לצד הימים המורכבים שעוברים על כולנו, חשוב לנו לעדכן את לקוחותינו בשלוש התפתחויות מהתקופה האחרונה: בישראל – רישום זמני של מאגרי מידע; ובארה"ב – צו נשיאותי אמריקאי לגבי רגולציה ושימוש ב – AI, ואכיפה לפי דיני ניירות ערך – אישית נגד מנהל אבטחת מידע.
 

1. רישום זמני של מאגרי מידע

לפני כשבועיים רשות הגנת הפרטיות פרסמה בעמוד הLinkedIn שלה כי לאור מצב הלחימה, הרשות מאפשרת הליך מזורז לרישום זמני של מאגרי מידע שמוקמים בימים אלה וקשורים למצב הבטחוני והשלכותיו.

הצורך ברישום מהיר נובע מכך שלפי החוק, אין להשתמש במאגר מידע עד שהוא נרשם, אלא אם חלפו 90 יום מהבקשה והרשם לא השיב לבקשת הרישום.

גם בימי שיגרה מקוימת דרישת הרישום באופן חלקי (במקרה הטוב), אבל אם עד עתה היחס לחובת הרישום וההמתנה היה כאל בירוקרטיה מהעבר הרחוק שלא מועילה וכמעט לא מזיקה, מצב החירום חידד מאוד את הניתוק בין דרישות הרישום למציאות חיינו.

בימים אלה רשות הגנת הפרטיות נדרשת לשאלות מהותיות וקשות שעולות בתחום אחריותה (כמו בקשר לגישה ולשימוש במידע אודות נעדרים ונרצחים, כולל מידע שבידי המדינה). במקום שתוכל להתמקד כל כולה בכך, החוק מאלץ את הרשות להקצות משאבים לדסק לרישום מהיר וזמני של מאגרים הקשורים למצב הבטחוני (וכמובן שמכך נובעת גם ציפייה שבעלי מאגרים כאלה ישקיעו זמן ברישום). אם זה לא היה עצוב, זה היה מצחיק.

הגיע הזמן לבטל את דרישת הרישום. כליל.

2. צו נשיאותי בתחום ה AI

לאחר שאיבדו לאירופאים את הבכורה בקביעת סטנדרט פרטיות עולמי, נראה שהאמריקאים נחושים להקדים את אירופה בתחום הבינה המלאכותית (AI). בעוד האיחוד האירופי עדיין שוקד על השלמת ה AI ACT (אולי בסוף השנה הנוכחית), הנשיא ביידן חתם ב-26 באוקטובר על צו נשיאותי בנושא "בינה מלאכותית בטוחה, מאובטחת ואמינה". הצו מתואר במפורש ככזה שנועד להבטיח שאמריקה תוביל את הדרך במימוש ההבטחה ובניהול סיכוני הבינה המלאכותית.

הצו קובע סטנדרטים חדשים לבטיחות ואבטחה של בינה מלאכותית, ונוגע בהקשר זה בתחומים כגון פרטיות, שוויון וזכויות אזרח, זכויות צרכנים ועובדים, קידום חדשנות ותחרות, וקידום הובלה אמריקאית בתחום ה AI בעולם.

עיקר השפעתו של הצו לא תהיה מיידית, משום שרובו מנחה את גופי הממשל הרלוונטיים לקבוע כללים או לפרסם המלצות, אך בעקבותיו צפוי שטף של פרסומים חדשים.

הצו הנשיאותי מורה על הפעולות הבאות:

