הרשות להגנת הפרטיות במשרד המשפטים מפרסמת היום (ראשון) דגשים למחלקות אבטחת מידע בחברות וארגונים והמלצות לציבור בעקבות האירוע שהתרחש בחברת הביטוח שירביט, כשפצחנים חדרו למאגר המידע של החברה והפיצו פרטים ברשת האינטרנט תוך כדי דרישת תשלום דמי כופר.
הרשות להגנת הפרטיות מדגישה את חשיבות ההגנה על מידע אישי וקוראת לכל גורם במשק המנהל או מחזיק מאגר מידע, לוודא עמידה בהוראות תקנות הגנת הפרטיות (אבטחת מידע) ולקיים את דרישות אבטחת המידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע בארגון.
ברשות להגנת הפרטיות מסבירים כי אירועי דליפת מידע בחברות, לרבות בנסיבות של דרישת כופר, הפכו לנפוצים יותר ויותר וביחוד בתקופת הקורונה. מעבר לפגיעה בפרטיות של לקוחות החברות, אירועים מסוג אילו טומנים בחובם גם עלויות רבות, חשיפה משפטית ניכרת לתביעות שונות ונזק תדמיתי עצום לחברה.
• זאת ההזדמנות שלך! נסדר לך קריירה ונלווה אותך להצלחה - לפרטים נוספים לחצו כאן
על כן, מומלץ לחברות לוודא מראש כי מדיניות ניהול המידע של לקוחותיהן הינו רלוונטי לשירותים הניתנים ושלא נאגר מידע שאין בו צורך העלול במשך הזמן להפוך לאיום אסטרטגי על החברה.
כאמור, הרשות להגנת הפרטיות מפרסמת מספר דגשים חשובים:
תקנות הגנת הפרטיות (אבטחת מידע) מחייבות כל גורם במשק בישראל, ציבורי ופרטי, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו בארגון. על ארגונים לוודא כי הם עומדים בדרישות החוק והתקנות, ומקפידים על ביצועם ויישומם של בקרות ניהוליות ועל מימוש ויישום מדיניות אבטחת מידע, לרבות:
גיבויים – יש לוודא ביצועם וקיומם של גיבויים תקינים;
הרשאות – רק על פי המינימום הנדרש למטרת הארגון, להימנע מהרשאות רחבות מדי;
חיבור מרחוק – רק על פי צורך, בהרשאה מותאמת ובעדיפות לכתובות מוגדרות;
עדכונים – לשמור על מערכות ותוכנות מעודכנות בגרסאותיהם ובעדכוני האבטחה;
סיסמאות – לעבוד בכפוף למדיניות סיסמאות וגישה מוקשחת;
סגמנטציה – להקפיד על הפרדה בין רשתות והמערכות השונות בארגון;
ניטור ובקרה – של התחברויות ופעילות ברשת לשם זיהויה של פעילות אנומלית;
מערכות זיהוי – ישומן של מערכות IDS/IPS לזיהוי והתרעה מפני חדירה בנוסף למערכות ההגנה והאנטי-וירוס.
המלצות הרשות לציבור הרחב:
הרשות להגנת הפרטיות ממליצה לציבור להיות ערני לכל ניסיון הונאה הכולל קישור, קובץ או בקשה לקבלת מידע אישי (כגון הודעת דואר אלקטרוני המבקשת מלקוח להעביר את פרטיו האישיים או ללחוץ על קישור המפנה אותו לאתר המתחזה להיות נותן שירות) או מתן קוד שהגיע בהודעת סמס לגורם כלשהו, אלא אם הוא יזם בעצמו את הפניה לערוץ תקשורת מוסדר ומהימן למול החברה נותנת השירות.
הרשות מזכירה כי חברות המספקות שירותים כאלה (כגון בנקים, חברות ביטוח וכד'), אינן נוהגות לבקש פרטים אלו באמצעות דוא”ל או הודעת סמס.