077-5509948 יצירת קשר שאלון אבטחת מידע תחת מתקפת סייבר?

תיקון 13 לחוק הגנת הפרטיות

תיקון 13 לחוק הגנת הפרטיות משנה את כללי המשחק.
הוא הופך את אבטחת המידע מפרקטיקה מומלצת לחובה משפטית עם אחריות אישית, אכיפה מוגברת וסנקציות משמעותיות.
אם בעבר היה אפשר "לסמן וי" על אבטחת מידע, היום זה כבר לא מספיק.
רגולציה, לקוחות, שותפים והמדינה מצפים לראות ניהול סיכונים אמיתי, מתמשך ומתועד.

מהו תיקון 13?

תיקון 13 מחייב ארגונים בישראל להגן על מידע אישי בצורה אקטיבית, מדידה ומתמשכת.
לא רק לכתוב נהלים אלא להוכיח בפועל שיש בקרה, ניטור, תגובה ואחריות.

המשמעות:
אירוע אבטחה כבר אינו נתפס כתקלה טכנית בלבד, אלא כחשיפה משפטית ממשית הכוללת קנסות, אחריות ניהולית, תביעות ופגיעה חוזית.

למה תיקון 13 נולד דווקא עכשיו?

כי היקף הדליפות בישראל עלה בעשרות אחוזים בשנים האחרונות.
לפי פרסומי רשות הגנת הפרטיות, רוב אירועי הדליפה נגרמים מ:

  • טעויות אנוש
  • חוסר ניטור
  • הרשאות יתר
  • ספקים חיצוניים

בישראל זה קורה בעיקר ב-SaaS, פיננסים, בריאות, חינוך ורשויות מקומיות – בדיוק הארגונים שמחזיקים הרבה מידע אישי של אזרחים.

על מי תיקון 13 חל?

התיקון חל כמעט על כל ארגון שמחזיק מידע אישי.
לא רק על חברות ענק.

לדוגמה:

  • חברות עם מאגרי לקוחות
  • ארגונים עם מערכות CRM / ERP
  • עסקים שעובדים בענן
  • גופים עם ספקי IT חיצוניים

אם יש לכם שמות, טלפונים, מיילים, נתוני עובדים או לקוחות – אתם בפנים.

מה השתנה בפועל בעקבות תיקון 13?

תיקון 13 מעביר את האחריות מאמירה כללית להוכחה תפעולית.
הרגולטור כבר לא מסתפק בהצהרות, נהלים או מסמכים כלליים, אלא מצפה לראות כיצד הארגון מנהל אבטחת מידע בפועל, יום-יום.

ניהול סיכונים מתועד

המשמעות: הארגון נדרש להראות שהוא מיפה את הסיכונים הרלוונטיים למידע האישי שהוא מחזיק.
לא מסמך מדף, אלא תהליך שלם שמזהה איפה יש מידע רגיש, מי ניגש אליו, ומה עלול להשתבש.

בפועל, ארגונים נבחנים על השאלה:
האם ידעתם מראש איפה אתם חשופים או גיליתם את זה רק אחרי האירוע?

בקרות טכנולוגיות פעילות

לא מספיק להגיד "יש לנו מערכות אבטחה".
הרגולטור מצפה לראות שהבקרות פועלות, מעודכנות ומותאמות לסיכון.

לדוגמה:

  • הגבלות הרשאה אמיתיות
  • הקשחת מערכות
  • הגנה על מערכות ענן ו-SaaS
  • מנגנונים שמונעים דליפה ולא רק מתעדים אותה

השאלה שנשאלת היא לא אילו כלים יש, אלא מה הם מונעים בפועל.

תיקון 13 לחוק הגנת הפרטיות

תגובה לאירועים בזמן אמת

תיקון 13 מניח שאירועים יקרו ובוחן איך הארגון מגיב.
האם יש יכולת לזהות אירוע בזמן סביר, לעצור אותו, ולצמצם נזק?
תגובה שנעשית ימים או שבועות אחרי נתפסת ככשל ניהולי, לא כ"מזל רע".
בישראל, זה בולט במיוחד בארגונים ללא מנגנון תגובה ברור.

