המשאב המרכזי של רוב החברות והארגונים מנוהל במערכות המחשוב שלהם ונשמר במאגרי מידע. גם אם אינם מודעים לכך, המידע העסקי שלכם יכול להיחשב מאגר מידע על פי הגדרות החוק ויש לנהל אותו ולאבטח אותו בהתאם להוראות חוק הגנת הפרטיות, להוראות תקנות הגנת הפרטיות אבטחת מידע ולהנחיות רשות הגנת הפרטיות במשרד המשפטים.
חוששים שאתם לא עומדים בהוראות החוק ? 09-9699960 או office@rgslaw.co.il
רשות הגנת הפרטיות פרסמה הודעה בה היא מדגישה כי תקנות הגנת הפרטיות אבטחת מידע מחייבות כל גורם במשק בישראל, ציבורי ופרטי, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו בארגון.
על פי רשות הגנת הפרטיות, אירועי דליפת מידע בחברות, לרבות בנסיבות של דרישת כופר, הפכו לנפוצים יותר ויותר. המקרה הנוכחי של חברת שירביט, אשר זוכה לדיון ציבורי ותקשורתי נרחב, מדגיש את ההכרח של חברות מכלל מגזרי המשק להגן על מידע אישי אודות לקוחות המצוי אצלן, ואת חשיבות עמידתן בחוק הגנת הפרטיות ובתקנות הגנת הפרטיות אבטחת מידע.
ברשת הגנת הפרטיות מסבירים כי מעבר לפגיעה בפרטיות של לקוחות החברות, אירועים כגון אלו טומנים בחובם גם עלויות רבות, חשיפה משפטית ניכרת לתביעות שונות ונזק תדמיתי עצום לחברה. על מנת למזער התרחשותם של אירועי אבטחת מידע, על החברות לעמוד באופן מלא בהוראות תקנות הגנת הפרטיות (אבטחת מידע), אשר נועדו להגן מפני מצבים מסוג זה.
בנוסף, הרשות להגנת הפרטיות ממליצה לחברות לוודא מראש כי מדיניות ניהול המידע אותו הן מחזיקות על לקוחותיהן הינה רלוונטית לשירותים הניתנים, בין השאר שלא נאסף ונשמר מידע עודף, שברבות הימים יכול להפוך להיות איום אסטרטגי על החברה.
ברשות הגנת הפרטיות מציינים כי חברת שירביט העבירה לה ולרשויות רלוונטיות נוספות דיווח ביחס לאירוע האבטחה, ובעקבותיו פתחה הרשות בהליך חקירה. במסגרת הליך חקירה זה בוחנת הרשות את ההיבטים הקשורים להגנה על המידע האישי של לקוחות החברה ואת הפגיעה בהם כתוצאה מדליפת המידע, וכן את פעולות החברה בנוגע לאירוע ועמידתה בהוראות החוק והוראות תקנות הגנת הפרטיות (אבטחת מידע).
בין השאר, הרשות העבירה לחברת שירביט דרישה לעדכן באופן אישי את הלקוחות אשר עשויים להיפגע מאירוע זה, בהתאם לסמכותה מכח תקנה 11(ד)(2) להוראות תקנות הגנת הפרטיות (אבטחת מידע), וזאת על מנת לאפשר להם לנקוט אמצעי זהירות מתאימים ולצמצם את הנזק הפוטנציאלי כתוצאה מדלף המידע על אודותיהם.
כמו כן, הרשות עומדת בקשר עם החברה ותאשר חיבור מאגרי המידע למערכות חיצוניות רק לאחר ביצוע פעולות נדרשות, אשר ימנעו הרחבת האירוע או הישנות תקיפות שיביאו לדלף מידע אישי נוסף.
ברשות הגנת הפרטיות מדגישים כי אירועי אבטחה מסוג זה יוצרים מטבע הדברים עניין רב בציבור ובמיוחד בחברות הנפגעות ובחברות המשתייכות לסקטורים הנפגעים. תוקפים לעיתים מנצלים את הפעילות התקשורתית הרבה, ומעבירים במסגרת הודעות דוא"ל, הודעות SMS ומסרים מיידיים קישורים וקבצים הנחזים להיות גילויים מהאירוע או צילומים של פרטים שדלפו. בפועל, קבצים וקישורים אלה כוללים קבצים פוגעניים שמטרתם לחדור למערכות הגופים אליהם הגיעה ההודעה.
הרשות מדגישה את חשיבות ההגנה על בטחון המידע וקוראת לכל גורם במשק המנהל מאגרי מידע לבדוק את מידת עמידתו בהוראות התקנות וההגנה על מידע, כפי שאלו מפורטות באתר הייעודי שהעמידה לשם כך בקישור זה.
על ארגונים לוודא כי הם עומדים בדרישות החוק והתקנות, ומקפידים על ביצועם ויישומם של בקרות ניהוליות ועל מימוש ויישום מדיניות אבטחת מידע, לרבות:
- גיבויים – יש לוודא ביצועם וקיומם של גיבויים תקינים;
- הרשאות – רק על פי המינימום הנדרש למטרת הארגון, להימנע מהרשאות רחבות מדי;
- חיבור מרחוק – רק על פי צורך, בהרשאה מותאמת ובעדיפות לכתובות מוגדרות;
- עדכונים – לשמור על מערכות ותוכנות מעודכנות בגרסאותיהם ובעדכוני האבטחה;
- סיסמאות – לעבוד בכפוף למדיניות סיסמאות וגישה מוקשחת;
- סגמנטציה – להקפיד על הפרדה בין רשתות והמערכות השונות בארגון;
- ניטור ובקרה – של התחברויות ופעילות ברשת לשם זיהויה של פעילות אנומלית;
- מערכות זיהוי – ישומן של מערכות IDS/IPS לזיהוי והתרעה מפני חדירה בנוסף למערכות ההגנה והאנטי-וירוס.
כל האמור לעיל אינו מהווה ייעוץ משפטי או תחליף לייעוץ משפטי וכל המידע המצוי באתר משמש כמידע כללי בלבד. אין בדברים האמורים בכדי להחליף מידע הניתן על ידי עו”ד, ועל הקורא לפנות ולהתייעץ עם עו”ד העוסק בתחום בטרם נקיטת כל פעולה משפטית כזו או אחרת. כל המסתמך על האמור לעיל בכל דרך שהיא, עושה זאת על אחריותו בלבד והאחריות לכל תוצאה ישירה או עקיפה, בשל הסתמכות על האמור, תחול על המשתמש בלבד.