הרשות להגנת הפרטיות: אינטו השקעות בע"מ הפרה את הוראות החוק
במהלך הליך פיקוח, גילתה הרשות כי החברה השתמשה בשרותי ענן מבלי שנקטה באמצעי אבטחה מספקים, ובכך לא צמצמה את הסיכון להתרחשות תקיפה מסוג כופרה
עמי רוחקס דומבה
| 12/08/2021
bigstock
לפני כשנה התרחש בחברת אינטו השקעות בע"מ, המפעילה אתר ופלטפורמת השקעות לצורך השקעות בנדל"ן ברחבי העולם, אירוע אבטחת מידע חמור בשרתי ענן של אמזון AWS שאחסנו את סביבת הבדיקות של החברה.
במסגרת אירוע האבטחה, התרחשה מתקפה מסוג "תקיפה כוחנית" (Brute Force), בה התוקף הרוצה לגלות את הסיסמא לשרת, שאחסן את סביבת הבדיקות של מערכת הרישום של החברה ללקוחות פוטנציאלים, מריץ תהליך או אלגוריתם, שפועל באופן של ניסוי וטעייה לבדיקת מספר רב של קומבינציות של סיסמאות.
בכך, בוצעה חדירה בלתי מורשית למאגר מידע של החברה ולמערכותיה, שהובילה לכך שמידע רגיש אודות אלפי לקוחות החברה, הכולל פרטי קשר, פרטי חשבון בנק ופירוט השקעות, הוצפן ונשלחה עבורו דרישת כופר. החברה דיווחה לרשות אודות אירוע אבטחת המידע ובעקבותיו בוצע הליך הפיקוח האמור.
ממצאי הליך הפיקוח שביצעה הרשות להגנת הפרטיות העלו כי החברה לא נקטה באמצעים מקובלים בנסיבות העניין כדי לוודא כי הגישה למאגר נעשית בידי בעל הרשאה המורשה לכך בלבד, ובהתרחש האירוע אף לא היה לה מנגנון תיעוד אוטומטי כנדרש בתקנות הגנת הפרטיות (אבטחת מידע) והיא לא הפעילה אמצעי הגנה מתאימים מפני חדירה בלתי מורשית כנדרש.
בנוסף, מצאה הרשות כי החברה לא ניהלה מסמך הגדרות מאגר העומד ברף המקובל בניהול סיכוני אבטחת מידע כנדרש בתקנות ביחס למאגר המידע שהינו מאגר ברמת רגישות בינונית. בין היתר, מסמך הגדרות המאגר לא כלל ההתייחסות לפעולות של איסוף מידע ושימוש במידע מרשתות חברתיות, לא נכללו בו כל סוגי המידע הכלולים במאגר, הסיכונים העיקריים לאבטחת מידע ואופן ההתמודדות איתם.
בהתאם לממצאי הפיקוח, קבעה הרשות כי החברה הפרה את הוראות חוק הגנת הפרטיות ותקנות מכוחו והעבירה לה הנחיות לתיקון ליקויים. הרשות מבהירה כי מתקפות מסוג Brute Force כמו זו אשר אירעה בחברה, הינן מתקפות נפוצות וקלות עבור תוקפים. בו בזמן, כנגד מתקפה מסוג זה ישנן פתרונות ואמצעי אבטחה רבים שנועדו לספק התראה והגנה מצד אחד, ואפשרות התמודדות טובה יותר עם ההתקפה, ככל שתקרה.
בין אמצעי הגנה אלו ניתן למנות תוכנות ומערכות התראה וניטור המונעות ניסיונות תקיפה מסוג זה ושביכולתן לצמצם את היתכנות האירוע וכן בקרות על הליכי הזדהות ואימות גישה. אמצעים נוספים להתגוננות מפני מתקפות מסוג זה כוללים שימוש בנהלים מסודרים, ניהול הרשאות גישה כראוי, וכלי תיעוד שיאפשרו לזהות את האירוע בזמן סביר הן בשלב ניסיון התקיפה והן לאחר התרחשותו.
זיהוי ותיעוד חשובים לצורך תחקור האירוע למען הפקת לקחים ומניעת הישנות אירועים מסוג זה, וכן לצורך עמידה בחובת הדיווח הקבועה בתקנות אבטחת מידע. הרשות שבה ומדגישה כי על כל ארגון אשר מחזיק במידע אודות אנשים לעמוד בהוראות תקנות הגנת הפרטיות (אבטחת מידע) וממליצה לחברות ועסקים להיעזר במסמך שפרסמה הכולל דוגמאות לאירועים שאירעו בחברות שונות והמלצות להתגוננות.
עוד מדגישה הרשות כי על ארגונים למפות מראש את הסיכונים הפוטנציאליים לאבטחת המידע, בהתאם לסוג מאגר המידע שברשותם, היקפי המידע הכלולים בו ורגישות המידע. כמו כן, חשוב לזכור כי כל ארגון במשק אשר מסתייע בספקים חיצוניים לקבלת שירותי ענן או ששוקל מעבר לשימוש בסביבת ענן, נדרש להכיר את הסיכונים הכרוכים במעבר לשרתי ענן ולהיערך בהתאם, לרבות באמצעות בחירת שירותי ספק חיצוני מתאימים ההולמים את סוג המידע, היקפו ורמת האבטחה הנדרשת לו.
יובהר, כי גם בעת התקשרות עם ספקי שירותי ענן במיקור חוץ, האחריות להגנה על המידע היא של בעל המאגר, ומשכך עליו מוטלת החובה לוודא שספק שירות הענן יכול לספק מענה לדרישות אבטחת המידע.