מעקב וניטור רציף

אחד השינויים המשמעותיים ביותר הוא הדרישה לניטור מתמשך.
לא בדיקות תקופתיות בלבד, אלא ראות שוטפת למה שקורה במערכות.

זה כולל:

  • פעילות חריגה של משתמשים
  • גישה לא שגרתית למידע
  • חיבורים מצד ספקים
  • שינויים בהרשאות

בלי ניטור רציף, קשה מאוד להוכיח עמידה בדרישות תיקון 13.

אחריות ברורה בהנהלה

התיקון מחדד נקודה רגישה:
אבטחת מידע היא לא רק עניין של מחלקת IT.

הרגולטור מצפה לראות בעל תפקיד מוגדר, מדיניות מאושרת, ודיווח להנהלה.
כאשר אין "אבא ואמא" לנושא זו כבר בעיה רגולטורית.

השורה התחתונה
תיקון 13 מחליף את השאלה "האם יש לכם אבטחת מידע?"

בשאלה הרבה יותר מחייבת:
מה זיהיתם, מתי, איך הגבתם – ומה למדתם מאז?
זו בדיוק ההבחנה בין ארגון שעומד ברגולציה על הנייר,לבין ארגון שמנהל אבטחת מידע באמת.

איך זה נראה ביום-יום של ארגון?

זה אומר שאירוע קטן שלא זוהה בזמן – עלול להפוך להפרה רגולטורית.

לדוגמה אמיתית מהשטח בישראל:

  • עובד משתף קובץ לקוח ב-Google Drive עם גורם חיצוני
  • אף אחד לא מנטר את זה
  • המידע זולג
  • האירוע מתגלה רק אחרי תלונה

לפי תיקון 13 – זו כבר אחריות ישירה של הארגון.

איפה ארגונים נופלים הכי הרבה?

ברוב המקרים, הכשל אינו בטכנולוגיה – אלא בניטור ובתגובה.
לרוב הארגונים יש נהלים, מסמכים וכלי אבטחה, אך בפועל חסרה להם ראות אמיתית למה שקורה בזמן אמת.

אין ראות למה שקורה בפועל

המשמעות: אירועים מתרחשים ואף אחד לא רואה אותם בזמן.
גישה חריגה, שיתוף קובץ רגיש או שינוי הרשאות יכולים להתרחש ולהישאר מתחת לרדאר במשך ימים או שבועות.
בישראל זה נפוץ במיוחד בארגונים שעובדים בענן או עם מערכות SaaS רבות, אך אין גוף אחד שמרכז את כל התמונה.

אין חיבור בין מערכות

כל מערכת "רואה" רק חלק קטן מהמציאות:
האימיילים במקום אחד, הענן במקום אחר, ספקים חיצוניים במערכת נפרדת.

התוצאה:
כל חריגה נראית לגיטימית בפני עצמה אבל התמונה הכוללת, שמצביעה על סיכון אמיתי, פשוט לא נבנית.
כך בדיוק מתפספסים אירועים מורכבים, ובעיקר מתקפות איטיות ומתמשכות.

אין מי שמקבל החלטות בזמן אמת

גם כשהתראה כבר כן מופקת לעיתים אין מי שיפרש אותה.
ה-IT עסוק, אין בעל תפקיד ברור, והאירוע "מחכה" למחר.
אבל ברגולציה החדשה, תגובה מאוחרת אינה נתפסת כחוסר מזל אלא ככשל ניהולי מוחלט.

וכאן בדיוק נכנסים שירותי SOC

שירותי SOC איכותי לא רק מציג התראות הוא מספק הקשר, סדר עדיפויות ותגובה מיידית.

באמצעות ניטור רציף, חיבור בין מערכות והבנה של סביבת הארגון, ניתן:

  • לזהות חריגות בזמן
  • לעצור דליפות לפני שהן מתרחבות
  • למנוע אירועים רגולטוריים
  • ולהפחית משמעותית את הנזק העסקי

במקום לגלות אירוע בדיעבד ה-SOC הופך את הארגון לפעיל, מודע ושולט.

