דו”ח חדש: גידול במספר האזכורים של מושגים מתחום אבטחת הסייבר בדו”חות רבעוניים במחצית הראשונה של 2021; ה- SEC האמריקני הגיש 3 תביעות נגד 8 חברות בגין לקויות במדינויות ובנהלי אבטחת סייבר

דו”ח של חברת הנתונים והאנליטיקה GlobalData  שפורסם בתחילת חודש ספטמבר מצביע על גידול במספר האזכורים של מושגים מתחום אבטחת הסייבר בטקסטים של דו”חות רבעוניים של חברות ציבוריות במחצית הראשונה של שנת 2021.

לדברי גלובל דאטה, נרשם גידול בשיעור של 33% במהלך המחצית הראשונה של השנה הנוכחית באזכור הביטוי ‘אבטחת סייבר’ [cybersecrity] בטקסטים של דו”חות רבעוניים, הגידול המשמעותי ביותר מאז הרבע השני של שנת 2020.

לדברי האנליסט Rinaldo Pereira בחברה, מדובר אך בדוגמה אחת של שלל מושגים הקשורים לעולם הטכנולוגי בכלל [דוגמת מחשוב ענן (cloud) וביג דאטה/נתוני עתק (big data)] ומעולם אבטחת הסייבר בפרט [דוגמת נוזקה (malware), כופרה (ransomware) וכשלי אבטחה (breach)]. הוא ציין כי השימוש במושגים הללו הולך וגדל בדו”חות הרבעוניים בצורה תכופה יותר.

“המעבר המתמשך בפעילויות הדיגיטליות של עסקים ולקוחות, יחד עם הגידול במקרים של כשלי אבטחה, מניעים איזכורים של ‘אבטחת נתונים/דאטה’, ‘אבטחת ענן’ ו’אבטחת רשתות’ בדו”חות הרבעוניים.

איזכורים של סיכונים הקשורים לאבטחת סייבר גדלו בקצב דומה בשנת 2020, שיעור גידול של כ- 30% בהשוואה לשנת 2019.

לדברי האנליסט Rinaldo Pereira בראיון לאתר ZDNet, האיזכורים של המושגים הללו בטקסטים של הדו”חות הרבעוניים החל בשנת 2019 כאשר פורסמו מספר מקרים של אירועי ניסיונות האקינג גדולים וכשלי אבטחה שזכו לכותרות בולטות ומשכו את תשומת הלב הציבורית.

ה- SEC האמריקני הגיש 3 תביעות נגד 8 חברות ברוקרים/ייעוץ השקעות בגין לקויות בנהלי אבטחת סייבר

ב- 30 באוגוסט 2021 פירסמה הרשות לניירות ערך בארצות הברית [Securities and Exchange Commission, SEC] הודעה לעיתונות לפיה היא הגישה שלוש תביעות נגד שמונה חברות ציבוריות בגין לקויות במדינויות ובנהלי אבטחת סייבר.

הלקויות הללו גרמו לכך שבוצעו השתלטויות על חשבונות דואר אלקטרוני ונחשף מידע אישי של אלפי לקוחות בכל אחת מהחברות הללו.

שמונה החברות הגיעו להסדר עם ה- SEC בעניין זה ומבלי להודות או להכחיש הסכימו לשלם קנסות שנעו בין 200,000 דולר ל- 300,000 דולר.

בתביעה הראשונה מדובר בחמש חברות המשתייכות לקבוצה אחת [Cetera Advisor Networks LLC, Cetera Investment Services LLC, Cetera Financial Specialists LLC, Cetera Advisors LLC, Cetera Investment Advisers LLC]; בתביעה השנייה מדובר על שתי חברות-אחיות [Cambridge Investment Research Inc, Cambridge Investment Research Advisors Inc]; התביעה השלישית היא נגד KMS Financial Services Inc. כל החברות הללו רשומות אצל ה- SEC  כ- broker dealers ו- investment advisory firms או גם וגם.

לדברי Kristina Littman ראש יחידת הסייבר בחטיבת האכיפה של ה- SEC, “יועצי השקעות וברוקרים חייבים למלא מחוייבויותיהם לגבי ההגנה על מידע לקוחות. אין זה מספיק לכתוב מדיניות הדורשת צעדי אבטחה חזקים אם הדרישות הללו אינן מיושמות בצורה מלאה או רק בצורה חלקית, במיוחד לנכוח התקפות שזכו לפרסום”.

התביעות של ה- SEC מתבססות בעיקר על הפרה של סעיף 30(א) של Regulation S-P, Safeguards Rule המיועד להגן על חשאיות המידע של הלקוחות, אך גם של סעיפים נוספים.

