רשות הפרטיות: שרתי העירייה נפרצו ומידע רגיש נחשף

בעקבות אירוע אבטחת מידע חמור שגרם לחשיפה של מידע אישי רגיש ממאגרי מידע של עיריית הוד השרון, הרשות להגנת הפרטיות קבעה: העירייה הפרה את חוק הגנת הפרטיות והתקנות מכוחו • השרתים שנפרצו באמצעות ‘רוגלה’ – הכילו מידע אישי הכולל, בין היתר, מסמכים, התכתבויות דואר אלקטרוני, תלונות של תושבים לרבות שמות ומספרי זהות, מידע על עובדים המשתמשים במערכות העירייה ועוד

סייבר, רוגלה, אבטחת מידע | מקור: פיקסביי

פיקוח שביצעה הרשות להגנת הפרטיות בעיריית הוד השרון, בעקבות דיווח על אירוע אבטחת מידע, העלה כי אירעה פריצה לשרתים בבעלות העירייה, אשר הכילו מידע אישי רב, הן אודות תושבי העיר והן אודות עובדי העירייה. השרתים שנפרצו הכילו מידע אישי הכולל, בין היתר, מסמכים, התכתבויות דואר אלקטרוני, תלונות של תושבים לרבות שמות ומספרי זהות, מידע על עובדים המשתמשים במערכות העירייה ועוד.

חקירת הרשות להגנת הפרטיות העלתה כי הפריצה התבצעה  על ידי רוגלה (תוכנת ריגול), שאפשרה גישה לכניסה מרחוק לשרתים; בהמשך לכך, הרוגלה הצפינה קבצים שונים אשר אפשרו שליטה מלאה במערכת.

ממצאי הפיקוח של הרשות העלו, כי העירייה פעלה שלא בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017:  במועד האירוע  הגדרות הרשאות הגישה שנקבעו למשתמשים במחשבי העיריה נעשו בצורה כוללת, לא בהתאם להגדרת התפקיד ולא במידה הנדרשת לביצוע התפקיד בלבד. כמו כן, נמצא כי העירייה לא נקטה באמצעים מקובלים כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך.

עוד עלה, כי במועד האירוע לא הקפידה העירייה על ניהול ותפעול תקין של מערכות מאגר המידע שנפרץ ואפשרה גישה למידע דרך רשת האינטרנט, מבלי נקיטת אמצעי הגנה מתאימים מפני חדירה לא מורשית. במסגרת כך, לא בוצעה הפרדה בסביבות העבודה בין מערכות המאגר בהן ניתן לגשת למידע לבין מערכות מחשוב אחרות, לא בוצעו עדכונים שוטפים למערכות ההפעלה של המאגר במחשבי החברה ונעשה שימוש במערכות אשר היצרן הפסיק לתמוך בעדכוני אבטחת מידע בהן.

בנוסף, העירייה לא קיימה כנדרש בתקנות הגנת הפרטיות (אבטחת מידע) סקר לאיתור סיכוני אבטחת מידע במערכותיה במועד הדרוש, ולא פעלה כדי לתקן את הממצאים שנתגלו בסקר קודם שקיימה בנושא.

לאור כל אלה קבעה הרשות כי העירייה הפרה את הוראות חוק הגנת הפרטיות והתקנות מכוחו ונתנה לעירייה הנחיות לתיקון הליקויים שהתגלו במסגרת הליך הפיקוח. על העירייה אף הוטל קנס מנהלי על סך 10,000 ₪ בגין אי-רישום של מאגרי מידע החייבים ברישום מכוח הוראות חוק הגנת הפרטיות.

Inner article

עו”ד עלי קלדרון, מנהל מחלקת אכיפה ברשות להגנת הפרטיות: “ברשויות המקומיות מנוהל מידע אישי רב ורגיש ביותר על אודות התושבים בתחומי החיים השונים ובכללם חינוך, כלכלה רווחה ועוד. על מנת לקבל שירותים שונים, התושבים למעשה מפקידים את המידע אודותיהם בידי הרשויות ומכאן שתפקידן, כמי שאמורות להגן עליו, מתעצם. מצופה מכל רשות מקומית להקפיד על קיום הוראות החוק והתקנות מכוחו ולצמצם את פוטנציאל התרחשותם של אירועי אבטחת מידע ופגיעה בפרטיות התושבים”.

מומלץ עבורך

כתיבת תגובה