הקנסות על הפרת מידע נמצאים במגמת עלייה. על פי ה-ISMS.online דוח מצב אבטחת מידע לשנת 2024, סכום הקנס הממוצע לעסקים שדווחו בשנה שעברה עלה בכמעט 4% בשנה ל-258,000 ליש"ט. אולם מחקר זה לוקח בחשבון רק את מגזרי הפיננסים, שירותי הבריאות, הייצור, הקמעונאות והטכנולוגיה. במגזר הציבורי, הרגולטור להגנת מידע, משרד נציב המידע (ICO) בחן גישה קלה יותר לקנסות במשך שנתיים.
החלטה אם להמשיך או לנקוט קו קשה יותר באכיפה תלויה ועומדת בסתיו. הראיות מצביעות על כך שיש צורך בחשיבה מחודשת.
שנתיים של משיכת אגרופים
ניתוח של קנסות ICO על ידי ייעוץ URM מדגיש את ההבדל הבולט בגישה הרגולטורית בין המגזר הציבורי והפרטי. מתוך 29 נזיפות שניתנו לארגונים בשנה שעברה, 20 נרשמו במגזר הציבורי. עם זאת, כל ה-17 הוצאו נגד מפעלים פרטיים בכל הנוגע לקנסות.
בין הדוגמאות הבולטות ביותר לכך שה-ICO מושך את האצבעות בקנסות במגזר הציבורי בשנתיים האחרונות הן:
- שירות המשטרה של צפון אירלנד (PSNI), שהדליף בטעות מידע רגיש על שוטרים במה שתואר כאחת ההפרות הגרועות מסוגה, בהתחשב ברגישויות סביב כוח המשטרה. עם זאת, למרות שחייהם של קצינים משרתים ומשפחותיהם היו בסכנה, קנס אפשרי של 5.6 מיליון ליש"ט הופחת ל-750,000 ליש"ט
- קרן Tavistock and Portman NHS Foundation Trust, שחשפה בטעות את כתובות הדואר האלקטרוני של 1,781 חולי מרפאת זהות מגדרית, שחלקם זוהו בפומבי. קנס צפוי קוצץ ב-900%+ ל רק 78,400 פאונד
- משרד הקבינט, אשר חשף השמות והכתובות הבלתי מנוסחות של יותר מ-1,000 אנשים שהוכרזו ברשימת כבוד השנה החדשה, כולל ידוענים שונים. קנס של 500,000 ליש"ט הופחת ל-50,000 ליש"ט
- משרד ההגנה (MoD), שהדליף באמצעות דואר אלקטרוני מידע רגיש ביותר על אנשים המבקשים רילוקיישן לבריטניה לאחר שהטליבאן השתלט על אפגניסטן. קנס של מיליון ליש"ט קוצץ ל-350,000 פאונד
- NHS היילנד, ששלחה אימייל ל-37 אנשים שעשויים לגשת לשירותי HIV, תוך שיתוף הפרטים שלהם זה עם זה. קנס בסך 35,000 פאונד הופחת לנזיפה בלבד.
- ועדת הבחירות, שאפשרה להאקרים לגשת למידע על 40 מיליון אזרחים לאחר שורה של כשלי אבטחה בסיסיים. זה לא נקנס כלל אלא פשוט קיבל נזיפה.
מדוע ה-ICO הולך בקלות?
בשנה שעברה, יותר עסקים בבריטניה נקנסו בין 250-500 אלף ליש"ט (26% לעומת 21% ב-2022) ובין 100-250 אלף ליש"ט (35% לעומת 18%) מאשר ב-12 החודשים הקודמים, לפי נתוני ISMS.online. ובכל זאת המגזר הציבורי ברח. זאת למרות החמרה בסטטיסטיקה של הפרת נתונים בממשלה. על פי ה הנתונים של ICO עצמו, מנותח על ידי משרד עורכי דין מישון דה ריא, הייתה עלייה מדהימה של 8000% במספר האנשים שהושפעו מפרצות נתונים בממשל המרכזי בין 2019 ל-2023. באופן לא ייאמן, היו 195 מיליון אנשים שהושפעו מהפרות הקשורות ל"נתונים כלכליים או פיננסיים" ב-2023 לבדה, כמעט פי שלושה אוכלוסיית בריטניה.
אז למה השינוי במדיניות ה-ICO? עבור נציב המידע ג'ון אדוארדס, זה מסתכם בעובדה שקנסות כנראה ישנו את התנהגויות המגזר הפרטי בקלות רבה יותר מאשר במגזר הציבורי. והעובדה שהכספים הממשלתיים כבר נמתחים דק בצורה מסוכנת.
