פיקוח שביצעה הרשות להגנת הפרטיות בעיריית הוד השרון, בעקבות דיווח על אירוע אבטחת מידע, העלה כי אירעה פריצה לשרתים בבעלות העירייה, אשר הכילו מידע אישי רב, הן אודות תושבי העיר והן אודות עובדי העירייה. השרתים שנפרצו הכילו מידע אישי הכולל , בין היתר, מסמכים, התכתבויות דואר אלקטרוני, תלונות של תושבים לרבות שמות ומספרי זהות, מידע על עובדים המשתמשים במערכות העירייה ועוד.
- נעזרים בגופים למימוש זכויות רפואיות? שמרו על הפרטים שלכם!
- הרשות להגנת הפרטיות ממליצה: "צמצמו את איסוף המידע"
חקירת הרשות להגנת הפרטיות העלתה כי הפריצה התבצעה על ידי רוגלה (תוכנת ריגול), שאפשרה גישה לכניסה מרחוק לשרתים; בהמשך לכך, הרוגלה הצפינה קבצים שונים אשר אפשרו שליטה מלאה במערכת לאחר הפריצה.
עיריית הוד השרון לא הקפידה על ניהול תקין
ממצאי הפיקוח של הרשות העלו, כי העירייה פעלה שלא בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017: במועד האירוע הגדרות הרשאות הגישה שנקבעו למשתמשים במחשבי העיריה נעשו בצורה כוללת, לא בהתאם להגדרת התפקיד ולא במידה הנדרשת לביצוע התפקיד בלבד. כמו כן, נמצא כי העירייה לא נקטה באמצעים מקובלים כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך.
עוד עלה, כי במועד האירוע לא הקפידה העירייה על ניהול ותפעול תקין של מערכות מאגר המידע שנפרץ ואפשרה גישה למידע דרך רשת האינטרנט, מבלי נקיטת אמצעי הגנה מתאימים מפני חדירה לא מורשית. במסגרת כך, לא בוצעה הפרדה בסביבות העבודה בין מערכות המאגר בהן ניתן לגשת למידע לבין מערכות מחשוב אחרות, לא בוצעו עדכונים שוטפים למערכות ההפעלה של המאגר במחשבי החברה ונעשה שימוש במערכות אשר היצרן הפסיק לתמוך בעדכוני אבטחת מידע בהן.
קנס מנהלי
בנוסף, עיריית הוד השרון לא קיימה כנדרש בתקנות הגנת הפרטיות (אבטחת מידע) סקר לאיתור סיכוני אבטחת מידע במערכותיה במועד הדרוש, ולא פעלה כדי לתקן את הממצאים שנתגלו בסקר קודם שקיימה בנושא.
לאור כל אלה הרשות קבעה כי העירייה הפרה את הוראות חוק הגנת הפרטיות והתקנות מכוחו ונתנה לעירייה הנחיות לתיקון הליקויים שהתגלו במסגרת הליך הפיקוח. על העירייה אף הוטל קנס מנהלי על סך 10 אלף שקלים בגין אי-רישום של מאגרי מידע החייבים ברישום מכוח הוראות חוק הגנת הפרטיות.
תגובתה של עיריית הוד השרון לאירוע הפריצה:
"מאז אירוע ניסיון הכופר בחודש מרץ 2020 שסוכל בהצלחה על ידי עיריית הוד השרון, עובדת העירייה בתיאום עם מספר גופי ממשלה, בהם הרשות להגנת הפרטיות לניתוח האירוע, הפקת לקחים מתהליך ההתגוננות והיערכות להמשך."
הופתענו לקרוא היום את הודעת דוברות הרשות שאינה תואמת את התהליך שנעשה מול הרשות ואף את הדו"ח המסכם שלה. בנוסף, ההודעה אינה תואמת מסקנות של גופי בדיקה נוספים דוגמת המנהל לשירות חירום – יחידת הסייבר של משרד הפנים.
הגדרת האירוע כאירוע דליפת מידע הינה שגויה מיסודה – מדובר באירוע מסוג וירוס כופר שמטרתו נעילת קבצים לצורך תמורה כספית, ולא כפי המצוין בהודעת הרשות להגנת הפרטיות. בניגוד למשתמע מההודעה, לא נראתה שום אינדיקציה באף אחת מהבדיקות פנימיות וחיצוניות, לדליפת מידע מאגרי המידע המוחזקים בעירייה ולא נגרמה כל פגיעה בפרטיותם של הגורמים הבאים במגע עם העירייה ונתוניהם לא זלגו לאף גורם, גם היום יותר משנה לאחר סיום האירוע.
תחקיר לאחר חקירת הפריצה
בעקבות התחקיר שבוצע על ידי יחידת הסייבר של משרד הפנים, שעודכנה על ידי עיריית הוד השרון מיד עם תחילת האירוע, טופלו רוב הליקויים ותהליכי עומק לתיקון מערכות המידע נמשכים, כאמור בשיתוף פעולה.
נדגיש שוב, כי הנתונים והפרטים האישיים של תושבות ותושבי העירייה ומערכות העירייה ובסיסי הנתונים של המערכים נמצאים "בענן" ולכן לא היו מעורבים כלל באירוע.
עוד קודם לאירוע הוקם אגף מערכות מידע וכן מאז האירוע בוצע רישום של כל מאגרי המידע וכן מונה ממונה אבטחת מידע לצורך טיפול באירועים דומים.
יש לציין כי במכתב של הרשות להגנת הפרטיות בנושא שנשלח לעיריית הוד השרון הם אף אישרו את הפרטים, והדגישו כי מדובר באירוע כופר וכי הם מברכים על הצעדים שנקטה העירייה בנושא להלן הסעיפים הרלבנטיים מסיכום דוח תיקון ליקויים של הרשות להגנת הפרטיות לעיונכם:
- הרשות מברכת על הצעדים שננקטו על ידי העיריה, כפי שתוארו במפורט במכתב המענה, ובהתכתבויות בין המחלקות השונות ברשות לבין נציגי העיריה.
- העיריה העבירה תוכנית לטיפול בליקויים אשר נמצאו לאורך הפיקוח ואשר עלו כממצאים מתחקיר אירוע אבטחת המידע.
- בהמשך למסמכים שהועברו לרשות, יש להעביר עדכון בדבר תיקון הליקויים ורישום המאגרים, כפי שהתבקש, עד ליום 2.7.2021.
- בזאת מסתיים ההליך ותיק הפיקוח שמספרו 1873 נסגר. אנו מודים על שיתוף הפעולה".
