בעקבות מידע שהגיע לידי הרשות להגנת הפרטיות על אירוע אבטחת מידע, במסגרתו מידע רפואי על מועמדות ובנות שרות לאומי היה חשוף ברשת, ערכה הרשות הליך פיקוח שבסופו נקבעה לעמותת "עמינדב" הפרה של חוק הגנת הפרטיות והתקנות מכוחו.
ברשות להגנת הפרטיות התקבל דיווח, אשר הצביע על ליקויי אבטחת מידע בעמותת "עמינדב", אגודה תורנית להתנדבות, שהביאו לחשיפתו של מידע על מועמדות לשירות לאומי וכן על בנות הנמצאות במהלך השירות. בין פרטי המידע שנחשפו ניתן היה למצוא צילומי תעודות זהות, שמות משתמשים וסיסמאות, שם ההורים, כתובות, טלפון, מספר חשבון בנק, תמונות, ותעודות רפואיות.
מידע בענן
ממצאי הפיקוח העלו כי במועד האירוע, שהתרחש לפני כשנה, מידע שאוחסן על ידי העמותה בשירות הענן של Amazon Web Services – AWS היה זמין לגישה מרשת האינטרנט ללא צורך בהזדהות, לפרק זמן של לפחות חודש וחצי, ועד למועד בו נודע לעמותה על קרות האירוע. על אף שהאירוע נודע לעמותה, זו לא דיווחה לרשות על האירוע מיד עם היוודע לה, כנדרש בהוראות תקנות הגנת הפרטיות (אבטחת מידע).
הרשות מדגישה כי לפי תקנות הגנת הפרטיות (אבטחת מידע) חלה חובה על כל ארגון במשק לדווח לה באופן מיידי בכל במקרה של אירוע אבטחה חמור. ממצאי הליך הפיקוח שערכה הרשות, בעקבותיו נקבעה לעמותה הפרה בחודש מאי האחרון, העלו כי הליך העברת המידע מהשרת המקומי של העמותה לשירות הענן של – AWS התבצע שלא בהתאם לסטנדרט אבטחה מקובל. כך לדוגמה, לא הוגדרו הגדרות אבטחה מומלצות המפורטות במסמכי אמאזון, הגישה למידע הוגדרה כציבורית ולא פרטית, לא הופעל מנגנון ניטור תיעוד והתראה לאירועי אבטחת מידע ועוד.
הפרה של חוק הגנת הפרטיות
בהתאם לממצאי האירוע קבעה הרשות, כי העמותה הפרה את הוראות סעיף 17 לחוק הגנת הפרטיות, הכולל דרישות לאבטחת המידע במאגרי מידע וכן את הוראות תקנות הגנת הפרטיות (אבטחת מידע). בנוסף לכך הרשות נתנה לעמותה הנחיות לתיקון ליקויים, אשר העבירה בהמשך תכנית עבודה לתיקון ליקויים ולשדרוג מערך האבטחה שלה.
ההפרה כללה, בין היתר, מתן גישה למאגר המידע ללא נקיטת אמצעים מקובלים כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד, אפשרות גישה למידע ולמערכות המאגר דרך רשת האינטרנט, וזאת מבלי שהותקנו אמצעי הגנה מתאימים מפני חדירה לא מורשית ואי יישום מנגנוני בקרה מספקים לגילוי וזיהוי אירועים חריגים במאגר המידע.
על פי נתוני שנתון העמותות של רשם העמותות במשרד המשפטים בישראל 19,205 עמותות פעילות, נכון ליוני 2020. כמי שמעניקות שירות ותמיכה לציבור רחב בתחומים שונים, מטבע הדברים במקרים רבים, פעילותן של העמותות כמי שמעניקות שירותים לציבור, כוללת איסוף ואחזקה של מידע אישי לרבות מידע רגיש ביותר כמו מידע רפואי, משפחתי, רווחתי וכלכלי. הרשות קבעה בעבר מספר הפרות של הוראות חוק הגנת הפרטיות והתקנות מכוחו לעמותות ורואה חשיבות רבה בהעלאת מודעות העמותות לנושא הגנת הפרטיות.
מגבירים אכיפה
הרשות להגנת הפרטיות מגבירה את האכיפה ופועלת למיצוי כלל הכלים והסמכויות שבידה במקרים בהם ישנה אינדיקציה ברורה להפרה של הוראות חוק הגנת הפרטיות והתקנות מכוחו. יחד עם זאת, מטבע הדברים, לא כל אירוע אבטחת מידע מסתיים בקביעת הפרה והדבר תלוי בנסיבות כל מקרה.
בימים אלו צפויה הרשות לצאת בהליך אכיפה, במסגרת מערך פיקוח הרוחב בקרב עשרות עמותות וגופי מגזר שלישי, כחלק מהליך שנתי בו תבחן הרשות במהלך השנה למעלה מ-200 גופים במגזרים שונים, במטרה לאתר הפרות וכשלים ענפיים הדורשים התייחסות והבהרות, ובכדי להגביר את המודעות להוראות החוק והתקנות.
__________________________________________________________________