• סטנדרטים חדשים לבטיחות ואבטחה של בינה מלאכותית: ככל שיכולות הבינה המלאכותית גדלות, כך גדלות השלכותיה על הבטיחות והביטחון. הצו דורש ממפתחי מערכות הבינה המלאכותית החזקות ביותר לשתף את תוצאות בדיקות הבטיחות שלהם ומידע קריטי אחר עם ממשלת ארה"ב. הצו מחייב חברות המפתחות כל מודל בסיס (foundation model) המהווה סיכון חמור לביטחון, לביטחון הכלכלי או לבריאות ובטיחות הציבור להודיע לממשלה הפדרלית בעת אימון המודל, ומחייבן לשתף את התוצאות של כל בדיקות הבטיחות, והכל לפני פרסום המודל לציבור. המכון הלאומי האמריקאי לתקנים וטכנולוגיה (NIST) נדרש לקבוע סטנדרטים מחמירים לבדיקות בטיחות מקיפות. גופי הממשל השונים יחילו את התקנים על תשתיות קריטיות, תוך התייחסות גם לאיומים של מערכות בינה מלאכותית על תשתיות קריטיות, כמו גם סיכונים כימיים, ביולוגיים, רדיולוגיים, גרעיניים וסיכוני סייבר.
• הגנה מפני סיכונים של שימוש בבינה מלאכותית כדי להנדס חומרים ביולוגיים מסוכנים: הצו הנשיאותי מנחה לפתח סטנדרטים נוקשים לבדיקת סינתזה ביולוגית כדי להגן מפני הנדסה של חומרים ביולוגיים מסוכנים על ידי בינה מלאכותית. עמידה בסטנדרטים הללו תהווה תנאי למימון פדרלי.
• קידום חדשנות ותחרות: הצו הנשיאותי מנחה סוכנויות ממשל לזהות דרכים להפחתת חסמים לחדשנות בפיתוח AI, תוך הבטחה שפיתוח כזה עולה בקנה אחד עם הערכים האמריקאיים.
• קידום שוויון: הצו הנשיאותי מנחה את סוכנויות הממשל לזהות חסמים פוטנציאליים שטכנולוגיות AI עלולות להקים בפני שוויון הזדמנויות וכן לקבוע קווים ברורים שימנעו אפליה אלגוריתמית.
• הגנה על פרטיות: הצו הנשיאותי מנחה את סוכנויות הממשל להבטיח כי הפרטיות מוגנת בכל ההיבטים של פיתוח AI, כולל קידום קווים מנחים בנושא וחיזוק השימוש בטכנולוגיות משמרות פרטיות והמחקר שלהן. מעניינת בהקשר הזה ההתייחסות בצו לשימוש במידע מסחרי זמין בהקשר של הגנת הפרטיות. הצו גם קורא לקונגרס להתקדם בחקיקת חוק פרטיות כללי.
• שמירה על זכויות הצרכנים: הצו הנשיאותי מנחה סוכנויות ממשל לזהות דרכים להגן על צרכנים מפני פרקטיקות לא הוגנות או מטעות הקשורות לבינה מלאכותית.
• קידום מנהיגות אמריקאית ברחבי העולם: לבסוף, הצו הנשיאותי מנחה את סוכנויות הממשל לעבוד עם שותפים בינלאומיים כדי לקדם פיתוח AI אמין ברחבי העולם.

הממשל האמריקאי כבר התייעץ בחודשים האחרונים על ענייני AI עם גורמים בכל העולם, וגם בישראל, והשילוב של עובדה זו יחד עם מטרת הצו לגבי קידום המובילות האמריקאית ברמה הגלובלית, מובילים לדעתנו למסקנה לפיה כדאי לשים לב למסמכים שיפורסמו על ידי גופי הממשל האמריקאים בעקבות הצו, כי מאוד יתכן שתהיה להם השפעה על קובעי המדיניות בישראל.

3. תביעה של ה SEC נגד מנהל אבטחת המידע של SolarWinds

בדצמבר 2020 התגלתה תקיפת סייבר מסיבית, שזכתה לכינוי "SUNBURST", שניצלה לרעה חולשה בתוכנה של חברת SolarWinds. חברה זו מייצרת מערכות לניהול רשתות מחשוב גדולות, מערכות שהותקנו בחברות גדולות רבות וגם בגופי ממשל בארה"ב ובמדינות אחרות.

בהמשך למגמה של הטלת אחריות על דרגים גבוהים בחברות, ב 30 באוקטובר הודיעה רשות ניירות ערך האמריקאית (SEC) על תביעה נגד טימותי בראון, מנהל אבטחת המידע הראשי (CISO) של SolarWinds, והחברה עצמה.

את המגמה הזו אפשר גם לראות בישראל, בין השאר במסמכי רשות ניירות ערך, שעסקנו בהם במסגרת וובינר שקיימנו בחודש פברואר האחרון, וכן בטיוטת הנחיית רשות הגנת הפרטיות לגבי חובות הפיקוח של הדירקטוריון, לגביה פרסמנו עדכון לקוחות.

ה SEC טוענת כי SolarWinds וה CISO הונו משקיעים בכך שהפריזו ביעילות של נוהלי אבטחת הסייבר של החברה והמעיטו בחשיבות סיכונים ידועים, או שלא נתנו גילוי נאות מספיק אודותם.

בהתבסס על תכתובות פנימיות בחברה, ה-SEC טוענת כי בראון היה מודע לסיכוני אבטחת הסייבר ולחולשות של SolarWinds, אך לא הצליח לפתור את הבעיות וגם לא הצליח לגרום לדרגים גבוהים בחברה להתייחס אליהן ברצינות.

אחת הטענות החשובות של ה SEC היא ש SolarWinds הסתפקה בגילוי גנרי על סיכוני סייבר רגילים והיפותטיים, בתקופה שבה ה CISO והחברה כבר ידעו על ליקויים ספציפיים ועל הסיכונים הגוברים שהחברה התמודדה איתם באותו הזמן.

התביעה בקשר לאירוע אבטחת מידע כה מוכר מעלה לסדר היום את האחריות של הדרגים הגבוהים בחברה לנושא אבטחת מידע, כולל אחריותו של מנהל אבטחת המידע בארגון (CISO). כאמור לעיל, התשתית להליכים דומים בישראל כבר קיימת.

אנחנו עומדים לרשותכם לכל שאלה ומאחלים לכולנו ימים טובים יותר.

אייל שגיא, שיר שושני כץ וצוות מחלקת משפט וטכנולוגיה

מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.