מן העיתונות

תקנות פרטיות חדשות? עוד לא בארץ

דורון כהן דורון כהן

סקר פאהן קנה ניהול בקרה: מעל מחצית מהדירקטורים, חברי ועדות ביקורת בחברות ציבוריות, מדווחים כי החברות בהם הם מכהנים טרם יישמו את דרישות תקנות הגנת הפרטיות, שנכנסו לתוקף במאי 2018

נתונים נוספים שעולים מסקר הדירקטורים:

  • 41% מהדירקטורים מדווחים כי בארגונים בהם הם מכהנים, לא התקיים בשנה האחרונה דיון דירקטוריון בנושא סיכוני סייבר.
  • 35% מהדירקטורים ציינו כי הארגונים לא גיבשו מדיניות בנושא אבטחת סייבר
  • 39% מהדירקטורים מגלים כי חוו אירוע תקיפת סייבר או זליגת מידע בשנה האחרונה בארגונם
  • 57% מהדירקטורים דיווחו כי הארגונים בהם הם מכהנים כדירקטורים לא נערכו ליישום דירקטיבת GDPR האירופאית ותקנות הגנת הפרטיות הישראליותשנכנסו לתוקף בחודש מאי
  • ב- 53% מהארגונים לא בוצע סקר סיכוני סייבר, לרבות מבחני חדירה (Penetration Tests)

רו"ח דורון כהן, שותף בפאהן קנה ניהול בקרה: "למרות שרגולציית GDPR ותקנות הגנת הפרטיות הישראליות כבר נכנסו לתוקף, רוב החברות לא השלימו ואף לא התחילו את הפעילות הנדרשת על מנת לעמוד בתקנות אלה. חוסר היערכותן של חברות עלול ליצור חשיפה משמעותית לסנקציות מטעם הרגולטור לרבות קנסות מנהליים, ובמקרים חמורים אף להביא לכדי כתב אישום"

סקר דירקטורים חברי ועדות ביקרות שערכה פאהן קנה ניהול בקרה Grant Thornton Israel, חושף טפח על היערכות חברות ישראליות ליישום דירקטיבת GDPR ותקנות אבטחת המידע והפרטיות החדשות שנכנסו לתוקף בחודש מאי. בסקר, שנערך במסגרת כנס דירקטורים שערכו במשותף השבוע (יום ג', 19.6) פירמת רואי החשבון פאהן קנה Grant Thornton Israel ומשרד עוה"ד גולדפרב זליגמן, השתתפו 59 דירקטורים חברי ועדות ביקורת בחברות ציבוריות בישראל המהווים מדגם מייצג של אוכלוסיית הדירקטורים חברי ועדות ביקורת בישראל.

הסקר מגלה כי למרות האיומים הרבים על ארגונים ישראלים בשנים האחרונות, חברות רבות בישראל עדיין לא מוכנות להתמודדות עם איומי הסייבר הפוטנציאליים. 39% מהדירקטורים שהשתתפו בסקר ענו כי הארגונים בהם הם מכהנים כדירקטורים חוו בשנה האחרונה אירוע תקיפת סייבר או זליגת מידע. עוד עולה מהסקר כי 41% מהדירקטורים מדווחים כי בארגונים בהם הם מכהנים לא התקיים דיון דירקטוריון בשנה האחרונה בנושאים אלו.

נתונים נוספים שמעידים על חוסר מוכנותם של ארגונים בישראל לדירקטיבת ה- GDPR ותקנות הגנת הפרטיות:  35% מהדירקטורים שהשיבו לסקר ענו כי הארגון בו הם מכהנים לא גיבש מדיניות פורמאלית בנושא אבטחת סייבר וזליגת מידע. ב- 53% מהארגונים לא בוצע סקר סיכוני סייבר, לרבות מבחני חדירה (Penetration Tests).

57% מהדירקטורים השיבו כי הארגונים בהם הם מכהנים לא נערכו ליישום ה- GDPR ותקנות הגנה על פרטיות (אבטחת מידע 2017).

לשאלה לאילו מאוכלוסיות העובדים קיים פוטנציאל גדול יותר לגניבת מידע מהארגון השיבו 61% מהדירקטורים כי עובדי מערכות המידע בארגונים הם בעלי הפוטנציאל הגבוה ביותר לגניבת מידע מהארגון. זאת לעומת 19.5% מהדירקטורים שענו כי עובדי מחלקת הכספים הם בעלי הפוטנציאל הגבוה ביותר לגניבת המידע, 11.5% מהדירקטורים ציינו את הנהלת הארגון כפוטנציאלים לגניבת מידע, ו- 8% ציינו את עובדי מחלקת שירות הלקוחות.

רו"ח דורון כהן, שותף בפאהן קנה ניהול בקרה, התייחס לממצאים: "למרות שדירקטיבת GDPR ותקנות הגנת הפרטיות הישראליות כבר נכנסו לתוקף, רוב החברות לא השלימו ואף לא התחילו את הפעילות הנדרשת על מנת לעמוד בתקנות אלה. חוסר היערכותן של חברות עלול ליצור חשיפה משמעותית לסנקציות מטעם הרגולטור לרבות קנסות מנהליים, ובמקרים חמורים אף להביא לכדי כתב אישום".

רו"ח חנן טויזר, שותף מערכות מידע בפאהן קנה ניהול בקרה, האחראי על תחום הגנת הפרטיות בפירמה, ציין בהרצאתו בכנס הדירקטורים כי: "יישום היערכות של בנק לא דומה ליישום היערכות של חברת מדיקל או סטארט אפ, ולכן יש חשיבות רבה להיערכות ממוקדת שתתאים לרמות הסיכון והיקף המשאבים של הארגון. גם ארגונים קטנים יכולים להיערך היטב לעמידה בתקנות ה- GDPR והגנת הפרטיות".

רו"ח טויזר, התייחס גם לתשובות הדירקטורים שציינו את עובדי מערכות המידע בארגונים כבעלי הפוטנציאל הגבוה ביותר לגניבת מידע: "מנהלי מערכות מידע נדרשים להרשאות על (superuser) שמאפשרות גישה לכלל המידע בארגון ולכן יש קושי למדר אותם. יחד עם זאת, קיימים כיום כלים לניטור פעילותם של אנשי מערכות המידע לרבות הגדרת התראות למקרים שבהם מנהל מערכות המידע משבית את מנגנוני הניטור".