הרשות להגנת הפרטיות: חברת ישראכרט הפרה את הוראות חוק הגנת הפרטיות ותקנותיו בשל אירוע אבטחת מידע חמור במסגרתו מכשיר טלפון נייד ששימש את מוקד שירות הלקוחות ובו מידע אישי ורגיש אודות לקוחותיה, נגנב על ידי עובד החברה

ב- 25 באוגוסט 2021 פירסמה הרשות להגנת הפרטיות במשרד המשפטים הודעה מפורטת לעיתונות לפיה חברת ישראכרט הפרה את הוראות חוק הגנת הפרטיות ותקנותיו בשל אירוע אבטחת מידע חמור במסגרתו מכשיר טלפון נייד ששימש את מוקד שירות הלקוחות ובו מידע אישי ורגיש אודות לקוחותיה, נגנב על ידי עובד החברה.

“הרשות להגנת הפרטיות מדגישה כי על חברות במשק שעושות שימוש במכשירים ניידים במסגרת פעילותן, חלה חובה לאבטח את המידע כנדרש בהוראות חוק הגנת הפרטיות ותקנותיו לרבות באמצעות התקנת מערכות הגנה ובקרה המותאמות לסוג המידע שבמכשיר, רגישותו ואופן השימוש בו”.

בין היתר נאמר בהודעה כי “הרשות להגנת הפרטיות ביצעה הליך פיקוח בחברת ישראכרט בעקבות דיווח של החברה  לרשות על אירוע אבטחת מידע אשר העלה חשד להפרות של הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע). מהדיווח של חברת ישראכרט לרשות עלה כי מכשיר טלפון נייד אשר שימש את מוקד שירות הלקוחות שלה נגנב ממשרדיה.

במסגרת הליך הפיקוח, נתגלה כי תחקיר פנימי שביצעה חברת ישראכרט, העלה כי עובד בחברה נטל את מכשיר הטלפון הנייד לחזקתו בסיום יום עבודה, הוציא ממנו את כרטיס הסים, פירמט אותו, הגדיר בו את חשבון ה-Gmail הפרטי שלו והתקין בו את כרטיס הסים האישי שלו.

מכשיר הטלפון הנייד הכיל מאות מסמכים עם מידע שהועבר לחברה על ידי הלקוחות. המידע כלל בין היתר שמות, מספרי טלפון, מספרי תעודת זהות, אישורי העברות בנקאיות, הרשאות לחיוב חשבון, תעודות פטירה ומידע רגיש נוסף.

מממצאי הפיקוח של הרשות עלה, כי מכשיר הטלפון הנייד שימש מעין “מוקד ווטסאפ” אליו לקוחות היו מעבירים מסמכים וסוגי מידע שונים לחברה במסגרת פניותיהם. בעקבות הליך הפיקוח, החברה הפסיקה את הפרקטיקה של העברת מסמכים באמצעות אפליקציית הווטסאפ.

יצויין כי חברת ישראכרט היא חברה ציבורית שמניותיה נסחרות בבורסה לניירות ערך בתל אביב. החברה לא פירסמה עד כה הודעה לבורסה ולרשות לניירות ערך ועתה נותר להמתין ולראות האם הודעת הרשות להגנת הפרטיות תמצא דרכה אל הדו”ח הרבעוני הבא של חברת ישראכרט.

* אתמול (א’, 5.9.2021) שלחתי פנייה אל הרשות להגנת הפרטיות בבקשה לקבל התייחסות לשני דברים שלא מצאתי בהודעה שלהם לעיתונות. בתשובת הרשות לפנייתי נאמר: “בהתאם לסמכויות המוקנות לה בחוק הגנת הפרטיות, נקבע כי חברת ישראכרט הפרה את חובת אבטחת המידע הקבועה בתקנות. בהתאם למצב החוקי הנוכחי, לא ניתן להטיל סנקציות כספיות בגין הפרת תקנות הגנת הפרטיות (אבטחת מידע).

“הרשות פועלת בשיתוף מחלקת ייעוץ וחקיקה במשרד המשפטים לקידום תיקוני חקיקה שיגבירו את יכולת ההרתעה שלה ויקנו לה סמכויות אכיפה, לרבות הטלת עיצומים כספים בגין אירועי אבטחת מידע. לצד זאת, לקביעת הפרה משמעויות רוחביות שונות, לרבות במשפט האזרחי.

“בהתייחס לסנקציות כנגד העובד, מוצע לפנות לקבלת תגובת החברה, שכן מחלקת החקירות שלה ניהלה את האירוע. כפי שנמסר לרשות על ידי החברה, כבר במעמד החקירה הטלפון שנגנב – הוחזר לחברה”.