טלפון נייד ששימש לניהול מידע אישי במרפאה אבד, ונחשף מידע אישי רב של מטופלים; תלמידים חשדו כי המוסד החינוכי שלהם מנסה לדלות עליהם פרטים אישיים ללא הסכמתם תוך התחזות להם; אירוע אבטחת מידע חמור באפליקציה של גוף פיננסי חשף ברשת מידע אישי כלכלי רגיש על לקוחותיו. אלה רק כמה דוגמאות למקרים שניצבו במרכז חקירות הקשורות לפגיעה בפרטיות, שניהלה באחרונה הרשות להגנת הפרטיות במשרד המשפטים.
>> לסיפורים הכי מעניינים והכי חמים בכלכלה - הצטרפו לערוץ הטלגרם שלנו
ממון ו-ynet מפרסמים לראשונה מסמך של הרשות להגנת הפרטיות המציג מקרים שבהם קבעה הרשות כי ארגונים הפרו את חוק הגנת הפרטיות, ונותן דוגמאות מתיקים שאפשר לגזור מהם תובנות על ההתנהלות המצופה מחברות מחזיקות מידע אישי.
הרשות היא רגולטור של הזכות לפרטיות בתחום הגנת המידע האישי במרחב הדיגיטלי, והיא גם מופקדת על אבטחת מידע ודרכים למנוע את דליפתו.
לדברי עו"ד עלי קלדרון, מנהל מחלקת אכיפה ברשות, "בשנה החולפת, לנוכח משבר הקורונה והשימוש הגובר בשירותים דיגיטליים, עלה היקף אירועי אבטחת מידע ופגיעה בפרטיות עקב שימוש לא חוקי במידע אישי".
לאחרונה פירסמה הרשות מסמך שקורא לארגונים להימנע מראש לאסוף מידע אישי עודף ולצמצם מידע עודף שהצטבר כדי להקטין את פוטנציאל הנזק במקרה של אירוע אבטחת מידע. כמו כן, המליצה למנות בארגון ממונה הגנה על הפרטיות שיגן על מידע אישי במאגרי מידע דיגיטליים. ברשות מדגישים כי בכל מקרה של חשד לדליפת מידע או אירוע אבטחה חמור, חלה על ארגונים חובה חוקית לדווח לה על כך מיד באתר הרשות. הרשות קוראת לציבור לדווח לה על כל חשד לדליפת מידע.
ניידים מסוכנים
אילו מקרים נחקרו ועודם נחקרים על ידי הרשות?
במקרה אחד, אבד או נגנב מכשיר סלולרי של מרכז רפואי ובו פרטי קשר ומידע על מטופלי מרפאה. הרשות קבעה כי המרכז לא קיים את החובה המוטלת עליו לאבטחת מידע הקבועה בחוק הגנת הפרטיות, משלא קבע הרשאות גישה למכשיר ולא ניהל רשימת מורשי גישה כנדרש. המרכז הפר את הוראות החוק וניתנו לו הנחיות לתיקון הליקויים. בעקבות ההליך הודיע המרכז כי לא ישתמש עוד במכשירים ניידים, והוטמעה מערכת חלופית לצורך יצירת קשר עם המטופלים.
במקרה אחר, שרתי חברה לשירותי חינוך המפעילה בתי ספר לחינוך מיוחד נפרצו וקובצי מידע הוצפנו, ננעלו והשביתו את פעולות המחשוב. במקרה הזה הצליח גורם חיצוני לקבל גישה לקובצי החברה ואת האפשרות לשנותם, למחקם, להצפינם ולמנוע מהחברה את הגישה אליהם. החברה לא וידאה כי הגישה למאגר נעשית בידי בעל הרשאה מורשה בלבד, ולא התקינה אמצעי הגנה מחדירה לא מורשית מהרשת. כמו כן נקבע כי החברה הפרה את התקנות משלא דיווחה מיד לרשות על האירוע.
עו"ד קלדרון: "תקנות הגנת הפרטיות מחייבות כל גורם המנהל מידע אישי לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו בארגון".
יש המלצות מעשיות למעסיקים ולארגונים?
- בכל אירוע אבטחה חמור או חשד לאירוע יש לדווח מיד לרשות להגנת הפרטיות.
- על חברות לוודא מראש כי מדיניות ניהול המידע שהן מחזיקות על לקוחותיהן רלוונטית לשירותים שלהן, ולא נשמר מידע עודף שבעתיד יכול להפוך לאיום אסטרטגי. כך, למשל, ארגון ששומר מידע שלא למטרה לשמה נמסר, או ממשיך להחזיקו מעבר למועד שבו הושלמה מטרה זו, מגדיל את הסיכון שיפר את החוק באירוע פרטיות או דליפת מידע. ניהול סיכונים נכון יוודא כי מידע עודף כזה יימחק. כך, לדוגמה, אם בביצוע משלוח נדרש השליח לוודא את זהות המקבל על ידי צילום מסמך מזהה, עם השלמת המסירה וקבלת האישור מהמוסר אין לארגון עוד צורך בשמירת המסמך המזהה. גוף שלא ימחק מידע עודף עלול להפר את החוק ולהסתכן בתביעות אזרחיות אם המידע ידלוף.
- ארגון המאפשר לעובדיו להשתמש בטלפונים האישיים לעיבוד מידע אישי של לקוחותיו מחויב על פי החוק להתייחס למכשיר כאילו היה מחשב הארגון, מבחינת כל חובותיו באבטחת המידע, ובכלל זה התייחסות בנוהלי האבטחה של הארגון למכשירים האישיים.
- בתהליך ההרשמה לשירותים דיגיטליים מומלץ ליישם מנגנון הזדהות הכולל שני פרמטרים, כשאחד מהם לפחות נמצא בשליטת מבקש השירות בלבד וידוע רק לו. כך תצומצם האפשרות להתחזות ולגישה למידע למי שאינו מורשה.
- על בעלי מאגרי מידע המסווגים ברמת אבטחה גבוהה לבצע סקר סיכוני אבטחת מידע ומבדקי חדירות לאתר ולמערכות המאגר.
- על בעלי מאגר מידע לוודא שיש מנגנוני זיהוי, אימות ובקרת גישה נאותים, וכי הגישה למערכות המידע נעשית רק בידי מי שיש לו הרשאה. יש להשתמש במנגנון תיעוד שיאפשר ביקורת על הגישה למאגר.
- על ארגונים לוודא כי כלי האבטחה שבשימושם הם בגרסה מעודכנת.
- לתת הרשאות רק לפי המינימום הנדרש למטרת הארגון ולהימנע מהרשאות רחבות מדי. לנהל רשימה של מורשי הגישה.
- חיבור מרחוק רק על פי צורך, בהרשאה מותאמת ובעדיפות לכתובות מוגדרות.
- מדיניות סיסמאות וגישה מוקשחת. מדיניות הסיסמאות מאפשרת למנהלי הארגון להגדיר רמת אבטחה מינימלית לחברים. לדוגמה, הם יהיו מחויבים לבחור סיסמה מורכבת ולשנותה מעת לעת.
- להגביר את מודעות העובדים לסיכוני האבטחה הכרוכים בגלישה פרטית במחשבי הארגון, ולמתקפות דיוג (Phishing) המכילות הודעות עם קישורים וצרופות זדוניות.
זהירות, פישינג
אני לא מבין בטכנולוגיה. איך אדע אם פרטיותי נפגעה?
הרשות להגנת הפרטיות ממליצה להיות ערניים לכל ניסיון הונאה הכולל פנייה טלפונית או אחרת לקבלת מידע ולכל הודעה הכוללת קישור, קובץ או בקשה לקבלת מידע אישי. למשל, הודעת מייל המבקשת מלקוח להעביר פרטים אישיים או ללחוץ על קישור המפנה אותו לאתר המתחזה לנותן שירות, פנייה מגורם המתחזה לנותן שירות המבקש מהלקוח את פרטי הקוד שהגיע אליו במסרון.