הרשות להגנת הפרטיות פתחה בחקירת מתקפת הסייבר על שירביט

הרשות להגנת הפרטיות פתחה היום (א') בחקירת מתקפת הכופרה הרחבה ששירביט חווה מזה כמה ימים, לאחר שזו העבירה לה דיווח על אודות המתקפה.

חברת הביטוח עוברת מזה ימים אחדים מתקפת כופרה, שבמסגרתה האקרים מקבוצת Black Shadow מפרסמים מידע אישי על עובדים ולקוחות שלה. ההאקרים דרשו ביום ה' האחרון משירביט לשלם להם סכום בביטקוין בשווי של מיליון דולר, כאשר למחרת הם הכפילו את הסכום פי שניים ובשבת עשו זאת שוב. כלומר, דרישת התשלום המקסימלית שלהם עד כה עמדה על סכום בביטקוין בשווי של ארבעה מיליון דולר. שירביט סירבה לדרישה של ההאקרים, אם כי ניהלה אתם משא ומתן. בתגובה, הם הודיעו כי ימכרו את המידע לגורם שלישי, ואף דיווחו הבוקר כי קיבלו כמה הצעות לרכישת המידע, בהן מגורם איראני.

במסגרת החקירה בוחנת הרשות להגנת הפרטיות את ההיבטים הקשורים להגנה על המידע האישי של לקוחות החברה ואת הפגיעה בהם כתוצאה מדליפת המידע, וכן את הפעולות שביצעה שירביט בנוגע לאירוע והאם היא עמדה בהוראות החוק. בין השאר, הרשות העבירה לשירביט דרישה לעדכן באופן אישי את הלקוחות העלולים להיפגע מאירוע זה, בהתאם לסמכותה מכוח תקנות הגנת הפרטיות (אבטחת מידע), וזאת על מנת לאפשר להם לנקוט אמצעי זהירות מתאימים ולצמצם את הנזק הפוטנציאלי כתוצאה מהעובדה שדלף מידע עליהם. ברשות אומרים כי היא עומדת בקשר עם שירביט ותאשר חיבור של מאגרי המידע למערכות חיצוניות רק לאחר ביצוע פעולות נדרשות, שימנעו את הרחבת האירוע או חזרה של תקיפות, שיביאו לדלף מידע אישי נוסף.

מהרשות נמסר כי "אירועי אבטחה מסוג זה יוצרים, מטבע הדברים, עניין רב בציבור, ובמיוחד בחברות הנפגעות ובכאלה המשתייכות לסקטורים הנפגעים. תוקפים לעתים מנצלים את הפעילות התקשורתית הרבה ומעבירים במסגרתה הודעות מייל, SMS ומסרים מידיים, עם קישורים וקבצים הנחזים להיות גילויים מהאירוע, או צילומים של פרטים שדלפו. בפועל, קבצים וקישורים אלה כוללים קבצים פוגעניים, שמטרתם לחדור למערכות הגופים שאליהם הגיעה ההודעה".

"על ארגונים לוודא שהם עומדים בהוראות החוק"

הרשות קוראת לכל גורם במשק שמנהל מאגרי מידע לבדוק את מידת עמידתו בהוראות התקנות וההגנה על מידע, כפי שאלה מפורטות באתר הייעודי שלה.

בהודעת הרשות נכתב ש-"על ארגונים לוודא כי הם עומדים בדרישות החוק והתקנות, ומקפידים על ביצוען ויישומן של בקרות ניהוליות ועל מימוש ויישום מדיניות אבטחת מידע, לרבות: הצורך לוודא ביצועם וקיומם של גיבויים תקינים; הרשאות – רק על פי המינימום הנדרש למטרת הארגון, להימנע מהרשאות רחבות מדי; חיבור מרחוק – רק על פי הצורך, בהרשאה מותאמת ובעדיפות לכתובות מוגדרות; עדכונים – לשמור על מערכות ותוכנות מעודכנות בגרסאותיהן ובעדכוני האבטחה; סיסמאות – לעבוד בכפוף למדיניות סיסמאות וגישה מוקשחת; סגמנטציה – להקפיד על הפרדה בין הרשתות והמערכות השונות בארגון; ניטור ובקרה של התחברויות ופעילות ברשת לשם זיהוי פעילות אנומלית; ומערכות זיהוי – יישומן של מערכות IDS/IPS לזיהוי והתרעה מפני חדירה, בנוסף למערכות ההגנה והאנטי וירוס".

ד"ר שלומית וגמן, ממלאת מקום ראש הרשות להגנת הפרטיות, צילום: גדעון שרון, לע"מ

לדברי ד"ר שלומית וגמן, ממלאת מקום ראש הרשות להגנת הפרטיות, "האירועים בימים האחרונים מדגישים את חשיבות ההגנה על המידע האישי המצוי בכל חברה שמחזיקה במידע אודות לקוחותיה. פוטנציאל הנזק הוא עצום, בעיקר בהיבט של הפגיעה בפרטיות הלקוחות – אך גם בחשיפת החברות לתביעות והליכים משפטיים ופגיעה קשה במוניטין שלהן. כל גורם במשק, פרטי וציבורי כאחד, חייב להקפיד על קיום הוראות תקנות הגנת הפרטיות (אבטחת מידע), במטרה לצמצם את הסיכון להתרחשותם של אירועי אבטחה חמורים ודליפת מידע אישי על לקוחות. בכל מקרה של אירוע אבטחה חמור, יש לדווח עליו לרשות להגנת הפרטיות באופן מידי."