הרשות להגנת הפרטיות עקב תקיפת שירביט: כך צריכים ארגונים והציבור להיערך

הרשות להגנת הפרטיות עקב תקיפת שירביט: כך צריכים ארגונים והציבור להיערך
מאת: מערכת Telecom News, 6.12.20, 18:50

בעקבות אירוע אבטחת מידע חמור, שהתרחש בחברת שירביט, פרסמה הרשות דגשים לאבטחת מידע בחברות, עסקים וארגונים, שמחזיקים מידע על לקוחות, והמלצות לציבור. לאחר ששירביט העבירה מידע לרשות החלה זו בחקירה.
עדכונים בתחתית הכתבה.

בעקבות אירוע אבטחת מידע חמור, שהתרחש בחברת שירביט, הרשות להגנת הפרטיות מדגישה את חשיבות ההגנה על מידע אישי וקראה היום לכל גורם במשק המנהל או מחזיק מאגר מידע לוודא עמידה בהוראות תקנות הגנת הפרטיות (אבטחת מידע) ולקיים את דרישות אבטחת המידע בהתאם לרמת הסיכון, שיוצרת פעילות עיבוד המידע בארגון/עסק.
 
אירועי דליפת מידע בחברות, לרבות בנסיבות של דרישת כופר, הפכו לנפוצים יותר ויותר. המקרה הנוכחי של חברת שירביט, שזוכה לדיון ציבורי ותקשורתי נרחב, מדגיש את ההכרח של  חברות  מכלל מגזרי המשק להגן על מידע אישי אודות לקוחות, שמצוי אצלן, ואת חשיבות עמידתן בחוק הגנת הפרטיות ובתקנות הגנת הפרטיות (אבטחת מידע).

מעבר לפגיעה בפרטיות של לקוחות החברות, אירועים כגון אלה טומנים בחובם גם עלויות רבות, חשיפה משפטית ניכרת לתביעות שונות ונזק תדמיתי עצום לחברה. כדי למזער התרחשותם של אירועי אבטחת מידע, על החברות לעמוד באופן מלא בתקנות הגנת הפרטיות (אבטחת מידע), שנועדו להגן מפני מצבים מסוג זה.

בנוסף, הרשות להגנת הפרטיות ממליצה לחברות לוודא מראש, שמדיניות ניהול המידע, אותו הן מחזיקות על לקוחותיהן, היא רלוונטית לשירותים הניתנים, בין השאר, שלא נאסף ונשמר מידע עודף, שברבות הימים יכול להפוך להיות איום אסטרטגי על החברה.

בהתייחס למקרה הנדון, מציינת הרשות, שחברת שירביט העבירה לה ולרשויות רלוונטיות נוספות דיווח ביחס לאירוע האבטחה החמור, ובעקבותיו פתחה הרשות בהליך חקירה.

במסגרת הליך חקירה זה בוחנת הרשות את ההיבטים הקשורים להגנה על המידע האישי של לקוחות החברה ואת הפגיעה בהם כתוצאה מדליפת המידע, וכן את פעולות החברה בנוגע לאירוע ועמידתה בהוראות החוק. בין השאר, הרשות העבירה לחברת שירביט דרישה לעדכן באופן אישי את הלקוחות, שעלולים להיפגע מאירוע זה, בהתאם לסמכותה מכח תקנה 11(ד)(2) לתקנות הגנת הפרטיות (אבטחת מידע).

זאת, כדי לאפשר להם לנקוט אמצעי זהירות מתאימים ולצמצם את הנזק הפוטנציאלי כתוצאה מדלף המידע על אודותיהם. כ"כ, הרשות עומדת בקשר עם החברה ותאשר חיבור מאגרי המידע למערכות חיצוניות רק לאחר ביצוע פעולות נדרשות, שתמנענה הרחבת האירוע או הישנות תקיפות, שתבאנה לדלף מידע אישי נוסף.

בהזדמנות זו הרשות להגנת הפרטיות רואה לנכון לפרסם מספר דגשים חשובים:
אירועי אבטחה מסוג זה יוצרים מטבע הדברים עניין רב בציבור ובמיוחד בחברות הנפגעות ובחברות המשתייכות לסקטורים הנפגעים. תוקפים לעיתים מנצלים את הפעילות התקשורתית הרבה, ומעבירים במסגרת הודעות דוא"ל, הודעות SMS ומסרים מיידיים קישורים וקבצים הנחזים להיות גילויים מהאירוע או צילומים של פרטים שדלפו. בפועל, קבצים וקישורים אלה כוללים קבצים פוגעניים, שמטרתם לחדור למערכות הגופים אליהם הגיעה ההודעה.

הרשות מדגישה את חשיבות ההגנה על בטחון המידע וקוראת לכל גורם במשק המנהל מאגרי מידע לבדוק את מידת עמידתו בהוראות התקנות וההגנה על מידע, כפי שאלו מפורטות באתר הייעודי, שהעמידה לשם כך - כאן.

