מיליוני ישראלים חשופים לגניבת פרטיהם ממאגרי מידע

דו"ח הרשות להגנת הפרטיות על מגזר חברות המספקות שירותי אחסון ועיבוד מאגרי מידע אישי מצביע על ליקויים רוחביים. הרשות להגנת הפרטיות פרסמה השבוע דו"ח בעקבות בדיקת רוחב שערכה בקרב גופים שמאחסנים ומעבדים מידע אישי עבור גופים אחרים. הדו"ח מעלה ליקויים רוחביים, שמשמעותם איום סייבר פוטנציאלי על המידע האישי הרגיש שלנו ושל ארגונים רבים במשק.

.

הרשות להגנת הפרטיות פרסה השבוע דו"ח, המפרט ממצאים שהתגלו בעקבות בדיקת רוחב שביצעה הרשות, בקרב גופים וחברות המספקים שירותים של אחסון ועיבוד מאגרי מידע אישי.

.

הסקר בוצע על הרשות להגנת הפרטיות על מנת לבחון האם וכיצד גופים ממגזרים שונים במשק מקיימים את הוראות החוק ותקנות הגנת הפרטיות (אבטחת מידע) בנוגע להגנה על מידע אישי ואבטחתו. הסקר שבוצע כלל בחינה של חברות המספקות שירותי תוכנה או פלטפורמה, פיתוח אפליקציות וממשקים לניהול מידע אישי עבור בעלי מאגרי מידע לרבות אירוח אתרי אינטרנט.

.

מגזר החברות, המספקות שירותי אחסון ועיבוד מידע, נחשב למגזר בעל סיכון מוגבר לפגיעה בפרטיות, שכן חברות אלו מחזיקות לרוב במאגרי מידע רבים, הכוללים מידע רגיש אודות הציבור.

.

לפי חוק הגנת הפרטיות חברות שירותי האחסון נדרשות להקפדה מיוחדת בהגנה על המידע, משום שהן נחשבות על פי החוק כמחזיקות מאגרי מידע בהיקפים גדולים דרך קבע על מספר רב של לקוחות, על בסיס פלטפורמה אחת. חברות אלו נדרשות לפעול מול הלקוחות בשקיפות.

.

הממצאים המרכזיים של הרשות להגנת הפרטיות נוגעים במספר רבדים:

במרבית הגופים שנבדקו נמצאה רמת עמידה גבוהה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע אך נמצאו ליקויים בקיום הוראות תקנות הגנת הפרטיות (אבטחת מידע), בחלקם אף חריגות משמעותיות. הליקויים הבולטים שנמצאו כללו ליקויים בביצוע סקר סיכונים ומבחני חדירה בקרב חברות שהן בגדר בעלות מאגר מידע ברמת אבטחה גבוהה וכן ליקויים בכל הנוגע לחובות החלות על החברות כמי שמספקות שירותי מיקור חוץ, כפי שקבוע בהוראות תקנות הגנת הפרטיות (אבטחת מידע) ובהנחיית רשם מאגרי המידע מס' 2/2011 בנושא שימוש בשירותי מיקור חוץ (outsourcing) לעיבוד מידע אישי.
.
ליקוי מרכזי במגזר זה מתייחס לעיבוד מידע אישי במיקור חוץ, ומהדו"ח עולה כי 71% מהגופים עמדו באופן חלקי/לא עמדו כלל בהוראות החוק, ב-53% מהם רמת העמידה הייתה בינונית וב- 18% מהגופים נמצאה רמת עמידה נמוכה.
.
במרבית הגופים (69%) נמצאה רמת עמידה גבוהה בהוראות החוק בנוגע לבקרה הארגונית וממשל תאגידי. עם זאת, אצל כשליש מהגופים (31%), נמצאה רמת עמידה בינונית ומטה באופן ניהול הבקרה הארגונית והממשל התאגידי. כך למשל, נמצאו גופים אשר מינו בעלי תפקידים ללא כתב מינוי ועדכון בפנקס מאגרי המידע כנדרש בחוק.
.
במסגרת הליך פיקוח הרוחב נמצאו בעלי מאגרי מידע שחלה עליהם רמת אבטחה גבוהה, אשר נדרשו לבצע ביקורות אבטחת מידע או מבדקי חדירות אשר לא בוצעו כנדרש או לא בוצעו כלל
.
נמצאו גופים אשר לא ניהלו תיעוד עבור הדרכות ריענון לעובדים בעלי גישה למאגרי המידע ו/או למערכותיהם.

.

משמעות הליקויים שהועלו על ידי הרשות להגנת הפרטיות היא שארגונים ואזרחים ישראליים חשופים לתקיפות סייבר אשר עלולים לחשוף פרטי מידע עסקי ואישי רגישים שלהם.

.

פעילות הרשות להגנת הפרטיות היא פעילות חשובה, אשר תוצריה במידה וייושמו עשויים לשפר משמעותית את המידע האישי הרגיש שלנו ולשפר את החוסן של כולנו מול תקיפות סייבר. נותר כעת לבחון האם תוצרי הדו"ח והמלצותיו ייושמו על ידי החברות הנותנות שירותי אחסון מידע.

.

עניין מרכזי

 

בשורה מ״עניין מרכזי״: הורידו חינם את האפליקציה שלנו בגוגל פליי לאנדרואיד ‏https://play.google.com/store/apps/details?id=com.centralnilinterest