ללמוד מהניסיון של אחרים...

הרשות להגנת הפרטיות קיימה בשנים האחרונות מספר פעולות אכיפה מעניינות כנגד גופים שונים שהפרו את חוק הגנת הפרטיות. 

2023 סיפקה מספר דוגמאות שניתן להפיק מהן כמה תובנות מעניינות.

באתר האינטרנט של חברת החשמל התאפשרה גישה לא מורשית למידע אודות לקוחות החברה. הרשות קבעה כי החברה לא מילאה אחר כל החובות המוטלות עליה בדין לאבטחת המידע שבמאגר, בין השאר, משום שהחברה לא עשתה שימוש בלפחות נתון אחד אשר אמור להיות ידוע אך ורק לנושא המידע, וזאת בניגוד להנחיית רשם המאגרים מס' 1-2010.

באירוע אחר אך דומה, הרשות קבעה כי משרד התחבורה הפר את חוק הגנת הפרטיות בכך שאפשר גישה למידע על מחזיקי רישיון נהיגה ללא אימות זהות מתאים. המשרד מעמיד  מוקד שירות טלפוני ואתר האינטרנט שמאפשרים קבלת מידע האם אדם מחזיק ברישיון נהיגה. לצורך קבלת המידע,  נדרש הפונה להזין מספר זהות ושנת לידה בלבד. המידע נמסר לפונה ללא אימות כי הוא האדם שרשאי לקבל את המידע הנ"ל. 

המנגנון הקל אכן נוצל על ידי גורמים שביקשו לקיים פיקוח על צעירים המוציאים רישיונות נהיגה..

הרשות קבעה כי מנגנון ההזדהות שמפעיל משרד התחבורה לצורך קבלת מידע האם אדם מחזיק ברישיון נהיגה מפר את הוראות החוק, ובנוסף, מתן האפשרות לכל דורש לקבל מידע על מחזיקי רישיון נהיגה ללא הסכמתם וללא ידיעתם, מהווה הפרה של סעיף 23ב(א) לחוק.

במקרה אחר המתברר כי עירייה של עיר גדולה ומכובדת בישראל לא החזיקה בדוח סקר סיכונים, לא ניהלה מערכות הרשאות הגישה לעובדיה מתאים לתפקידיהם, לא השתמשה במנגנוני זיהוי מבוססים סיסמא חזקה, אפשרה לעובדיה להתחבר למערכות המאגר מבלי לאבטח כנדרש את הגישה למאגר ולמערכותיו, החזיקה בנהלי אבטחה לא מעודכנים משנת 2018, וחיברה את מערכות המאגר לרשת מבלי שאבטחה אותם כנדרש מפני חדירה לא-מורשית. 

אין ספק כי אבטחת מידע היא נושא קריטי הדורש תשומת לב מתמדת והשקעה במשאבים. ארגונים חייבים להקפיד על נהלי אבטחה מחמירים, לבצע סקרי סיכונים ולהשתמש במנגנוני זיהוי חזקים כדי להגן על המידע האישי של לקוחותיהם. הרשות להגנת הפרטיות ממשיכה לפעול בנחישות להבטחת שמירת המידע האישי של אזרחי ישראל, והפעולות שהיא נוקטת משמשות תמרור אזהרה לכל הארגונים במשק.

שתפו את הדוגמאות שלכם על איך ניתן לשפר את אבטחת המידע בארגונים שלכם! 🚀🔒