במקרה זה יצוין כי החל מהדיווח על האירוע לרשות, נקטה החברה בפעולות חשובות להתמודדות עימו.
במהלך הליך פיקוח, גילתה הרשות כי החברה השתמשה בשרותי ענן מבלי שנקטה באמצעי אבטחה מספקים, ובכך לא צמצמה את הסיכון להתרחשות תקיפה מסוג כופרה
bigstock
לפני כשנה התרחש בחברת אינטו השקעות בע"מ, המפעילה אתר ופלטפורמת השקעות לצורך השקעות בנדל"ן ברחבי העולם, אירוע אבטחת מידע חמור בשרתי ענן של אמזון AWS שאחסנו את סביבת הבדיקות של החברה.
במסגרת אירוע האבטחה, התרחשה מתקפה מסוג "תקיפה כוחנית" (Brute Force), בה התוקף הרוצה לגלות את הסיסמא לשרת, שאחסן את סביבת הבדיקות של מערכת הרישום של החברה ללקוחות פוטנציאלים, מריץ תהליך או אלגוריתם, שפועל באופן של ניסוי וטעייה לבדיקת מספר רב של קומבינציות של סיסמאות.
בכך, בוצעה חדירה בלתי מורשית למאגר מידע של החברה ולמערכותיה, שהובילה לכך שמידע רגיש אודות אלפי לקוחות החברה, הכולל פרטי קשר, פרטי חשבון בנק ופירוט השקעות, הוצפן ונשלחה עבורו דרישת כופר. החברה דיווחה לרשות אודות אירוע אבטחת המידע ובעקבותיו בוצע הליך הפיקוח האמור.
ממצאי הליך הפיקוח שביצעה הרשות להגנת הפרטיות העלו כי החברה לא נקטה באמצעים מקובלים בנסיבות העניין כדי לוודא כי הגישה למאגר נעשית בידי בעל הרשאה המורשה לכך בלבד, ובהתרחש האירוע אף לא היה לה מנגנון תיעוד אוטומטי כנדרש בתקנות הגנת הפרטיות (אבטחת מידע) והיא לא הפעילה אמצעי הגנה מתאימים מפני חדירה בלתי מורשית כנדרש.
בנוסף, מצאה הרשות כי החברה לא ניהלה מסמך הגדרות מאגר העומד ברף המקובל בניהול סיכוני אבטחת מידע כנדרש בתקנות ביחס למאגר המידע שהינו מאגר ברמת רגישות בינונית. בין היתר, מסמך הגדרות המאגר לא כלל ההתייחסות לפעולות של איסוף מידע ושימוש במידע מרשתות חברתיות, לא נכללו בו כל סוגי המידע הכלולים במאגר, הסיכונים העיקריים לאבטחת מידע ואופן ההתמודדות איתם.
בהתאם לממצאי הפיקוח, קבעה הרשות כי החברה הפרה את הוראות חוק הגנת הפרטיות ותקנות מכוחו והעבירה לה הנחיות לתיקון ליקויים. הרשות מבהירה כי מתקפות מסוג Brute Force כמו זו אשר אירעה בחברה, הינן מתקפות נפוצות וקלות עבור תוקפים. בו בזמן, כנגד מתקפה מסוג זה ישנן פתרונות ואמצעי אבטחה רבים שנועדו לספק התראה והגנה מצד אחד, ואפשרות התמודדות טובה יותר עם ההתקפה, ככל שתקרה.
בין אמצעי הגנה אלו ניתן למנות תוכנות ומערכות התראה וניטור המונעות ניסיונות תקיפה מסוג זה ושביכולתן לצמצם את היתכנות האירוע וכן בקרות על הליכי הזדהות ואימות גישה. אמצעים נוספים להתגוננות מפני מתקפות מסוג זה כוללים שימוש בנהלים מסודרים, ניהול הרשאות גישה כראוי, וכלי תיעוד שיאפשרו לזהות את האירוע בזמן סביר הן בשלב ניסיון התקיפה והן לאחר התרחשותו.
זיהוי ותיעוד חשובים לצורך תחקור האירוע למען הפקת לקחים ומניעת הישנות אירועים מסוג זה, וכן לצורך עמידה בחובת הדיווח הקבועה בתקנות אבטחת מידע. הרשות שבה ומדגישה כי על כל ארגון אשר מחזיק במידע אודות אנשים לעמוד בהוראות תקנות הגנת הפרטיות (אבטחת מידע) וממליצה לחברות ועסקים להיעזר במסמך שפרסמה הכולל דוגמאות לאירועים שאירעו בחברות שונות והמלצות להתגוננות.
עוד מדגישה הרשות כי על ארגונים למפות מראש את הסיכונים הפוטנציאליים לאבטחת המידע, בהתאם לסוג מאגר המידע שברשותם, היקפי המידע הכלולים בו ורגישות המידע. כמו כן, חשוב לזכור כי כל ארגון במשק אשר מסתייע בספקים חיצוניים לקבלת שירותי ענן או ששוקל מעבר לשימוש בסביבת ענן, נדרש להכיר את הסיכונים הכרוכים במעבר לשרתי ענן ולהיערך בהתאם, לרבות באמצעות בחירת שירותי ספק חיצוני מתאימים ההולמים את סוג המידע, היקפו ורמת האבטחה הנדרשת לו.
יובהר, כי גם בעת התקשרות עם ספקי שירותי ענן במיקור חוץ, האחריות להגנה על המידע היא של בעל המאגר, ומשכך עליו מוטלת החובה לוודא שספק שירות הענן יכול לספק מענה לדרישות אבטחת המידע.
במקרה זה יצוין כי החל מהדיווח על האירוע לרשות, נקטה החברה בפעולות חשובות להתמודדות עימו.
