רשות הפרטיות: מידע אודות מועמדות לשירות לאומי היה חשוף ברשת
ליקויי אבטחת מידע בעמותת "עמינדב": ממצאי הפיקוח העלו כי במועד האירוע, שהתרחש לפני כשנה, מידע שאוחסן על ידי העמותה בשירות הענן של AWS היה זמין לגישה מרשת האינטרנט ללא צורך בהזדהות
עמי רוחקס דומבה
| 11/08/2021
bigstock
ברשות להגנת הפרטיות התקבל דיווח, אשר הצביע על ליקויי אבטחת מידע בעמותת "עמינדב", אגודה תורנית להתנדבות, שהביאו לחשיפתו של מידע על מועמדות לשירות לאומי וכן על בנות הנמצאות במהלך השירות. בין פרטי המידע שנחשפו ניתן היה למצוא צילומי תעודות זהות, שמות משתמשים וסיסמאות, שם ההורים, כתובות, טלפון, מספר חשבון בנק, תמונות, ותעודות רפואיות.
ממצאי הפיקוח העלו כי במועד האירוע, שהתרחש לפני כשנה, מידע שאוחסן על ידי העמותה בשירות הענן של Amazon Web Services – AWS היה זמין לגישה מרשת האינטרנט ללא צורך בהזדהות, לפרק זמן של לפחות חודש וחצי, ועד למועד בו נודע לעמותה על קרות האירוע. על אף שהאירוע נודע לעמותה, זו לא דיווחה לרשות על האירוע מיד עם היוודע לה, כנדרש בהוראות תקנות הגנת הפרטיות (אבטחת מידע).
ממצאי הליך הפיקוח שערכה הרשות, בעקבותיו נקבעה לעמותה הפרה בחודש מאי האחרון, העלו כי הליך העברת המידע מהשרת המקומי של העמותה לשירות הענן של - AWS התבצע שלא בהתאם לסטנדרט אבטחה מקובל. כך לדוגמה, לא הוגדרו הגדרות אבטחה מומלצות המפורטות במסמכי אמאזון, הגישה למידע הוגדרה כציבורית ולא פרטית, לא הופעל מנגנון ניטור תיעוד והתראה לאירועי אבטחת מידע ועוד.
בהתאם לממצאי האירוע קבעה הרשות, כי העמותה הפרה את הוראות סעיף 17 לחוק הגנת הפרטיות, הכולל דרישות לאבטחת המידע במאגרי מידע וכן את הוראות תקנות הגנת הפרטיות (אבטחת מידע). בנוסף לכך הרשות נתנה לעמותה הנחיות לתיקון ליקויים, אשר העבירה בהמשך תכנית עבודה לתיקון ליקויים ולשדרוג מערך האבטחה שלה.
ההפרה כללה, בין היתר, מתן גישה למאגר המידע ללא נקיטת אמצעים מקובלים כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד, אפשרות גישה למידע ולמערכות המאגר דרך רשת האינטרנט, וזאת מבלי שהותקנו אמצעי הגנה מתאימים מפני חדירה לא מורשית ואי יישום מנגנוני בקרה מספקים לגילוי וזיהוי אירועים חריגים במאגר המידע.
על פי נתוני שנתון העמותות של רשם העמותות במשרד המשפטים בישראל 19,205 עמותות פעילות, נכון ליוני 2020. כמי שמעניקות שירות ותמיכה לציבור רחב בתחומים שונים, מטבע הדברים במקרים רבים, פעילותן של העמותות כמי שמעניקות שירותים לציבור, כוללת איסוף ואחזקה של מידע אישי לרבות מידע רגיש ביותר כמו מידע רפואי, משפחתי, רווחתי וכלכלי.
הרשות קבעה בעבר מספר הפרות של הוראות חוק הגנת הפרטיות והתקנות מכוחו לעמותות ורואה חשיבות רבה בהעלאת מודעות העמותות לנושא הגנת הפרטיות. כחלק מסדרת ימי עיון, פורומים מקצועיים ושולחנות עגולים שמקיימת הרשות למגזרי המשק השונים, קיימה לאחרונה הרשות וובינר מיוחד שהוקדש לעובדים בארגוני מגזר שלישי, במטרה לספק כלים ומידע ולהעלות את המודעות לנושא הגנת הפרטיות.
בימים אלו צפויה הרשות לצאת בהליך אכיפה, במסגרת מערך פיקוח הרוחב בקרב עשרות עמותות וגופי מגזר שלישי, כחלק מהליך שנתי בו תבחן הרשות במהלך השנה למעלה מ-200 גופים במגזרים שונים, במטרה לאתר הפרות וכשלים ענפיים הדורשים התייחסות והבהרות, ובכדי להגביר את המודעות להוראות החוק והתקנות.