רוב הארגונים לא נכשלים כי לא אכפת להם מאבטחה אלא כי הם רואים מאוחר מדי, או מגיבים לאט מדי, וזה בדיוק הפער שתיקון 13 לא מאפשר יותר.

איך מוכיחים עמידה בתיקון 13?

הוכחה = שילוב בין אנשים, תהליכים וטכנולוגיה.

בטבלה קצרה:

דרישה רגולטורית איך מוכיחים בפועל
מניעת חדירה בדיקות, בקרה, הקשחה
זיהוי אירועים ניטור רציף
תגובה תהליך Incident ברור
אחריות ניהולית תפקיד מוגדר
בקרה מתמשכת דוחות, מדדים

לדוגמה, בדיקות חדירה מאפשרות להראות שלא רק כתבתם נהלים אלא בדקתם את עצמכם באמת.

ומה לגבי תקנים בינלאומיים?

תיקון 13 לא עומד לבד.

הוא מתחבר ישירות לעולמות של:

  1. תקן 27001 – ניהול אבטחת מידע
  2. שירותי SOC2 – הוכחת אמון, בקרה ושקיפות
  3. רגולציות אירופאיות כמו GDPR

ארגונים שכבר עובדים לפי תקנים כאלה, הרבה יותר מוכנים לתיקון 13.

מי אחראי בארגון?

תיקון 13 מחייב אחריות ברורה ולא אחריות כללית: "כולם אחראים ולכן אף אחד לא אחראי".

בפועל, נדרש גורם שמגדיר מדיניות, מפקח על יישומה, מדווח להנהלה ומוודא שהארגון פועל באופן יזום ולא רק מגיב אחרי שנגרם נזק.

כאן נכנס תפקיד CISO – ניהול אבטחת מידע, גם כאשר הוא ניתן במודל שירות, כגורם שמחבר בין רגולציה, טכנולוגיה וניהול סיכונים לאורך זמן.

למה זה גם אינטרס עסקי ולא רק רגולטורי?

כי אמון שווה כסף.

לקוחות, שותפים ומשקיעים שואלים היום:

  • איך אתם מגנים על מידע?
  • איך אתם מזהים אירועים?
  • מי אחראי אצלכם?

ארגון שיודע לענות מתקדם מהר יותר.

מקורות חיצוניים

 המאמר מבוסס על פרסומים רשמיים של מדינת ישראל וניתוחים משפטיים מקצועיים בתחום הפרטיות והרגולציה:

 Gov.il – תיקון 13 לחוק הגנת הפרטיות

מקור רשמי המפרט את עיקרי התיקון, הדרישות והחובות החדשות על ארגונים.

https://www.gov.il/he/pages/13_amendment

IAPP – Israel’s Amendment 13 to Privacy Protection Law

ניתוח מקצועי של השפעת תיקון 13 בהשוואה לרגולציות בינלאומיות כמו GDPR.

https://iapp.org/news/a/israel-marks-a-new-era-in-privacy-law-amendment-13-ushers-in-sweeping-reform

הרשות להגנת הפרטיות – הנחיות ואכיפה

מידע על ציפיות הרגולטור, אכיפה ודרישות לניהול אבטחת מידע בפועל.

https://www.gov.il/he/departments/the_privacy_protection_authority

שאלות נפוצות (FAQ)

  • האם תיקון 13 חל גם על עסקים קטנים?
    כן. הגודל פחות חשוב מהמידע שאתם מחזיקים.
  • האם מספיק אנטי-וירוס וחומת אש?
    לא. נדרש ניטור, תיעוד ותגובה.
  • מה קורה אם לא עומדים בדרישות?
    קנסות, סנקציות, פגיעה תדמיתית וחשיפה משפטית.
  • האם ספקים חיצוניים נכללים?
    בהחלט. האחריות נשארת אצל הארגון.
  • מאיפה מתחילים?
    מיפוי סיכונים, הגדרת אחריות וחיבור לניטור אמיתי.

