אבטחת סייבר ופרטיות: מסגרת NIST קיבלה מתיחת פנים

מאת דן רייווד • 29 מאי 2025

NIST הודיעה לאחרונה על תוכניות לרענן את מסגרת הפרטיות שלה ולהפוך אותה להצעה אורגנית יותר ופחות סטטית. האם זה מועיל לאנשי מקצוע? דן רייווד בוחן את הסיבות לשינוי.

בשנה שעברה הוצגה הגרסה השנייה של NIST מסגרת אבטחת סייבר, עדכון של גרסת 2014 שלה כדי להרחיב את השימוש במסגרת, לשפר את ההנחיות ליישום ולהדגיש את חשיבות הממשל.

באופן טבעי, אבטחת סייבר ופרטיות הולכות יד ביד, ו-12 חודשים לאחר פרסום מסגרת אבטחת הסייבר המתוקנת, הודיעה NIST באפריל 2025 על תקופת סקירה של חודשיים למסגרת הפרטיות כדי לבחון תוספות ותיקונים חדשים.

ניהול סיכוני פרטיות

בשנה שעברה ראתה את הודעה ראשונה של התיקונים לגרסה 1.1, עם ה- נייר קונספט יצא ביוני 2024 לפני ה- טיוטה ציבורית ראשונית שפורסם באפריל.

NIST אומר כי יש צורך בשינויים במסגרת הפרטיות בגלל הקשר למסגרת אבטחת הסייבר שלה: לשתי המסגרות יש את אותו מבנה ברמה גבוהה כדי להקל על השימוש בהן יחד.

ג'ולי צ'ואה, מנהלת חטיבת אבטחת הסייבר היישומית של NIST, כינתה את העדכון "צנוע אך משמעותי". היא אמרה: "ניתן להשתמש במסגרת הפרטיות בפני עצמה כדי לנהל סיכוני פרטיות, אך שמרנו גם על תאימותה עם מסגרת אבטחת הסייבר 2.0 כך שארגונים יוכלו להשתמש בהם יחד כדי לנהל את מלוא ספקטרום סיכוני הפרטיות והסייבר."

עדכון קל

מייגן אנדרסון, אסטרטגית סיכוני פרטיות בתוכנית הנדסת הפרטיות ב-NIST, מסבירה כי במקום שיפוץ משמעותי, מדובר ב"עדכון קל ומינורי מאוד".

בראיון ל-ISMS.online, אנדרסון אומר שמסגרת הפרטיות "היא כלי חי שנועד להתפתח כדי לענות על צרכי בעלי העניין שלנו". בחמש השנים שחלפו מאז פרסום מסגרת הפרטיות הראשונה, בעלי העניין הללו הצליחו לזהות תחומים שבהם ניתן לבצע את השיפורים הממוקדים הללו, ולשקול שינויים בטכנולוגיה.

היא המעיטה בחשיבות התיקונים לגרסה 1.1, וכינתה אותם "רק תיקונים קלים או ארגון מחדש של הקטגוריות בתת-הקטגוריות".

עם זאת, היא הודתה שאחרי חמש שנים של הגרסה המקורית, הגיע הזמן לשינוי. "זה היה כאילו 'זה אבן דרך, בואו נעדכן את זה'", היא אומרת.

באופן ספציפי, אנדרסון אומר שמכיוון שמסגרת הפרטיות עוצבה על פי מסגרת אבטחת הסייבר, יש צורך לשמור על קשר בין שתי המסגרות. "אני חושב שהדבר היחיד שבאמת נהדר במסגרת הפרטיות הוא שהיא מאוד גמישה, כך שלארגונים או בעלי עניין רבים המשתמשים במסגרת יש את היכולת לעצב אותה למה שהם צריכים עבור הארגונים שלהם, תוצאות הפרטיות והמטרות שלהם."

אלמנטים חדשים

אחד השינויים המשמעותיים בתיקון זה הוא יצירת גרסה מקוונת של המסגרת. מעבר לפרסום שלה באתר האינטרנט, המשמעות היא ש-NIST יכול לפרסם עדכונים רלוונטיים ובזמן בהתאם לצורכי המשתמשים. אנדרסון אומר שסעיף שלוש הועבר, שם מוצגות הנחיות כיצד להשתמש במסגרת הפרטיות.

"התקווה שלנו היא שכך, זה יהיה קצת יותר אינטראקטיבי, ונוכל לעדכן את זה בתדירות גבוהה יותר במקום שזה יהיה במסמך PDF שנשאר קבוע", היא אומרת. "בדרך זו, נוכל לספק את זה באתר בצורה מיידית יותר מאשר ב-PDF, שלוקח זמן לעדכן, לשנות ולפרסם מחדש."

היא גם אומרת שמשוב על מגמות חדשות - כמו בינה מלאכותית - היה נפוץ, ולכן נוספו הנחיות נוספות בנוגע לקשר בין בינה מלאכותית לניהול סיכוני פרטיות, וכעת זהו סעיף חדש בטיוטה הציבורית הראשונית של מסגרת הפרטיות.

הטיוטה הראשונית לציבור טוענת כי המסגרת המתוקנת "יכולה לסייע לארגונים בזיהוי וניהול סיכוני פרטיות שעלולים לנבוע מעיבוד נתונים בתוך מערכות בינה מלאכותית לאורך מחזור החיים של הבינה המלאכותית". זה כולל סיכוני פרטיות הנובעים כאשר מערכות בינה מלאכותית מאומנות על נתונים שנאספו ללא הסכמת אנשים או שיש להן הגנות פרטיות חסרות או לא מספקות.

