אימתו של כל בעל מאגר מידע היא אירוע של אבטחת מידע. בתאריך 1/12/20 פורסם באמצעי התקשורת על אירוע אבטחת מידע בחברת הביטוח "שירביט". באופן שמידע אישי, חסוי, ופרטי של לקוחות החברה ,לרבות פרטים מזהים הודלפו ע"י האקרים שפרצו לשרתי החברה. הנושא נחקר אך יש להניח שהפריצה אירעה באמצעות חדירה לכתובות מייל שלא היו פעילות של לקוחות החברה.
אירוע אבטחת המידע גרם להגשת תובענה ייצוגית כנגד שירביט לפיצוי נזקים שנגרמו ללקוחותיה והוערכו בגובה של מיליוני שקלים. חברת שירביט נתבעה משום שלטענת התובעים הפרה את חובותיה להגן על המידע של לקוחותיה ולא נקטה באמצעי הזהירות הנדרשים לשמירתו של המידע בצורה בטוחה. מדובר כאן בתמרור אזהרה בקרב כל מי שמחזיק מאגר מידע של לקוחות ,עובדים או ספקים והצורך בהעלאת המודעות של ציבור בעלי העסקים לדרישות חוק הגנת הפרטיות שחל עליו. בין אם אתה רופא ,פסיכולוג ,עורך דין, ארכיטקט וכיו"ב עם מאגר לקוחות לא מבוטל ,אירוע הסייבר של שרביט צריך לעניין אותך ועליך לשקול איך להגן על מאגר המידע שלך.
במאי 2018 נכנסו לתוקפן תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז – 2017 שמטרתן להגדיר ולחזק את ההגנה על המידע האנושי של הציבור. הדרישות לאבטחה נחלקות ל-3:
לרובד הארגוני – נהלי עבודה סדורים
הרובד של כוח האדם – הדרך להתאים את המידע אליו ייחשף העובד וקיום הדרכות לעובדים בנושא אבטחה מידע.
השלישי – חובות טכנולוגיות והרובד לשמירת מידע.
התקנות חלות על כל מי שמנהל או מחזיק מידע על אנשים – לקוחות, עובדים, ספקים, ילדים, מטופלים מכל מגדרי המשק הציבורי והפרטי. למצער – שמרבית בעלי העסקים והארגונים השונים המחזיקים במאגרי מידע, אינם מודעים לקיום התקנות ולחובות המוטלות עליהם כמחזיקי מאגר מידע ולכן עליהם להתייעץ עם עורך דין שבקי בתחום. התקנות עושות אבחנה בין ארבעה סוגי מאגר מידע: מאגר מידע המנוהל ע"י יחיד, מאגר שחלה עליו רמת אבטחה בסיסית, מאגר שחלה עליו רמת אבטחה בינונית ומאגר שחלה עליו רמת אבטחה גבוהה.
הכול בהתאם למספר הלקוחות והאנשים המפורטים במאגר המידע. רמת הסיווג של מאגר המידע, קובעת את החובות ,ההגנות והפעולות, שיש צורך לבצע על מנת לעמוד בדרישות הקבועות בחוק.
ניסוח נוהל אבטחת מידע, מיפוי מערכות מידע וביצוע סקרי סיכונים. פריצה למאגר מידע יכולה להתבצע הן דרך החומרה – הגורם הפיזי, המחשב, הן דרך התוכנה, והן באמצעות ההון האנושי., כלומר העובדים ,הלקוחות או הספקים.
אי – מילוי אחר החובות הקבועות בתקנות אבטחת המידע עלולות להביא להטלת סנקציות מנהליות, ולהוות עוולות ואף עבירה פלילית ,כולל אחריות אזרחית ,באופן שמחזיק מאגר המידע עלול להיות חשוף לתובענה ייצוגית כנגדו בסכומי עתק.
בסוף שבוע שעבר 11.12.20 הייתה מתקפת סייבר על עשרות חברות העוסקות בשילוח וייבוא בישראל. התוקפים הצליחו לפרוץ לשרתים של עשרות חברות ולחדור לשרשרת האספקה של ישראל. החברות שהותקפו הן חברות ענק בתחום הלוגיסטיקה ושיבוש פעילותן עלול להביא לפגיעה באספקת מוצרים חיוניים. מרבית התקפיה בוצעה דרך חברת עמיטל, המפתחת תוכנות לחברות לוגיסטיקה ושילוח. הפורצים חדרו למחשבי עמיטל, גנבו את רשימת הלקוחות שלהם וכן את פרטי ההתחברות ללקוחות ומשם המשיכו לביצוע פריצה ללקוחות עצמם.
ענינו הרואות שקיימת דחיפות מדרגה ראשונה שבעל מאגר מידע, שזה כל מי שמנהל רשימת לקוחות, עובדים או ספקים , ובעל עסק קטן או בינוני, ידאג לביצוע נהלי אבטחת מידע כפי שנקבעו בחוק. לצורך כך עליו להיוועץ עם עורך דין שעוסק בתחום סייבר , אבטחת מידע ומאגרי מידע.
הח"מ נמנית על עורכי הדין שבקיאים בנושא זה. אתם מוזמנים ליצור עמי קשר בנושא.
