הרשות להגנת הפרטיות: סייברסרב הפרה את החוק ואת תקנות אבטחת מידע

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד טל קפלן

שותף וחבר בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: דקה אחת
שמור ב"תכנים שלי"

הרשות להגנת הפרטיות (משרד המשפטים) קבעה לאחרונה כי חברת סייברסרב אינטרנט ותקשורת בע"מ הפרה את סעיף 17 לחוק הגנת הפרטיות - הקובע את האחריות לאבטחת מידע במאגרי מידע - וכן הוראות שונות בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017.

בשנת 2021 פתחה הרשות בהליך פיקוח מנהלי, שנועד לבחון את עמידתה של "סייברסרב" בהוראות החוק והתקנות לעיל, וזאת בעקבות אירוע אבטחה חמור בשרתי החברה ודליפת מידע רגיש על לקוחותיה שהתרחש בסמוך לכך. כחלק מהאירוע עלה חשד לדלף של מידע אישי רגיש, לרבות מידע על צנעת האישות של נושאי המידע, שמקורו במשתמשי אתר "אטרף" להיכרויות בקהילה הלהט"בית. אתר שהחברה ניהלה, אחסנה והפעילה.

במסגרת הליך הפיקוח נמצא כי סייברסרב לא עמדתה בחובה המוטלת עליה מכוח סעיף 17 לחוק הגנת הפרטיות, וכן כי הפרה את תקנות 4(ג)(1), 4(ג)(3), 5(א), 7, 16(א), ו-16(ב) לתקנות אבטחת מידע. בכלל זה, החברה לא עדכנה את נהלי האבטחה שלה ולא כללה בהם הוראות בדבר האבטחה הפיזית של מערכות המאגר ואמצעי ההגנה שנועדו למנוע אירועי דלף וחדירה; לא ערכה מיפוי של מערכות המאגר כנדרש; לא הדריכה את עובדיה כנדרש להתנהלות בטוחה עם מאגרי המידע; ולא ערכה ביקורות תקופתיות כנדרש בתקנות. בשלב זה, מעבר לקביעת ההפרה, הרשות לא הודיעה על סנקציות נוספות שהטילה על החברה.

law.co.il מזכיר כי בחודש אוקטובר האחרון (2024) אישר ביהמ"ש המחוזי מרכז-לוד הסדר הפשרה אליו הגיעו הצדדים בהליכים הייצוגיים שעסקו באחריות "סייברסרב" לנזקים שנגרמו למשתמשי אתר "אטרף" בעקבות אותו אירוע [ת"צ (מרכז) 8696-11-21 פלונית ואח' נ' סייברסרב אינטרנט ותקשורת בע"מ]. הפשרה כללה הסדרה עתידית של אתר אטרף החדש, עם פירוט לאמצעי האבטחה וניהול הנתונים באתר, ומתן פיצוי לחברי הקבוצה שיוכלו כעת לממש הטבה למנוי פרמיום בהרשמה לאתר. שווי ההטבה נאמד ב- 480,000 ש"ח. 

בסוף 2021 הדליפה קבוצת ההאקרים Black Shadow, שפעלה מטעם המשטר האיראני, מידע אישי של מאות אלפי ישראלים ממאגרי המידע באתרים שסייברסרב אחסנה. בין האתרים היה גם "אטרף", והאתר של מכון מור שמספק שירותים רפואיים. במסגרת הדלפת המידע ממאגריה פורסם מידע אישי רב, כולל מידע רפואי של מטופלים במכון מור, וכן שמות, כינויים, כתובות, מספרי טלפון, פרטי אשראי, העדפות מיניות, ונשאות ל-HIV של משתמשי אטרף. משתמשי אטרף הגישו תובענות ייצוגיות נגד סייברסרב מיד לאחר הדלפת המידע, ותביעה כזו אושרה באפריל 2022.

Black Shadow אחראית גם לפריצה לשרתי חברת הביטוח שירביט ב-2020, בעקבותיה נקנסה שירביט על ידי רשות שוק ההון, הביטחון והחיסכון בסך של 10.72 מיליון ש"ח בעקבות הפרת חובותיה לפי הוראות הממונה בתחום ניהול סיכוני הסייבר, וכן לפריצה לשרתי חברת מימון הרכב ק.ל.ס קפיטל בע"מ ב-2021.