נכתב על ידי חיים רביה, ו- דותן המר
עלות משלוח הודעות ללקוחות ומשתמשים על אירועי אבטחת מידע מוערכת ב- 370,000 דולר, אולם ארגונים הנערכים מראש לאירועים כאלה יכולים להפחית את העלות בצורה משמעותית.
בשנים האחרונות, אירועי אבטחת מידע הפכו למתוחכמים ונפוצים יותר מאי פעם, והתוקפים המבצעים אותם משתמשים בטכניקות מתקדמות יותר. על אף התפתחות האיום, רוב החוקים בארצות הברית הנוגעים למסירת הודעות על אירועי אבטחת מידע צמודים למתווה שנקבע בחוק בקליפורניה לפני כשני עשורים.
המתווה החקיקתי במדינות ארה"ב מטיל חובה ליידע את נושאי המידע הנפגעים מהאירוע. היידוע יכול להיעשות באופן ממוחשב – לדוגמה, באמצעות משלוח דואר אלקטרוני – מה שמאפשר לחברות לחסוך חלק מהעלויות הכבדות הכרוכות בהתמודדות עם אירועי אבטחה: הדו"ח השנתי של IBM Security משנת 2023 בנושא עלויות אירועי אבטחת מידע, מצא שעלות היידוע מוערכת בממוצע ב- 370,000 דולר, עלייה של 20% משנת 2022. עם זאת, על-פי כמחצית החוקים המדינתיים בארצות הברית הנוגעים לחובת היידוע, חברות רשאיות למסור הודעה לנפגעים באמצעות דואר אלקטרוני ולחסוך בכך עלויות, רק בתנאי שההודעה עומדת בהוראות החוק הפדרלי לחתימות אלקטרוניות במסחר גלובלי ולאומי (ESIGN).
בהתאם לחוק ה-ESIGN , חברה יכולה לספק מידע לצרכן באופן אלקטרוני רק אם הצרכן נתן את הסכמתו מראש לקבלת מידע בדרך זו. יתר על כן, לפני קבלת הסכמת הצרכן, החברה צריכה להציג בפניו גילוי מפורט הכולל הצהרות שונות, בהן הזכות לבטל את הסכמתו; פירוט התנאים, הנהלים, ההשלכות והחיובים בגין ביטול הסכמתו; האופן שבו הצרכן יכול לבקש עותק נייר במקום מסמך אלקטרוני והתשלום שהוא יחויב בשל כך; והסבר על מערכות החומרה והתוכנה הנדרשות לשמירת הרשומה האלקטרונית ולגישה אליה.
בהיעדר הסכמה מראש של הצרכן לקבלת מידע באופן אלקטרוני, או בלא לעמוד בתנאי הוראות חוק ה- ESIGN, חברה תמצא עצמה מוגבלת ביכולתה להסתמך על הודעות דוא"ל ליידוע אודות אירועי אבטחת מידע. מגבלה זו צפויה להגדיל את ההוצאות הכספיות הכרוכות בחובת היידוע, היות והשיטות החלופיות ליידוע נושאי מידע הן יקרות ומכבידות. שיטות חלופיות אלו כוללות בין היתר, שליחת מכתבים מודפסים בדואר רגיל ועדכון כלי תקשורת ברחבי המדינות (ערוצי הטלוויזיה, הרדיו ועיתונים). כמובן שפרסומים פומביים עלולים לפגוע במוניטין של החברות לאין ערוך יותר ממתן הודעה אלקטרונית.
לצורך הפחתת העלויות הכרוכות ביידוע על אירועי אבטחת מידע, חברות המספקות שירות לצרכנים בארצות הברית צריכות להיערך מראש על מנת שיוכלו ליידע צרכנים על אירועי אבטחה באמצעות הודעות דוא"ל, במקום באמצעים שעלותם כבדה יותר. נשמח לעמוד לרשותכם בענין זה.
קבוצת הסייבר, הפרטיות וזכויות היוצרים – פרל כהן צדק לצר ברץ
האמור בעדכון זה אינו מתיימר למצות את כל הבטי הנושא. מטרתו היא עדכון כללי בלבד. אין להסתמך על האמור בו כעצה משפטית.
