דו"ח: תקיפות סייבר – הסיבה לשליש מאירועי האבטחה החמורים

החל ממועד כניסתן לתוקף של התקנות במאי 2018, קיימה הרשות להגנת הפרטיות 86 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים. מתוכם, 45 אירועים אשר דווחו לרשות להגנת הפרטיות.

ניתוח הנתונים מעלה כי הסיבות השכיחות ביותר לקיומו של אירוע האבטחה החמור הן תקיפות סייבר – ב-35% מהמקרים; טעויות אנוש (15%), שימוש לרעה (7%) ותקלות טכניות.

בהיבט המגזרי, הסקטורים בהם התרחשו מרבית אירועי האבטחה החמורים הם מערכות מידע (31%), דוגמת חברות היי-טק, ניו מדיה ואינטרנט, שירותי אחסון ועוד; מגזרי הביטוח והפיננסים (15%), דוגמת חברות וסוכנויות ביטוח, בנקים וחברות כרטיסי אשראי; מגזר הגופים הציבוריים (11%), דוגמת עיריות ותאגידי מים; ומגזר הבריאות (9%), דוגמת קופות חולים, בתי חולים ועוד.

עוד נתון חמור הוא כמות האנשים שעלולים היו להיפגע כתוצאה מאירועי אבטחת המידע: בכ-35% מהאירועים האמורים, מדובר במאגרי מידע הכוללים מידע אישי אודות יותר מ-100,000 איש.

אבטחת מידע בהתאם לרמת הסיכון

לגבי סוג מידע שדלף: המדובר בעיקר מידע אישי (79%), דוגמת פרטי לקוחות, ספקים או עובדים; מידע פיננסי (10%), כגון יתרה בחשבון או מצב כלכלי; מידע רפואי (6%), דוגמת מצב רפואי, תוצאות בדיקות ועוד.

תקנות הגנת הפרטיות (אבטחת מידע) שנכנסו לתוקף לפני כחצי שנה מחייבות כל גורם בכלל מגזרי המשק בישראל, ציבורי ופרטי כאחד, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו בארגון. זאת, בין היתר, בהתחשב בגודל המאגר, ברגישות המידע ובמספר המורשים לגשת אליו. בחודש דצמבר 2018 הסתיימה תקופת ההטמעה הראשונית של תקנות הגנת הפרטיות (אבטחת מידע) והחודש – ינואר 2019 – החלה תקופת הביניים המגדירה עליית מדרגה באכיפת אירועי אבטחת מידע חמורים.

התקנות קובעות כי בעל מאגר מידע שחלה עליו חובת אבטחה בינונית או גבוהה מחויב להודיע לרשות להגנת הפרטיות תוך 24 שעות ממועד גילויו של אירוע אבטחת מידע חמור ובכל מקרה לא יאוחר מ-72 שעות, ולדווח על הצעדים שנקט בעקבות האירוע, ועל פי דרישת הרשות גם לאנשים עליהם המידע נחשף. עם כניסתן של התקנות לתוקף, פרסמה הרשות את מדיניותה בעניין אכיפתן וקבעה תקופת הטמעה ראשונית במטרה לאפשר לגופים ולחברות במשק להיערך בצורה מיטבית לכניסתן. עם סיום תקופת ההטמעה הראשונית ובהתאם למדיניות האכיפה שפורסמה, נכנסה לתוקפה תקופת הביניים, המגדירה עליית מדרגה בפעילות האכיפה במקרים של הפרת הוראות התקנות.

עד כה, מציינים ברשות, "במקרים בהם גוף דיווח כנדרש לרשות להגנת הפרטיות, על קיומו של אירוע אבטחת מידע חמור והבדיקה הראשונית שקיימה הרשות לא העלתה ממצאים חריגים של רשלנות או של היקף נזק משמעותי – נמנעה הרשות מפרסום ההפרה והסתפקה בדרישה לתיקון הליקויים שנמצאו".

כעת, נמסר, "עם כניסתה לתוקף של תקופת הביניים, הרשות תפרסם הפרות של חוק הגנת הפרטיות ותקנותיו בכל מקרה בו יימצא כי החובות המוגדרות בתקנות הופרו, למעט במקרים קלים. במקרים בהם תמצא הרשות להגנת הפרטיות ממצאים חמורים בהתנהלות הגופים בכל הנוגע לאופן הטיפול באירועי אבטחת המידע, לרבות בכל מקרה בו הגוף נמנע מדיווח לרשות על קיומו של האירוע או שניסה להסתיר את פרטיו – הרשות תפעל במלוא החומרה כנגד הגורם המפר, ובכלל זה תישקל התלייתו, או ביטול רישומו של מאגר המידע של הגוף מפר החוק, באופן האוסר על השימוש במידע".

לדברי עו"ד עלי קלדרון, הממונה על האכיפה המנהלית ברשות להגנת הפרטיות שבמשרד המשפטים: "בשנים האחרונות אנו עדים להתגברות משמעותית בתדירותם של אירועי אבטחת מידע חמורים. זה קורה כי מחד, כל היבט בחיינו הופך דיגיטלי ומקוון, ומאידך – עולה הנכונות של ספקי שירות לוותר על פרטיותנו במחיר מהירות ההגעה לשוק, העלויות הכרוכות באבטחה וההתעלמות ממחירו האמיתי של האירוע, להם וללקוחותיהם".
לדבריו, "ארגונים המנהלים מידע אישי, שלעיתים קרובות הינו רגיש ביותר, מחזיקים באחריות כלפי הציבור וחייבים להגן על פרטיותו. בשל כך, אכיפת תקנות הגנת הפרטיות (אבטחת מידע) עולה כעת שלב, ונפעל במלוא החומרה כנגד גופים שלא יעמדו בהוראות החוק".