על רקע אירוע שירביט: רשות הפרטיות מחדדת כי יש לדווח על כל אירוע פגיעה בפרטיות
מ"מ ראש הרשות להגנת הפרטיות, ד"ר שלומית ווגמן: "בכל מקרה של אירוע אבטחה חמור, יש לדווח עליו לרשות להגנת הפרטיות באופן מיידי."
עמי רוחקס דומבה
| 08/12/2020
bigstock
בעקבות אירוע אבטחת מידע חמור שהתרחש בחברת שירביט, הרשות להגנת הפרטיות במשרד המשפטים מדגישה את חשיבות ההגנה על מידע אישי, וקוראת לכל גורם במשק המנהל או מחזיק מאגר מידע לוודא עמידה בהוראות תקנות הגנת הפרטיות (אבטחת מידע) ולקיים את דרישות אבטחת המידע, בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע בארגון.
אירועי דליפת מידע בחברות, לרבות בנסיבות של דרישת כופר, הפכו לנפוצים יותר ויותר. המקרה הנוכחי של חברת שירביט, אשר זוכה לדיון ציבורי ותקשורתי נרחב, מדגיש את ההכרח של חברות מכלל מגזרי המשק להגן על מידע אישי אודות לקוחות המצוי אצלן, ואת חשיבות עמידתן בחוק הגנת הפרטיות ובתקנות הגנת הפרטיות (אבטחת מידע).
מ"מ ראש הרשות להגנת הפרטיות, ד"ר שלומית ווגמן: "האירועים בימים האחרונים מדגישים את חשיבות ההגנה על המידע האישי המצוי בכל חברה המחזיקה במידע אודות לקוחותיה. פוטנציאל הנזק הוא עצום בעיקר בהיבט של הפגיעה בפרטיות הלקוחות אך גם בחשיפת החברות לתביעות והליכים משפטיים ופגיעה קשה במוניטין שלהן.
"הרשות מדגישה כי כל גורם במשק, פרטי וציבורי כאחד, חייב להקפיד על קיום הוראות תקנות הגנת הפרטיות (אבטחת מידע) במטרה לצמצם את הסיכון להתרחשותם של אירועי אבטחה חמורים ודליפת מידע אישי על לקוחות. אנו מזכירים כי בכל מקרה של אירוע אבטחה חמור, יש לדווח עליו לרשות להגנת הפרטיות באופן מיידי."
מעבר לפגיעה בפרטיות של לקוחות החברות, אירועים כגון אלו טומנים בחובם גם עלויות רבות, חשיפה משפטית ניכרת לתביעות שונות ונזק תדמיתי עצום לחברה. על מנת למזער התרחשותם של אירועי אבטחת מידע, על החברות לעמוד באופן מלא בתקנות הגנת הפרטיות (אבטחת מידע), אשר נועדו להגן מפני מצבים מסוג זה.
בנוסף, הרשות להגנת הפרטיות במשרד המשפטים ממליצה לחברות לוודא מראש כי מדיניות ניהול המידע אותו הן מחזיקות על לקוחותיהן הינה רלוונטית לשירותים הניתנים, בין השאר שלא נאסף ונשמר מידע עודף, שברבות הימים יכול להפוך להיות איום אסטרטגי על החברה.
בהתייחס למקרה הנדון, מציינת הרשות כי חברת שירביט העבירה לה ולרשויות רלוונטיות נוספות דיווח ביחס לאירוע האבטחה החמור, ובעקבותיו פתחה הרשות בהליך חקירה. במסגרת הליך חקירה זה בוחנת הרשות את ההיבטים הקשורים להגנה על המידע האישי של לקוחות החברה ואת הפגיעה בהם כתוצאה מדליפת המידע, וכן את פעולות החברה בנוגע לאירוע ועמידתה בהוראות החוק.
בין השאר, הרשות העבירה לחברת שירביט דרישה לעדכן באופן אישי את הלקוחות אשר עשויים להיפגע מאירוע זה, בהתאם לסמכותה מכח תקנה 11(ד)(2) לתקנות הגנת הפרטיות (אבטחת מידע), וזאת על מנת לאפשר להם לנקוט אמצעי זהירות מתאימים ולצמצם את הנזק הפוטנציאלי כתוצאה מדלף המידע על אודותיהם. כמו כן, הרשות עומדת בקשר עם החברה ותאשר חיבור מאגרי המידע למערכות חיצוניות רק לאחר ביצוע פעולות נדרשות, אשר ימנעו הרחבת האירוע או הישנות תקיפות שיביאו לדלף מידע אישי נוסף.
דגשים חשובים
אירועי אבטחה מסוג זה יוצרים מטבע הדברים עניין רב בציבור ובמיוחד בחברות הנפגעות ובחברות המשתייכות לסקטורים הנפגעים. תוקפים לעיתים מנצלים את הפעילות התקשורתית הרבה, ומעבירים במסגרת הודעות דוא"ל, הודעות SMS ומסרים מיידיים קישורים וקבצים הנחזים להיות גילויים מהאירוע או צילומים של פרטים שדלפו. בפועל, קבצים וקישורים אלה כוללים קבצים פוגעניים שמטרתם לחדור למערכות הגופים אליהם הגיעה ההודעה.
