מתפרסם מאז שנת 1999
מה לא פורסם בהקשר להודעת הרשות להגנת הפרטיות לגבי מגן דוד אדום?
ביום רביעי (1.1.2020) דווח במספר אתרי חדשות בארץ על הודעת הרשות להגנת הפרטיות במשרד המשפטים. בהודעה נאמר כי הרשות קיימה הליך פיקוח לבירור שני האירועים, שנפתח בעקבות פנייה שהגיעה אליה, ממנה עלה כי קיימים כשלי אבטחת מידע באתר האינטרנט של מגן דוד אדום. כשלים אלה הביאו, על פי הרשות, לחשיפתו של מידע רגיש ורפואי של מטופלים, שכולל, בין היתר, דו”חות רפואיים ומסמכי התחייבות עם פרטים אישיים כגון שמות, כתובות, מספרי תעודות זהות ומספרי כרטיסי אשראי. לפי ממצאי הפיקוח, הארגון לא דיווח על אירועי האבטחה הללו, כנדרש בחוק.
בהמשך הודעת הרשות להגנת הפרטיות נאמר עוד כי בשני האירועים הללו מדובר במערכות שפותחו ותוחזקו עבור מגן דוד אדום על ידי ספקי מיקור-חוץ. לפי תקנות הגנת הפרטיות (אבטחת מידע), על ארגונים שעושים שימוש בשירותי מיקור-חוץ לקבוע בהסכם עם ספקי השירותים שורה של דרישות, בהתאם לסיכוני אבטחת המידע הקיימים בארגון. על הסכמים אלה לקבוע באופן מפורש, בין היתר, מהו המידע שהגורם החיצוני רשאי לעבד ולאילו מטרות, לאילו מערכות הוא רשאי לגשת, מהו סוג העיבוד שאותו הוא רשאי לבצע ואת אופן יישום הוראות תקנות אבטחת המידע.
ממצאי הפיקוח העלו כי במועד שבו התגלו אירועי אבטחת המידע, מגן דוד אדום לא הגדיר את הדרישות שבהן חייב ספק מיקור-החוץ לעמוד, כנדרש בתקנות. כמו כן, הארגון לא נקט באמצעי בקרה ופיקוח על עמידתו של הספק בהוראות תקנות הגנת הפרטיות וכאמור, לא דיווח לרשות להגנת הפרטיות על אירועי אבטחת המידע עם גילויים.
בהמשך לקביעות אלה, הרשות להגנת הפרטיות נתנה למגן דוד אדום הוראות כיצד לתקן את הליקויים ולעמוד בדרישות החוק והתקנות.
= = = = = = = = = = = = = = =
בזאת מסתיים, לכאורה, חלקה של הרשות להגנת הפרטיות בהקשר של מגן דוד אדום. אבל, נשאלת השאלה האם הרשות לא הייתה צריכה לערב בנושא זה גם את מערך הסייבר הלאומי?
יודגש כי לא ראיתי את ההודעה המקורית של הרשות להגנת הפרטיות ואני נסמך רק על הידיעות שהתפרסמו כאמור במספר אתרים.
מכלל הפרסומים הללו עולה כי הרשות להגנת הפרטיות ככל הנראה לא פירסמה את שמות החברות המסחריות שביצעו את מיקור-החוץ עבור מגן דוד אדום.
גם אם השיקולים לאי פרסום שמות החברות הללו מוצדקים, הרי שנראה כי היה זה מן הראוי שהרשות תעביר את כל המידע למערך הסייבר הלאומי. המערך, מצידו, יערוך את כל הבדיקות הנדרשות (בהיבטי אבטחת מידע) מול שתי החברות הללו הן כדי להבין כיצד הדברים קרו והן כיצד ניתן לשנות ולגרום לכך שהדברים לא יחזרו על עצמם במקרים הבאים בהם אותן חברות יבצעו פרוייקטים דומים אצל לקוחות אחרים (קרי: הסקת מסקנות מקצועיות, לא אישיות).
ייתכן שהתהליך הזה התבצע, בסופו של דבר, אבל הרשות לא פירסמה על כך דבר בפרסום שלה. וחבל.
= = = = = = = = = = = = = = =