הרשות להגנת הפרטיות במשרד המשפטים הודיעה כי חברת שירביט העבירה לה ולרשויות רלוונטיות נוספות דיווח ביחס לאירוע האבטחה החמור, ובעקבותיו פתחה הרשות בהליך חקירה. במסגרת הליך חקירה זה, צוין, בוחנת הרשות את "ההיבטים הקשורים להגנה על המידע האישי של לקוחות החברה ואת הפגיעה בהם כתוצאה מדליפת המידע, וכן את פעולות החברה בנוגע לאירוע ועמידתה בהוראות החוק".
בין השאר, כך על פי הודעתה, הרשות העבירה לחברת שירביט דרישה לעדכן באופן אישי את הלקוחות אשר עשויים להיפגע מאירוע זה, בהתאם לסמכותה מכח תקנות הגנת הפרטיות (אבטחת מידע), וזאת "על מנת לאפשר להם לנקוט אמצעי זהירות מתאימים ולצמצם את הנזק הפוטנציאלי כתוצאה מדלף המידע על אודותיהם".
"כמו כן", נכתב עוד, "הרשות עומדת בקשר עם החברה ותאשר חיבור מאגרי המידע למערכות חיצוניות רק לאחר ביצוע פעולות נדרשות, אשר ימנעו הרחבת האירוע או הישנות תקיפות שיביאו לדלף מידע אישי נוסף".
ברשות להגנת הפרטיות מדגישים כי אירועי אבטחה מסוג זה יוצרים מטבע הדברים עניין רב בציבור ובמיוחד בחברות הנפגעות ובחברות המשתייכות לסקטורים הנפגעים. "תוקפים", כך נכתב, "לעיתים מנצלים את הפעילות התקשורתית הרבה, ומעבירים במסגרת הודעות דוא"ל, הודעות SMS ומסרים מיידיים קישורים וקבצים הנחזים להיות גילויים מהאירוע או צילומים של פרטים שדלפו. בפועל, קבצים וקישורים אלה כוללים קבצים פוגעניים שמטרתם לחדור למערכות הגופים אליהם הגיעה ההודעה".
הרשות מדגישה את חשיבות ההגנה על בטחון המידע וקוראת לכל גורם במשק המנהל מאגרי מידע לבדוק את מידת עמידתו בהוראות התקנות וההגנה על מידע. תקנות הגנת הפרטיות (אבטחת מידע) מחייבות כל גורם במשק בישראל, ציבורי ופרטי, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו בארגון. על ארגונים לוודא כי הם עומדים בדרישות החוק והתקנות, ומקפידים על ביצועם ויישומם של בקרות ניהוליות ועל מימוש ויישום מדיניות אבטחת מידע
מ"מ ראש הרשות להגנת הפרטיות, ד"ר שלומית ווגמן, מסרה: "האירועים בימים האחרונים מדגישים את חשיבות ההגנה על המידע האישי המצוי בכל חברה המחזיקה במידע אודות לקוחותיה. פוטנציאל הנזק הוא עצום בעיקר בהיבט של הפגיעה בפרטיות הלקוחות אך גם בחשיפת החברות לתביעות והליכים משפטיים ופגיעה קשה במוניטין שלהן. הרשות מדגישה כי כל גורם במשק, פרטי וציבורי כאחד, חייב להקפיד על קיום הוראות תקנות הגנת הפרטיות (אבטחת מידע) במטרה לצמצם את הסיכון להתרחשותם של אירועי אבטחה חמורים ודליפת מידע אישי על לקוחות. אנו מזכירים כי בכל מקרה של אירוע אבטחה חמור, יש לדווח עליו לרשות להגנת הפרטיות באופן מיידי".