במקרים מסוימים, טכנולוגיית בינה מלאכותית "עשויה להיות הגורם המרכזי המאפשר סיכון פרטיות" ועלולה ליצור בעיות פרטיות עבור יחידים וקבוצות. בינה מלאכותית עשויה להשפיע על "פרטיותם של יחידים וקבוצות, מה שמוביל להשפעות ארגוניות משמעותיות, החל מאובדן הכנסות ועד נזקים תדמיתיים".

לכן, ארגונים יכולים להשתמש במסגרת החדשה כדי "לנהל ביעילות סיכוני פרטיות של בינה מלאכותית ולהבטיח שערכי הפרטיות הארגוניים באים לידי ביטוי בפיתוח ובשימוש במערכות בינה מלאכותית".

אבולוציה חיונית

זה לא פתרון מלא, אבל זה בהחלט צעד קדימה. ומה מנקודת מבטו של המטפל? האם זה מספיק כדי לעמוד באתגרים המודרניים?

בשיחה עם ISMS.online, טרון סמטאני, חבר מועצה מייעצת ב-IAPP, אומר כי התיקון המוצע "מייצג אבולוציה חיונית" ומשבח את התאמתו למסגרת אבטחת הסייבר של השנה שעברה.

הוא אמר שהתיקון "מגשר על פערים תפעוליים קריטיים בין אבטחה לפרטיות - נקודת כאב שאני עד לה שוב ושוב".

בפרט, טוען סמטאני כי המסגרת הנוכחית מציעה תיאוריה מוצקה אך מתקשה ביישום מעשי. בהתבוננות בטיוטה של גרסה 1.1, הוא משבח את הצגת הטיפול בסיכונים מתעוררים של בינה מלאכותית, אך אומר כי "חסרים בה נתיבי יישום מעשיים עבור ארגונים מוגבלי משאבים".

לא מספיק לא מיושן

מנקודת מבטו של איש מקצוע, האם הוא סבור שתיקון זה נחוץ, והאם ההנחיות של גרסת 2020 היו מיושנות במיוחד? הוא אומר שהן לא מיושנות, אך הן הופכות לא מספקות יותר ויותר. "מאז יציאת גרסה 1.0 בשנת 2020, ראינו צמיחה אדירה בשימוש במערכות בינה מלאכותית ובקבלת החלטות אוטומטיות - מה שיוצר סיכוני פרטיות חדשים", הוא אומר.

"ה-PFW 1.1 המוצע משלב בחוכמה שיקולים חדשים של בינה מלאכותית תוך השקפת לקחים ממשטרי רגולציה מתבגרים. עדכון זה מכיר בכך שניהול סיכוני פרטיות משתרע כעת מעבר לעיבוד נתונים מסורתי לשקיפות אלגוריתמית."

מצד שני, סמטאני לא היה מלא שבחים לתיקונים הבאים, וטען כי הטיוטה זקוקה למדדים ברורים יותר מעבר לרמות הבשלות ולגישות מרשם יותר עבור ארגונים קטנים יותר המנווטים בנוף הנתונים והבינה המלאכותית המאתגר של ימינו.

הוא אומר: "השיפורים המבניים של PFW 1.1 עשויים לטפל בכמה חששות בנוגע לשימושיות, אך ללא הנחיות יישום מובנות, עמידה בתקנות עלולה להישאר חמקמקה, במיוחד עבור ארגונים חסרי תוכניות פרטיות בוגרות."

הוא טוען שהיישור המבני המוצע בין PFW 1.1 ל-CSF 2.0 מטפל בחיכוך תפעולי, אותו ראה בעת ייעוץ לארגונים רב-לאומיים. הוא המליץ על שלוש תוספות מעשיות לשיפור השימושיות עבור אנשי מקצוע:

ראשית, ספרי יישום משולבים המדגימים תפעול סימולטני.
שנית, מדדים סטנדרטיים בין-מסגרות לדיווח עקבי.
שלישית, פרופילים ספציפיים לטכנולוגיה עבור תרחישים נפוצים כמו פריסות בינה מלאכותית.

"שיפורים אלה יהפכו מסגרות ממסמכי עיון לכלי עבודה תפעוליים שיובילו לשיפורים מדידים בניהול הפרטיות", הוא מסכם. בתגובה,

אנדרסון אומר שכל ההערות על העדכון של גרסה 1.1 יתקבלו בברכה.

תיקון דבר כזה מגיע עם אתגרים, והשינויים הטכנולוגיים בחמש השנים האחרונות מחייבים ביצוע תיקון זה. מנקודת מבט של תאימות וציות לתקנות, הגרסה החדשה לא אמורה להיות בעייתית מדי, שכן השינויים אינם משמעותיים מדי ואמורים לאפשר לעסקים לגשר על הפער בין מסגרות אבטחת הסייבר והפרטיות.

עבור רבים, שינויים אלה יהיו מבורכים, אך ארגונים קטנים יותר או בעלי משאבים מועטים יותר עשויים להתקשות ללא דרכי יישום ברורות יותר. כאן המעבר לגרסה מקוונת דינמית יותר של המסגרת עשוי להתגלות כבעלת ערך רב ביותר, ולאפשר ל-NIST להגיב מהר יותר לבעיות מתפתחות ולהציע הדרכה מעשית ומתפתחת יותר. בעוד שהמסגרת לא תענה בצורה מושלמת על צרכי כולם בפעם הראשונה, מעבר זה לעבר משאב חי ורספונסיבי מסמן צעד משמעותי קדימה.

דן רייווד

דן רייווד כתב על אבטחת IT מאז 2008, והוא אנליסט לשעבר ב-451 Research Practice. הוא דיבר בתערוכות כולל 44CON, SecuriTay, SteelCon, Irisscon ו-Infosecurity Europe, וכן כתב עבור מספר בלוגים של ספקים והציג בשידורי אינטרנט.