תיקון 13 — צ'קליסט מעשי לעסק
תיקון 13 לחוק הגנת הפרטיות מרחיב מהותית את חובות אבטחת-המידע והדיווח לכל עסק שמחזיק מאגר מידע — עם סמכויות אכיפה וקנסות משמעותיים. הנה מה שהחוק דורש בפועל, ואיך סוגרים כל דרישה בלי פרויקט של חצי שנה.
מה השתנה — בקצרה
התיקון מעביר את הדגש מ"רישום מאגרים" לחובת אבטחת-מידע אפקטיבית, שקיפות, ותגובה לאירועים. עסק צריך לדעת איזה מידע יש לו, להגן עליו בבקרות מוכחות, לתעד מי ניגש למה, ולדעת לדווח על אירוע-אבטחה בזמן. אכיפה מנהלית + עיצומים כספיים הופכים את זה מ"נחמד שיהיה" ל"חובה".
הצ'קליסט — 7 הדרישות והתשובה בפועל
1. מיפוי המידע והנכסים
צריך לדעת אילו מכשירים, שרתים ושירותי-ענן מחזיקים מידע. אצלנו: מלאי-נכסים אחד (endpoints + שרתים + ענן AWS/Azure/GCP/M365/Google) עם מפת-חיבורים תלת-מימדית וציון-בריאות 0–100 לכל נכס.
2. בקרות אבטחה מוכחות
Defender/חומת-אש פעילים, הצפנה, ניהול-הרשאות, גיבוי. אצלנו: ניטור רציף של הבקרות + תיקון אוטומטי כשמשהו נכבה, ציד-נוזקות (YARA) וזיהוי-חריגות התנהגותי (UEBA).
3. ניהול-גישה והרשאות מדורגות
גישה לפי-הצורך, לא הכל-לכולם. אצלנו: בידוד פר-דייר, שיתוף עמדות ב-3 רמות (צפייה/שליטה/ניהול), ומחיקה שמורה לבעלים בלבד.
4. תיעוד גישה (audit trail)
מי ניגש, מתי, למה. אצלנו: יומן-ביקורת מלא לכל פעולה + audit-on-reveal על כל חשיפת סוד בכספת — עדות שאי-אפשר להתכחש לה.
5. גיבוי והתאוששות
מידע שאפשר לשחזר גם אחרי מתקפת-כופרה. אצלנו: גיבוי immutable (WORM · Object-Lock) שתוקף לא יכול למחוק — גם עם מפתחות גנובים — עם בדיקת-שחזור אוטומטית.
6. זיהוי ודיווח אירוע
לזהות אירוע-אבטחה ולדווח בזמן. אצלנו: התראות בזמן-אמת + ציר-זמן פורנזי בשפה אנושית (מי, מה, מתי, עם תיוג MITRE) — הבסיס לדיווח מסודר לרשות.
7. דוח-תאימות תקופתי
הוכחה מול הנהלה/מבטח/רשות. אצלנו: מיפוי CIS → תיקון 13 / ISO 27001 / SOC 2, ודוח מוכן-להורדה בקליק — בלי לאסוף ראיות ידנית.