"אני לא משוכנע שקנסות גדולים בפני עצמם הם גורם הרתעה יעיל באותה מידה במגזר הציבורי. הם אינם משפיעים על בעלי מניות או דירקטורים בודדים באותו אופן כפי שהם משפיעים על המגזר הפרטי אלא באים ישירות מתקציב מתן השירותים". הוא כתב ביוני 2022.
"ההשפעה של קנס של המגזר הציבורי היא לעתים קרובות גם על קורבנות ההפרה, בצורה של תקציבים מופחתים לשירותים חיוניים, ולא על המבצעים. למעשה, אנשים שנפגעו מהפרה נענשים פעמיים".
עם זאת ההיגיון לגבי קנסות כגורם מרתיע הוא קצת צמרירי. מחקר ISMS.online מגלה שרק חמישית (19%) מהעסקים המגיבים אומרים שהמוטיבציה העיקרית שלהם לציות היא להימנע מקנסות. הרבה יותר מדברים על שמירה על תחרותיות (34%), הגדלת ביקוש הלקוחות (34%) והגנה על מידע עסקי (30%) ולקוח (29%). אף אחד מהגורמים המניעים האחרים הללו אינו רלוונטי במיוחד למגזר הציבורי, מה שמותיר קנסות כאחד מהמנופים הבודדים העומדים לרשות ה-ICO.
מה שמחריף את הבלבול היא העובדה שיש מסרים מעורבים המגיעים מתוך ה-ICO עצמו. ג'ון אדוארדס היה רק לאחרונה דווח כמו שאמר כי המדיניות שלו שלא לקנוס את המגזר הציבורי אלא להוציא נזיפות לא מחייבות הייתה "יעיל מאוד, במיוחד במגזר הציבורי שבו המוניטין שווה יותר מהארנק". עם זאת, יש לו מאז הודה שיש ראיות מוגבלות זמינות אפילו להערכת ההשפעה של עונשים כספיים על המגזר.
"הייתי מצפה שבסקירה הקרובה יהיו כמה נתונים וראיות אחרות בהתחשב, למשל, האם ה-ICO ראה ראיות כלשהן לשיפור בציות במגזר הציבורי כתוצאה מגישת המגזר הציבורי", נתונים בכירים במישקון דה ריא. מומחה ההגנה, ג'ון ביינס, אומר ל-ISMS.online.
"באופן אנקדוטי, הייתי אומר שבמקום זאת ראינו עניים יותר הַתאָמָה. אני ממשיך להיות לא משוכנע שיש בסיס להתייחס למגזר הציבורי בצורה שונה מכל מגזר אחר. אני חושש ש"גישת המגזר הציבורי" משפיעה לכבול את שיקול הדעת של ה-ICO לנקוט בפעולה יעילה, מידתית ומרתיעה".
מקום לשיפור
אז מה קורה אחר כך? ביינס מסביר שלפני ה-GDPR, ה-ICO נהג לדרוש מבקר נתונים לחתום על "התחייבות" לביצוע שיפורים - אם הארגון שלהם נמצא חסר אבל קנס או פעולת אכיפה לא היו מוצדקות.
"אני לא רואה סיבה לכך שה-ICO לא יוכל לחדש את הגישה הזו במקרים מתאימים: תהיה לכך השפעה של הטלת חובות על מנהלים בכירים להבטיח שההבטחה שלהם תתקיים. מניסיוני, ה'התחייבויות' הללו היו יעילות מאוד בריכוז מוחותיהם של אותם מנהלים בכירים בחשיבות של תאימות להגנה על מידע", הוא מוסיף.
"אני גם מציע לממשלה לשקול אם היא תרצה להעניק סמכויות פורמליות, באמצעות חקיקה, ל-ICO לבקש התחייבויות כאלה, עם אפשרות לסנקציות נגד יחידים - כמו גם ארגונים - אם ההתחייבויות יופרו. אני חושב שתהיה לו אז חבילת כוחות זמינים שיכולים להיות יעילים, בנפרד או בשילוב.
בתוך הבלבול הזה, הדרך הטובה ביותר עבור ארגוני המגזר הציבורי להשתלט על גורלם היא לצמצם באופן יזום את סיכוני הפרצות. ה-ICO הדגיש היטב את הדברים שחברות במגזר הציבורי והפרטי צריכות לעשות בהקשר זה. היא נקטה בעבר צעדים נגד ארגונים שלא הצליחו:
- פרוס אימות רב-גורמי (MFA) על חיבורים חיצוניים.
- רישום וניטור מערכות ופעל כאשר יש יציאה בלתי צפויה של נתונים או חיבורי RDP
- פעל בהתאם להתראות של נקודות קצה כגון אלו המופקות על ידי כלים נגד תוכנות זדוניות
- השתמש בסיסמאות חזקות וייחודיות בחשבונות פנימיים - במיוחד חשבונות מועדפים.
- תיקון פגיעויות ידועות.
