האתגר הגדול הבא: הפרטיות שלכם

יום הגנת הפרטיות הבינלאומי (Data Privacy Day) שחל היום (רביעי) הוא הזדמנות להבין לעומק את מפת האיומים החדשה שניצבת מול ארגונים בנסיונם להגן על פרטיות המידע שלהם. במציאות של היום, איומים אלה לא תמיד מגיעים ממתקפות סייבר "קלאסיות", אלא משינויים עמוקים באופן שבו ארגונים עובדים, מאחסנים מידע ומשתמשים בטכנולוגיות מתקדמות.

המעבר המואץ לענן, השימוש הגובר ב-AI, ריבוי מערכות דיגיטליות והחמרת הרגולציה מציבים אתגרים משמעותיים בניהול מידע רגיש, וחושפים ארגונים לסיכונים תפעוליים, משפטיים ותדמיתיים. מומחים מתחומי הסייבר, הפרטיות והמשפט חלקו עם "היום" את דעתם על האיומים המרכזיים שעל סדר היום ומה יכולים ארגונים לעשות כבר עכשיו כדי לצמצם חשיפה ולהגן על אמון הלקוחות.

זהות במלכודת

על פי דוח שפרסמה סוכנות הסייבר האמריקנית CISA כ-90% מתקפות הסייבר על תשתיות קריטיות התחילו בניצול לרעה של זהות, אשר במקרים רבים הובילה את התוקף להשגת הרשאות ארגוניות נוספות ולגישה למידע רגיש.

"ככל שארגונים ממשיכים להגביר את מאמציהם לטרנספורמציה דיגיטלית והטמעת יכולות AI, קו החזית של האבטחה הופך להיות הזהויות הארגוניות הדיגיטליות", מזהיר אייל רון, מנהל מרכז הפיתוח של רובריק ישראל. "היום, איומי הפרטיות המשמעותיים ביותר כבר לא מגיעים רק מהאקרים חיצוניים, אלא מזהויות שלא מנוהלות כמו שצריך - של עובדים, ספקים וגם זהויות לא אנושיות (NHI) של מערכות ואפליקציות - שפועלות בסביבה הדיגיטלית הארגונית.

"כל עובד, ספק, חשבון שירות או אפליקציה הם למעשה נקודת גישה פוטנציאלית למידע הארגוני. כשאין לארגון תמונה ברורה מי ניגש לאיזה מידע ולכמה זמן, נוצר סיכון ממשי לחשיפה של מידע רגיש – לעיתים בלי שאף אחד בכלל שם לב. האתגר הזה רק הולך ומעמיק עם המעבר לענן והטמעת סוכנים (agents), שמייצרים זהויות בקצב כה גבוה שרבות מהן 'נשכחות'.

"כדי להגן באמת על פרטיות המידע, ארגונים צריכים לאמץ גישת Identity Resilience (חוסן זהויות): היכולת לעקוב באופן רציף אחרי פעילות של זהויות, להבין איך משתמשים בהרשאות שניתנו, ולהגיב מהר – כולל עצירה או ביטול של פעולות שגויות או זדוניות. כשאפשר לזהות ולהכיל אירועים כאלה בזמן, עוד לפני שהם מתפשטים, מצמצמים משמעותית את הסיכון לדליפת מידע רחבת היקף ומחזקים את ההגנה על הפרטיות".

הצד האפל של ה-AI

קובי ניסן, מייסד-שותף ומנכ״ל בפלטפורמת ניהול סיכוני מידע ו-AI בארגונים MineOS, שופך אור על תופעת ה-Shadow AI, איום שקט שמנהלים רבים עדיין מפספסים. "הסכנה הגדולה כבר לא מגיעה ממתקפת סייבר חיצונית וזדונית, אלא דווקא מתוך הבית: שימוש יומיומי, תמים ולעיתים קרובות לא מבוקר, של עובדים בכלי AI חינמיים ובפיצ’רים חכמים שמוטמעים עמוק בתוך המערכות הארגוניות," הוא מסביר.

"כך נוצרת מציאות שבה כוונות טובות להתייעלות מובילות לזליגה שקטה של קניין רוחני ומידע רגיש על לקוחות אל מודלים חיצוניים ושירותים צד-שלישי, מבלי שאף גורם בארגון באמת רואה את התמונה המלאה. לכן, האתגר האמיתי של פרטיות היום אינו לבלום את הטכנולוגיה, שהרי היא מנוע צמיחה חיוני, אלא לדעת לנהל אותה בחוכמה, בזמן אמת. המשמעות היא יצירת נראות ושליטה בדיוק בצמתים שבהם מידע עובר בין מערכות, עובדים ומודלים.

"השורה התחתונה למנהלים היא חדה: עמידה ברגולציה היא תנאי סף בלבד. ארגון שלא יודע בכל רגע נתון איפה המידע הרגיש שלו נמצא ולשם מה הוא משמש - לא באמת מנהל סיכונים, ולא באמת שולט במה שקורה בעסק".

תוסף תמים או אירוע סייבר פוטנציאלי?

