אירוע דלף מידע – אירוע אבטחת מידע חמור

בתאריך 1 בדצמבר 2020 פירסמה רשות שוק ההון, ביטוח וחיסכון ומערכת הסייבר הלאומי הודעה על אירוע דלף מידע מחברת הביטוח שירביט. להלן נביא את לשון ההודעה שפורסמה באתר מערך הסייבר הלאומי: "רשות שוק ההון, ביטוח וחיסכון ומערך הסייבר הלאומי מעדכנים על אירוע דלף מידע מחברת הביטוח שירביט. אמש החלו החברה בסיוע המערך לבדוק חשד לאירוע סייבר על אתר ושרתי החברה שבוצע על ידי האקרים. מבדיקה ראשונית עולה כי מדובר במידע על פרטי ביטוח של לקוחות. במאמץ משותף לרשות ולמערך, הבדיקה ממשיכה. בעקבות כך שב וחידד המערך יחד עם הרשות את ההנחיות לגופים המוסדיים במשק."[1]


על פניו, נראה כי מדובר באירוע אבטחה חמור כהגדרתו בתקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017.

כיצד אמור לנהוג מי שבבעלותו מאגרי מידע מהן דלפו פרטי מידע הנוגעים ללקוחות, עובדים וכו' ואילו חובות חלות עליו בהתאם לחוק הגנת הפרטיות ותקנותיו.

על כך ועוד נפרט בקצרה ברשימה זו.

מה הוא אירוע אבטחת מידע?

על פי תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017 אירוע אבטחת מידע הינו "כל מקרה שבו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה"[2].

יש הסבורים כי הגדרה זו היא רחבה הרבה יותר וכוללת כל שימוש בלתי מורשה ו/או נזק שנגרם למידע אישי, לרבות כל אובדן, פריצה, גניבה, גישה בלתי מורשית, שינוי, השחתה, דליפה, חשיפה, העברה, או השמדה של המידע האישי, וכן אובדן של דבר כלשהו, לרבות מסמך, חפץ או קובץ דיגיטלי מכל סוג שהוא, הכולל את המידע האישי או כל חלק הימנו, ולרבות אירוע אבטחה חמור.

מה הוא "אירוע אבטחה חמור"?

התקנות מגדירות אירוע אבטחה חמור כדלקמן[3]

  • כל אירוע אבטחת מידע במאגר מידע שחלה עליו רמת אבטחה גבוהה; או
  • אירוע אבטחת מידע במאגר מידע שחלה עליו רמת אבטחה בינונית בו נעשה שימוש בחלק מהותי מן המאגר או נעשתה פגיעה בשלמות המידע לגבי חלק מהותי מן המאגר.


אילו צעדים מחויב בעל מאגר מידע לנקוט עקב אירוע אבטחה חמור?

בעל מאגר מידע שחלה עליו רמת אבטחה בינונית או גבוהה[4] מחויב להודיע לרשות להגנת הפרטיות באופן מיידי שאירע אירוע אבטחה חמור ולדווח על הצעדים שנקט בעקבות האירוע[5]. על פי הנחיות הרשות להגנת הפרטיות על הדיווח להיעשות תוך 24 שעות ממועד גילויו של אירוע האבטחה החמור, ובכל מקרה לא יאוחר מ - 72 שעות מאותו מועד.

משהוגש דיווח על אירוע אבטחה חמור, הרשות להגנת הפרטיות רשאית להורות לבעל מאגר המידע להודיע לגורמים שנפגעו על שאירע אירוע אבטחת מידע. הרשות מסבירה כי בבואה לקבל החלטה להורות על יידוע נפגעים פוטנציאליים מאירוע אבטחת מידע הרשות תיבחן שיקולים כגון הסתברות גבוהה לכך שהאירוע יישא השלכות שליליות, הסיכוי שאירוע אבטחה יוביל לגניבת זהות, למעשי הונאה, לנזק פיזי או נפשי או לפגיעה בשם הטוב, יעילות וחשיבות היערכות להקטנת נזקים של הנפגעים. במקרה שבו התגלתה חדירה למאגר מידע שהכניסה אליו היא באמצעות שם משתמש וסיסמא, הרשם ישקול אם להורות על יידוע הלקוחות, על מנת שיוכלו לשנות את הסיסמאות שלהם ולהקטין את האפשרות לגרימת הנזק[6]. באתר הרשות להגנת הפרטיות ניתן למצוא דוגמאות לאירועי אבטחת מידע שפורשו בידי הרשות להגנת הפרטיות כאירועי אבטחה חמורים[7].

