צרו קשר

    עמית, פולק, מטלון ושות׳

    בית APM, ראול ולנברג 18, בניין D, קומה 6,
    רמת החייל, תל אביב
    6971915, ישראל

    דרך חברון 101, בית הנציב,
    כניסה ב', קומה 3, ירושלים

    צרו קשר

    טל׳: +972-3-5689000
    פקס: +972-3-5689001
    דוא״ל: apm@apm.law
    facebook linkedin

    מרכז מדיה / עדכונים משפטיים

    מדריך פעולה ליישום תקנה 10(ד) לתקנות הגנת הפרטיות (אבטחת מידע) בנושא שמירת לוגים

    ספטמבר 30, 2024

    טכנולוגיה ורגולציה

    איתמר כהן

    ביום 29 בספטמבר, 2024, הרשות להגנת הפרטיות ("הרשות") פרסמה מדריך פעולה בנושא שמירת נתוני התיעוד במערכות מאגרי מידע.

    תקנה 10 לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 ("התקנות") קובעת את החובה לניהול מנגנון תיעוד אוטומטי שיאפשר בקרה על הגישה למערכות מאגרי מידע בעלי רמת אבטחה בינונית או גבוהה ("מנגנון הבקרה"). התיעוד הנדרש כולל בין את זהות המשתמש, התאריך והשעה של ניסיון הגישה, רכיב המערכת שאליו בוצע ניסיון הגישה, סוג הגישה, היקפה, והאם הגישה אושרה או נדחתה. מבחינה מעשית, הכוונה היא לשמירה של Audit Logs, או בפשטות לוגים, המתעדים את פרטי הגישה למידע. את הלוגים יש לשמור למשך 24 חודשים לפחות.

    מאז נכנסו התקנות לתוקף בשנת 2018, חובה זו היוותה בפועל אחת החובות המכבידות יותר שבתקנות. ראשית, מהסיבה שלא כל המערכות בעבר כלל ייצרו לוגים שכאלו. אולם הרבה מעבר לכך, בשל משך השמירה הנדרש, הארוך יחסית והחורג מהמקובל בעולם. ועל כן, חובה זו הייתה והינה חובה שרבים מבעלי המידע התקשו לעמוד בה, בוודאי ביחס לכל אחת ואחת מהמערכות המשמשות לעיבוד מאגרי מידע ברמת אבטחה בינונית וגבוהה (היכולה לכלול למשל מאגרי של משאבי אנוש או כל מערכת המכילה מידע רפואי). בנוסף, התעוררו שאלות מהותיות בנוגע להיקף החובה, המערכות אליהן היא מתייחסת ומהו המידע שקבצי הלוג הנדרשים צריכים להכיל. כעת, במדריך הפעולה, הרשות מספקת את פרשנותה להוראות התקנה, תוך שהיא מרחיבה את החובה באופן שעל פניו אינו בא לידי ביטוי בלשון תקנה 10:

