תיקון 13 הוא חיוני, רק אל תצפו ממנו לעצור את הסיכון האמיתי

חשוב לפקח על האופן שבו ארגונים בישראל מנהלים ושומרים מידע אישי, הבעיה היא ההנחה שמנהלי הארגון יודעים הכל על הנתונים שלהם

{ IT ותשתיות }
נמרוד וקס
28.8.25

נוצר באמצעות AI

תיקון 13 לחוק הגנת הפרטיות נועד להדק את הפיקוח על האופן שבו ארגונים בישראל מנהלים ושומרים מידע אישי. הוא מציב רף חדש לסטנדרטים של אבטחת מידע ופרטיות ומטיל סנקציות כבדות על מי שיחרוג מהם. אפשר לעמוד בדרישות החוק להגנת הפרטיות, לייעל תהליכים, לשמור על אמון הציבור ואף להפיק יתרון עסקי באמצעות שימוש בטכנולוגיות מתקדמות, הבעיה היא שהחוק מניח שמנהלי הארגון יודעים אילו נתונים יש להם, היכן הם נמצאים וכיצד הם משמשים – וההנחה הזו שגויה לחלוטין. למעשה, הבינה המלאכותית שנכנסה לאחרונה לארגונים בדלת האחורית, חושפת את כולנו לדליפה של מידע רגיש.

בינה מלאכותית יוצרת (GenAI) התפשטה בקצב מסחרר בכל סוגי הארגונים – ממוסדות פיננסים גדולים, חברות ממשלתיות, חברות קמעונאות ועד לסטארטאפים קטנים. העובדים משתמשים ב-ChatGPT, Gemini או Copilot כדי לקצר תהליכים, לנסח מיילים, לנתח נתונים וליצור מצגות. בחלק המקרים זה קורה באופן רשמי ומנוהל, אך לעיתים קרובות נעשה "בדלת האחורית", בתופעה שנקראת Shadow AI – כלומר שימוש בכלי AI בארגון מבלי שהוא מנוהל, נבדק או אושר על ידי מחלקות ה-IT והאבטחה. זה אמנם לא בהכרח נעשה בזדון, למעשה רוב העובדים עושים זאת בתום לב מתוך רצון לשפר תפוקות, אבל התוצאה עלולה להיות קריטית: מידע רגיש יוצא מגבולות הארגון מבלי שמישהו יכול לוודא מה ייעשה בו בהמשך.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

מה כבר יכול לקרות? בחברת טכנולוגיה בינלאומית צוות פיתוח הזין קוד תוכנה פנימי ל-AI חיצוני כדי לפתור באג במערכת. הקוד נשמר בשרתים חיצוניים והיה נגיש בהמשך למפתחים מחוץ לארגון. במקרה אחר, במחלקת שיווק של ארגון פיננסי, עובד העלה מסמך אקסל עם נתוני לקוחות לכלי לניתוח נתונים מבלי להבין שהמידע הזה נשמר מחוץ לשרתי החברה ויכול להיות נגיש לגורמים לא מורשים.

שקיפות מוחלטת

תיקון 13 דורש מהארגון שליטה מלאה בנתונים, אך שליטה שכזו מחייבת שקיפות מוחלטת בכל הנוגע לשימושי AI. בפועל, ללא ניטור בזמן אמת אין דרך לדעת אם ואיפה מתבצעת הזנה של מידע רגיש לכלי חיצוני. הפער הזה לא רק מעמיד את הארגון בסיכון משפטי, אלא גם עשוי לפגוע באמון הלקוחות ובמוניטין.

החדשות הטובות הן שהפתרונות לניהול הסיכון הזה כבר קיימים היום בשוק, והם מתקדמים ככל שהבינה המלאכותית עצמה מתקדמת. ארגונים יכולים וצריכים כבר עכשיו לאמץ שיטות עבודה וכלים שיעזרו להם: למפות בזמן אמת את כל פעילות ה-AI בארגון ולזהות אילו כלים בשימוש, מה המידע שנכנס אליהם וההקשר שבו הם פועלים, בנוסף, חשוב לנקות אוטומטית מידע רגיש לפני הזנתו ל-AI באמצעות טוקניזציה או השחרה (Redaction) של נתונים אישיים ומסווגים, ולבסוף לתייג בצורה חכמה את המידע לפי רמת רגישות, רגולציה רלוונטית או סוג השימוש המותר, כך שהמדיניות לגבי אותו מידע רגיש מוטמעת אוטומטית בתהליכי העבודה.

אבל הכי חשוב: להדריך עובדים באופן ממוקד, ולא רק "אל תעשו", אלא "כך עושים נכון", עם כלים מאושרים ונהלים ברורים.

האתגר הוא לא בזמינות הטכנולוגיה, אלא ביכולת של הארגון לבצע את ההתאמות הנדרשות, לשלב את הכלים הללו במערכות ובנהלים הקיימים ולוודא שהם באמת מוטמעים בשגרה. חשוב להבהיר: בינה מלאכותית היא לא האויב, להיפך – היא מנוע צמיחה וחדשנות. אבל כמו כל טכנולוגיה עוצמתית, היא דורשת ניהול סיכונים מושכל. ארגונים שיבינו זאת מוקדם ויטמיעו את הכלים הקיימים כבר היום, יהיו אלה שישמרו על היתרון התחרותי שלהם ויעמדו גם בדרישות החוק וגם בציפיות הלקוחות. בעידן שבו AI חוצה את גבולות הארגון בכל כיוון, מהטלפון של העובד ועד לענן הציבורי, שליטה במידע היא לא מותרות, היא תנאי להישרדות.

נמרוד וקס הוא CPO ומייסד שותף בחברת BigID

סוכני ה-AI באים לחסל את האפליקציות

 

תגיות: , , , , , , , , ,

Geektime Insider

הבא
הקודם

אירועים קרובים

לכל האירועים

משרות

לצפייה בכל המשרות

משרות פתוחות

לכל המשרות

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם

הקודם
הבא