כרבע מאירועי אבטחת המידע: בסקטור הביטוח והפיננסים ‬

הרשות להגנת הפרטיות: כרבע מאירועי אבטחת המידע אירעו בסקטור הביטוח והפיננסים ‬

סייבר, אילוסטרציה | צילום: שאטרסטוק

הרשות להגנת הפרטיות במשרד המשפטים מסכמת שנה לכניסתן לתוקף של תקנות אבטחת מידע. מדו"ח הסיכום עולה כי כרבע מאירועי אבטחת המידע אירעו בסקטור הביטוח והפיננסים.

החל ממועד כניסתן לתוקף של התקנות לפני כשנה, הרשות להגנת הפרטיות קיימה 146 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים. רק 103 מתוך אירועי האבטחה החמורים דווחו לרשות להגנת הפרטיות, כפי שמחייבות התקנות. יתר הליכי האכיפה בוצעו בעקבות תלונות או פעילות יזומה של הרשות.

לפני כשנה, במאי 2018, נכנסו לתוקף התקנות לאבטחת מידע, והרשות החלה לאסוף דיווחים על אירועי אבטחת מידע חמורים. עשרות אירועים דווחו אולם ההערכה היא שקיימים אירועים נוספים אשר לא דווחו כפי שמחייבות התקנות.

בימים אלה, לאחר שנסתיימה תקופת ההיערכות שקבעה הרשות להגנת הפרטיות, תחל הרשות באכיפה מלאה של הוראות תקנות אבטחת מידע, החלות על כל המשק הישראלי, ומטרתן הגנה על המידע האישי של הציבור באמצעות עמידה בדרישות אבטחת מידע.

התקנות מחייבות כל גורם במשק בישראל, ציבורי ופרטי, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו בארגון. 

בהתאם לזאת, חובתו של כל גוף הכפוף לתקנות, לדווח לרשות במקרה של אירוע אבטחה חמור והרשות תחקור כל הפרה של הוראות התקנות ותפעל כנגד אלה שלא יעמדו בדרישותיהן. 

מקרים בהם יתגלו ממצאים רשלניים בהתנהלותם של גופים בכל הנוגע לעמידתם בדרישות התקנות, לרבות אופן הטיפול באירועי אבטחת המידע או אי-דיווח לרשות, עלולים להוביל לסנקציה של איסור המשך שימוש במידע וכתוצאה מכך פגיעה משמעותית בפעילות העסקית של הגוף. במקביל, תמשיך הרשות לבצע פיקוחי רוחב מגזריים, אשר יבחנו בין היתר את יישום הוראות תקנות אבטחת המידע במאות גופים ציבוריים ופרטיים.

על פי התקנות, בעל מאגר מידע שחלה עליו חובת אבטחה בינונית או גבוהה מחויב להודיע לרשות להגנת הפרטיות על התרחשות אירוע אבטחת מידע חמור תוך 24 שעות ממועד גילויו ולא יאוחר מ-72 שעות, ולדווח על הצעדים שנקט בעקבות האירוע. 

בנוסף, דורשת הרשות לדווח גם לאנשים שהמידע אודותיהם נחשף. דוגמאות לאירועי אבטחה המסווגים כחמורים: זיהוי פריצה חיצונית או פנימית לרשת הארגון ולגישה למאגרי המידע, זליגת מידע אישי מחוץ לארגון, גם במידה ופורסם באמצעי התקשורת, שיבוש או מחיקה של מידע אישי ללא הסבר או כתוצאה מחדירה למערכות הארגון שזוהתה בדיעבד, העברה של מידע אישי ממאגרי המידע של הארגון על ידי עובד אל מחוצה לו ללא אישור, גניבה או אובדן של ציוד מחשוב, התפרצות של וירוס כופר העלול לגרום לדליפה של מידע אישי וחשיפה של מפתח הצפנה, אשר יכולה לאפשר גישה למידע אישי מוצפן.

עד כה ובמסגרת ההיערכות להחלת התקנות על כלל המשק רק ב-13% מהמקרים שדווחו או נאספו נקבעה לגופים הפרה של הוראות החוק והתקנות וב-66% נדרשו הגופים לבצע תיקוני ליקויים אך לא נקבעה הפרה.

מעיון בדו"ח הסיכום עולה כי הסקטורים בהם אירעו מירב האירועים הם: הביטוח והפיננסים (23%), הסקטור הטכנולוגי הכולל חברות בתחומי מערכות מידע (10%), הבריאות (10%), התקשורת (8%), החינוך (8%), אינטרנט (7%) ומדע וטכנולוגיה (2%).

ניתוח אירועי האבטחה החמורים מצביע על אירועי תקיפה ממגוון רחב של שיטות, בהם: SQL Injection (ניצול פרצת אבטחה במסד הנתונים) (15%) , שימוש לרעה בפרטי גישה (7%), הנדסת אנוש, נוזקות ו- Brute force (התקפה גסה לגילוי סיסמא) וכן טעויות אנוש שכללו הגדרות שגויות במערכות (9%), מסירת מידע לא מכוונת (8%), ללא הרשאה או אבדן מדיה.

עו"ד עלי קלדרון, הממונה על האכיפה ברשות להגנת הפרטיות במשרד המשפטים: "אנו חיים בעידן בו תחום המידע האישי והשימושים בו עבר ועודנו עובר מהפכה של ממש. המידע האישי שלנו הפך למטבע החדש. במקביל לעליית ערך המידע, עולה גם המוטיבציה של גורמים אשר רוצים לשים ידם על המידע האישי של כל אחד מאיתנו, וכך גם תחכומם. בהתאם, תחום הגנת המידע האישי מקבל חשיבות עליונה". 

כתיבת תגובה