בשקט יחסי, הרחק מאור הזרקורים של הוויכוחים הפוליטיים, בימים האחרונים, אישרה הכנסת בקריאה ראשונה, את הצעת חוק הגנת הסייבר הלאומית. עבור מרבית הציבור מדובר בעוד הליך חקיקה טכני, אך עבור שוק העבודה הישראלי מדובר ברעידת אדמה שקטה.
השינויים הרגולטוריים בתחום הגנת הפרטיות והסייבר בישראל צפויים לייצר בשנים הקרובות ביקוש ער, אולי תקדימי, למומחי סייבר, ממוני אבטחת מידע ואנשי ציות בתוך ארגונים.
המסר של המחוקק ברור: מתקפות סייבר אינן עוד בעיה של מנהל מערכות המידע. הן מהוות סיכון עסקי, תפעולי ולאומי, והאחריות עליהן עוברת מחדר השרתים אל חדר ההנהלה. וכאשר האחריות עוברת להנהלה – ההנהלה זקוקה לאנשי מקצוע שיישאו באחריות בפועל.
הצעת החוק מגיעה לאחר שנים של התרעות מצד גורמי מקצוע ודוחות ביקורת שהצביעו על פערים משמעותיים בהגנת הסייבר של גופים במשק. מתקפות כופר, ניסיונות שיבוש, גניבות מידע ותקיפות נגד תשתיות קריטיות הפכו לאיום יומיומי. מאז פרוץ מלחמת "חרבות ברזל" חלה עלייה נוספת בהיקף ובעוצמת התקיפות המכוונות כלפי גופים ישראליים.
מומחי סייבר בארגונים יהוו חלק אינהרנטי מהרכב העובדים באיגוד האחראים לתחומים שונים. כפי שכיום חברות בגודל ומורכבות מסוימת מעסיקות מנהלי חשבונות, רואה חשבון פנימי או יועץ משפטי לארגון. באופן זה, בקצב מהיר משניתן לצפות, מומחי סייבר יתפסו מקום של כבוד ויהיה הכרח לשלב אותם כחלק מהארגון שבהתאם לתקנות והחוק החדש, לא יוכלו עוד להסתפק רק בייעוץ חיצוני.
החוק צפוי לחול על מגוון רחב של גופים, ובהם ספקי תקשורת, גופי בריאות, חברות אנרגיה, תאגידי מים, גופי תחבורה, רשויות מקומיות, ספקי שירותים דיגיטליים, חברות אחסון וענן, גופים חקלאיים ותעשייתיים וארגונים נוספים שיוגדרו כבעלי חשיבות למשק.
המשמעות המעשית היא שאלפי ארגונים יידרשו, לראשונה, להוכיח כי הם מנהלים סיכוני סייבר באופן סדור ומתועד. לא יהיה די ברכישת פתרונות טכנולוגיים או בהעסקת איש IT. הארגון יידרש להציג נהלים, לבצע סקרי סיכונים, למפות נכסים דיגיטליים, להכשיר עובדים, לנהל ספקים חיצוניים, לבחון פגיעויות ולהוכיח כי קיימים מנגנוני תגובה והמשכיות עסקית.
מי יעשה את כל זה? כאן בדיוק נוצר הפער. כל אחת מהדרישות הללו מחייבת ידע מקצועי ייעודי, וכמות אנשי המקצוע המוכשרים בשוק הישראלי כיום, רחוקה מלענות על הצורך. אלפי אנשי מקצוע שטרם הוכשרו, יצטרכו להיכנס לשוק העבודה כמומחי אבטחה בתוך ארגונים.
בתקופה הנוכחית שבה מהפכת ה-AI גורמת לפיטורים נרחבים בענף ההייטק, מדובר כאן בהזדמנות לעובדים חדשים שיעברו הכשרה ייעודית ולעובדים מנוסים שיעברו הסבת מקצוע בהתאם לדרישות החדשות.
הביקוש למנהלי אבטחת מידע, מומחי סייבר, ממוני הגנת פרטיות, יועצי ציות ומנהלי סיכונים צפוי לגדול משמעותית. גם ארגונים שלא יחויבו במפורש למנות CISO או ממונה אבטחת מידע, יגלו כי ללא בעל תפקיד מקצועי האחראי על התחום, יהיה קשה לעמוד בדרישות החוק.
