הרשות להגנת הפרטיות: מגן דוד אדום הפר את החוק

מגן דוד אדום הפר את הוראות חוק הגנת הפרטיות ואת התקנות הנובעות מתוכו, בעקבות שני אירועי אבטחה חמורים שהובילו לדליפת מידע רגיש ממערכות הארגון – כך דיווחה היום (ד') הרשות להגנת הפרטיות.

הרשות קיימה הליך פיקוח לבירור שני האירועים, שנפתח בעקבות פנייה שהגיעה אליה, ממנה עלה כי קיימים כשלי אבטחת מידע באתר האינטרנט של מגן דוד אדום. כשלים אלה הביאו, על פי הרשות, לחשיפתו של מידע רגיש ורפואי של מטופלים, שכולל, בין היתר, דו"חות רפואיים ומסמכי התחייבות עם פרטים אישיים כגון שמות, כתובות, מספרי תעודות זהות ומספרי כרטיסי אשראי. לפי ממצאי הפיקוח, הארגון לא דיווח על אירועי האבטחה הללו, כנדרש בחוק.

בנוסף, במועד אחר התקבל ברשות להגנת הפרטיות מידע שמצביע על פרצת אבטחה באפליקציית ניהול המתנדבים של מגן דוד אדום. הפרצה אפשרה גישה לשרת שעליו מותקנת האפליקציה, ובכך יכול היה מי שחפץ בכך לדלות מידע על מתנדבים בארגון ומידע רפואי אודות מטופלים, ולשלוח הודעות כוזבות למטופלים על בסיס המידע.

ברשות מציינים כי בשני האירועים מדובר במערכות שפותחו ותוחזקו עבור מגן דוד אדום על ידי ספקי מיקור-חוץ. לפי תקנות הגנת הפרטיות (אבטחת מידע), על ארגונים שעושים שימוש בשירותי מיקור-חוץ לקבוע בהסכם עם ספקי השירותים שורה של דרישות, בהתאם לסיכוני אבטחת המידע הקיימים בארגון. על הסכמים אלה לקבוע באופן מפורש, בין היתר, מהו המידע שהגורם החיצוני רשאי לעבד ולאילו מטרות, לאילו מערכות הוא רשאי לגשת, מהו סוג העיבוד שאותו הוא רשאי לבצע ואת אופן יישום הוראות תקנות אבטחת המידע.

ממצאי הפיקוח העלו כי במועד שבו התגלו אירועי אבטחת המידע, מגן דוד אדום לא הגדיר את הדרישות שבהן חייב ספק מיקור-החוץ לעמוד, כנדרש בתקנות. כמו כן, הארגון לא נקט באמצעי בקרה ופיקוח על עמידתו של הספק בהוראות תקנות הגנת הפרטיות וכאמור, לא דיווח לרשות להגנת הפרטיות על אירועי אבטחת המידע עם גילויים.

בהמשך לקביעות אלה, הרשות להגנת הפרטיות נתנה למגן דוד אדום הוראות כיצד לתקן את הליקויים ולעמוד בדרישות החוק והתקנות.

מד"א: "המערכות שלנו מאובטחות ברמה הגבוהה ביותר"

ממגן דוד אדום נמסר בתגובה כי "כל מערכות המידע שלנו מאובטחות ברמה הגבוהה ביותר ובאמצעים הטכנולוגיים המתקדמים ביותר. יחד עם זאת, פרצות מתגלות לעתים ככל שרמת ההאקרים עולה ולכן, מיד כשנודע לנו על הפרצה נקטנו בכל האמצעים הנדרשים. יודגש ויובהר כי בשום שלב לא דלף מידע חסוי או משמעותי".

בארגון ציינו ש-"מדובר באירוע שהיה לפני כשנה, כאשר מתנדב לשעבר במגן דוד אדום, המתמחה בתחום אבטחת המידע, איתר את הפריצה. הוא מצא חריגה אחת באתר המתנדבים ומקרה נוסף בעמוד הטפסים באתר מגן דוד אדום. הנושא טופל ותוקן מידית וכל מידע לא דלף".