הנתונים דלפו ערב הבחירות? המודעות בישראל גבוהה

מרבית הגופים בישראל שומרים תיעוד של אירועי אבטחת מידע שאירעו אצלם • כך עולה מתוך נתוני סקר שערכה הרשות להגנת הפרטיות במסגרת הליך בדיקה שנערך במקביל על ידי רשויות אכיפה להגנה על מידע אישי החברות בארגון גג בינלאומי (GPEN), בו הרשות מייצגת את מדינת ישראל ומשמשת כנציגה בוועד המנהל שלו • השנה לקחו חלק בהליך הבדיקה 16 רגולטורים מהעולם

משלחת ישראלית בדיון בנושאי סייבר בהודו | צילום: דוברות משרד הכלכלה

נפגעתם באירוע תקיפת סייבר? מה אתם עושים? אתם מתעדים את האירוע? מעבירים את פרטיו לרשות להגנת הפרטיות – או לא עושים כלום? מתוך סקירה בינלאומית בנושא עולה, כי מתוך 1,198 אירועי האבטחה שאירעו ב-258 ארגונים, 36 אירועים דווחו לגופי האכיפה ולרגולטורים ולא לאנשים שעלולים היו להיפגע מן האירועים. 157 אירועים דווחו לאנשים שעלולים היו להיפגע מן האירוע אך לא לגופי האכיפה ולרגולטורים.

נציין כי בישראל, חובת הדיווח הינה לרשות להגנת הפרטיות שגם ביצעה חלק מהסקר וממנו עולה – כחלק מהסקר הבינלאומי שבו נבדקה גם ישראל –  כי במיעוט של המקרים (9%) דווח האירוע גם לאנשים אשר היו עלולים להיפגע מן האירוע.

הסקר בדק גם את תיעוד אירועי האבטחה ומהסקר עולה כי 83% מהגופים בעולם שומרים תיעוד עדכני של אירועי אבטחת מידע או אירועים שיש להם פוטנציאל להתגבש לאירועי אבטחת מידע. בדומה, בישראל, מירב הגופים (82%) שומרים תיעוד של אירועי אבטחת מידע שאירעו אצלם.

הסקר מגלה כי בישראל ישנה מודעות גבוהה יותר לכל נושא הביקורת התקופתית של אבטחת המידע. 82% מהגופים דיווחו על קיום ביקורות תקופתיות ובחינת ביצועיהם בנוגע למצב אבטחת המידע לעומת קצת יותר מ-30% ברחבי העולם.

יצוין, כי מאז כניסתן של תקנות הגנת הפרטיות (אבטחת מידע) לתוקף במאי 2018, דווחו לרשות להגנת הפרטיות מעל ל- 150 אירועי אבטחת מידע חמורים. אולם, ההערכה היא שקיימים אירועים נוספים אשר לא דווחו כפי שמחייבות התקנות, ובכוונת הרשות לחקור כל הפרה של הוראות חוק הגנת הפרטיות והתקנות מכוחו.

במסגרת הסקר שנעשה בישראל מקבלת הרשות להגנת הפרטיות ציון טוב בכל הנוגע לכלים שמספקת הרשות. מרבית הגופים שנבדקו בישראל (64%) ציינו כי המידע והכלים שמספקת הרשות בנוגע לדיווח על אירועי אבטחת מידע, כמו מדריכים ומידע באתר, טפסים מקוונים ודיווח מקוון על אירועי אבטחה חמורים, סייעו או מסייעים להם בטיפול באירועי אבטחת מידע. מהבדיקה הבינלאומית לעומת זאת עולה, כי רק מיעוטם של הגופים (36%) השיבו כי המידע והכלים שמספקים הרגולטורים הינם שימושיים. 

דליפת הנתונים של אזרחי ישראל

מדובר בסקר שהוא חלק מבדיקה בינלאומית מתואמת המתקיימת מדי שנה, ומכונה Sweep, שבמסגרתה השתתפו השנה 16 רגולטורים וביניהם ישראל, במסגרת ארגון הגג הבינלאומי לאכיפת הגנת המידע האישי (GPEN – Global Privacy Enforcement Network), בו הרשות להגנת הפרטיות מייצגת את מדינת ישראל ואף משמשת נציגה בוועד המנהל שלו.

במסגרת הפעילות נבחנו סך כולל של 1,145 גופים מרחבי העולם. יודגש, כי בעוד שבישראל השיבו על השאלונים כל הגופים אליהם פנתה הרשות, בעולם סיפקו מענה לשאלונים שנשלחו במסגרת הליך הבחינה רק כ- 21% מהגופים בממוצע. הסיבה לכך, היא כי לרשות להגנת הפרטיות בישראל סמכות לפי חוק הגנת הפרטיות לדרוש ידיעות ומסמכים מגופים המנהלים מאגרי מידע, סמכות שלא קיימת לכלל ארגוני האכיפה בעולם.

ראוי להזכיר כי אירוע האבטחה האחרון שהיה בישראל הוא פריצתה של תוכנת אלקטור של הליכוד תוך כדי מערכת בחירות. באירוע נחשפו לציבור פרטים אישיים של אזרחים, דפוס הצבעה, דעות פוליטיות, דעות לגבי אזרחים אחרים ואף דרכי פעולה וגישה לשכנוע אותם אזרחים. הפרצה שנחשפה על ידי רן בר זיק, מתכנת בכיר בוורייזון מדיה, שגם דיווח עליה למערך הסייבר, יצרה סערה גדולה, סביב אבטחת המידע במפלגות השונות.

עו"ד לינא כמאל- טרודי, הממונה על האכיפה המנהלית ברשות מוסיפה: "חובת הדיווח לרשות על אירועי אבטחת מידע חמורים מהווה נדבך חשוב במדיניות אבטחת המידע ובהליך התיעוד, התחקור והמניעה של ארגונים בהתמודדותם עם עולם חדש של סיכוני אבטחה.

"אנו ברשות שמחנו לגלות כי מצב הדיווח בישראל אינו שונה מזה שבשאר המדינות שנבדקו, וממשיכים ללוות את הארגונים ולסייע להם בטיפול באירועי אבטחה חמורים. במקביל, אנו דואגים לקיים הליכי אכיפה במקרים בהם לא עמד הארגון בחובותיו, ובמסגרת זו גם בחובת הדיווח לרשות, ובמידת הצורך אף קובעים הפרה ומפרסמים פרטיהם של גופים אשר הפרו את הוראות חוק הגנת הפרטיות.

"תחקור אירועי אבטחה חמורים על ידי הארגון, מגלה פעמים רבות ליקויים במדיניות ונהלי אבטחת המידע שלו ובמערכות ההגנה שלו, ועשוי למנוע נזקים גדולים לארגון ופגיעה בשמו הטוב".

כתיבת תגובה