הרשות מדגישה כי תקנות הגנת הפרטיות (אבטחת מידע) מחייבות כל גורם במשק בישראל, ציבורי ופרטי, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו בארגון. על ארגונים לוודא כי הם עומדים בדרישות החוק והתקנות, ומקפידים על ביצועם ויישומם של בקרות ניהוליות ועל מימוש ויישום מדיניות אבטחת מידע, לרבות:
1. גיבויים - יש לוודא ביצועם וקיומם של גיבויים תקינים;
2. הרשאות - רק על פי המינימום הנדרש למטרת הארגון, להימנע מהרשאות רחבות מדי;
3. חיבור מרחוק - רק על פי צורך, בהרשאה מותאמת ובעדיפות לכתובות מוגדרות;
4. עדכונים - לשמור על מערכות ותוכנות מעודכנות בגרסאותיהם ובעדכוני האבטחה;
5. סיסמאות - לעבוד בכפוף למדיניות סיסמאות וגישה מוקשחת;
6. סגמנטציה - להקפיד על הפרדה בין רשתות והמערכות השונות בארגון;
7. ניטור ובקרה - של התחברויות ופעילות ברשת לשם זיהויה של פעילות אנומלית;
8. מערכות זיהוי - ישומן של מערכות IDS/IPS לזיהוי והתרעה מפני חדירה בנוסף למערכות ההגנה והאנטי-וירוס.
המלצות הרשות לציבור הרחב
הרשות להגנת הפרטיות ממליצה לציבור להיות ערני לכל ניסיון הונאה הכולל קישור, קובץ או בקשה לקבלת מידע אישי (כגון הודעת דואר אלקטרוני המבקשת מלקוח להעביר את פרטיו האישיים או ללחוץ על קישור המפנה אותו לאתר המתחזה להיות נותן שירות) או מתן קוד שהגיע בהודעת סמס לגורם כלשהו, אלא אם הוא יזם בעצמו את הפניה לערוץ תקשורת מוסדר ומהימן למול החברה נותנת השירות. הרשות מזכירה כי חברות המספקות שירותים כאלה (כגון בנקים, חברות ביטוח וכד'), אינן נוהגות לבקש פרטים אלו באמצעות דוא”ל או הודעת סמס.
מ"מ ראש הרשות להגנת הפרטיות, ד"ר שלומית ווגמן: "בכל מקרה של אירוע אבטחה חמור, יש לדווח עליו לרשות להגנת הפרטיות באופן מיידי."
bigstock
בעקבות אירוע אבטחת מידע חמור שהתרחש בחברת שירביט, הרשות להגנת הפרטיות במשרד המשפטים מדגישה את חשיבות ההגנה על מידע אישי, וקוראת לכל גורם במשק המנהל או מחזיק מאגר מידע לוודא עמידה בהוראות תקנות הגנת הפרטיות (אבטחת מידע) ולקיים את דרישות אבטחת המידע, בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע בארגון.
אירועי דליפת מידע בחברות, לרבות בנסיבות של דרישת כופר, הפכו לנפוצים יותר ויותר. המקרה הנוכחי של חברת שירביט, אשר זוכה לדיון ציבורי ותקשורתי נרחב, מדגיש את ההכרח של חברות מכלל מגזרי המשק להגן על מידע אישי אודות לקוחות המצוי אצלן, ואת חשיבות עמידתן בחוק הגנת הפרטיות ובתקנות הגנת הפרטיות (אבטחת מידע).
מ"מ ראש הרשות להגנת הפרטיות, ד"ר שלומית ווגמן: "האירועים בימים האחרונים מדגישים את חשיבות ההגנה על המידע האישי המצוי בכל חברה המחזיקה במידע אודות לקוחותיה. פוטנציאל הנזק הוא עצום בעיקר בהיבט של הפגיעה בפרטיות הלקוחות אך גם בחשיפת החברות לתביעות והליכים משפטיים ופגיעה קשה במוניטין שלהן.
"הרשות מדגישה כי כל גורם במשק, פרטי וציבורי כאחד, חייב להקפיד על קיום הוראות תקנות הגנת הפרטיות (אבטחת מידע) במטרה לצמצם את הסיכון להתרחשותם של אירועי אבטחה חמורים ודליפת מידע אישי על לקוחות. אנו מזכירים כי בכל מקרה של אירוע אבטחה חמור, יש לדווח עליו לרשות להגנת הפרטיות באופן מיידי."
