כרבע מאירועי אבטחת המידע אירעו בסקטור הביטוח והפיננסים

כשנה לאחר כניסתן לתוקף של תקנות אבטחת המידע החדשות, מפרסמת הרשות להגנת הפרטיות נתונים

לוחמת סייבר
לוחמת סייבר

· החל ממועד כניסתן לתוקף של התקנות לפני כשנה, הרשות להגנת הפרטיות קיימה 146 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים

· רק 103 מתוך אירועי האבטחה החמורים דווחו לרשות להגנת הפרטיות, כפי שמחייבות התקנות. יתר הליכי האכיפה בוצעו בעקבות תלונות או פעילות יזומה של הרשות.

· ב-13% מהמקרים נקבעה לגופים הפרה של הוראות החוק והתקנות וב-66% נדרשו הגופים לבצע תיקוני ליקויים אך לא נקבעה הפרה.

· הסקטורים בהם אירעו מירב האירועים: הביטוח והפיננסים (23%), הסקטור הטכנולוגי הכולל חברות בתחומי מערכות מידע (10%), הבריאות (10%), התקשורת (8%), החינוך (8%), אינטרנט (7%) ומדע וטכנולוגיה (2%).

· ניתוח אירועי האבטחה החמורים מצביע על אירועי תקיפה מסוגים שונים, בהם: SQL Injection (ניצול פרצת אבטחה במסד הנתונים) (15%) , שימוש לרעה בפרטי גישה (7%), הנדסת אנוש, נוזקות ו- Brute force (התקפה גסה לגילוי סיסמא) וכן טעויות אנוש שכללו הגדרות שגויות במערכות (9%), מסירת מידע לא מכוונת (8%), ללא הרשאה או אבדן מדיה.

מהרשות נמסר כי מאז נכנסו התקנות לתוקף, במאי 2018, דווחו לרשות אירועי אבטחת מידע חמורים, אולם ההערכה היא שקיימים אירועים נוספים אשר לא דווחו כפי שמחייבות התקנות.

בימים אלה, לאחר שנסתיימה תקופת ההיערכות שקבעה הרשות להגנת הפרטיות, תחל הרשות באכיפה מלאה של הוראות תקנות אבטחת מידע, החלות על כל המשק הישראלי, ומטרתן הגנה על המידע האישי של הציבור באמצעות עמידה בדרישות אבטחת מידע.

התקנות מחייבות כל גורם במשק בישראל, ציבורי ופרטי, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו בארגון. בהתאם לזאת, חובתו של כל גוף הכפוף לתקנות, לדווח לרשות במקרה של אירוע אבטחה חמור והרשות תחקור כל הפרה של הוראות התקנות ותפעל כנגד אלה שלא יעמדו בדרישותיהן. מקרים בהם יתגלו ממצאים רשלניים בהתנהלותם של גופים בכל הנוגע לעמידתם בדרישות התקנות, לרבות אופן הטיפול באירועי אבטחת המידע או אי-דיווח לרשות, עלולים להוביל לסנקציה של איסור המשך שימוש במידע וכתוצאה מכך פגיעה משמעותית בפעילות העסקית של הגוף. במקביל, תמשיך הרשות לבצע פיקוחי רוחב מגזריים, אשר יבחנו בין היתר את יישום הוראות תקנות אבטחת המידע במאות גופים ציבוריים ופרטיים.

בעל מאגר מידע שחלה עליו חובת אבטחה בינונית או גבוהה מחויב להודיע לרשות להגנת הפרטיות בהתרחש אירוע אבטחת מידע חמור תוך 24 שעות ממועד גילויו ולא יאוחר מ-72 שעות, ולדווח על הצעדים שנקט בעקבות האירוע. בנוסף, דורשת הרשות לדווח גם לאנשים שהמידע אודותיהם נחשף. דוגמאות לאירועי אבטחה המסווגים כחמורים: זיהוי פריצה חיצונית או פנימית לרשת הארגון ולגישה למאגרי המידע, זליגת מידע אישי מחוץ לארגון, גם במידה ופורסם באמצעי התקשורת, שיבוש או מחיקה של מידע אישי ללא הסבר או כתוצאה מחדירה למערכות הארגון שזוהתה בדיעבד, העברה של מידע אישי ממאגרי המידע של הארגון על ידי עובד אל מחוצה לו ללא אישור, גניבה או אובדן של ציוד מחשוב, התפרצות של וירוס כופר העלול לגרום לדלף של מידע אישי וחשיפה של מפתח הצפנה, אשר יכולה לאפשר גישה למידע אישי מוצפן.

עו"ד עלי קלדרון, הממונה על האכיפה ברשות להגנת הפרטיות במשרד המשפטים: "אנו חיים בעידן בו תחום המידע האישי והשימושים בו עבר ועודנו עובר מהפכה של ממש. המידע האישי שלנו הפך למטבע החדש. במקביל לעליית ערך המידע, עולה גם המוטיבציה של גורמים אשר רוצים לשים ידם על המידע האישי של כל אחד מאיתנו, וכך גם תחכומם. בהתאם, תחום הגנת המידע האישי מקבל חשיבות עליונה".

השארת תגובה