שנה להפעלת תקנות אבטחת מידע: הרשות להגנת הפרטיות פרסמה נתונים
מאת:
מערכת Telecom News, 25.7.19, 17:23
כשנה לאחר כניסה לתוקף של תקנות אבטחת המידע החדשות, פרסמה הרשות להגנת הפרטיות נתונים. כרבע מאירועי אבטחת המידע אירעו בסקטור הביטוח והפיננסים. חובת כל גוף, שכפוף לתקנות, לדווח לרשות במקרה של אירוע אבטחה חמור.
החל ממועד כניסתן לתוקף של התקנות לפני כשנה, הרשות להגנת הפרטיות קיימה 146 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים.
רק 103 מתוך אירועי האבטחה החמורים דווחו לרשות להגנת הפרטיות, כפי שמחייבות התקנות. יתר הליכי האכיפה בוצעו בעקבות תלונות או פעילות יזומה של הרשות.
ב-13% מהמקרים נקבעה לגופים הפרה של הוראות החוק והתקנות וב-66% נדרשו הגופים לבצע תיקוני ליקויים אך לא נקבעה הפרה.
הסקטורים בהם אירעו מירב האירועים:
הביטוח והפיננסים (23%),
הסקטור הטכנולוגי הכולל חברות בתחומי מערכות מידע (10%),
הבריאות (10%),
התקשורת (8%),
החינוך (8%),
אינטרנט (7%),
מדע וטכנולוגיה (2%).
ניתוח אירועי האבטחה החמורים מצביע על אירועי תקיפה מסוגים שונים, בהם:
SQL Injection (15%),
שימוש לרעה בפרטי גישה (7%),
הנדסת אנוש, נוזקות ו-
Brute force וכן טעויות אנוש, שכללו הגדרות שגויות במערכות (9%),
מסירת מידע לא מכוונת (8%) ללא הרשאה או אבדן מדיה.
מאז נכנסו התקנות לתוקף, במאי 2018, דווחו לרשות אירועי אבטחת מידע חמורים, אולם ההערכה היא, שקיימים אירועים נוספים אשר לא דווחו כפי שמחייבות התקנות.
בימים אלה, לאחר שנסתיימה תקופת ההיערכות, שקבעה הרשות להגנת הפרטיות, תחל הרשות באכיפה מלאה של הוראות תקנות אבטחת מידע, החלות על כל המשק הישראלי, ומטרתן הגנה על המידע האישי של הציבור באמצעות עמידה בדרישות אבטחת מידע.
התקנות מחייבות כל גורם במשק בישראל, ציבורי ופרטי, שמנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון, שיוצרת פעילות עיבוד המידע אצלו בארגון. בהתאם לזאת, חובתו של כל גוף, שכפוף לתקנות, לדווח לרשות במקרה של אירוע אבטחה חמור והרשות תחקור כל הפרה של הוראות התקנות ותפעל כנגד אלה, שלא יעמדו בדרישותיהן.
מקרים בהם יתגלו ממצאים רשלניים בהתנהלותם של גופים בכל הנוגע לעמידתם בדרישות התקנות, לרבות אופן הטיפול באירועי אבטחת המידע או אי-דיווח לרשות, עלולים להוביל לסנקציה של איסור המשך שימוש במידע וכתוצאה מכך פגיעה משמעותית בפעילות העסקית של הגוף. במקביל, תמשיך הרשות לבצע פיקוחי רוחב מגזריים, שיבחנ,ו בין היתר, את יישום הוראות תקנות אבטחת המידע במאות גופים ציבוריים ופרטיים.
בעל מאגר מידע, שחלה עליו חובת אבטחה בינונית או גבוהה, מחויב להודיע לרשות להגנת הפרטיות בהתרחש אירוע אבטחת מידע חמור תוך 24 שעות ממועד גילויו ולא יאוחר מ-72 שעות, ולדווח על הצעדים שנקט בעקבות האירוע. בנוסף, דורשת הרשות לדווח גם לאנשים, שהמידע אודותיהם נחשף.
דוגמאות לאירועי אבטחה המסווגים כחמורים: זיהוי פריצה חיצונית או פנימית לרשת הארגון ולגישה למאגרי המידע, זליגת מידע אישי מחוץ לארגון, גם במידה ופורסם באמצעי התקשורת, שיבוש או מחיקה של מידע אישי ללא הסבר או כתוצאה מחדירה למערכות הארגון שזוהתה בדיעבד, העברה של מידע אישי ממאגרי המידע של הארגון ע"י עובד אל מחוצה לו ללא אישור, גניבה או אובדן של ציוד מחשוב, התפרצות של וירוס כופר העלול לגרום לדלף של מידע אישי וחשיפה של מפתח הצפנה, שיכולה לאפשר גישה למידע אישי מוצפן.
עו"ד
עלי קלדרון, הממונה על האכיפה ברשות להגנת הפרטיות במשרד המשפטים: "אנו חיים בעידן בו תחום המידע האישי והשימושים בו עבר ועודנו עובר מהפכה של ממש. המידע האישי שלנו הפך למטבע החדש. במקביל לעליית ערך המידע, עולה גם המוטיבציה של גורמים אשר רוצים לשים ידם על המידע האישי של כל אחד מאיתנו, וכך גם תחכומם. בהתאם, תחום הגנת המידע האישי מקבל חשיבות עליונה".