הרשות מדגישה, שתקנות הגנת הפרטיות (אבטחת מידע) מחייבות כל גורם במשק בישראל, ציבורי ופרטי, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון, שיוצרת פעילות עיבוד המידע אצלו בארגון.

על ארגונים ועסקים לוודא, שהם עומדים בדרישות החוק והתקנות, ומקפידים על ביצועם ויישומם של בקרות ניהוליות ועל מימוש ויישום מדיניות אבטחת מידע, לרבות:

1. גיבויים -  יש לוודא ביצועם וקיומם של גיבויים תקינים.
2. הרשאות - רק על פי המינימום הנדרש למטרת הארגון, להימנע מהרשאות רחבות מדי.
3. חיבור מרחוק-  רק על פי צורך, בהרשאה מותאמת ובעדיפות לכתובות מוגדרות.
4. עדכונים - לשמור על מערכות ותוכנות מעודכנות בגרסאותיהם ובעדכוני האבטחה.
5. סיסמאות-  לעבוד בכפוף למדיניות סיסמאות וגישה מוקשחת.
6. סגמנטציה - להקפיד על הפרדה בין רשתות והמערכות השונות בארגון.
7. ניטור ובקרה-  של התחברויות ופעילות ברשת לשם זיהויה של פעילות אנומלית.
8. מערכות זיהוי-  ישומן של מערכות IDS/IPS לזיהוי והתרעה מפני חדירה בנוסף למערכות ההגנה והאנטי-וירוס.

המלצות הרשות לציבור הרחב:
הרשות להגנת הפרטיות ממליצה לציבור להיות ערני לכל ניסיון הונאה, שכולל קישור, קובץ או בקשה לקבלת מידע אישי (כגון הודעת דואר אלקטרוני המבקשת מלקוח להעביר את פרטיו האישיים או ללחוץ על קישור המפנה אותו לאתר המתחזה להיות נותן שירות) או מתן קוד, שהגיע בהודעת סמס לגורם כלשהו, אלא אם הוא יזם בעצמו את הפניה לערוץ תקשורת מוסדר ומהימן למול החברה נותנת השירות.

הרשות מזכירה, שחברות, שמספקות שירותים כאלה (כגון בנקים, חברות ביטוח וכד'), אינן נוהגות לבקש פרטים אלו באמצעות דוא”ל או הודעת סמס.

עדכון 7.12.20, 16:07: יחידת הסייבר בלהב 433 של המשטרה החלה לחקור את אירוע הדליפה. היא זימנה בכירים מהחברה במסגרת תהליך איסוף מידע, שיסייע לה להתחקות אחר קבוצת ההאקרים black shadow העומדת מאחורי האירוע. במקביל משתתף גם השב"כ בחקירת האירוע.

עדכון 30.11.21, 19:17: רשות שוק ההון, ביטוח וחיסכון הטילה קנס של 10,720,000 ש"ח על שירביט חברה לביטוח בע"מ. זאת, בגין הפרות משמעותיות ונרחבות של הוראות הממונה בתחום ניהול סיכוני הסייבר. הרשות התרשמה כי ניהול סיכוני הסייבר בחברה אינו מבוצע בצורה נאותה ובהתאם להוראות הממונה בעניין זה. לחברה נערך הליך של שימוע שלאחריו החליט הממונה כי בשל ממצאי הביקורת יוטל על החברה קנס.
     
ההפרות התגלו בביקורת מקיפה בתחום ניהול סיכוני הסייבר שערכה הרשות במהלך שנת 2020. בביקורת, שבחנה בצורה מקיפה את עמידת החברה בהוראות חוזר גופים מוסדיים 2016-9-14 "ניהול סיכוני סייבר בגופים מוסדיים" (31.8.2016), נמצא, שבשנים 2018-2020 החברה הפרה רבות מהוראות הממונה בעניין ניהול סיכוני סייבר בהיבטים טכנולוגיים ובהיבטי ממשל תאגידי וניהול שוטף.

בין היתר, נמצא, שהחברה לא הקצתה משאבים נאותים לתחום מערכות המידע והגנת הסייבר, לא התקיימו מנגנוני בקרה ופיקוח נאותים בתחום ניהול סיכוני סייבר והחברה לא פעלה בהתאם לנהלים, תכניות העבודה ותוכניות סקרי הסיכונים, לרבות אלו אותם הגדירה בעצמה.

כ"כ, בביקורת עלה, שמערכות טכנולוגיות מרכזיות ומהותיות לניהול סיכוני הסייבר לא הופעלו בצורה נאותה, לא עודכנו, לא טויבו, או לא הותקנו כלל. אי העמידה בהוראות הממונה הביאה לכך, שהחברה הייתה מצויה בחשיפה מהותית לסיכוני סייבר וכי רמת הניהול של סיכונים אלה לא עלתה בקנה אחד עם רמה ההולמת גוף מוסדי.