מאגרי מידע / צילום: Shutterstock / א.ס.א.פ קרייאטיב
תקיפות סייבר (כ-35%), טעויות אנוש (15%), שימוש לרעה (7%) ותקלות טכניות - אלה הן הסיבות המרכזיות לאירועי אבטחת מידע חמורים, במסגרתם עלה חשש לחשיפתו של מידע פרטי של הציבור השמור בידי גופים המנהלים מאגרי מידע. הסקטורים בהם התרחשו מרבית אירועי האבטחה החמורים היו סקטור מערכות מידע (31%) - חברות היי טק, ניו-מדיה ואינטרנט, שירותי אחסון ועוד; סקטור הביטוח ופיננסים (15%) - הכולל חברות וסוכנויות ביטוח, בנקים וחברות כרטיסי אשראי; סקטור הגופים הציבוריים (11%) - עיריות ותאגידי מים; וסקטור הבריאות (9%) - דוגמת קופות-חולים, בתי חולים ועוד.
בכ-35% מהאירועים מדובר במאגרי מידע הכוללים מידע אישי אודות למעלה מ-100,000 איש, שעלולים היו להיפגע כתוצאה מאירועי אבטחת המידע. המידע שדלף כלל בעיקר מידע אישי (79%) ובין היתר פרטי לקוחות, ספקים או עובדים; מידע פיננסי (10%) כגון יתרה בחשבון או מצב כלכלי; ומידע רפואי רגיש (6%), לרבות מצב רפואי, תוצאות בדיקות וכדומה.
את הנתונים הללו מפרסמת הרשות להגנת הפרטיות במשרד המשפטים, לרגל יום הגנת הפרטיות הבינלאומי שחל היום (ב'), ובתוך כך מדגישה בפני כלל הגורמים במשק המנהלים מידע אישי, כי החל מהחודש (ינואר 2019) תוחמר מדיניות האכיפה במקרים של אירועי אבטחת מידע חמורים.
תקנות הגנת הפרטיות (אבטחת מידע), שנכנסו לתוקף לפני כחצי שנה, מחייבות כל גורם בכלל מגזרי המשק בישראל, ציבורי ופרטי כאחד, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו בארגון. זאת, בין היתר, בהתחשב בגודל המאגר, ברגישות המידע ובמספר המורשים לגשת אליו. בחודש דצמבר 2018 הסתיימה תקופת ההטמעה הראשונית של תקנות הגנת הפרטיות (אבטחת מידע), והחודש החלה תקופת הביניים המגדירה עליית מדרגה באכיפת אירועי אבטחת מידע חמורים.
התקנות קובעות כי בעל מאגר מידע שחלה עליו חובת אבטחה בינונית או גבוהה, מחויב להודיע לרשות להגנת הפרטיות תוך 24 שעות ממועד גילויו של אירוע אבטחת מידע חמור, ובכל מקרה לא יאוחר מ-72 שעות, ולדווח על הצעדים שנקט בעקבות האירוע, ועל-פי דרישת הרשות גם לאנשים עליהם המידע נחשף.
עם כניסתן של התקנות לתוקף, הרשות להגנת הפרטיות פרסמה את מדיניותה בעניין אכיפתן וקבעה תקופת הטמעה ראשונית, במטרה לאפשר לגופים ולחברות במשק להיערך בצורה מיטבית לכניסתן. עם סיום תקופת ההטמעה הראשונית ובהתאם למדיניות האכיפה שפורסמה, נכנסה לתוקפה תקופת הביניים, המגדירה עליית מדרגה בפעילות האכיפה במקרים של הפרת הוראות התקנות.
עד כה, במקרים בהם גוף דיווח כנדרש לרשות להגנת הפרטיות על קיומו של אירוע אבטחת מידע חמור, והבדיקה הראשונית שקיימה הרשות לא העלתה ממצאים חריגים של רשלנות או של היקף נזק משמעותי, נמנעה הרשות מפרסום ההפרה והסתפקה בדרישה לתיקון הליקויים שנמצאו.
כעת, עם כניסתה לתוקף של תקופת הביניים, הרשות תפרסם הפרות של חוק הגנת הפרטיות ותקנותיו בכל מקרה בו יימצא כי החובות המוגדרות בתקנות הופרו, למעט במקרים קלים. במקרים בהם הרשות להגנת הפרטיות תמצא ממצאים חמורים בהתנהלות הגופים בכל הנוגע לאופן הטיפול באירועי אבטחת המידע, לרבות בכל מקרה בו הגוף נמנע מדיווח לרשות על קיומו של האירוע או שניסה להסתיר את פרטיו, תפעל הרשות במלוא החומרה נגד הגורם המפר, ובכלל זה תישקל התלייתו או ביטול רישומו של מאגר המידע של הגוף מפר החוק, באופן האוסר על השימוש במידע.
"כל אספקט בחיינו הופך דיגיטלי ומקוון"
החל ממועד כניסתן לתוקף של התקנות במאי 2018, הרשות להגנת הפרטיות קיימה 86 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים. מתוכם 45 אירועים אשר דווחו לרשות להגנת הפרטיות.
עו"ד עלי קלדרון, הממונה על האכיפה המינהלית ברשות להגנת הפרטיות שבמשרד המשפטים, ציין על רקע ההודעה כי "בשנים האחרונות אנו עדים להתגברות משמעותית בתדירותם של אירועי אבטחת מידע חמורים, בעיקר מאחר שמחד כל אספקט בחיינו הופך דיגיטלי ומקוון; ומאידך עולה הנכונות של ספקי שירות לוותר על פרטיותנו במחיר מהירות ההגעה לשוק, העלויות הכרוכות באבטחה וההתעלמות ממחירו האמיתי של האירוע להם וללקוחותיהם. ארגונים, חברות ועסקים המנהלים מידע אישי, אשר לעתים קרובות הוא רגיש ביותר, כגון מצבנו הפיננסי, הרפואי, המשפחתי ועוד, מחזיקים באחריות כלפי הציבור וחייבים להגן על פרטיותו. בדיוק בשל כך, אכיפת תקנות הגנת הפרטיות (אבטחת מידע) עולה כעת שלב, ואנו נפעל במלוא החומרה נגד גופים אשר לא יעמדו בהוראות החוק".