כרבע מאירועי האבטחה בישראל לא מדווחים

כשנה לאחר כניסתן לתוקף של תקנות אבטחת המידע החדשות, מפרסמת הרשות להגנת הפרטיות נתונים על מצב ביטחון המידע וההפרות שלו בישראל.

החל ממועד כניסתן התקנות לתוקף, הרשות להגנת הפרטיות קיימה 146 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים. 

נתון חמור הוא שרק 103 מתוך אירועי האבטחה החמורים דווחו לרשות להגנת הפרטיות, כפי שמחייבות התקנות. יתר הליכי האכיפה בוצעו בעקבות תלונות או פעילות יזומה של הרשות. ב-13% מהמקרים נקבעה לגופים הפרה של הוראות החוק והתקנות וב-66% נדרשו הגופים לבצע תיקוני ליקויים אך לא נקבעה הפרה. 

הסקטורים בהם אירעו מירב האירועים: הביטוח והפיננסים (23%), הסקטור הטכנולוגי, הכולל חברות בתחומי מערכות מידע (10%), ואחריהם פלחי הבריאות (10%), התקשורת (8%), החינוך (8%), אינטרנט (7%) ומדע וטכנולוגיה (2%).

 

נגמרה תקופת החסד, האכיפה תוגבר

ניתוח אירועי האבטחה החמורים מלמד על סוגי פריצות שונים בהם תקיפות מסוג של SQL Injection, כלומר ניצול פרצת אבטחה במסד הנתונים (15%), שימוש לרעה בפרטי גישה (7%), הנדסת אנוש, נוזקות, תקיפות כוח גס (Brute Force) לפריצת סיסמאות, וכן טעויות אנוש שכללו הגדרות שגויות במערכות (9%), מסירת מידע לא מכוונת (8%) ללא הרשאה או אבדן מדיה.

מאז נכנסו התקנות לתוקף, במאי 2018, דווחו לרשות אירועי אבטחת מידע חמורים, אולם ההערכה היא שקיימים אירועים נוספים אשר לא דווחו כפי שמחייבות התקנות. 

בימים אלה, לאחר שנסתיימה תקופת ההיערכות שקבעה הרשות להגנת הפרטיות, תחל הרשות באכיפה מלאה של הוראות תקנות אבטחת מידע, החלות על כל המשק הישראלי, ומטרתן הגנה על המידע האישי של הציבור באמצעות עמידה בדרישות אבטחת מידע.

מקרים בהם יתגלו ממצאים רשלניים בהתנהלות גופים בכל הנוגע לעמידתם בדרישות, לרבות אופן הטיפול באירועי אבטחת המידע או אי-דיווח לרשות, עלולים להוביל לסנקציה של איסור המשך שימוש במידע.

בעל מאגר מידע שחלה עליו חובת אבטחה בינונית או גבוהה מחויב להודיע לרשות להגנת הפרטיות בהתרחש אירוע אבטחת מידע חמור תוך 24 שעות ממועד גילויו, ולא יאוחר מ-72 שעות, ולדווח על הצעדים שנקט בעקבות האירוע. בנוסף, דורשת הרשות לדווח גם לאנשים שהמידע אודותיהם נחשף.

לעוד חדשות טכנולוגיה הצטרפו לטלגרם שלנו

 

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו