השעה הייתה 6:30 בבוקר. שיחת טלפון ממנהל מערכות מידע בבית חולים גדול בארץ קוטעת את שגרת הבוקר שלי: "המערכת הקלינית איטית מאוד, ומה שיותר מדאיג זה שזיהינו תעבורת מידע חריגה ממאגר בדיקות הדם," הוא מעדכן. שלוש שעות מאוחר יותר קיבלתי פנייה מראש אגף מחשוב בעירייה גדולה: "הרשות להגנת הפרטיות שלחה לנו דרישה מיידית להעביר רשימה עם כל מאגרי המידע שברשותנו המכילים מידע אישי מזוהה, הבעיה שאין לנו רשימה שמרכזת את הכל במסמך אחד".
במבט ראשון אלו שני אירועים שונים, אך הם סימפטומים של אותה "מחלה ארגונית" – הדאטה הארגוני זורם בשפע, אבל לא מנוהל ומפוקח כראוי.
רובנו יודעים אבל לא תמיד זוכרים, שבנוסף להיותו מקור לערך עסקי, הדאטה שאנו מחזיקים עלול להפוך גם לסיכון משמעותי אם לא מטפלים בו נכון. ככל שאתם מתקדמים בפרויקטי טרנספורמציה דיגיטלית ויישומי AI, אתם מסתכנים בשכבות של "דאטה יתום", כלומר מידע שאינו ממופה, מסווג מפוקח ומבוקר. בינתיים הרגולציה לא עוצרת, רק להפך, ותיקון 13 לחוק הגנת הפרטיות בישראל, שנכנס לתוקף באוגוסט 2025, ממקד את הפנס בדיוק במקומות הללו. בואו נצלול רגע לנושא של "דאטה יתום".
הדאטה כבר לא "שייך" רק למחלקת IT
לפי דו"ח של יבמ מ-2024, עלות ממוצעת של אירוע דליפת מידע עומדת על 4.88 מיליון דולר. אולם, ארגונים שמיישמים נראות, אוטומציה וניהול מדיניות שיטתי על המידע – מה שניתן לכנות Data governance – מקטינים את העלות הזו בכ-45%. המשמעות של Data Governance לא מתבטאת רק בטכנולוגיה אלא גם ביכולת של הארגון להבין מה עליו להגדיר כמידע רגיש, מי נוגע בו, ואיך מגינים עליו.
בישראל, עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, ארגונים במגזר הציבורי והפרטי צריכים לדעת היכן נמצאים מאגרי המידע האישי שברשותם; איזה מהמאגרים מכילים מידע רגיש; האם קיימת בקרה ראויה על הגישה, השימוש וההגנה עליהם; והאם וכיצד ניתן להפיק מהם דיווחים נדרשים לרגולטור.
מערכת בריאות ארצית בצומת של מידע ורגולציה
אחד הלקוחות שלנו, גוף רפואי גדול שמפעיל עשרות מרכזים רפואיים, פנה אלינו עם אתגר לא פשוט שנבע משנים של מיפוי לא מספק ולא אחוד של מאגרי המידע הרגיש שברשותו. במהלך השנים נצברו שם שכבות של מידע ונתונים ממערכות טיפוליות, פלטפורמות BI, קבצי מידע בענן ואפילו דוחות שנשלחו למחקר חיצוני. ככל שצוותים רפואיים ניסו להיות יעילים יותר, נוצרה שכבה שלמה ומבוזרת של "דאטה יתום" – אותו מידע רגיש שנמצא בכל מקום, ללא מיפוי או שליטה.
נקטנו בסדרת פעולות מיידיות, התחלנו במהלך רוחבי של Data Discovery ששילב סריקות וסקר אוטומטי עם ראיונות ועבודת שטח אנושית. בנינו Data Register חי למיפוי מאגרים, רמות גישה, שדות מידע רגיש ובעלי אחריות לכל מאגר, ואז יישמנו מדיניות סיווג מבוססת הקשר שתאפשר סימון, מיסוך והגנה על הנתונים השונים, ולבסוף בנינו לוח מחוונים (Privacy Dashboard) שעוקב ומתריע על אנומליות, גישה חריגה ונפחי שימוש בכל מאגר.
התוצאה היתה מעל לציפיות. הצלחנו להפחית את זמן התגובה לבקשות רגולציה מ-18 ימים ל-3 בלבד. בנוסף לכך זוהו מעל 40 מאגרי מידע שלא היו ידועים קודם לכן, אשר רובם הכילו מידע המוגדר רגיש, והצוות הרפואי קיבל כלים פשוטים לדיווח, סיווג ובקשת גישה, במקום להילחם במערכות.
התובנה העיקרית מהסיפור היא שכאשר יש שקיפות יש גם שליטה, והיכן שיש שליטה אפשר לבנות תהליכים שיאפשרו לצמוח עם הדאטה בלי לחשוש מהרגולציה.
אנו בחטיבת ONE Security מתמחים בליווי ארגונים בתהליכי ניהול ואבטחת דאטה. ממיפוי ראשוני וייעוץ לציות לרגולציה, דרך סדנאות להנהלה, ועד להקמת תשתית Data Governance חוצת ארגון. אנו בונים עבור ארגונים יכולת להגן, לנהל ולשלוט בדאטה כדי שיוכלו לצמוח בעזרתו ולא לחשוש מהרגולציה. לתיאום סשן מיפוי ראשוני, שיספק לכם תוך 30 יום בלבד תמונת מצב לגבי פערי רגולציה קריטיים והמלצות ברורות על צעדים מהירים ליישום מיידי – צרו קשר ונצא לדרך >>
כותב המאמר הוא ניר אמקייס, מנהל חטיבת אבטחת המידע והסייבר ONE Security
חפש הכל “”