תיקון 13 הוא קריאת השכמה

תיקון 13 לא נועד להקשות על ארגונים אלא נועד לוודא שמידע אישי מנוהל באחריות, בשקיפות ובשליטה.

ארגונים שמבינים את זה עכשיו – יהיו צעד אחד לפני כולם.

אלה שיחכו לאירוע – ישלמו מחיר גבוה יותר.

אחריות רגולטורית היא גם אחריות ניהולית

תיקון 13 לחוק הגנת הפרטיות הוא לא עוד שינוי משפטי נקודתי, אלא סימן ברור לכיוון שאליו העולם הארגוני הולך:

פחות סובלנות לאירועי אבטחת מידע, יותר דרישה לניהול אמיתי, מדיד ומתמשך של סיכונים.

המשמעות עבור הנהלות וארגונים בישראל ברורה: אבטחת מידע כבר אינה נושא טכני בלבד, אלא אחריות ניהולית שיש לה השלכות משפטיות, תדמיתיות ועסקיות.

אירוע אבטחה שלא זוהה בזמן, או תהליך שלא תועד כראוי, עלול להפוך במהירות מחשיפה תפעולית להפרת חוק.

ניהול נכון של הדרישות החדשות לא מסתכם בכתיבת נהלים או בהטמעת כלי אבטחה נקודתיים.

הוא דורש ראייה רחבה: הבנה של הסביבה הארגונית, חיבור בין אנשים, תהליכים וטכנולוגיה, ובעיקר  יכולת לדעת מה קורה באמת, בזמן אמת, ולא בדיעבד.

כאן היתרון של CyberSafe בא לידי ביטוי.

הגישה שלנו אינה מתמקדת רק בעמידה "על הנייר" בדרישות הרגולציה, אלא בליווי ארגונים בבניית יכולת אמיתית: כזו שמזהה סיכונים מוקדם, מגיבה נכון לאירועים, ומאפשרת להנהלה שליטה וביטחון גם ברגעים מורכבים.

בשורה התחתונה, תיקון 13 הוא הזדמנות.

הזדמנות לארגונים לבנות אמון, לחזק תהליכים פנימיים ולהפוך את אבטחת המידע מנקודת חולשה  לנכס עסקי.

ארגונים שבוחרים לפעול בצורה אחראית כבר עכשיו, לא רק עומדים בדרישות החוק  הם בונים תשתית יציבה לשנים קדימה.

צרו קשר עם CyberSafe עוד היום, וגלו כיצד אנו יכולים לספק לכם פתרונות מותאמים אישית כדי להגן על העסק שלכם מפני איומים מתפתחים ולהבטיח את ביטחונכם מסביב לשעון.

תוכלו להישאר מעודכנים כל הזמן בעדכונים פרצות וטיפים להתמודדות עם בעיות אבטחת מידע

הירשמו לניוזלטר שלנו

חברת CyberSafe היא חברת אבטחת מידע וסייבר המגנה על מידע עסקי רגיש וחסוי מפני גישה לא מורשית, הפצה והרס.

טלפון: 077-5509948

נייד: 052-2468869

דוא"ל: [email protected]

כתובת: רחוב הרטום 10, הר חוצבים, ירושלים

Linkedin-in

ניווט מהיר

השירותים שלנו

מידע מקצועי

סקטור עסקי

Privacy Policy
© 2023 Copyright - CyberSafe

תפריט נגישות

שדרגו את אבטחת המידע שלכם בהתאם לתקן ISO 27001:2022

תקן ISO27001:2022 מביא עימו דרישות חדשות לשיפור ההגנה והביטחון.
הצעד הזה מחזק את ההגנה על המידע שלכם ומביא אותנו לשיאים חדשים של הגנה על המידע, איכות ושירות.

אל תחכו עד שיקרה משהו,
הבטיחו את אבטחת המידע שלכם עוד היום!