הירשמו
  1. ראשי
  2. ניתוחים ודעות
נועם הנדרוקר
צילום: נתי חדד

רשות ני"ע החלה להתייחס ברצינות לנושא אבטחת המידע

בשבוע שעבר הפיצה הרשות מסמך תובנות הנוגע לסיכוני אבטחת מידע וסייבר שאינו מביא בשורה חדשה אך מבשר על אג'נדה ברורה // דעה

נועם הנדרוקר |
נושאים בכתבה אבטחת מידע אג'נדה רגולציה רשות ניירות ערך

בשבוע שעבר פרסמה רשות ניירות ערך מסמך תובנות מניתוח מענה לשאלון בנושא סיכוני אבטחת מידע וסייבר שהופץ בקרב חברות ניהול תיקים בחודש יולי 2018. במסמך מרכזת הרשות את תובנותיה לאור המענים שהתקבלו עם כניסתן לתוקף של תקנות הגנת הפרטיות (הגנת מידע) תשע"ז- 2017.

מסמך התובנות מפרט את החובות ביישום מדיניות ומנגנוני אבטחת מידע. המסמך חל על חברות ניהול תיקים, ולמעשה כל מי שכפוף לרשות לניירות ערך יהיה חייב להתיישר ולוודא עמידותו לצד יתר הרגולציות והוראות החוק.

המסמך מהווה אבן דרך חשובה. למרות היותו מסמך תובנות והמלצות, מתייחסת הרשות לניירות ערך בפעם הראשונה בצורה ישירה לנושא אבטחת מידע ומתיישרת לצד רגולטורים וגופי פיקוח ובקרה אחרים במדינת ישראל.

מדובר על המלצות הכוללות בין היתר:

  • התייחסות לניהול סיכוני סייבר והמשכיות עסקית.
  • החשיבות בקיום ויישום של נהלי תפעול אירועי אבטחת מידע לצד מיפוי נכסי הארגון.
  • התובנה כי אבטחת מידע אינה רק טכנולוגית אלא מלבת תהליכים ואנשים.
  • הגורם האנושי - יישום נהלי גיוס הכוללים בין היתר מיון וסינון לצד הגברת המודעות.
  • טכנולוגיה - הטמעת כלים טכנולוגיים לטובת זיהוי ומניעת גישה בלתי מורשית, חיבור מאובטח לרשת והקפדה על ביצוע עדכוני תוכנה וחומרה.
  • אבטחה פיזית.
  • ניהול סיכונים ובקרות בשרשרת האספקה ובשירותי הענן.
  • ממשל תאגידי – מינוי גורם אחראי, קיום וועדות ודיונים תקופתיים.
  • הגנה ובקרה על תעבורת רשת אל ובתוך הארגון.

בעצם הרשות מחדדת את החשיבות בהבניית אבטחת המידע כחלק מהתרבות הארגונית המתבקשת. אמנם, ניתן לראות כי הרשות מתייחסת באופן פרטני לנושא אבטחת המידע אך יחד עם זאת לא מביאה בשורה חדשה. ההמלצות אותן מציגה הרשות כבר צוינו וטופלו במסגרת הנחיות ורגולציות של שוק ההון, תקנות הגנת הפרטיות (הגנת מידע) תשע"ז- 2017 ובכלל, כל ארגון שיישם 27001 ISO, ניתן לומר שעומד באופן כמעט מלא בהמלצות.

למרות טענה זו, אני סבור שהצגתן ושיתופן של המלצות אלו כחלק מאג'נדה ברורה, יעלה את קרנה של אבטחת המידע וידרבן ארגון לפנות בהקדם לטיפול בסוגיה, להפנות את המשאבים הנדרשים ולפעול לטיפול בנושא הקריטי.

בשנים האחרונות, רגולטורים נוספים בארץ ובעולם דואגים להנחיל ולהטמיע עקרונות לניהול ויישום אבטחת מידע בארגונים. כחלק מהמהפכה הטכנולוגית החולשת על כלל התעשיות במשק, על הרשויות המפקחות מוטלת האחריות לדחוף את השוק לרמת אבטחת מידע טובה כדי שאנו, נושאי ומושאי המידע נוכל להמשיך לעבד מידע בצורה בטוחה.

