|
תקיפות סייבר וטעויות אנוש [צילום: תמי עבדאללה, AP]
|
|
|
|
|
מאז מאי 2018 קיימה הרשות להגנת הפרטיות 86 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים, שרק 45 מתוכם דווחו לה כנדרש - מוסרת הרשות (יום ב', 28.1.19).
35% מאירועים אלו היו תקיפות סייבר, 15% נבעו מטעויות אנוש, 7% היו תוצאה של שימוש לרעה מכוון, והיתרה - בעיקר תקלות טכניות. 31% מהאירועים היו במגזר מערכות מידע (חברות היי-טק, ניו מדיה, אינטרנט, שירותי איחסון ועוד), 15% היו במגזר הביטוח והפיננסים (בנקים, חברות ביטוח, סוכנויות ביטוח וחברות אשראי), 11% היו בגופים ציבוריים (עיריות ותאגידי מים) ו-9% במגזר הבריאות (בתי חולים וקופות חולים).
ב-35% מהאירועים מדובר במאגרי מידע הכוללים מידע אישי אודות למעלה מ-100,000 איש. הרוב המכריע של המידע שדלף (79% מהמקרים) היה מידע אישי - פרטי לקוחות, מידע על ספקים ועובדים. ביתרת המקרים דלף בעיקר מידע פיננסי (10%) ומידע רפואי (6%).
הרשות להגנת הפרטיות הבהירה, כי תקופת ההטמעה של התקנות - שנכנסו לתוקף לפני שמונה חודשים - הסתיימה ומעתה היא תחמיר את מדיניות האכיפה במקרים של אירועי אבטחת מידע חמורים. עד כה, במקרים בהם גוף דיווח כנדרש על קיומו של אירוע אבטחת מידע חמור, והבדיקה הראשונית שקיימה הרשות לא העלתה ממצאים חריגים של רשלנות או של היקף נזק משמעותי, נמנעה הרשות מפרסום ההפרה והסתפקה בדרישה לתיקון הליקויים שנמצאו.
מעתה תפרסם הרשות הפרות של חוק הגנת הפרטיות ותקנותיו בכל מקרה בו יימצא שהופרו החובות המוגדרות בתקנות, למעט במקרים קלים. במקרים בהם תמצא הרשות ממצאים חמורים בהתנהלות הגופים בנוגע לאופן הטיפול באירועי אבטחת המידע, לרבות בהם נמנעו מדיווח לרשות על קיומו של האירוע או שניסו להסתיר את פרטיו, תישקל התלייתו או ביטול רישומו של מאגר המידע של הגוף מפר החוק, באופן שיאסור על השימוש במידע שבידיו.
התקנות קובעות, כי בעל מאגר מידע שחלה עליו חובת אבטחה בינונית או גבוהה, מחויב להודיע לרשות להגנת הפרטיות תוך 24 שעות ממועד גילויו של אירוע אבטחת מידע חמור ובכל מקרה לא יאוחר מ-72 שעות, ולדווח על הצעדים שנקט בעקבות האירוע, ועל-פי דרישת הרשות - לדווח גם לאנשים שהמידע עליהם נחשף.