וירוס כופר במשרד עוה"ד: "לא אבטחו מספיק את השרתים"

הרשות להגנת הפרטיות ביצעה הליך פיקוח מנהלי לפירמת עו"ד אליהו מלך ושות' לאחר שמצאה בשרתי המשרד נוזקה מסוג וירוס כופר: "אירוע אבטחה חמור"

גילי סיוון-כהן | 11/01/22, 13:31

הרשות להגנת הפרטיות קבעה כי משרד עו"ד אליהו מלך ושות', הפר את הוראות חוק הגנת הפרטיות בעקבות אירוע אבטחה חמור שהתרחש בו. הרשות ביצעה הליך פיקוח מנהלי בעקבות דיווח שהתקבל מהמשרד, ממנו עלה חשד לתקלה בשרתי המשרד במהלך הליך הפיקוח עלה כי בחלק ממחשבי ושרתי המשרד נמצאה נוזקה מסוג כופרה.

הרשות להגנת הפרטיות ביצעה הליך פיקוח מנהלי לבירור אירוע אבטחה חמור, כהגדרתו בתקנות הגנת הפרטיות, שהתרחש במשרד עו"ד אליהו מלך ושות'. עם זיהוי התקלה, החל צוות מחברת "בינת תקשורת מחשבים בע"מ" (חברה המתחזקת את מערכת השרתים של המשרד) בבחינת התקלה, ולאחר תחקיר נמצא, כי המקור הוא נוזקה מסוג וירוס כופר.

בעקבות הדיווח על האירוע, ביצעה הרשות להגנת הפרטיות פעולות פיקוח שונות אשר כללו, בין היתר, קבלת מידע ראשוני ממשרד עורכי הדין לגבי האירוע ואופן הטיפול בו, פניה בדרישה לקבלת מידע ומסמכים נוספים ובחינת המידע וההשלמות שסופקו. כמו כן, ניתנו למשרד עורכי הדין מספר הנחיות לתיקון הליקויים שנמצאו.

ממצאי הפיקוח העלו, בין היתר, כי התוקף התקין והפעיל תוכנות זדוניות ברשת הארגונית במסגרת התקיפה. במועד האירוע, חלק מהשרתים ותחנות העבודה היו נעולים באמצעות משתמש מקומי, ובאמצעות הרצת תהליכי גניבת סיסמא מקומית, בוצעה כניסה לתחנות אלו. עוד נמצא, כי במועד האירוע על חלק מהשרתים הייתה מותקנת תוכנת TeamViewer המאפשרת התחברות מרחוק. תוכנה זו ידועה בחולשות האבטחה שלה, וקיימת המלצה לא לעשות בה שימוש, או לחלופין להסירה מיד לאחר השימוש.

הנחיות לתיקון הליקויים

הרשות קבעה כי באחריות המשרד לוודא כי הגישה למאגר המידע שברשותו נעשית בידי בעל הרשאה המורשה לכך בלבד. כמו כן, קבעה הרשות כי המשרד לא התקין אמצעי הגנה מתאימים מפני חדירה לא מורשית, טרם חיבר את מערכות המאגר שלו לרשת האינטרנט. בנוסף, קבעה הרשות כי משרד עורכי הדין לא התקין אמצעי אבטחה מקובלים לאבטחת נתוני הלקוחות מפני חדירה לא מורשית.

הרשות הדגישה כי משרדי עורכי דין, מעצם טיבם ועיסוקים מחזיקים במידע רב ורגיש. כמו כל בעלים או מחזיק של מאגר מידע, חלות עליהם חובות בקשר לאבטחת המידע שברשותם, בין אם המידע הוא שלהם עצמם, ובין אם של לקוחותיהם. חובה זו מקבלת משנה תוקף בשל חובתם של עורכי הדין לחיסיון כלפי לקוחותיהם. בהתאם נדרשים משרדי עורכי הדין לוודא כי הגישה למידע תהיה בידי בעל הרשאה בלבד. משרדי עורכי דין רבים מסתייעים בגורם חיצוני לצורך תחזוקת מערכות המחשוב במשרדם. עובדה זו כשלעצמה אינה פוטרת אותם מאחריותם לאבטחת המידע.

בנוסף, מדגישה הרשות, כי שימוש בתוכנות שיתוף (כגון TEAMVIEWR) טומן בחובו סיכוני אבטחת מידע. על בעל מאגר (או מחזיק), אשר עושה שימוש כאמור, לקחת בחשבון כי תוכנות אלו עשויות להוות פרצת אבטחה, אשר תעמיד בסיכון את המידע המוחזק על ידו.

בסיום ההליך קבעה הרשות, כי המשרד הפר את הוראות החוק והתקנות מכוחו וניתנו למשרד הנחיות לתיקון הליקויים שנתגלו.

__________________________________________________________

עו"ד שני רופא

שתף את הכתבה ב:

חזור לכתבות בנושאי: חדשות, מאחורי הגלימה, מרחבי האתר

חייגו עכשיו לעו"ד

לחץ להתייעצות עם עו"ד שני רופא ישירות באמצעות וואצאפ

* עורך הדין מנוי באתר

רוצים להשאר מעודכנים בכל מה שחם בעולם המשפט?
הורידו את אפליקציית אוביטר:

אפליקציית אוביטר לאנדרואיד https://bit.ly/31H6hrk

אפליקצית אוביטר לאייפון https://apple.co/31GhGHV

לדף הפייסבוק שלנו https://bit.ly/32LKr5E

להצטרפות לאחת מקבוצות הוואטסאפ שלנו https://obiter.co.il/ask-lawyer

אתר החדשות המשפטיות obiter.co.il עושה כל מאמץ לאתר זכויות על תמונות וסרטונים המתפרסמים בו. אולם לעיתים התמונות והסרטונים מופצים ברחבי הרשת ולא מתאפשרת הגעה למקור החומר הויזאולי, לכן בהתאם לסעיף 27א' לחוק זכויות היוצרים כל אדם הרואה עצמו נפגע עקב בעלות על זכויות היוצרים של תמונה או סרטון מוזמן לפנות להנהלת האתר office@obiter.co.il