הרשות להגנת הפרטיות ביצעה הליך פיקוח בחברת אינטו השקעות בע"מ, אשר מערכות המידע שלה נתקפו על ידי גורם עוין, וקבעה כי זו הפרה את הוראות החוק בין היתר בשל מעבר לשרתי ענן מבלי שנקטה באמצעי אבטחה מספקים, ובכך לא צמצמה את הסיכון להתרחשות תקיפה מסוג כופרה.
לפני כשנה התרחש בחברת אינטו השקעות בע"מ, המפעילה אתר ופלטפורמת השקעות לצורך השקעות בנדל"ן ברחבי העולם, אירוע אבטחת מידע חמור בשרתי ענן של אמזון AWS שאחסנו את סביבת הבדיקות של החברה.
במסגרת אירוע האבטחה, התרחשה מתקפה מסוג "תקיפה כוחנית" (Brute Force), בה התוקף הרוצה לגלות את הסיסמא לשרת, שאחסן את סביבת הבדיקות של מערכת הרישום של החברה ללקוחות פוטנציאלים, מריץ תהליך או אלגוריתם, שפועל באופן של ניסוי וטעייה לבדיקת מספר רב של קומבינציות של סיסמאות.
מידע רגיש דלף
בכך, נטען, בוצעה חדירה בלתי מורשית למאגר מידע של החברה ולמערכותיה, שהובילה לכך שמידע רגיש אודות אלפי לקוחות החברה, הכולל פרטי קשר, פרטי חשבון בנק ופירוט השקעות, הוצפן ונשלחה עבורו דרישת כופר.
החברה דיווחה לרשות אודות אירוע אבטחת המידע ובעקבותיו בוצע הליך הפיקוח האמור.
ממצאי הליך הפיקוח שביצעה הרשות להגנת הפרטיות העלו כי החברה לא נקטה באמצעים מקובלים בנסיבות העניין כדי לוודא כי הגישה למאגר נעשית בידי בעל הרשאה המורשה לכך בלבד, ובהתרחש האירוע אף לא היה לה מנגנון תיעוד אוטומטי כנדרש בתקנות הגנת הפרטיות (אבטחת מידע) והיא לא הפעילה אמצעי הגנה מתאימים מפני חדירה בלתי מורשית כנדרש.
בנוסף, מצאה הרשות כי החברה לא ניהלה מסמך הגדרות מאגר העומד ברף המקובל בניהול סיכוני אבטחת מידע כנדרש בתקנות ביחס למאגר המידע שהינו מאגר ברמת רגישות בינונית.
בין היתר, מסמך הגדרות המאגר לא כלל ההתייחסות לפעולות של איסוף מידע ושימוש במידע מרשתות חברתיות, לא נכללו בו כל סוגי המידע הכלולים במאגר, הסיכונים העיקריים לאבטחת מידע ואופן ההתמודדות איתם.
בהתאם לממצאי הפיקוח, קבעה הרשות כי החברה הפרה את הוראות חוק הגנת הפרטיות ותקנות מכוחו והעבירה לה הנחיות לתיקון ליקויים.
הרשות הבהירה כי מתקפות מסוג Brute Force כמו זו אשר אירעה בחברה, הינן מתקפות נפוצות וקלות עבור תוקפים.
בו בזמן, כנגד מתקפה מסוג זה ישנן פתרונות ואמצעי אבטחה רבים שנועדו לספק התראה והגנה מצד אחד, ואפשרות התמודדות טובה יותר עם ההתקפה, ככל שתקרה.
הפקת לקחים
בין אמצעי הגנה אלו ניתן למנות תוכנות ומערכות התראה וניטור המונעות ניסיונות תקיפה מסוג זה ושביכולתן לצמצם את היתכנות האירוע וכן בקרות על הליכי הזדהות ואימות גישה.
אמצעים נוספים להתגוננות מפני מתקפות מסוג זה כוללים שימוש בנהלים מסודרים, ניהול הרשאות גישה כראוי, וכלי תיעוד שיאפשרו לזהות את האירוע בזמן סביר הן בשלב ניסיון התקיפה והן לאחר התרחשותו.
זיהוי ותיעוד חשובים לצורך תחקור האירוע למען הפקת לקחים ומניעת הישנות אירועים מסוג זה, וכן לצורך עמידה בחובת הדיווח הקבועה בתקנות אבטחת מידע.
הרשות שבה ומדגישה כי על כל ארגון אשר מחזיק במידע אודות אנשים לעמוד בהוראות תקנות הגנת הפרטיות (אבטחת מידע) וממליצה לחברות ועסקים להיעזר במסמך שפרסמה הכולל דוגמאות לאירועים שאירעו בחברות שונות והמלצות להתגוננות.
עוד הדגישה הרשות כי על ארגונים למפות מראש את הסיכונים הפוטנציאליים לאבטחת המידע, בהתאם לסוג מאגר המידע שברשותם, היקפי המידע הכלולים בו ורגישות המידע.
כמו כן, חשוב לזכור כי כל ארגון במשק אשר מסתייע בספקים חיצוניים לקבלת שירותי ענן או ששוקל מעבר לשימוש בסביבת ענן, נדרש להכיר את הסיכונים הכרוכים במעבר לשרתי ענן ולהיערך בהתאם, לרבות באמצעות בחירת שירותי ספק חיצוני מתאימים ההולמים את סוג המידע, היקפו ורמת האבטחה הנדרשת לו וכן עריכת סקרי סיכונים.
מגבירים אכיפה
יובהר, כי גם בעת התקשרות עם ספקי שירותי ענן במיקור חוץ, האחריות להגנה על המידע היא של בעל המאגר, ומשכך עליו מוטלת החובה לוודא שספק שירות הענן יכול לספק מענה לדרישות אבטחת המידע.
הרשות להגנת הפרטיות מגבירה את האכיפה ופועלת למיצוי כלל הכלים והסמכויות שבידה במקרים בהם ישנה אינדיקציה ברורה להפרה של הוראות חוק הגנת הפרטיות והתקנות מכוחו.
הרשות מבקשת להדגיש, כי ככלל, כל דיווח על אירוע אבטחה חמור נבחן ברשות לגופו ובהתאם מתקבלת החלטה אם אירעה הפרה של הוראות החוק או תקנותיו אם לאו.
במקרה זה, בחינת נסיבות המקרה, אופן התנהלותה של החברה ורמת עמידתה בתקנות אבטחת מידע, הובילו לקביעת הרשות כי החברה הפרה את הוראות החוק באופן ובהיקף המצדיקים קביעת הפרה.
במקרה זה יצוין כי החל מהדיווח על האירוע לרשות, נקטה החברה בפעולות חשובות להתמודדות עימו.