מעבר לפגיעה בפרטיות של לקוחות החברות, אירועים כגון אלו טומנים בחובם גם עלויות רבות, חשיפה משפטית ניכרת לתביעות שונות ונזק תדמיתי עצום לחברה. על מנת למזער התרחשותם של אירועי אבטחת מידע, על החברות לעמוד באופן מלא בתקנות הגנת הפרטיות (אבטחת מידע), אשר נועדו להגן מפני מצבים מסוג זה.
בנוסף, הרשות להגנת הפרטיות במשרד המשפטים ממליצה לחברות לוודא מראש כי מדיניות ניהול המידע אותו הן מחזיקות על לקוחותיהן הינה רלוונטית לשירותים הניתנים, בין השאר שלא נאסף ונשמר מידע עודף, שברבות הימים יכול להפוך להיות איום אסטרטגי על החברה.
בהתייחס למקרה הנדון, מציינת הרשות כי חברת שירביט העבירה לה ולרשויות רלוונטיות נוספות דיווח ביחס לאירוע האבטחה החמור, ובעקבותיו פתחה הרשות בהליך חקירה. במסגרת הליך חקירה זה בוחנת הרשות את ההיבטים הקשורים להגנה על המידע האישי של לקוחות החברה ואת הפגיעה בהם כתוצאה מדליפת המידע, וכן את פעולות החברה בנוגע לאירוע ועמידתה בהוראות החוק.
בין השאר, הרשות העבירה לחברת שירביט דרישה לעדכן באופן אישי את הלקוחות אשר עשויים להיפגע מאירוע זה, בהתאם לסמכותה מכח תקנה 11(ד)(2) לתקנות הגנת הפרטיות (אבטחת מידע), וזאת על מנת לאפשר להם לנקוט אמצעי זהירות מתאימים ולצמצם את הנזק הפוטנציאלי כתוצאה מדלף המידע על אודותיהם. כמו כן, הרשות עומדת בקשר עם החברה ותאשר חיבור מאגרי המידע למערכות חיצוניות רק לאחר ביצוע פעולות נדרשות, אשר ימנעו הרחבת האירוע או הישנות תקיפות שיביאו לדלף מידע אישי נוסף.
דגשים חשובים
אירועי אבטחה מסוג זה יוצרים מטבע הדברים עניין רב בציבור ובמיוחד בחברות הנפגעות ובחברות המשתייכות לסקטורים הנפגעים. תוקפים לעיתים מנצלים את הפעילות התקשורתית הרבה, ומעבירים במסגרת הודעות דוא"ל, הודעות SMS ומסרים מיידיים קישורים וקבצים הנחזים להיות גילויים מהאירוע או צילומים של פרטים שדלפו. בפועל, קבצים וקישורים אלה כוללים קבצים פוגעניים שמטרתם לחדור למערכות הגופים אליהם הגיעה ההודעה.
הרשות מדגישה כי תקנות הגנת הפרטיות (אבטחת מידע) מחייבות כל גורם במשק בישראל, ציבורי ופרטי, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו בארגון. על ארגונים לוודא כי הם עומדים בדרישות החוק והתקנות, ומקפידים על ביצועם ויישומם של בקרות ניהוליות ועל מימוש ויישום מדיניות אבטחת מידע, לרבות:
1. גיבויים - יש לוודא ביצועם וקיומם של גיבויים תקינים;
2. הרשאות - רק על פי המינימום הנדרש למטרת הארגון, להימנע מהרשאות רחבות מדי;
3. חיבור מרחוק - רק על פי צורך, בהרשאה מותאמת ובעדיפות לכתובות מוגדרות;
4. עדכונים - לשמור על מערכות ותוכנות מעודכנות בגרסאותיהם ובעדכוני האבטחה;
5. סיסמאות - לעבוד בכפוף למדיניות סיסמאות וגישה מוקשחת;
6. סגמנטציה - להקפיד על הפרדה בין רשתות והמערכות השונות בארגון;
7. ניטור ובקרה - של התחברויות ופעילות ברשת לשם זיהויה של פעילות אנומלית;
8. מערכות זיהוי - ישומן של מערכות IDS/IPS לזיהוי והתרעה מפני חדירה בנוסף למערכות ההגנה והאנטי-וירוס.
המלצות הרשות לציבור הרחב
הרשות להגנת הפרטיות ממליצה לציבור להיות ערני לכל ניסיון הונאה הכולל קישור, קובץ או בקשה לקבלת מידע אישי (כגון הודעת דואר אלקטרוני המבקשת מלקוח להעביר את פרטיו האישיים או ללחוץ על קישור המפנה אותו לאתר המתחזה להיות נותן שירות) או מתן קוד שהגיע בהודעת סמס לגורם כלשהו, אלא אם הוא יזם בעצמו את הפניה לערוץ תקשורת מוסדר ומהימן למול החברה נותנת השירות. הרשות מזכירה כי חברות המספקות שירותים כאלה (כגון בנקים, חברות ביטוח וכד'), אינן נוהגות לבקש פרטים אלו באמצעות דוא”ל או הודעת סמס.
