בעקבות ‘שירביט’: מחזיקים מאגר מידע? כדאי שתדעו

בעקבות אירוע אבטחת המידע בשירביט, הרשות להגנת הפרטיות במשרד המשפטים מדגישה את חשיבות ההגנה על מידע אישי: קוראת לכל גורם במשק המנהל או מחזיק מאגר מידע לוודא עמידה בהוראות תקנות הגנת הפרטיות (אבטחת מידע) ולקיים את דרישות אבטחת המידע – בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע בארגון ומה העלות של ביטוח סייבר לעסק?

סייבר, אילוסטרציה | צילום: שאטרסטוק

אירועי דליפת מידע בחברות, לרבות בנסיבות של דרישת כופר, הפכו לנפוצים יותר ויותר. המקרה הנוכחי של חברת שירביט, אשר זוכה לדיון ציבורי ותקשורתי נרחב, מדגיש את ההכרח של  חברות  מכלל מגזרי המשק להגן על מידע אישי אודות לקוחות המצוי אצלן, ואת חשיבות עמידתן בחוק הגנת הפרטיות ובתקנות הגנת הפרטיות (אבטחת מידע).

הרשות להגנת הפרטיות במשרד המשפטים מזכירה, כי מעבר לפגיעה בפרטיות של לקוחות החברות, אירועים כגון אלו טומנים בחובם גם עלויות רבות, חשיפה משפטית ניכרת לתביעות שונות ונזק תדמיתי עצום לחברה. על מנת למזער התרחשותם של אירועי אבטחת מידע,  על החברות לעמוד באופן מלא בתקנות הגנת הפרטיות (אבטחת מידע), אשר נועדו להגן מפני מצבים מסוג זה. בנוסף, הרשות להגנת הפרטיות במשרד המשפטים ממליצה לחברות לוודא מראש כי מדיניות ניהול המידע אותו הן מחזיקות על לקוחותיהן הינה רלוונטית לשירותים הניתנים, בין השאר שלא נאסף ונשמר מידע עודף, שברבות הימים יכול להפוך להיות איום אסטרטגי על החברה.

250/200 סייד בר + קובייה

בהתייחס למקרה הנדון, מציינת הרשות כי חברת שירביט העבירה לה ולרשויות רלוונטיות נוספות דיווח ביחס לאירוע האבטחה החמור, ובעקבותיו פתחה הרשות בהליך חקירה. במסגרת הליך חקירה זה  בוחנת הרשות את ההיבטים הקשורים להגנה על המידע האישי של לקוחות החברה ואת הפגיעה בהם כתוצאה מדליפת המידע, וכן את פעולות החברה בנוגע לאירוע ועמידתה בהוראות החוק. בין השאר, הרשות העבירה לחברת שירביט דרישה לעדכן באופן אישי את הלקוחות אשר עשויים להיפגע מאירוע זה, בהתאם לסמכותה מכח תקנה 11(ד)(2) לתקנות הגנת הפרטיות (אבטחת מידע), וזאת על מנת לאפשר להם לנקוט אמצעי זהירות מתאימים ולצמצם את הנזק הפוטנציאלי כתוצאה מדלף המידע על אודותיהם. כמו כן, הרשות עומדת בקשר עם החברה ותאשר חיבור מאגרי המידע למערכות חיצוניות רק לאחר ביצוע פעולות נדרשות, אשר ימנעו הרחבת האירוע או הישנות תקיפות שיביאו לדלף מידע אישי נוסף.

אגב, סוכן הביטוח החרדי אליהו רוטלוי אומר, כי “העול המוטל היום על מחזיקי מאגרי מידע הוא אולי כבד, אבל לא בלתי אפשרי. בעמידה בקריטריונים המחייבים את ממוני אבטחת המידע בחברה ובאמצעות פוליסת ביטוח סייבר שעומד על מאות שקלים בשנה בלבד לעסק קטן וכמה אלפי שקלים בודדים לעסק בינוני – כמובן, תלוי בהיקפו – ניתן להשיג שקט נפשי מפני דרישות כופר אלו ואחרות. הפוליסה במקרה של אירוע סייבר מכסה ניהול תביעות כופר למבוטח וגם ותביעות מצד שלישי למבוטח”.