    • על אילו מערכות חלה החובה – תקנה 10 מדברת על "הגישה למערכות המאגר", מה שמתפרש בצורה פשוטה כניטור הגישה האפליקטיבית למידע, ולכל היותר בנוסף, גישה ישירה לבסיסי הנתונים. הרשות במדריך הפעולה מרחיבה את החובה כך שהיא מתייחסת ל "כל אחת ממערכות האבטחה של המאגר והמערכות המשמשות את המאגר". דהיינו החובה מתייחסת הן למערכות המאגר עצמו, והן למערכות האבטחה המגנות עליו. בהקשר זה מדריך הפעולה מביא כדוגמא את מערכת ההפעלה, "מאגר המידע" עצמו (כנראה הכוונה היא לבסיס הנתונים, קובץ ה- SQL וכיו"ב), ה- Active Directory, מערכת האנטי-וירוס / EDR, ומערכות אבטחה נוספות. מדריך הפעולה מציין במפורש כי הרשימה המובאת בו אינה ממצה ומהווה רק דוגמאות, וככל וישנן מערכות אבטחה קריטיות, הרי שיש לשמור לוגים גם מהן. לסיכום – יש לשמור לוגים על הגישה לא רק למערכות המאגר עצמו (ככל והוא ברמת אבטחה בינונית או גבוהה) אלא גם לכלל מערכות האבטחה והניהול הסובבות אותו ומשמשות לניהולו.
    • מה צריך לכלול קובץ הלוג – על פניו תקנה 10 מתייחסת רק למידע הקשור לגישה למערכות המאגר. דהיינו כפי שמפרטת התקנה מידע על זהות הניגש, אופי הגישה וכו' – אין המדובר בתיעוד של כלל הפעולות שבוצעו על ידי המשתמש בזמן שניגש למערכת. אלא שקריאה זהירה של מדריך הפעולה מעלה תהיות בנוגע לכוונת הרשות בהקשר זה. ביטויים כדוגמת "חובה לתעד את הגישה והפעולות המבוצעות במערכות מאגר המידע" והתייחסות נרחבת לתוכן הפעולות עצמן במסגרת המערכות השונות שנמנות במדריך הפעולה, מעוררות את התחושה שכוונת הרשות זולגת הרבה מעבר לתיעוד הגישה, אל תיעוד הפעולות עצמן. בהתחשב בכך שעל הלוגים נאספים יש לבצע ניטור, ברי כי מדובר בהרחבה מאתגרת ומהותית של התקנה. לסיכום – דומה כי יש להרחיב את תוכן הלוגים הנשמרים כך שיכללו גם, ומעבר לפרטי הגישה, לפחות את פעולות האדמין, ניהול המשתמשים והאבטחה של מערכות המאגר.
    • אופן שמירת הלוגים – תקנה 10 קובעת כי את הלוגים יש לשמור באופן שמבטיח כי לא יוכלו לשנות אותם ללא ניטור ובקרה. מדריך הפעולה מוסיף ומרחיב חובה לפיה יש לשמור מקומית את קבצי הלוג של מערכות קריטיות "יש לשמור נגישים, זמינים ומאובטחים במערכות אחסון מקומיות למשך כל התקופה הקבועה בתקנה 10(ד), קרי שנתיים". מעבר לכך שברור כי מדובר בהרחבה נוספת שאינה עולה מלשון תקנה 10, ניתן רק לתהות לגבי הישימות והיעילות שבהנחיה זו – וכי מהו היתרון של שמירה במערכות מקומיות על פני ניהול הלוגים, כמקובל, באמצעות מערכות ענן ייעודיות (לדוגמא רכיב ה- CloudWatch בסביבות AWS)? לגבי קבצי לוג של מערכות שאינן קריטיות קובעת הרשות כי השמירה המקומית תהיה ל- 6 חודשים לאחריהם ניתן להעביר את הקבצים לאחסון מחוץ לארגון. לסיכום – את קבצי הלוג המדוברים יש לשמור מקומית ובצורה זמינה. במערכות קריטיות למשך כל התקופה (24 חודש), בעוד במערכות אחרות ניתן להסתפק בשישה חודשים של שמירה מקומית ולאחריהן העברה לאחסון חיצוני.

    יובהר כי אין חולק בדבר החשיבות של שמירת לוגים, והקריטיות שיש ללוגים אלו, בוודאי ובייחוד במקרה של אירוע אבטחה (אז לפעמים היכולת לתחקר את האירוע במפורט ולשלול תרחישים שונים אף מסייעת ומקטינה את החשיפה הרגולטורית). עם זאת, לדעתנו, מדריך הפעולה בנוסחו הנוכחי והמרחיב עלול להקשות על היישום בפועל של תקנה 10. נציין כי מיד עם קריאת מדריך הפעולה פנינו לרשות תוך שאנו מתריעים על הקושי ביישום חלק מההוראות שבמדריך הפעולה, ומבקשים הבהרות. אנו כמובן נעדכנכם בתגובת הרשות. ועדיין, ברי כי מדריך הפעולה כפי שפורסם משקף את עמדת הרשות ועל לקוחותינו לפעול ליישום חובות התיעוד המפורטות בו הן ביחס למוצרים המפותחים על ידם (ככל והם מיועדים לעיבוד מידע רגיש) והן ביחס למערכות המחשוב הכלליות בהן הם עושים שימוש לניהול מאגרי המידע הרלבנטיים שלהם.

    עוד יובהר כי החשיבות של עמידה בהוראות התקנות, ובכללן תקנה 10, מתחדדת ככל שמתקרב המועד לכניסתו של תיקון 13 לתוקף בשנת 2025. בשנים האחרונות פיתחנו במחלקת פרטיות, רגולציה וטכנולוגיה של עמית, פולק, מטלון ושות' מתודה סדורה לביקורת של עמידה בתקנות אבטחת מידע ובהוראות החוק, תוך מתן כלים פרקטיים ומעשיים לסגירת הפערים והטמעת בקרות שוטפות ותקופתיות המבטיחות את המשכיות הציות בחברה. אנו מזמינים אתכם לפנות אלינו בכדי שנסייע לכם במציאת הדרך הטובה ביותר להתמודד עם החובות השונות שבחוק ובתקנות, תוך הקטנת הנטל הרגולטורי והחשיפה לקנסות והליכי אכיפה.

    תכלית עדכון זה, להציג את החידושים בהנחיות רשות הגנת הפרטיות ואין בו משום עצה משפטית לאופן פעולה קונקרטי. אנו נשמח לעמוד לרשותכם בכל שאלה.