לאחרונה פרסם משרד המשפטים האמריקני (DOJ) הנחיות ציות, הנוגעות ליישום ואכיפת "תוכנית אבטחת המידע ¹(DSP -Data Security Program. מדובר ברגולציה פורצת דרך אשר נועדה ליישם את צו הנשיא 14117, שמטרתו למנוע גישה של "מדינות מדאיגות" - בהן סין, רוסיה, אירן, קוריאה הצפונית, קובה וונצואלה - לנתונים רגישים של אזרחי ארה"ב ולמידע הקשור לממשלת ארה"ב.

מהות הכלל והיקף האיסור

ה-DSP הנו צעד דרסטי שנועד להגן על הביטחון הלאומי האמריקני מפני איום גובר של ריגול, סחיטה דיגיטלית, מעקב והתערבות זרה המבוססים על ניצול מידע אישי. הכלל אוסר או מגביל ביצוע עסקות הכוללות העברת נתונים אישיים רגישים בכמויות גדולות או נתונים הקשורים לאינטראקציות שמקיימים גורמים ממשלתיים זרים עם אזרחי ארה"ב. כיום רשימת המדינות שהכלל חל עליהם כוללת את אירן, רוסיה, סין ועוד. הרעיון הוא לצמצם את הסיכון שמשטרים אלה יוכלו להשתמש בנתונים אישיים ורגישים של אזרחים אמריקנים כדי לאיים על הביטחון הלאומי של ארה"ב.

השלכות לקציני ציות - צומת קריטית

קציני ציות בארגונים אמריקנים ובחברות זרות הפועלות בשוק האמריקני ניצבים מול מערך דרישות רגולטוריות חדש, שמחייב אותם לבחון את השפעתן והשלכתן על מפת הסיכונים מחד-גיסא, וכיסוי תוכנית הציות מאידך-גיסא, ולבחון לנקוט, בין היתר, את הבאים: 1. מיפוי מידע (Data Mapping) - קצין הציות נדרש להבין ולאפיין את סוג המידע הנאסף, היכן הוא נשמר, כיצד הוא משותף, והאם הוא עלול להיחשב כ-"מידע אישי רגיש" לפי הגדרת ה-DSP. 2. זיהוי קשרים עם מדינות רלוונטיות, ספקים זרים או שותפים עסקיים - הפך לחובה רגולטורית. 3. בדיקות נאותות (Due Diligence) מורחבות - יש ליישם תהליכי בדיקת נאותות קפדניים בעסקות מידע - במיוחד כשמדובר בהעברות מידע, שיתופי פעולה עם צדדים שלישיים, ושירותים טכנולוגיים המערבים ספקים מחו"ל. כשל בזיהוי צד קשור למדינה רלוונטית עלול להיחשב כהפרה חמורה של החוק. 4. עידכון חוזים - רגולציית ה-DSP מדגישה את הצורך בעידכון הסכמים קיימים והטמעת הוראות חוזיות שמונעות העברת מידע לצדדים אסורים. יש לקחת בחשבון שיתכן שעל-מנת לעמוד בדרישות החוק יהיה צורך לבחון החלפת ספקים או לשנות מערך מחשוב הענן של התאגיד. 5. ניהול סיכונים תאגידי ואחריות אישית - עבירה על הוראות DSP עשויה להוביל לעיצומים כספיים חמורים (עד מיליון דולר ועונש מאסר עד 20 שנה במקרה של הפרה מכוונת). לכן, על קצין הציות לפעול מיידית לגיבוש מדיניות ארגונית לציות מלא לרגולציה. 6. שינוי מערך האבטחה והגישה לנתונים - יש להטמיע בקרות טכנולוגיות חדשות, לרבות הגבלות גישה לפי תפקיד, התאמת מיקומי עבודה של עובדים, אמצעים למניעת גישה לא מורשית, והקפדה על הנחיות סייבר של CISA.