ב-29.09.2024 פרסמה הרשות להגנת הפרטיות מדריך פעולה ליישום תקנה 10(ד) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017.

כזכור, תקנה 10, שחלה על מאגרים ברמת אבטחה בינונית וגבוהה, מחייבת בעל מאגר לנהל מנגנון תיעוד אוטומטי שיאפשר ביקורת על הגישה למערכות המאגר.

תקנה 10 דורשת עוד לשמור את נתוני התיעוד למשך 24 חודשים לפחות; לקבוע נוהל בדיקה שגרתי של נתוני התיעוד ולערוך דוח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן; וליידע את בעלי ההרשאות במאגר על קיום מנגנון הבקרה כאמור.

זו הפעם השנייה מאז חקיקתו של תיקון 13 שהרשות מציינת את החובה לשמור לוגים למשך שנתיים (הפעם הקודמת הייתה במסמך עקרונות הגנת פרטיות בהתמודדות עם אירועי חירום, מאוגוסט 2024), למרות שמתיקון 13 עולה שחובת השמירה היא, בפועל, 12 חודשים. גם ראש הרשות התבטא מספר פעמים בעניין זה.

לפי המדריך, הרשות סבורה כי ככלל, החובה לשמור לוגים בכל מערכות המאגר משמעה אחסון של כל קובץ שמתעד את הפעולה ונתוני הפעולה בכל אחת ממערכות האבטחה של המאגר והמערכות המשמשות את המאגר למשך שנתיים לפחות. נוסף על כך, הרשות סבורה כי כאשר מדובר במערכות הקריטיות לתפעול מאגר המידע ואבטחתו אשר חיוניות ביותר גם בעת חקירה של אירוע אבטחת מידע – החובה תהיה לשמור את נתוני התיעוד במערכות אחסון מקומיות לשנתיים. לעומת זאת, כשמדובר בשאר מערכות המאגר, הרשות סבורה כי ניתן לשמור את הלוגים מקומית למשך שישה חודשים ולאחר מכן להעבירם לאחסון במנגנון שימור ארוך טווח.

אין לדרישה לשמור לוגים במערכות אחסון מקומיות שום עיגון בתקנות, ונראה גם שהדרישה אינה מציאותית לאור כמויות המידע העצומות שמערכות מודרניות מייצרות לצורכי בקרה.

הדרישה לשמירה מקומית של לוגים גם אינה הגיונית במקרה של מערכות מבוססות ענן (במצב זה, לארגונים יכולה להיות תשתית מחשוב מקומית בסיסית בלבד, אם בכלל), והיא עלולה דווקא לפגוע באבטחה (או, לכל הפחות, להיות חסרת משמעות) בארגונים שאין להם את היכולת המקצועית לנתח בעצמם את נתוני התיעוד והם מסתייעים לצורך כך בשירות מומחה חיצוני כגון SOC (Security Operations Center), לרוב גם הוא בענן.

נזכיר עוד, שלוגים כוללים מידע אישי רב בעצמם (מה שמניע גופים הכפופים ל GDPR למחוק לוגים תוך כמה חודשים, מכוח עקרון צמצום המידע). כאשר גופים מסתייעים במיקור חוץ (למשל, שירותי ענן), שמירה מקומית של לוגים (ועוד לתקופה ארוכה) תטיל על אותם גופים חובת אבטחת מידע מקומית, במקרים רבים בלי שיש להם את המומחיות הנדרשת ותוך יצירת סיכון אבטחה מיותר.

במדריך, הרשות מפרטת דוגמאות למערכות שנחשבות קריטיות וכוללת בתוכן את מערכות ההפעלה; AD (Active Directory); EDR; חומת אש (Firewall); ומאגר המידע עצמו שמהווה לדעת הרשות "לב ליבה של המערכת".

הרשות מציינת כי בכל הקשור לשמירת לוגים של מאגר המידע, המשמעות היא שמירת לוגים בהיקף נרחב ולכן על הארגון לשקול שימוש בכלים ממוכנים לאיסוף וניתוח נוח של הלוגים (אלא שהכלים הטובים ביותר לצורך כך נמצאים בענן, ולא נסמכים על אחסון מקומי…).

אף שהרשות צודקת כי שמירת לוגים בהיקף נרחב יכולה לסייע באיתור ומניעת אירועי אבטחה, גופים מתקשים לעמוד בשמירה מסיבית של מידע (ובפרט מקומית). עוד נזכיר כי מבחינה פורמלית הדרישות צנועות יותר. ראשית, תקנה 10 לא מחייבת לשמור את כל המידע שמערכות מודרניות מתעדות ללוגים, אלא רק נתונים אלה: זהות המשתמש, התאריך והשעה של ניסיון הגישה, רכיב המערכת שאליו בוצע ניסיון הגישה, סוג הגישה, היקפה, ואם הגישה אושרה או נדחתה. שנית, לפי תיקון 13 תוכל הרשות להטיל עיצום על הפרת משך השמירה של לוגים שבתקנה 10 רק אם המידע לא נשמר למשך שנה (ולא שנתיים).

ניתן להצטער על כך שהרשות לא נתנה דעתה למצב הנפוץ של עיבוד לא מקומי של מידע (ענן, למשל) ושל קבלת שירותי אבטחה מקצועיים במיקור חוץ (שירותי SOC, למשל), או למשך שמירת הלוגים המקובל בעולם, והמלצתה לשמור לוגים באופן מקומי עלולה ליצור סיכון אבטחה מיותר.

אנחנו עומדים לרשותכם בכל שאלה,

אייל שגיא, שיר שפירא וצוות מחלקת משפט וטכנולוגיה.

מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.