بررسی قوانین حفاظت از داده‌ها در اسرائیل

به گزارش کارگروه بین‌الملل سایبربان؛ هایم راویا (Haim Ravia)، شریک ارشد و رئیس گروه اینترنتی و سایبری «Pearl Cohen»، شرکت قانون بین‌الملل با دفاتری در تل‌آویو، حیفا، لندن و ... در این خصوص مصاحبه‌ای با وبگاه تخصصی «mondaq» انجام داده که به شرح زیر است:

«سؤال: آیا شما معتقدید که شرکت‌ها باید وظایف خود را در مورد محافظت از داده‌ها در عصر تحول قوانین حفظ حریم شخصی درک کنند؟

راویا: پوشش صنعتی و رسانه‌ای 2 قانون مؤثر در ماه می سال 2018 باعث افزایش آگاهی از مسائل مربوط به حفاظت از داده‌ها در بین شرکت‌های اسرائیلی شده است. اول، حمایت از مقررات حفظ حریم خصوصی (امنیت داده) الزامات امنیتی اطلاعاتی دقیق برای پردازش داده‌های شخصی شرکت‌ها را تعیین می‌کند. اگرچه رگولاتور حریم خصوصی اسرائیل در حال حاضر دچار بی‌ثباتی سازمانی شده است، اما تأثیر مقررات جدید کم نشده‌اند. قسمت دوم، قانون حفاظت عمومی از داده‌های اتحادیه اروپا (GDPR) است که میزان دسترسی خارجی بر بسیاری از شرکت‌های اسرائیلی را مشخص می‌کند. آگاهی شرکت‌ها اخیراً با پیشنهاد دولت اسرائیل برای لایحه سایبری ملی و دفاع سایبری با هدف ایجاد سازمانی ملی به منظور مقابله با تهدیدات سایبری افزایش یافته است. علاوه بر این، قانون حفظ حریم خصوصی مصرف کننده کالیفرنیا (CCPA) با اثرات خارجی نیز باعث افزایش آگاهی درمورد حفاظت از داده‌ها می‌شود.

سؤال: شرکت‌ها با افزایش فعالیت‌های پردازش داده‌ها از جمله دسته‌بندی، ذخیره‌سازی و انتقال در اسرائیل با چه خطرات نظارتی، مالی و اعتباری مواجه هستند؟

راویا : خطرات مالی محدود است. اول اینکه، رگولاتور حریم شخصی اسرائیل فقط مجاز به اعمال مجازات‌های کوچک در شرایط محدود است. دوماً، جرایم نظارتی در موارد نقض داده‌ها ناشی از عدم موفقیت سازمان در اجرای امنیت داده‌ها طبق قوانین امنیت اطلاعات اسرائیل قابل اجرا نیستند. تلاش‌های قانونگذاری برای بهبود اجرای قانون حفظ حریم خصوصی و مقررات امنیت داده تا به امروز ناموفق بوده است. مهم‌ترین خطر مالی ناشی از طرح دعوی خواهد بود، اما این موارد تا حکم نهایی باقی نمی‌مانند. یک رگولاتور می‌تواند اسناد و مدارک دیجیتالی را ضبط، از پرسنل تحقیق و گزارش تحقیقاتی را صادر کند. ابزار اصلی اجرای مقررات به افشای تحقیقات عمومی، یافته‌ها و نتیجه‌گیری در مورد یک سازمان کمک خواهد کرد.

سؤال: برای شرکتی که داده یا قوانین حریم خصوصی در اسرائیل را نقض می‌کند، چه مجازات‌هایی در نظر گرفته می‌شوند؟

راویا: جریمه‌های اداری حداکثر 6500 دلار طبق قانون اسرائیل برای این مورد هستند. نقض مداوم می‌تواند باعث افزایش جریمه تا 10 درصد اضافه برای هر روز شود. درنهایت، اکثر اشکال نقض حریم خصوصی می‌تواند منجر به یک جرم کیفری شود و 5 سال زندان به همراه داشته باشد. اما در دولت فعلی اسرائیل، هیچ جریمه نظارتی در موارد نقض داده ناشی از عدم موفقیت سازمان در اجرای امنیت اطلاعات طبق مقررات وجود ندارد و قدرت اجرای نظارتی کاملاً محدود است. رگولاتور اسرائیل برای حل این مشکل، به دنبال یک اصلاحیه و اعمال مجازات‌های مدنی تا 230 هزار دلار است. اما تاکنون هیچ پیشرفته حاصل نشده و این لایحه به‌طور مؤثر کنار گذاشته شده است.

