עדכון פרטיות בנושא: אירוע האבטחה בחברת שירביט כתמרור אזהרה למקבלי החלטות

אתר

צרו קשר

הרשמה לעדכונים

עדכון פרטיות בנושא: אירוע האבטחה בחברת שירביט כתמרור אזהרה למקבלי החלטות

אירוע אבטחת המידע שאירע לאחרונה בחברת שירביט תופס כותרות בחדשות ומסעיר את עולם אבטחת המידע ואת חברות הביטוח. אך יש לציין כי מדובר באירוע שקורה חדשות לבקרים, ועשוי לקרות לכל אחד, גם לכם. לפיכך, אירוע שכזה צריך להוות תמרור אזהרה בולט במיוחד למקבלי החלטות לטפל בכל הרצינות והמקצועיות בניהול מידע אישי בארגונים באופן מאובטח ובהתאם לכל הדרישות הרגולטוריות לפי דין.

כזכור, קבוצת האקרים המכנים עצמם BlackShadow, הצליחו לפרוץ לרשת המחשוב של חברת הביטוח שירביט ולשים ידם על מידע אישי רב ביותר של מבוטחים, הכולל בין היתר, העתקים של תעודות זהות, רשיונות נהיגה ורשיונות רכב, מסמכים הכרוכים בתביעות של מבוטחים, מידע רפואי כמו סיכומי אשפוז ודוחות רפואיים, ועוד.

רוחב היריעה מעיד על פוטנציאל פגיעה נרחב בפעילות החברה – שנעצרה - ובמוניטין שלה, ונראה כי האירוע הפך לאסטרטגי. אולם פוטנציאל נזק חמור לא פחות הוא של אותם מבוטחים אשר שמו מבטחם בחברה ועתה המידע האישי שלהם, ואפילו מידע רגיש, מצוי בידיים של האקרים עלומים המטילים כמויות גדולות מן המידע לרשת האינטרנט מעת לעת (דאמפינג) וחושפים את פרטיהם של אנשים על לא עוול בכפם.

המידע המופץ באינטרנט עשוי לשמש פושעי סייבר, האקרים וגורמים אחרים ברשת שירצו לגנוב את זהותם של אותם אנשים, לפנות לקרוביהם במתקפות פישינג וכופרה ולגרום להם לנזקים עקיפים שונים.

בעקבות דיווח של החברה אודות אירוע אבטחה חמור, רשות הגנת הפרטיות פתחה בהליך מנהלי במסגרתו היא בוחנת הן את פעילותה של החברה לפני קרות האירוע והן במהלך האירוע מרגע שנודע לה על הפריצה. אם יימצא שהחברה לא קיימה את הוראות הדין כראוי, הרשות עשויה להטיל סנקציות על החברה, ובסמכותה גם להטיל סנקציות על נושאי משרה רלוונטיים. אימוץ נוהל אירוע אבטחה מבעוד מועד עשוי לסייע לארגונים לצמצם את הסיכון בקרות אירוע.

עוד מוקדם לקבוע מה גרם לכשל במערך ההגנה של שירביט, והאם החברה פעלה בהתאם להוראות החוק או לא, אבל ברור שאימוץ אמצעי הגנה מתאימים, נהלים, ופרקטיקות ניהוליות בהתאם להוראות הדין – יכולים לעשות את ההבדל בין אירוע קטן לאירוע אסטרטגי עם פוטנציאל נזק רחב היקף.

כל ארגון שמנהל מידע אישי עבור עצמו או עבור אחרים, חייב להקפיד על עמידה מלאה בדרישות חוק הגנת הפרטיות, תקנותיו והנחיות הרגולטור. מנהלים צריכים להבין שכאשר הארגון מחזיק או מנהל מידע אישי, יש לבצע סקר סיכונים ולבצע התאמות לדרישות דיני הגנת הפרטיות ובכללן גם הוראות אבטחת מידע.

מערך הסייבר הלאומי כבר פרסם הוראות עבור אלו שתעודות הזהות שלהם פורסמו לדוגמא. מומלץ לבדוק את המלצות מערך הסייבר הלאומי גם בקשר לחיזוק אמצעי האבטחה בארגונים - כאן.

גם רשות הגנת הפרטיות פרסמה מספר דגשים להוראות אבטחה – כאן.

בכל שאלה נוספת, מחלקת הפרטיות של משרדנו לשירותכם.

האמור במסמך זה אינו מובא כתחליף לקבלת ייעוץ משפטי והוא מהווה מידע כללי בלבד.

לחצו כאן להרשמה לעדכונים

עו"ד ליאור אתגר,

מוביל את תחום הגנת הפרטיות והמידע במשרד.

טלפון: 972-3-7770120+
מייל: liore@ebnlaw.co.il

הגנת הפרטיות, סייבר ו-IT

למשרדנו נסיון משמעותי בייעוץ בתחום דיני הגנת הפרטיות ואבטחת המידע, בין היתר במסגרת עסקאות, הסכמים מסחריים, סקרי ציות וסיכונים, ובהיבטי ממשל תאגידי בניהול המידע, עם ידע נרחב בראי רגולציות מתקדמות בעולם, כגון ה-GDPR, CCPA ו-HIPAA.

כמו-כן, אנו מייעצים ללקוחותינו בהיבטי רגולציה ביישומים טכנולוגיים מורכבים המשלבים עיבוד מידע, לרבות בקשר לשירותי SaaS, שירותים אינטרנטיים אחרים, אפליקציות, אוטומציה של תהליכים ארגוניים, ולנו נסיון ייחודי בנוגע לעיבוד מידע רפואי באמצעות מכשור רפואי, מערכות ניהול מידע ומחקרים קליניים.