לאחר פריצת הסייבר לחברת הביטוח "שירביט" וגניבת מידע רב על הלקוחות משרתי החברה, התוקפים דורשים כופר על סך מיליוני דולרים במטבעות 'ביטקוין' אך הדרישה לא נענתה עד עתה והתוקפים החלו לשחרר מידע לרשת. בעקבות הפריצה, ברשות להגנת הפרטיות במשרד המשפטים מרעננים היום את נהלי האבטחה שמחוייבים להם על פיק חוק בחברות ובארגונים.
הרשות מציינת כי במקרה של חברת שירביט, החברה העבירה לה ולרשויות רלוונטיות נוספות דיווח ביחס לאירוע האבטחה החמור, ובעקבותיו פתחה הרשות בהליך חקירה. במסגרת הליך חקירה זה בוחנת הרשות את ההיבטים הקשורים להגנה על המידע האישי של לקוחות החברה ואת הפגיעה בהם כתוצאה מדליפת המידע, וכן את פעולות החברה בנוגע לאירוע ועמידתה בהוראות החוק.
בין השאר, הרשות העבירה לחברת שירביט דרישה לעדכן באופן אישי את הלקוחות אשר עשויים להיפגע מאירוע זה, וזאת על מנת לאפשר להם לנקוט אמצעי זהירות מתאימים ולצמצם את הנזק הפוטנציאלי כתוצאה מדלף המידע על אודותיהם.
עוד באתר:
כמו כן, הרשות עומדת בקשר עם החברה ותאשר חיבור מאגרי המידע למערכות חיצוניות רק לאחר ביצוע פעולות נדרשות, אשר ימנעו הרחבת האירוע או הישנות תקיפות שיביאו לדלף מידע אישי נוסף.
בהזדמנות זו הרשות להגנת הפרטיות מדגישה כי תקנות הגנת הפרטיות (אבטחת מידע) מחייבות כל גורם במשק בישראל, ציבורי ופרטי, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו בארגון.
ברשות קוראים לחברות והארגונים לוודא כי הם עומדים בדרישות החוק והתקנות, ומקפידים על ביצועם ויישומם של בקרות ניהוליות ועל מימוש ויישום מדיניות אבטחת מידע, לרבות:
1. גיבויים – יש לוודא ביצועם וקיומם של גיבויים תקינים;
2. הרשאות – רק על פי המינימום הנדרש למטרת הארגון, להימנע מהרשאות רחבות מדי;
3. חיבור מרחוק – רק על פי צורך, בהרשאה מותאמת ובעדיפות לכתובות מוגדרות;
4. עדכונים – לשמור על מערכות ותוכנות מעודכנות בגרסאותיהם ובעדכוני האבטחה;
5. סיסמאות – לעבוד בכפוף למדיניות סיסמאות וגישה מוקשחת;
6. סגמנטציה – להקפיד על הפרדה בין רשתות והמערכות השונות בארגון;
7. ניטור ובקרה – של התחברויות ופעילות ברשת לשם זיהויה של פעילות אנומלית;
8. מערכות זיהוי – ישומן של מערכות IDS/IPS לזיהוי והתרעה מפני חדירה בנוסף למערכות ההגנה והאנטי-וירוס.
לציבור הרחב ממליצה הרשות: להיות ערני לכל ניסיון הונאה הכולל קישור, קובץ או בקשה לקבלת מידע אישי (כגון הודעת דואר אלקטרוני המבקשת מלקוח להעביר את פרטיו האישיים או ללחוץ על קישור המפנה אותו לאתר המתחזה להיות נותן שירות) או מתן קוד שהגיע בהודעת סמס לגורם כלשהו, אלא אם הוא יזם בעצמו את הפניה לערוץ תקשורת מוסדר ומהימן למול החברה נותנת השירות.
הרשות מזכירה כי חברות המספקות שירותים כאלה (כגון בנקים, חברות ביטוח וכד'), אינן נוהגות לבקש פרטים אלו באמצעות דוא”ל או הודעת סמס.
