הרשות להגנת הפרטיות: עיריית הוד השרון הפרה את חוק הגנת הפרטיות
מאת:
מערכת Telecom News, 23.5.21, 16:00
זאת, בעקבות אירוע דליפת מידע שגרם לחשיפה של מידע אישי רגיש אודות תושבי ועובדי העירייה. מה נפרץ? איך זה עבד? היכן כשלה העירייה?
הרשות להגנת הפרטיות קבעה, שעיריית הוד השרון הפרה את חוק הגנת הפרטיות והתקנות מכוחו.
פיקוח, שביצעה הרשות להגנת הפרטיות בעיריית הוד השרון בעקבות דיווח על אירוע אבטחת מידע העלה, שאירעה פריצה לשרתים בבעלות העירייה, שהכילו מידע אישי רב אודות תושבי העיר ועובדי העירייה.
השרתים שנפרצו הכילו מידע אישי הכולל, בין היתר, מסמכים, התכתבויות דואר אלקטרוני, תלונות של תושבים לרבות שמות ומספרי זהות, מידע על עובדים המשתמשים במערכות העירייה ועוד.
חקירת הרשות להגנת הפרטיות העלתה, שהפריצה התבצעה ע"י רוגלה, שאפשרה גישה לכניסה מרחוק לשרתים. בהמשך לכך, הרוגלה הצפינה קבצים שונים, שאפשרו שליטה מלאה במערכת.
ממצאי הפיקוח של הרשות העלו, שהעירייה פעלה שלא בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017: במועד האירוע הגדרות הרשאות הגישה, שנקבעו למשתמשים במחשבי העיריה, נעשו בצורה כוללת ולא בהתאם להגדרת התפקיד ולא במידה הנדרשת לביצוע התפקיד בלבד. כ"כ נמצא, שהעירייה לא נקטה באמצעים מקובלים כדי לוודא, שהגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך.
עוד עלה, שבמועד האירוע לא הקפידה העירייה על ניהול ותפעול תקין של מערכות מאגר המידע שנפרץ ואפשרה גישה למידע דרך רשת האינטרנט מבלי נקיטת אמצעי הגנה מתאימים מפני חדירה לא מורשית.
במסגרת כך, לא בוצעה הפרדה בסביבות העבודה בין מערכות המאגר בהן ניתן לגשת למידע לבין מערכות מחשוב אחרות, לא בוצעו עדכונים שוטפים למערכות ההפעלה של המאגר במחשבי החברה ונעשה שימוש במערכות, שהיצרן הפסיק לתמוך בעדכוני אבטחת מידע בהן.
בנוסף, העירייה לא קיימה כנדרש בתקנות הגנת הפרטיות (אבטחת מידע) סקר לאיתור סיכוני אבטחת מידע במערכותיה במועד הדרוש, ולא פעלה כדי לתקן את הממצאים, שנתגלו בסקר קודם שקיימה בנושא.
לאור כל אלה הרשות קבעה, שהעירייה הפרה את הוראות חוק הגנת הפרטיות והתקנות מכוחו ונתנה לעירייה הנחיות לתיקון הליקויים, שהתגלו במסגרת הליך הפיקוח. על העירייה אף הוטל קנס מנהלי על סך 10,000 ₪ בגין אי-רישום של מאגרי מידע החייבים ברישום מכוח הוראות חוק הגנת הפרטיות.
עו"ד
עלי קלדרון, מנהל מחלקת אכיפה ברשות להגנת הפרטיות: "ברשויות המקומיות מנוהל מידע אישי רב ורגיש ביותר על אודות התושבים בתחומי החיים השונים ובכללם חינוך, כלכלה רווחה ועוד. כדי לקבל שירותים שונים, התושבים, למעשה, מפקידים את המידע אודותיהם בידי הרשויות ומכאן שתפקידן, כמי שאמורות להגן עליו, מתעצם.
מצופה מכל רשות מקומית להקפיד על קיום הוראות החוק והתקנות מכוחו ולצמצם את פוטנציאל התרחשותם של אירועי אבטחת מידע ופגיעה בפרטיות התושבים".
עדכון 22:43: הרשות להגנת הפרטיות מבקשת להבהיר, שהאירוע המוזכר בהודעה שבנדון ביחס לעיריית הוד השרון, אינו אירוע דליפת מידע וכי לא נמצאו אינדיקציות לכך שדלף מידע אישי רגיש אודות תושבי ועובדי עיריית הוד השרון. יחד עם זאת נמצא, שהמידע היה נגיש לגורמים שאינם מורשים לכך. לפיכך מבקשת הרשות לעדכן את השורה הראשונה בהודעה באופן הבא: "בעקבות אירוע אבטחת מידע חמור שגרם לחשיפה של מידע אישי רגיש ממאגרי מידע של עיריית הוד השרון
"...