הדאטה שלכם הוא נכס, אבל הוא גם יכול להפוך בקלות לסיכון

Image generated with DALL·E by OpenAI

השעה הייתה 6:30 בבוקר. שיחת טלפון ממנהל מערכות מידע בבית חולים גדול בארץ קטעה את שגרת הבוקר שלי: "המערכת הקלינית איטית מאוד, ומה שיותר מדאיג זה שזיהינו תעבורת מידע חריגה ממאגר בדיקות הדם", הוא מעדכן. שלוש שעות מאוחר יותר קיבלתי פנייה מראש אגף מחשוב בעירייה גדולה: "הרשות להגנת פרטיות שלחה לנו דרישה מיידית להעביר רשימה עם כל מאגרי המידע שברשותנו המכילים מידע אישי מזוהה, הבעיה שאין לנו רשימה שמרכזת את הכל במסמך אחד".

במבט ראשון אלו יכולים להיראות כמו שני אירועים שונים, אך הם סימפטומים של אותה "מחלה ארגונית": הדאטה הארגוני זורם בשפע, אבל לא מנוהל ומפוקח כראוי.

רובנו יודעים אבל לא תמיד זוכרים, שבנוסף להיותו מקור לערך עסקי, הדאטה שאנו מחזיקים עלול להפוך גם לסיכון משמעותי אם לא מטפלים בו נכון. ככל שאתם מתקדמים בפרויקטי טרנספורמציה דיגיטלית ויישומי AI, אתם מסתכנים בשכבות של "דאטה יתום", כלומר מידע שאינו ממופה, מסווג, מפוקח ומבוקר.

בינתיים הרגולציה לא עוצרת, רק להפך, ותיקון 13 לחוק הגנת הפרטיות בישראל, שייכנס לתוקף מחר, ב-14 באוגוסט 2025, ממקד את הפנס בדיוק במקומות הללו.

הדאטה לא "שייך" רק למחלקת IT

לפי דוח של IBM מ-2024, עלות ממוצעת של אירוע דליפת מידע עומדת על 4.88 מיליון דולר. אולם, ארגונים שמיישמים נראות, אוטומציה וניהול מדיניות שיטתי על המידע – מה שניתן לכנות Data governance – מקטינים את העלות הזו בכ-45%. המשמעות של Data Governance לא מתבטאת רק בטכנולוגיה אלא גם ביכולת של הארגון להבין מה עליו להגדיר כמידע רגיש, מי נוגע בו, ואיך מגינים עליו.

בישראל, עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, ארגונים במגזר הציבורי והפרטי צריכים לדעת היכן נמצאים מאגרי המידע האישי שברשותם; איזה מהמאגרים מכילים מידע רגיש; האם קיימת בקרה ראויה על הגישה, השימוש וההגנה עליהם והאם וכיצד ניתן להפיק מהם דיווחים נדרשים לרגולטור.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

צומת של מידע ורגולציה

אחד הלקוחות שלנו לדוגמה, גוף רפואי גדול שמפעיל עשרות מרכזים רפואיים, פנה אלינו עם אתגר לא פשוט שנבע משנים של מיפוי לא מספק ולא אחוד של מאגרי המידע הרגיש שברשותו. במהלך השנים הצטברו שם שכבות של מידע ונתונים ממערכות טיפוליות, פלטפורמות BI, קבצי מידע בענן ואפילו דוחות שנשלחו למחקר חיצוני. ככל שצוותים רפואיים ניסו להיות יעילים יותר, נוצרה שכבה שלמה ומבוזרת של "דאטה יתום" – אותו מידע רגיש שנמצא בכל מקום, ללא מיפוי או שליטה.

נקטנו בסדרת פעולות מיידיות, התחלנו במהלך רוחבי של Data Discovery ששילב סריקות וסקר אוטומטי עם ראיונות ועבודת שטח אנושית. בנינו Data Register חי למיפוי מאגרים, רמות גישה, שדות מידע רגיש ובעלי אחריות לכל מאגר, ואז יישמנו מדיניות סיווג מבוססת הקשר שתאפשר סימון, מיסוך והגנה על הנתונים השונים, ולבסוף בנינו לוח מחוונים (Privacy Dashboard) שעוקב ומתריע על אנומליות, גישה חריגה ונפחי שימוש בכל מאגר.

התוצאה היתה מעל לציפיות. הצלחנו להפחית את זמן התגובה לבקשות רגולציה מ-18 ימים ל-3 בלבד. בנוסף לכך זוהו מעל 40 מאגרי מידע שלא היו ידועים קודם לכן, אשר רובם הכילו מידע המוגדר רגיש, והצוות הרפואי קיבל כלים פשוטים לדיווח, סיווג ובקשת גישה, במקום להילחם במערכות.

אם תקחו רק דבר אחד, ראוי שהוא יהיה המסר הבא: כשיש שקיפות יש גם שליטה, והיכן שיש שליטה אפשר לבנות תהליכים שיאפשרו לצמוח עם הדאטה בלי לחשוש מהרגולציה.

ניר אמקייס הוא מנהל חטיבת אבטחת המידע והסייבר ONE Security