תקנות אבטחת מידע: דיווחים מעטים על ארועי אבטחה. מתחילה אכיפה מלאה

מאז נכנסו לתוקף תקנות הגנת הפרטיות (אבטוחת מידע) הרשות להגנת הפרטיות קיימה 146 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים. רק 103 מתוך אירועי האבטחה חמורים אלו דווחו לרשות כפי שמתחייב. בימים אלו, משנסתיימה תקופת ההיערכות, הודיעה הרשות כי תתחיל באכיפה מלאה של הוראות תקנות אבטחת מידע. במסגרת זו הרשות תחקור כל הפרה של הוראות התקנות ותפעל כנגד אלה שלא יעמדו בדרישותיהן. במקביל, תמשיך לבצע פיקוחי רוחב מגזריים במאות גופים ציבוריים ופרטיים.

הרשות מסרה כי ב-13% מהמקרים שנבדקו נקבעה הפרה של הוראות החוק וב-66% נדרשו הארגונים לבצע תיקוני ליקויים אך לא נקבעה הפרה. מירב האירועים ארעו בסקטור הביטוח והפיננסים (23%) אך גם בסקטור הטכנולוגיה, הבריאות והחינוך. הארועים עסקו במגוון רחב של תקיפות, כמו ניצול פרצות במסדי נתונים (15%), שימוש לרעה בפרטי גישה (7%), הנדסת אנוש, נוזקות וטעויות אנוש.

תקנות אבטחת מידע מחייבות כל גורם במשק בישראל, ציבורי ופרטי, המנהל מידע אישי, לקיים דרישות אבטחת מידע בהתאם לרמת הסיכון בעיבוד המידע. בהתאם לזאת, בעל מאגר שחלה עליו חובת אבטחה בינונית או גבוהה מחויב להודיע לרשות בהתרחש אירוע אבטחת מידע חמור תוך 24 שעות ממועד גילויו ולא יאוחר מ-72 שעות. מקרים בהם יתגלו ממצאים רשלניים לרבות אי-דיווח לרשות, עלולים להוביל לסנקציה של איסור המשך שימוש במידע. 

עו"ד עלי קלדרון, הממונה על האכיפה ברשות, אמר כי: "אנו חיים בעידן בו תחום המידע האישי והשימושים בו עבר ועודנו עובר מהפכה של ממש. המידע האישי שלנו הפך למטבע החדש. במקביל לעליית ערך המידע, עולה גם המוטיבציה של גורמים אשר רוצים לשים ידם על המידע האישי של כל אחד מאיתנו, וכך גם תחכומם. בהתאם, תחום הגנת המידע האישי מקבל חשיבות עליונה". מקור: דוברות משרד המשפטים