"בשנים האחרונות ארגונים השקיעו הון בביצור החומות סביב השרתים, אבל שכחו שהפרטיות הארגונית רגישה לסכנות היום דווקא מהקצוות, מהמחשבים של המפתח ומהדפדפן של איש השיווק," מעיד עמית אסרף, מייסד-משותף ומנכ"ל סטארט-אפ הסייבר KOI. "ב-2026 אנחנו עדים לקאמבק של אבטחת נקודות הקצה, אבל לא כפי שהכרנו אותה. האיום כבר לא מגיע רק מקובץ וירוס קלאסי של תוכנה, אלא מתוך הכלים היומיומיים כמו תוספים פופולריים שכולנו מורידים  ומשתמשים בהם. דווקא המפתחים הפכו היום לנקודת התורפה החדשה של כל חברה. הם המשתמשים החזקים ביותר בארגון, בעלי גישה לליבת המידע, אך הם פועלים בסביבה פרוצה שבה התקנת תוסף פשוט לסביבת הפיתוח או לסיוע בכתיבת קוד יכולה להיות הסוס הטרויאני החדש.

"ראינו איך תוספים תמימים לכאורה הופכים למשאבות נתונים ששואבות קוד מקור, סיסמאות ופרטי לקוחות מבלי להשאיר עקבות במערכות האבטחה המסורתיות. בעידן שבו הזהות היא הדלת, נקודת הקצה היא המפתח. כל ארגון חייב לדעת להגן על ארגז הכלים של העובדים שלו, באותה נחישות שבה הוא מגן על בסיס הנתונים שלו".

קנס רציני

תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוגוסט 2025, מחדד את חובות הארגונים בניהול מידע אישי, לרבות ניהול סיכונים, תיעוד, יצירת נהלים, הקפדה על מסירת מידע מסוים בזמן איסוף מידע, חתימה על נספחי פרטיות עם ספקים, אבטחת מידע לפי דרישות הדין, ביצוע תסקירי השפעה על פרטיות ובמקרים רבים גם עירוב הדירקטוריון וגם מינוי ממונה על הגנת פרטיות.

"אי יישום דרישות אלו בקשר לפרטיות ואבטחת מידע בהתאם לדרישות המעודכנות חושף ארגונים לאכיפה מנהלית מוגברת מצד הרשות להגנת הפרטיות, כולל עיצומים כספיים משמעותיים שעלולים להגיע למאות אלפי שקלים ואף למיליונים במקרים חמורים לצד צווים לתיקון ליקויים והגבלות על עיבוד המידע," מסבירה עו״ד מרים פרידמן, שותפה בתחום הפרטיות וקניין רוחני במשרד ארנון, תדמור- לוי. "בהקשר זה ניכרת גם מגמה אקטיביסטית של הרשות להגנת הפרטיות, בין היתר על רקע גיוסי כוח אדם נרחבים שמחזקים את יכולות הביקורת והאכיפה שלה. המסר לארגונים: פרטיות הפכה לנושא ממשל תאגידי - לא רק תחום עניין מצומצם למחלקת ה-IT".

עו"ד לימור ארגוב שנהב, מנהלת תחום הפרטיות במשרד וקסלר ברגמן ושות׳, מצביעה גם על עלייה ברורה בתובענות ייצוגיות בתחום הפרטיות מאז כניסת תיקון 13 לחוק הגנת הפרטיות לתוקף.

לדבריה, "מאז שהתיקון נכנס לתוקף מורגשת תזוזה בשטח: לא מדובר רק באכיפה רגולטורית, אלא ברוח גבית שמחזקת את היכולת של אזרחים וצרכנים לתבוע על פגיעה בפרטיות". לשיטתה, התיקון יצר מציאות משפטית חדשה בכמה רבדים, הרחבת האפשרות לפסוק פיצוי גם ללא הוכחת נזק, הארכת תקופת ההתיישנות, והסטת נקודת האיזון כך שגם הפרות שבעבר נתפסו כ’שוליות’ עלולות להפוך לסיכון משפטי ממשי.

בפועל, עיקר המגמה מתנקז לזירה הצרכנית-דיגיטלית: אתרים, אפליקציות ושירותים מקוונים שנבחנים תחת זכוכית מגדלת בשאלות של שקיפות, הסכמה מדעת, היקף איסוף המידע, שימוש ב־Cookies  וכלי מעקב, והעברת מידע לצדדים שלישיים. בהתאם לכך, בחודשים האחרונים הוגשו בקשות לאישור תובענות ייצוגיות נגד פלטפורמות גלובליות וחברות מסחריות בטענות לשימוש בזהות משתמשים לצרכי פרסום, העברת מידע באמצעות קוד פיקסל, ואיסוף מידע נרחב ממכשירים חכמים, לעיתים תוך הגדרת קבוצות רחבות לאורך שנים. "בתי המשפט מבהירים שפגיעה בפרטיות, במיוחד כשמדובר במידע רגיש, בהיעדר שקיפות או בניטור סמוי, אינה עוד עניין טכני", מסכמת ארגוב שנהב, "והחשיפה של עסקים כיום אינה רק לרשות, אלא גם לתביעות ייצוגיות, עם פוטנציאל לנזקים כספיים ולנזקי מוניטין משמעותיים".