בחודש הבא ייכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע), המבקשות לחולל מהפכה ע"י קביעת חובה לקיים סדרי ניהול וכללי עבודה למאגר מידע ומיקוד הפעילות הרגולטורית במישור הפיקוח והאכיפה. התקנות מטילות על בעלים, מנהלים ומחזיקים של מאגרי מידע, ובהם גופים ציבוריים, חובה לנקוט בצעדים המפורטים בהן כדי להבטיח שמאגריהם עומדים בדרישות אבטחת המידע והתיעוד הנדרשות. כלים אלה נועדו כדי להגן על המידע מפני שימוש לרעה על-ידי גורמים מחוץ לארגון ובתוכו.
היקף החבויות מותנה בסוג המידע האצור במאגרים, כאשר לצורך כך מחלקות התקנות את המאגרים לארבע קבוצות:
1. מאגרי מידע המנוהלים על-ידי יחיד, בהם יש לקבוע מהם המידע המוגן והסיכונים הקשורים אליו.
2. מאגרי מידע שרמת האבטחה בהם היא בסיסית, בהם יש לקבוע נהלים מפורטים וברורים לאבטחת המידע.
3. מאגרי מידע שרמת האבטחה בהם היא בינונית, עליהם חלות הוראות מהותיות בניהול אבטחת מידע.
4. מאגרי מידע הנדרשים לרמת אבטחה גבוהה.
גופים המחזיקים מאגרים ברמה הבינונית והגבוהה חייבים לערוך במאגרים ביקורת מקיפה. התקנות לא הטילו מטלה זו על מבקר הפנים, אלא הסתפקו בקביעה לפיה על המבקר, תהא זהותו אשר תהא ("ביקורת פנימית או חיצונית"), להיות בעל הכשרה מתאימה.
ייתכן שהדבר נעשה לאור העובדה שהוראות אלה חלות גם על גופים שלא חלה עליהם חובה למנות מבקר פנימי. אולם ניתן היה לקבוע, כי בגופים ציבוריים כמשמעם בחוק הביקורת הפנימית, הוראות אלה יחלו על מבקרי הפנים, ועל היתר תחול ההוראה האמורה בתקנות.
תקנה 16 קובעת, כי על גופים אלה לערוך "לכל הפחות אחת ל-24 חודשים ביקורת פנימית או חיצונית שתכלול דוח על התאמת אמצעי האבטחה לנוהל האבטחה והתקנות, זיהוי ליקויים והצעת תיקונים לליקויים אלו". על-מנת לעמוד על משמעות הדברים, להלן סקירת רכיבי התקנות מול המצב הקיים בביקורת הפנימית:
- זהות המבקר: מבקר על-פי התקנות יכול להיות מבקר פנימי או חיצוני, ובלבד שיהיה בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע.
- דוח הביקורת: מבקר על-פי התקנות נדרש לדווח על התאמת אמצעי האבטחה לנוהל האבטחה ולתקנות אלה, לזהות ליקויים ולהציע אמצעים הדרושים לתיקון המצב. מבקר פנימי רשאי לבחון את המאגרים מכל היבט שהוא, ואינו מוגבל לנושאים המפורטים בתקנה.
- תדירות הביקורת: הביקורת על-פי התקנות צריכה להיערך אחת ל-24 חודשים לפחות. מבקר פנימי חייב לקיים ביקורת לפי מידת החשיפה לסיכונים בפועל, ובהחלט ייתכנו מצבים בהם הביקורת תיערך זה בתדירות גבוהה יותר.
- דיון בדוח ביקורת: בעל מאגר המידע ידון בדוחות הביקורת שיועברו לו, ויבחן את הצורך בעידכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהם. דוחות של מבקר פנימי נדונים בוועדת ביקורת ולאחר מכן בדירקטוריון/ מועצה.
- פטור מביקורת: גוף ציבורי רשאי לפתור עצמו מהחובה לקיים ביקורת אם נערך סקר סיכונים. באשר למבקר פנימי - אין פטורים מביקורת.
- ייעול הביקורת - ארגון שהוא בעל כמה מאגרי מידע, רשאי לקיים את החובה הקבועה במסגרת ביקורת אחת לעניין כל מאגרי המידע שברשותו, המצויים באותה רמת אבטחה. מבקר פנימי נהנה משיקול דעת באשר לאופן עריכת הביקורת.
לאור כל אלו נראה, כי הרצון להעניק גמישות ביישום התקנות יצר אי-בהירות שעלולה לפגוע במטרה העומדת בבסיסן (הבטחת תקינותם של מאגרי המידע). להלן כמה מן הבעיות שתקנה זו מעלה:
א. התקנה אינה מגדירה את זהות המבקר ודרכי מינויו, והיא מאפשרת להימנע מעריכת ביקורת (אם נערך סקר סיכונים).
ב. לקביעה בדבר זהות המבקר יש השלכה על הנעשה עם תוצרי הביקורת. בעוד שאם הביקורת תיערך על-ידי מבקר הפנים הייתה נוצרת חובה לדון על תוצרי עבודתו בוועדת הביקורת הרי שהתקנות מטילות חובה זו על בעל המאגר, שהוא למעשה הגוף המבוקר).
ג. לפני כ-20 שנה שונו תקני הביקורת הפנימית והגדרת. ההבנה שהביקורת צריכה לפעול בהתאם למידת החשיפה לסיכונים, הביאה להכרה שבמקום לקבוע תדירות מינימום, יש להטיל על המבקר אחריות לכסות בעבודתו את הנושאים בעלי הסיכון הגבוה. לעומ זאת, התקנות קבעו רף מינימלי לעריכת הביקורת (אחת לשנתיים), אשר ניתן להעריך בביטחון שהוא יהפוך לנורמה הרווחת.
שרת המשפטים יכלה להבטיח, כי הביקורת על מאגרי המידע תבוצע בידי מי שמקצועו בביקורת, אך לא עשתה זאת. בכך היא מנעה למעשה את האפשרות שהביקורת על מאגרי המידע תיערך בתדירות ההולמת את מידת חשיפתם לסיכונים, ושוועדת הביקורת (ולא המבוקר) תעקוב אחרי תיקון ליקויים.
אם השרה תבקש לתקן מצב זה, עומדות בפניה שתי אפשרויות. האחת: לקבוע שמדובר בבקרה ולא בביקורת. השנייה: הביקורת תיערך בידי מבקר הפנים. בכל מקרה, תקנות אלה מציבות אתגרים בפני מבקרי הפנים,ועליהם לפעול לרכוש ידע ומומחיות בתחום ביקורת IT, שהרי ממילא רובצת עליהם חובה לערוך ביקורת בכל תחום החושף את הארגון לסיכונים.