבר באופן מאובטח appeared first on AtarNET.

מליאת הכנסת אישרה היום (5.8.24) בקריאה שניה ושלישית תיקון מקיף בחוק הגנת הפרטיות. התיקון מעדכן ומבהיר את החקיקה בתחום, קובע הסדרים חדשים ומתקדמים, ומקנה כלי אכיפה יעילים, באופן שיתאים לאתגרי העידן הדיגיטלי, יגביר את ההגנה על זכות היסוד לפרטיות של הציבור בישראל ויחזק את ההתמודדות כנגד איומי הסייבר הגוברים.

התיקון לחוק הגנת הפרטיות מהווה אבן דרך חשובה בהתאמת החוק הישראלי למציאות הטכנולוגית של ימינו, מגביר את ההגנה על הזכות לפרטיות והמידע האישי ומחזק את יכולות האכיפה של הרשות בגין הפרות החוק ובגין אי-עמידה בדרישות הדין בתחום אבטחת המידע, והוא הכרחי לשם צמצום הסיכון לאירועי דלף מידע עתידיים. כמו כן, הוא משפיע באופן מהותי על המגזר העסקי ומפחית נטל רגולטורי בצמצום של חובת רישום מאגרי מידע דיגיטליים. התיקון לחוק מהווה צעד חשוב גם בראי ההתאמה של ישראל לדיני הגנת הפרטיות באירופה וההכרה במדינת ישראל על ידי האיחוד האירופי כמדינה בעלת תאימות לדין האירופי, שאושררה לאחרונה. 

התיקון המקיף לחוק הגנת הפרטיות שאושר בכנסת כולל את העיקרים הבאים:

1. הרחבת סמכויות הפיקוח והאכיפה של הרשות להגנת הפרטיות – לראשונה, עוגנה בחקיקה סמכות הרשות להטיל עיצומים כספיים בגין הפרת הוראות החוק והתקנות בתחום אבטחת המידע, בסכומים משמעותיים. הוסדרו סמכויות האכיפה המנהלית של הרשות, ועוגנו בחוק סמכויות החקירה הפלילית של חוקרי הרשות. כמו כן, עוגנה סמכות הרשות לפעול לקבלת צו שיפוטי שיורה על הפסקת עיבוד מידע אישי, כולל מחיקתו, במקרים בהם הדבר נדרש לשם הפסקת הפרה של הוראות החוק. 
2. חובת מינוי ממונה הגנת הפרטיות בארגונים רבים במשק – לראשונה, נקבעה בחקיקה החובה למנות ממונה על הגנת הפרטיות בגופים ציבוריים ובכל ארגון שעיסוקו העיקרי כולל עיבוד מידע אישי רגיש בהיקף ניכר, כמו גם בכל ארגון שפעילותו כרוכה במעקב או התחקות שיטתית אחר אנשים בהיקף ניכר. תפקידו של ממונה הגנת הפרטיות בארגון הוא לפעול להבטחת קיום הוראות חוק הגנת הפרטיות ותקנותיו ולקידום השמירה על הפרטיות גם מעבר לדרישות החוק. 
3. קביעת הסדר פיקוח מיוחד בתחום הפרטיות בגופים ביטחוניים – החקיקה קובעת לראשונה חובת מינוי מפקח פרטיות פנימי בכלל גופי הביטחון. המפקח הפנימי יונחה על ידי הרשות להגנת הפרטיות, יפקח על נהלי הגוף הביטחוני ומדיניותו בתחום הגנת הפרטיות, יברר הפרות של חוק הגנת הפרטיות, יקיים הכשרות והדרכות בנושאי פרטיות, וימסור דיווחים לראש הרשות.
4. הפחתת הנטל הרגולטורי באמצעות צמצום משמעותי של חובת רישום מאגרי מידע דיגיטליים – במסגרת התיקון תבוטל כמעט לחלוטין החובה החלה על גופים במגזר הפרטי לרשום את מאגרי המידע שבניהולם, למעט מאגרים המנוהלים בידי מי שעוסק בסחר במידע (ביחס לגופים הציבוריים החובה תיוותר על כנה). בד בבד, נקבע הסדר לפיו ניתן לבקש מהרשות להגנת הפרטיות חוות דעת מקדמית בעניין עמידה בדרישות החוק או התקנות לפיו.
5. קביעת איסור גורף על עיבוד מידע אישי שנאסף באופן לא חוקי ועבירות פליליות חדשות במאגרי מידע – במסגרת התיקון נוסף לחוק פרק ייעודי של עבירות פליליות במאגרי מידע, הכוללות בין היתר עיבוד מידע ללא הרשאה של בעל השליטה במאגר המידע, והטעיה מכוונת של אדם בעת פניה אליו לקבלת מידע אישי אודותיו. כמו כן, נקבע לראשונה בחוק איסור גורף על ביצוע כל פעולה במידע אישי שנאסף באופן לא חוקי.
6.  התאמת כלל ההגדרות בחוק להתפתחויות הטכנולוגיות, החברתיות והמשקיות ולהסדרים הקיימים בחקיקה מודרנית של הגנת הפרטיות במדינות מובילות – התיקון מעדכן ומדייק את כלל ההגדרות המהותיות בחוק. כמו כן, החקיקה קובעת לראשונה נורמה מודרנית של סוגי המידע האישי שהם בבחינת "מידע בעל רגישות מיוחדת", תוך התאמה לסטנדרטים הבינלאומיים של הגנה על מידע אישי כפי שהתגבשו במדינות מובילות בעולם, לרבות ברגולציית הגנת המידע של האיחוד האירופי (GDPR)
7. הרחבת הסמכות לפסוק פיצויים ללא הוכחת נזק – הורחבה סמכות בתי המשפט לפסוק פיצוי כספי ללא הוכחת נזק לאזרח התובע בגין הפרת הוראות החוק מכוח עילות נוספות הקבועות בחוק ביחס למאגרי מידע.

The post הכנסת אישרה היום תיקון (13) נרחב לחוק הגנת הפרטיות, המקיף ביותר שנערך בחוק מאז חקיקתו לפני 43 שנים, אשר מרחיב את כלי האכיפה וסמכויות הרשות להגנת הפרטיות appeared first on AtarNET.