חובת הדיווח החדשה ממחישה זאת היטב: במקרים מסוימים יחויבו ארגונים להעביר דיווח ראשוני בתוך 24 שעות, להשלים דיווח נוסף בתוך 72 שעות ולהגיש תחקיר מסכם בהמשך. ארגון שאין בו גורם מקצועי פנימי שמכיר את המערכות, את הנהלים ואת הרגולציה – לא יוכל לעמוד בלוחות זמנים כאלה.
לכך מתווספת ההשפעה הכלכלית הישירה. ארגונים רבים יידרשו להגדיל תקציבי סייבר, להשקיע בייעוץ מקצועי, בבדיקות אבטחה, בהדרכות עובדים, בתוכניות התאוששות ובמערכות בקרה וניטור.
צ'ק פוינט: "ארגון ממוצע בישראל חווה כ-2,000 מתקפות סייבר בשבוע"
עבור עסקים בינוניים, מדובר בהוצאה של עשרות אלפי שקלים בשנה, ובחברות גדולות העלויות עשויות להגיע למאות אלפי שקלים ואף יותר. חלק ניכר מהתקציבים הללו יופנה לכוח אדם, בין אם בגיוס פנימי ובין אם בשירותי מיקור חוץ, ושני האפיקים צפויים להרים את רמות השכר בתחום.
למעשה, ישראל מתקרבת למודלים רגולטוריים המקובלים כיום באירופה ובמדינות מערביות נוספות, שבהם הנהלות ודירקטוריונים נדרשים לגלות מעורבות ישירה בניהול סיכוני סייבר, ושבהם מקצועות האבטחה והציות הפכו זה מכבר לחלק קבוע מהמבנה הארגוני.
נראה שהחוק החדש, מחזק את ההגנה מפני איומי סייבר, אך הוא עדיין אינו נותן מענה מלא לסיכונים החדשים שנוצרים בעקבות השימוש הגובר בבינה מלאכותית, כגון דליפת מידע רגיש למערכות AI שהוכחו ככאלה שמקבלות לעיתים אוטומטיות שגויות, שימוש במידע ללא הרשאה ויצירת תכנים מטעים או מזויפים. בדומה לאירופה, שכבר אימצה את AI Act, סביר להניח שגם בישראל חקיקה ייעודית לבינה מלאכותית תהיה השלב הרגולטורי הבא בשנה הקרובה.
משמעות הדבר, מבחינת שוק העבודה הטכנולוגי היא פשוטה: גל הביקוש למומחי סייבר והגנת פרטיות שמתחיל עכשיו הוא רק ההתחלה ובמהלך השנתיים הקרובות נשמע על מחסור של אלפי אנשי מקצוע בתחום. עבור מנהלים, בעלי חברות ודירקטורים, סייבר כבר אינו עניין טכנולוגי בלבד. הוא הופך לחלק בלתי נפרד מממשל תאגידי, מניהול סיכונים ומהיכולת של ארגון להמשיך לפעול בעולם דיגיטלי המאופיין באיומים הולכים וגוברים. ומי שיחזיק בידע ובהסמכות הנכונות, ימצא את עצמו מחזיק באחד המקצועות המבוקשים במשק.
רפאל בייפוס הוא עורך דין המתמחה בהגנת הפרטיות, אבטחת מידע ורגולציה טכנולוגית
תוכן האתר אינו מהווה ייעוץ השקעות
המידע המופיע באתר זה, לרבות כתבות, סקירות, ניתוחים, נתונים וכל תוכן אחר, מיועד למטרות כלליות, אינפורמטיביות ולימודיות בלבד, ואין לראות בו המלצה, חוות דעת, ייעוץ או תחליף לייעוץ השקעות אישי ו/או שיווק השקעות המותאם לצרכים הספציפיים של אדם מסוים.
המידע אינו מהווה הצעה או הזמנה לרכישה או למכירה של ניירות ערך או כל נכס פיננסי אחר. כל אדם המעוניין לבצע פעולות השקעה, חייב לבחון את המידע באופן עצמאי, תוך התחשבות במצבו הכלכלי, צרכיו האישיים ורמת הסיכון המתאימה לו.
השימוש במידע שפורסם באתר הוא על אחריות המשתמש בלבד.
המערכת והחברה המפעילה אינם אחראים לכל הפסד או נזק שייגרמו, במישרין או בעקיפין, כתוצאה משימוש במידע, הסתמכות עליו או ביצוע פעולה כלשהי בהסתמך עליו.
לפני קבלת כל החלטת השקעה, יש להתייעץ עם יועץ השקעות מוסמך ובעל רישיון מתאים.
