הרשות להגנת הפרטיות מפרסמת זרקור בנושא פעולות אכיפה בתחומי אבטחת מידע [ידיעה מעודכנת]

הרשות להגנת הפרטיות  במשרד המשפטים מפרסמת (4.5.2021) זרקור בנושא פעולות אכיפה בתחומי אבטחת מידע. לדבריה, “נוכח העלייה הגוברת בהיקף התרחשותם של אירועי אבטחת מידע בשנה האחרונה, בפרט בימי הקורונה, מציגה הרשות להגנת הפרטיות לציבור ולמשק סקירה ודגשים יישומיים בתחומי הגנת הפרטיות ואבטחת מידע, החיוניים עבור כל גורם המנהל או מחזיק במידע אישי על לקוחות, מטופלים, עובדים, ילדים ועוד. הסקירה מתבססת על מקרים אמיתיים שנחקרו ברשות להגנת הפרטיות, וחלקם עדיין נחקרים”.

הפרסום החדש “סוקר פעולות אכיפה, בעיקר בתחומי אבטחת מידע, שקיימה מחלקת האכיפה ברשות בשנה החולפת, ואשר בסופן קבעה הרשות כי ארגונים וחברות הפרו את הוראות חוק הגנת הפרטיות והתקנות מכוחו. מדובר בארגונים וחברות מתחומים ומגזרים שונים במשק בהם פיננסים, בריאות, חינוך, תחבורה ועוד”.

בין המקרים הללו:

+ מרכז לטיפול רפואי נפשי (המרכז הירושלמי לבריאות הנפש)

+ חברה לשירותי חינוך (בית אקשטיין מקבוצת דנאל)

+ חברה למידע פיננסי (סיקינג אלפא)[Seeking Alpha]

+ חברה להשכרת רכב (קשר רנט א קאר)[הרץ ישראל][בהקשר זה, קיראו את הידיעה שפירסמתי ב- 19.11.2020 כאן באתר לגבי תובענה ייצוגית נגד החברה] .

בנוסף לכך, “בנוסף, הזרקור כולל פרק בו מציגה הרשות דוגמאות אנונימיות מתיקים מתנהלים, שהחקירה בהם טרם הסתיימה וטרם הוכרע אם הגופים הפרו את החוק, אך ניתן לגזור מהם כבר עתה תובנות לגבי ההתנהלות הנדרשת מארגונים לשם עמידה בהוראות הדין”.

בין המקרים הנמצאים עדיין בבדיקה:

+ הזדהות בשמו של אחר לצורך קבלת מידע אישי אודותיו – במקרה זה מדובר בחשדות

לפיהם בעלי תפקידים במוסד חינוכי פנו למוקד הטלפוני של משרד התחבורה לשם קבלת מידע אישי אודות תלמידים במוסד, ללא ידיעת/הסכמת התלמידים, כדי לברר האם הם מחזיקים ברישיון נהיגה. עלה גם חשש כי המוסד החינוכי עשוי לנקוט בסנקציות נגד תלמידים שהוציאו רישיון נהיגה, עד כדי סילוקם מהמוסד החינוכי.

+ עידכוני אבטחה וחולשה באופן ההזדהות – נבדק חשד כי בחברה, המתמחה בהקמה וניהול של מרכזי שירות (במיקור-חוץ) אירעו מספר אירועי אבטחה חמורים במסגרתם נוצלה פירצת אבטחה בגירסה ישנה של ה- Firewall אשר איפשרה חדירה של גורם חיצוני למספר מאגרים שבבעלות החברה.

+ סקרי סיכונים – נבדק חשד כי בשל חולשות אבטחה באתר האינטרנט של עמותה מסויימת, נחשף מידע אודות בעלי תפקידים הקשורים לעמותה. זאת באמצעות שינוי פשוט של כתובת ה- URL של השירותים השונים שסיפק אתר העמותה, דבר שאיפשר גישה למידע רגיש, לרבות תצלומים.

+ חיבור לא מאובטח לאינטרנט – במסגרת בדיקת אירוע אבטחה חמור שאירע ביישומון של גוף פיננסי, נבדק החשד לפיו השרת הוירטואלי, אשר הכיל את בסיס הנתונים של האפליקציה, נחשף לרשת האינטרנט וחלקו אף דלף.

+ מסרים לנמענים שגויים – נבחנת תלונה לפיה ארגון במגזר הבריאות שלח מסרונים לאלפי לקוחותיו. המסרונים הללו כללו הפנייה לשאלון קורונה ולהנחיות הקשורות למצב הרפואי.

בפועל, מקצת מהפניות נשלחו לנמענים שגויים וכללו מידע רפואי אוות אחרים.

הערת עורך Read IT Now:

בשעה 09:49 היום פירסמתי מבזק ראשון אודות פרסום ה'”זרקור” ע”י הרשות להגנת הפרטיות.

באורח פלא, בשעה 10:28, אבי וייס עורך ‘טלקום ניוז’ קיבל, ככל הנראה וכמיטב המסורת, השראה ממה שפירסמתי ואז הוא פירסם אייטם בנושא זה באתר שלו.

אלא שאבי וייס הלך צעד נוסף: הוא חשף את מה שהרשות להגנת הפרטיות במשרד המשפטים נמנעה לפרסם במסגרת הפרסום שלה (כמו שמערך הסייבר וגורמים אחרים רבים נמנעים מלפרסם): הוא הצמיד בתחתית הידיעה את הפרסומות שלו לחברת האבטחה NordVPN, מבלי לציין שמדובר בפרסומת ותוך הרושם המוטעה של הקוראים כאילו מדובר בחלק בלתי נפרד מהמידע של ומטעם הרשות להגנת הפרטיות.

כתבתי על התופעה הזאת של פרסום סמוי גלוי אצל אבי וייס פעמים רבות עד מאוד. דוגמה אחת היא כאן.

אבל זה בסדר גמור. מותר לו. הרי הוא מציג את עצמו שהוא לא סתם עיתונאי רגיל אלא עורך עיתון. וזו כנראה אתיקה עיתונאית.

* הידיעה עודכנה ב- 4.5.2021 בשעה 13:50.