X
תחקיר בלעדי

ישראל 2024: האם הרשויות העירוניות מפקירות את המידע האישי של תושביהן?

תושב רמת השרון נדהם לגלות כי הקבלה שנשלחה אליו מטעם אגודת הספורט העירונית, מובילה בקלות רבה לקבלות של עוד אלפי תושבים אחרים בעיר • ניב שגב, סמנכ"ל טכנולוגיות ב"קווליטסט": "נדמה כי החשיבות בהגנת סייבר במערכות העירוניות עוד לא הופנמה עד הסוף"

דניאלה גינזבורג
, עודכן
0השמעה
ילדים בדרכם לבית הספר. העירייה ואגודת הספורט ברמת השרון כשלו בשמירה על המידע האישי. צילום: משה שי (ארכיון)

היינו רוצים לחשוב שבישראל של שנת 2024, חמישה חודשים לאחר תחילה של מלחמת "חרבות ברזל", כשבכל מקום מזהירים מפני התרחבות חזית הסייבר שמנהלת איראן ושלוחותיה נגדנו ולאור הקלות בה ניתן אפילו "לעקוץ" אנשים, תהיה מודעות גבוהה ביותר לענייני סייבר ואבטחת מידע. אז היינו רוצים.

ד', תושב רמת השרון, מספר כי לאחר שרשם את שלושת בניו לחוגים שונים באגודת הספורט העירונית באמצעות יצירת קשר טלפוני ותשלום באשראי, הוא שם לב כי הקבלה אותה האגודה שולחת, דרך חברת סליקה צד שלישי בשם "קומפיט" (Compete) – היא בעצם לינק לענן, דרכו ניתן לגשת לכל החשבוניות שמוציאה האגודה ללקוחותיה.

הקבלות שניתן היה לגשת אליהן, צילום: ללא

מידע אישי פרוץ וחשוף

באותן הקבלות מצוי מידע אישי רב וקריטי – כתובת מדויקת, שם מלא, שמות בני המשפחה (במקרה זה הילדים שנרשמו לחוגים), שם בית הספר והחוג, סכום החיוב וארבע ספרות אחרונות של כרטיס האשראי. במילים אחרות – מידע רגיש שיכול לשמש בקלות נוכלים ופושעי סייבר.

נכון לעכשיו, לא ברור כמה זמן הדלף הזה מתרחש ואיך קרה מצב שבו אף גורם, החל מחברת הסליקה, דרך אגודת הספורט ועד עיריית רמת השרון (שאמורה לפקח על חברות איתן היא עובדת ומחזיקות במידע רגיש של תושבי העיר) – לא שם לב שהקבלות שנשלחות, פרוצות לחלוטין.

ניב שגב, סמנכ"ל טכנולוגיות ומומחה סייבר בחברת קווליטסט: "מדובר במקרה חמור של דליפת מידע, בעיקר בגלל הקלות בה ניתן לאתר פרטים אישיים של אנשים. במקרה הזה לא צריך להיות האקר מתוחכם או בעל ציוד מתקדם – כל אחד יכול בעזרת דפדפן האינטרנט להפך לתוקף".

ניב שגב, צילום: פרטי

לדבריו, "זה חמור עוד יותר בימים אלו, שלצד הגזרות מצפון ומדרום – מתקיימת מלחמה נרחבת במרחב הקיברנטי שמחייבת הגנת סייבר הדוקה יותר מאי פעם. המחדל הראשון הוא קודם כל אצל הרשות המקומית - תושבים שמקבלים שירותים מגורמים 'עירוניים', יוצאים מנקודת הנחה שהעירייה עושה את הנדרש כדי להגן על הפרטים האישיים שלהם מפני תקיפות סייבר".

"מדובר בגוף ציבורי, לא רכישת און ליין מאתר מפוקפק, לכן היה צריך לדרוש מהספק לעמוד בתקני אבטחת מידע מסוג  ISO27001, לערוך מבדקי חדירות אחת לרבעון ולהציג דו"חות טיפול בבעיות. בנוסף, היה צריך לחסום את הגישה לענן שבו מאוחסנות הקבלות ולהעביר את הקבלה ישירות לתושב", טוען שגב.

עוד הוא מוסיף כי "צריך לזכור שחובתה של כל עירייה היא להגן על המרחב הפיזי של תושביה. עליה לתת את הדעת להגנה על המרחב הדיגיטלי ושמירה על המידע של תושביה מפני גורמים זדוניים. כרגע, נדמה כי ראשי עיר רבים מדי לא הפנימו את החשיבות של הגנת סייבר גם במערכות העירוניות".

עיריית רמת השרון. איפה האחריות למידע של תושבים?, צילום: יהושע יוסף

"המחדל השני הוא כמובן אצל הספק. המידע שמגיע אליו לא נשמר בצורה מאובטחת, מאפשר גישה לקבצים בענן ללא מנגנון ולידציה בסיסי ובעצם המידע לא מוצפן בשום צורה. זה בתורו, מאפשר לתוקפים לשים יד על מאגר מידע עצום בגודלו וברגע אחד – להוציא מתקפה נרחבת", שגב מסכם.

מאגודת הספורט נמסר: "האירוע המתואר לא היה מוכר אצלנו. פנינו לחברת 'קומפיט', חברת התוכנה האחראית על הפעלת המערכת (הכוללת את כל אישורי האבטחה הנדרשים בחוק) ונמסר לנו כי אכן הייתה תקלה זמנית שתוקנה זה מכבר. אנו נברר את הנושא עד תום מול חברת התוכנה".

בחברת "קומפיט" סירבו להגיב לידיעה. מעיריית רמת השרון לא נמסרה תגובה נכון לכתיבת שורות אלו.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
אבטחת מידעהרשויות המקומיותמלחמת חרבות ברזלסייבררמת השרון

כדאי להכיר