سؤال: چه مواردی را باید در این خصوص در نظر داشته باشیم؟ این رویدادها چه تأثیری بر دیدگاه حفاظت از داده‌ها دارند؟

راویا: با الزام اجرایی شدن اطلاع‌رسانی برای نقض داده‌ها در ماه می سال 2018، اکثر حوادث امنیت داده به‌وسیله محققان امنیت اطلاعات و هکرهای کلاه سفید شناسایی و گزارش شدند. با این وجود، تعداد قابل توجهی از نواقص گزارش نشده‌اند. براساس گزارش سالانه رگولاتور حفظ حریم خصوصی اسرائیل، 146 مورد اقدام اجرایی در برابر سازمان‌ها در رابطه با نقض داده‌ها به‌صورت شدید تشخیص شده است. اما تنها 103 مورد از این تخلفات رسیدگی شده‌اند. 43 تخلف باقی مانده پس از شکایت بررسی شدند. گزارش‌های بسیار کمی از هکر کلاه سیاه یا نقض داده‌های دولتی علیه شرکت‌های تجاری وجود دارند. در یک مورد اخیر، کارمند یک شرکت امنیتی سایبری اسرائیلی تلاش کرد ابزارهای سایبری تهاجمی شرکت را ده‌ها میلیون دلار به دارک‌نت بفروشد. وی سپس توقیف و محکوم شد.
 سؤال : به نظر شما یک شرکت چه اقداماتی باید برای آمادگی در برابر نقض احتمالی امنیت داده – مانند : توسعه برنامه‌های پاسخ و درک الزامات اطلاع‌رسانی – انجام دهد؟

راویا: اول و از همه مهم‌تر، نقض امنیت سایبری موضوعی است که مدیران شرکت باید بدان بپردازند. هیئت مدیره باید در سیاست‌گذاری نقش داشته باشد و سیاست‌های درست را اعمال کند. روش واکنش به نقض داده باید ایجاد و مهم‌تر اینکه در یک دوره شبیه‌سازی آموزش داده شود. کارمندان هم باید شناسایی و رد تلاش‌های فیشینگ را یاد بگیرند. شركت بايد در صورت مشاهده نقض، به تعهدات خود در برابر رگولاتورها، مشتریان تجاری، افراد داده‌ها و شرکت‌های بیمه عمل کند.

سؤال: شرکت‌ها باید چه کارهایی برای مدیریت تهدیدات و خطرات داخلی ناشی از عملکرد کارمندان سرکش انجام دهند؟

راویا : این مشکلی بزرگ برای سازمان‌ها به شمار می‌رود و آنها باید رویکردی از جمله آموزش صحیح در مورد آگاهی از امنیت داده‌ها، غربالگری و ارزیابی مناسب «HR» و کنترل‌های دسترسی پیشرفته مانند نشانه‌های دسترسی فیزیکی اتخاذ کنند. تمام این موارد باعث کاهش خطر می‌شوند و باید طبق قوانین اسرائیل باشند. سازمان‌های دارنده اطلاعات حساس باید به کمک سیستم‌ها، ایمیل‌ها و دیگر انتقال‌ها را بررسی کنند.

سؤال: به نظر شما فرهنگ حفاظت از داده‌ها در اسرائیل توسعه یافته است؟ آیا شرکت‌ها به‌طور فعال فرآیندهای مدیریت ریسک و کنترل‌های مناسب را اجرا می‌کنند؟

راویا : فرهنگ حفاظت از داده‌ها در اسرائیل در حال توسعه است؛ شرکت‌ها باید آگاهی خود را به کمک گزارشات نقض داده، اقدامات عملیاتی، الزامات نظارتی و دستورالعمل‌ها، تحولات در قانون حمایت از داده‌ها، بازاریابی سیاست‌های بیمه سایبری و موارد دیگر افزایش دهند. شرکت‌ها بسته به عواملی مانند : اندازه، صنعت، حساسیت اطلاعات و تجارب خود در زمینه تهدیدات سایبری، اقداماتی را در حوزه‌های امنیت سایبری انجام می‌دهند. قوانین امنیت داده اسرائیل باید چراغ راه سازمان‌ها در کنترل‌های مناسب و فرآیندهای مدیریت ریسک باشد؛ اما در حال حاضر انطباق با آیین‌نامه موجود وجود ندارد.