בנוסף לחובת דיווח מיידי, התקנות מטילות חובת תיעוד של אירועי אבטחת מידע. כמו כן, נהלי אבטחת מידע של החברה חייבים לכלול הוראות לעניין התמודדות עם אירועי אבטחת מידע לפי חומרת האירוע ומידת רגישות המידע, וצעדים מיידים שיש לנקוט כדי להתמודד עם האירוע כגון ביטול מיידי של הרשאות. מקום בו אירע אירוע אבטחת מידע במאגר מידע שחלה עליו רמת אבטחה בינונית מחייבות התקנות לקיים דיון אחת לשנה באירועי אבטחת מידע שארעו במהלך השנה החולפת ולבחון את הצורך בעידכון נהלי אבטחת מידע[8]. במאגר מידע ברמת אבטחה גבוהה יש לקיים דיון רבעוניבאירועי האבטחה ולבחון את הצורך בעדכון נהלים.

אילו צעדים נוספים על בעלי מאגרי מידע החברה לנקוט עקב אירוע אבטחת מידע ובאופן שוטף כדי למנוע אירועי אבטחה אפשריים בעתיד[9]?

  • יש לפעול למינוי ממונה ממונה הגנה על הפרטיות[10].
  • יש לפעול למינוי ממונה אבטחת מידע שיכין תכנית עבודה שנתית לבקרה שוטפת בנושא אבטחת מידע.
  • לערוך ביקורות בנושא אבטחת מידע/הגנת הפרטיות מדי 24 חודשים במאגר ברמת אבטחה בינונית וגבוהה.
  • לערוך סקר סיכונים מידי 18 חודשים במאגר ברמת אבטחה גבוהה, הכולל את דרישות הביקורת.
  • לקבוע הדרכות לפחות פעם בשנתיים במאגרים שחלה עליהם רמת האבטחה הבינונית או הגבוהה בנושא אבטחת מידע והגנת הפרטיות בצורה מספקת וניהול תיעוד ומעקב אחר הדרכות אלו.
  • וידוא כי כל גוף חיצוני אשר נותן שרותי מיקור חוץ בתחום מאגרי המידע נוקט באמצעים הנדרשים בהוראות ההסכם עמו ובהוראות תקנה 15 לתקנות ,תוך נקיטה באמצעי בקרה ופיקוח.

לסיכום:

אירוע דלף מידע ממאגרי מידע שבבעלות ארגונים וחברות הוא אירוע חמור, במקרים מסוימים עשוי הדבר להגיע לכדי אירוע אבטחה חמור. מעבר לנזק הכלכלי ולמוניטין שעשוי להיגרם לבעלי המאגר, הוראות חוק הגנת הפרטיות תקנותיו והנחיות הרשות להגנת הפרטיות מטילות על בעל המאגר שאירע לו אירוע אבטחת מידע חמור חובות לנקיטת פעולות מסוימות ודיווח כלפי לקוחות, כלפי הרגולטור (הרשות להגנת הפרטיות וגורמי פיקוח נוספים כדוגמת רשות שוק ההון, ביטוח וחיסכון), וכלפי העובדים בארגון. אי נקיטת הפעולות הנחוצות עשויות להביא לפתחו של בעלי המאגר מהם דלפו הנתונים הליכי אכיפה מינהליים, קנסות כבדים והליכים אזרחיים מצד לקוחות ועובדים.

האמור לעיל הינו מידע כללי ואינו מהווה חוות דעת משפטית. 

לפניות בנושא מאגרי מידע, הליכי פיקוח, וחובות החלות מכוח הגנת הפרטיות ותקנות הגנת מידע (אבטחת מידע) תשע"ז 2017 ניתן לפנות בטלפון או בדוא"ל: 072-2502512; info@sr-lawoffice.co.il 

אלון ספושניק, עורך-דין מוסמך במשפטים ובמינהל עסקים MLB (גרמניה) - כל הזכויות שמורות


[1] https://www.gov.il/he/departments/news/news_shirbit

[2] ראה תקנה 11 (א) לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן – "התקנות").

[3] ראה תקנה 1 לתקנות.

[4] לעניין מאגרי מידע שחלה עליהם רמת האבטחה הבינונית והגבוהה ראה תוספת ראשונה ותוספת שניה לתקנות.

[5] ראה תקנה 11(ד)(1) לתקנות.

[6] ראה שאלות ותשובות בנושא תקנות הגנת הפרטיות. https://www.gov.il/he/Departments/Guides/data_security_fqa?chapterIndex=4

[7] https://www.gov.il/he/Departments/General/data_security_report_examples

[8] ראה תקנה 11(ג) לתקנות.

[9] לעיון בכלל החובות החלות על בעל מאגר מידע או מחזיק במאגר מידע בתחום אבטחת מידע ניתן לקרוא במאמר אחר שכתבנו בקישור הבא: http://www.sr-lawoffice.co.il/index.php/he/blog-3/2017

[10] על תפקידיו של ממונה על הגנת הפרטיות בחברה ניתן לקרוא במאמר אחר שכתבנו בקישור הבא: http://www.sr-lawoffice.co.il/index.php/he/blog-3/2020-11-26-11-54-06