הדגשי רשות הפרטיות

בהזדמנות זו הרשות להגנת הפרטיות רואה לנכון לפרסם מספר דגשים חשובים:

אירועי אבטחה מסוג זה יוצרים מטבע הדברים עניין רב בציבור ובמיוחד בחברות הנפגעות ובחברות המשתייכות לסקטורים הנפגעים. תוקפים לעיתים מנצלים את הפעילות התקשורתית הרבה, ומעבירים במסגרת הודעות דוא”ל, הודעות SMS ומסרים מיידיים קישורים וקבצים הנחזים להיות גילויים מהאירוע או צילומים של פרטים שדלפו. בפועל, קבצים וקישורים אלה כוללים קבצים פוגעניים שמטרתם לחדור למערכות הגופים אליהם הגיעה ההודעה.

הרשות מדגישה את חשיבות ההגנה על בטחון המידע וקוראת לכל גורם במשק המנהל מאגרי מידע לבדוק את מידת עמידתו בהוראות התקנות וההגנה על מידע, כפי שאלו מפורטות באתר הייעודי שהעמידה לשם כך בקישור זה.

הרשות מדגישה כי תקנות הגנת הפרטיות (אבטחת מידע) מחייבות כל גורם במשק בישראל, ציבורי ופרטי, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו בארגון. על ארגונים לוודא כי הם עומדים בדרישות החוק והתקנות, ומקפידים על ביצועם ויישומם של בקרות ניהוליות ועל מימוש ויישום מדיניות אבטחת מידע, לרבות:

  1. גיבויים – יש לוודא ביצועם וקיומם של גיבויים תקינים;
  2. הרשאות – רק על פי המינימום הנדרש למטרת הארגון, להימנע מהרשאות רחבות מדי;
  3. חיבור מרחוק –  רק על פי צורך, בהרשאה מותאמת ובעדיפות לכתובות מוגדרות;
  4. עדכונים – לשמור על מערכות ותוכנות מעודכנות בגרסאותיהם ובעדכוני האבטחה;
  5. סיסמאות – לעבוד בכפוף למדיניות סיסמאות וגישה מוקשחת;
  6. סגמנטציה – להקפיד על הפרדה בין רשתות והמערכות השונות בארגון;
  7. ניטור ובקרה – של התחברויות ופעילות ברשת לשם זיהויה של פעילות אנומלית;
  8. מערכות זיהוי – ישומן של מערכות IDS/IPS לזיהוי והתרעה מפני חדירה בנוסף למערכות ההגנה והאנטי-וירוס.

Inner article

המלצות הרשות לציבור הרחב:

הרשות להגנת הפרטיות ממליצה לציבור להיות ערני לכל ניסיון הונאה הכולל קישור, קובץ או בקשה לקבלת מידע אישי (כגון הודעת דואר אלקטרוני המבקשת מלקוח להעביר את פרטיו האישיים או ללחוץ על קישור המפנה אותו לאתר המתחזה להיות נותן שירות) או מתן קוד שהגיע בהודעת סמס לגורם כלשהו, אלא אם הוא יזם בעצמו את הפניה לערוץ תקשורת מוסדר ומהימן למול החברה נותנת השירות.

הרשות מזכירה כי חברות המספקות שירותים כאלה (כגון בנקים, חברות ביטוח וכד’), אינן נוהגות לבקש פרטים אלו באמצעות דוא”ל או הודעת סמס.

מ”מ ראש הרשות להגנת הפרטיות, ד”ר שלומית ווגמן: “האירועים בימים האחרונים מדגישים את חשיבות ההגנה על המידע האישי המצוי בכל חברה המחזיקה במידע אודות לקוחותיה. פוטנציאל הנזק הוא עצום בעיקר בהיבט של הפגיעה בפרטיות הלקוחות אך גם בחשיפת החברות לתביעות והליכים משפטיים ופגיעה קשה במוניטין שלהן. הרשות מדגישה כי כל גורם במשק, פרטי וציבורי כאחד, חייב להקפיד על קיום הוראות תקנות הגנת הפרטיות (אבטחת מידע) במטרה לצמצם את הסיכון להתרחשותם של אירועי אבטחה חמורים ודליפת מידע אישי על לקוחות. אנו מזכירים כי בכל מקרה של אירוע אבטחה חמור, יש לדווח עליו לרשות להגנת הפרטיות באופן מיידי.”

Inner 620/130

מומלץ עבורך

כתיבת תגובה