קיראו עוד ב"ניתוחים ודעות"

אני מברך את הרשות לניירות ערך על הצעד המשמעותי שביצעה ומקווה כי רגולטורים נוספים ילכו בדרכה.

הגב לכתבה

השדות המסומנים ב-* הם שדות חובה
הבוס הרובוט (נוצר בעזרת AI)הבוס הרובוט (נוצר בעזרת AI)

מה עושים כשהבוס החדש שלך הוא אלגוריתם?

20 אלף עובדי מדינה יוחלפו על ידי ה-AI - החזון הזה של המדינה הוא מסוכן; מה קורה בעולם, איך אלגוריתם ינהל עובדים והאם ההוא יכול לפטר עובדים?

אדם בלומנברג |
נושאים בכתבה רובוט

מדינת ישראל מתגאה, ובצדק, בתואר "אומת הסטארט-אפ". אנו מובילים בפיתוח טכנולוגיות, בפריצות דרך בסייבר ובחדשנות רפואית. אך בצל הזרקורים של האקזיטים הנוצצים, מתהווה מציאות חדשה ומדאיגה בשוק העבודה הישראלי: ואקום רגולטורי מסוכן המותיר את העובד הישראלי חשוף לחלוטין אל מול עוצמתה המתגברת של הבינה המלאכותית (AI) והמהפכה בעולם העבודה שאנחנו רק נמצאים בתחילתה.

​בעוד השיח הציבורי מתמקד בשאלה "האם רובוט יחליף אותי?", האיום המיידי והמוחשי יותר כבר כאן: הפיכתו של המנהל האנושי לאלגוריתם אדיש. זהו עידן ה"ניהול האלגוריתמי", שבו תוכנות מחליטות את מי לגייס, את מי לקדם, את שיבוץ העובדים במשמרות העבודה, ולעיתים, כפי שכבר קורה בעולם, את מי לפטר, ללא מגע יד אדם.

​אין חולק שהטכנולוגיה מבורכת כשהיא באה להעצים את העובד (Augmentation), אך היא הרסנית כשהיא משמשת כתחליף לאחריות ניהולית וכלי לניצול ומעקב. באופן עקבי וגם כעת, מדינת ישראל בוחרת במדיניות של "רגולציה רכה" והתבוננות מהצד. העולם, לעומת זאת, כבר מזמן הפסיק להמתין.

​האיחוד האירופי, במהלך היסטורי, החיל באוגוסט האחרון את ה-EU AI Act. החוק הזה לא רק מסדיר טכנולוגיה, הוא מגדיר מוסר. הוא קובע שמערכות AI המשמשות לניהול עובדים, גיוס ופיטורים הן מערכות ב"סיכון גבוה" (High Risk). המשמעות? אסור למעסיק להפעילן ללא פיקוח אנושי הדוק, ללא שקיפות מלאה וללא מנגנוני הגנה מפני אפליה. באמסטרדם, בית המשפט כבר פסק נגד ענקיות כמו Uber ו-Ola וקבע כי "פיטורים רובוטיים" (Robo-firing) אינם חוקיים. בארה"ב, איגודי התסריטאים והשחקנים בהוליווד השביתו את התעשייה והבטיחו שה-AI לא יהיה הכותב, אלא הכלי בידי היוצר.

​אך בעוד העולם מתקדם לעבר הגנה על האדם, בישראל נדמה שמקבלי ההחלטות רואים רק את הצד של המכונה. החלטת הממשלה 3375 (מספטמבר 2025), שמנחה על הקמת המטה הלאומי לבינה מלאכותית, היא אמנם צעד אסטרטגי חשוב, אך היא חושפת סדר עדיפויות מדאיג. בעוד שהממשלה מקצה משאבים אדירים ל'האצת' הטכנולוגיה ומעבירה סמכויות רגולטוריות למרכז כוח פוליטי במשרד ראש הממשלה, קולו של העובד נותר מחוץ לחדר.

להמשך הכתבה לחץ כאן