ליקויי אבטחת מידע בעמותת "עמינדב": ממצאי הפיקוח העלו כי במועד האירוע, שהתרחש לפני כשנה, מידע שאוחסן על ידי העמותה בשירות הענן של AWS היה זמין לגישה מרשת האינטרנט ללא צורך בהזדהות
bigstock
ברשות להגנת הפרטיות התקבל דיווח, אשר הצביע על ליקויי אבטחת מידע בעמותת "עמינדב", אגודה תורנית להתנדבות, שהביאו לחשיפתו של מידע על מועמדות לשירות לאומי וכן על בנות הנמצאות במהלך השירות. בין פרטי המידע שנחשפו ניתן היה למצוא צילומי תעודות זהות, שמות משתמשים וסיסמאות, שם ההורים, כתובות, טלפון, מספר חשבון בנק, תמונות, ותעודות רפואיות.
ממצאי הפיקוח העלו כי במועד האירוע, שהתרחש לפני כשנה, מידע שאוחסן על ידי העמותה בשירות הענן של Amazon Web Services – AWS היה זמין לגישה מרשת האינטרנט ללא צורך בהזדהות, לפרק זמן של לפחות חודש וחצי, ועד למועד בו נודע לעמותה על קרות האירוע. על אף שהאירוע נודע לעמותה, זו לא דיווחה לרשות על האירוע מיד עם היוודע לה, כנדרש בהוראות תקנות הגנת הפרטיות (אבטחת מידע).
ממצאי הליך הפיקוח שערכה הרשות, בעקבותיו נקבעה לעמותה הפרה בחודש מאי האחרון, העלו כי הליך העברת המידע מהשרת המקומי של העמותה לשירות הענן של - AWS התבצע שלא בהתאם לסטנדרט אבטחה מקובל. כך לדוגמה, לא הוגדרו הגדרות אבטחה מומלצות המפורטות במסמכי אמאזון, הגישה למידע הוגדרה כציבורית ולא פרטית, לא הופעל מנגנון ניטור תיעוד והתראה לאירועי אבטחת מידע ועוד.
בהתאם לממצאי האירוע קבעה הרשות, כי העמותה הפרה את הוראות סעיף 17 לחוק הגנת הפרטיות, הכולל דרישות לאבטחת המידע במאגרי מידע וכן את הוראות תקנות הגנת הפרטיות (אבטחת מידע). בנוסף לכך הרשות נתנה לעמותה הנחיות לתיקון ליקויים, אשר העבירה בהמשך תכנית עבודה לתיקון ליקויים ולשדרוג מערך האבטחה שלה.
ההפרה כללה, בין היתר, מתן גישה למאגר המידע ללא נקיטת אמצעים מקובלים כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד, אפשרות גישה למידע ולמערכות המאגר דרך רשת האינטרנט, וזאת מבלי שהותקנו אמצעי הגנה מתאימים מפני חדירה לא מורשית ואי יישום מנגנוני בקרה מספקים לגילוי וזיהוי אירועים חריגים במאגר המידע.
על פי נתוני שנתון העמותות של רשם העמותות במשרד המשפטים בישראל 19,205 עמותות פעילות, נכון ליוני 2020. כמי שמעניקות שירות ותמיכה לציבור רחב בתחומים שונים, מטבע הדברים במקרים רבים, פעילותן של העמותות כמי שמעניקות שירותים לציבור, כוללת איסוף ואחזקה של מידע אישי לרבות מידע רגיש ביותר כמו מידע רפואי, משפחתי, רווחתי וכלכלי.
הרשות קבעה בעבר מספר הפרות של הוראות חוק הגנת הפרטיות והתקנות מכוחו לעמותות ורואה חשיבות רבה בהעלאת מודעות העמותות לנושא הגנת הפרטיות. כחלק מסדרת ימי עיון, פורומים מקצועיים ושולחנות עגולים שמקיימת הרשות למגזרי המשק השונים, קיימה לאחרונה הרשות וובינר מיוחד שהוקדש לעובדים בארגוני מגזר שלישי, במטרה לספק כלים ומידע ולהעלות את המודעות לנושא הגנת הפרטיות.
בימים אלו צפויה הרשות לצאת בהליך אכיפה, במסגרת מערך פיקוח הרוחב בקרב עשרות עמותות וגופי מגזר שלישי, כחלק מהליך שנתי בו תבחן הרשות במהלך השנה למעלה מ-200 גופים במגזרים שונים, במטרה לאתר הפרות וכשלים ענפיים הדורשים התייחסות והבהרות, ובכדי להגביר את המודעות להוראות החוק והתקנות.
