הרשות להגנת הפרטיות הודיעה היום (רביעי, ד’ בטבת התש”פ) כי קיימה הליך פיקוח לבירור שני אירועי אבטחת מידע חמורים, אשר הובילו לדליפת מידע רגיש ממערכות המידע של מדא.
■ רוצים עוד עדכונים? הצטרפו אל ’כאן ישראל | כאן נעים | אתר החדשות המקומיות הוותיק של כל המדינה’ ב’פייסבוק’ או ב’טוויטר’.
הליך הפיקוח, נפתח בעקבות פניה שהגיעה לרשות, ממנה עלה, כי קיימים כשלי אבטחת מידע באתר האינטרנט של מדא, שהביאו לחשיפתו של מידע רגיש של מטופלים, הכולל בין היתר, דוחות רפואיים המכילים מידע רפואי.
וכן, מסמכי התחייבות, הכוללים, פרטים אישיים, כגון; שמות, כתובות, מספרי תעודות זהות ומספרי כרטיסי אשראי.
יודגש, כי הארגון לא דיווח לרשות להגנת הפרטיות על אירועי האבטחה החמורים כנדרש בחוק. בנוסף, במועד אחר, התקבל ב רשות להגנת הפרטיות מידע נוסף המצביע על פרצת אבטחה ביישומון (אפליקציה) של ניהול המתנדבים של מדא.
הפרצה אפשרה גישה לשרת עליו מותקנת האפליקציה, ובכך אפשרה לדלות מידע על מתנדבים במדא וכן, מידע רפואי אודות מטופלים ואף פתחה את האופציה לשלוח הודעות כוזבות למטופלים על בסיס המידע.
בשני האירועים מדובר במערכות אשר פותחו ותוחזקו עבור מדא על ידי ספקי מיקור חוץ.
לפי תקנות הגנת הפרטיות (אבטחת מידע), על ארגונים אשר עושים שימוש בשירותי מיקור חוץ, לקבוע בהסכם עם ספקי השירותים שורה של דרישות בהתאם לסיכוני אבטחת המידע הקיימים בארגון.
█ מדא; “כל מערכות המידע של מדא מאובטחות ברמה הגבוהה ביותר ובאמצעים הטכנולוגיים המתקדמים ביותר…”
על הסכמים אלה,לקבוע באופן מפורש, בין היתר, מהו המידע שהגורם החיצוני, רשאי לעבד ולאלו מטרות, לאלו מערכות הוא רשאי לגשת, מהו סוג העיבוד שאותו הוא רשאי לבצע, אופן יישום הוראות תקנות אבטחת מידע ועוד.
דוברת היחידות המקצועיות באגף דוברות הסברה ותקשורת, של משרד המשפטים, הגב’ כרמית אורפז-ימין, מסרה לאתר ’כאן ישראל | כאן נעים | אתר החדשות המקומיות הוותיק של כל המדינה’, כי ממצאי הפיקוח, העלו, כי במועד אירועי אבטחת המידע, ארגון מדא לא הגדיר את דרישות אבטחת המידע בהן חייב ‘ספק מיקור החוץ‘ לעמוד במסגרת השירות אותו הוא מספק, כנדרש ב-תקנה 15(א)(2) לתקנות הגנת הפרטיות (אבטחת מידע).
כמו כן, מממצאי הפיקוח, עלה, כי במועד האירוע ארגון מגן דוד אדום לא נקט באמצעי בקרה ופיקוח על עמידתו של ספק מיקור החוץ בהוראות תקנות הגנת הפרטיות (אבטחת מידע) ובהוראות ההסכם עם הספק החיצוני כנדרש בתקנה 15(א)(4).
בנוסף, טוענת הרשות להגנת הפרטיות, כי ארגון מדא, לא דיווח לרשות על אירועי אבטחת המידע עם גילויים, זאת בניגוד למתחייב מתקנה 11(ד) לתקנות הגנת הפרטיות (אבטחת מידע).
בהתאם לממצאי הפיקוח, קבעה הרשות להגנת הפרטיות, כי ארגון מדא, הפר את הוראות סעיף 17 לחוק הגנת הפרטיות וכן את תקנות 11(ד), 15(א)(2), 15(א)(4) לתקנות הגנת הפרטיות (אבטחת מידע). בנוסף, ניתנו למדא, הנחיות לתיקון ליקויים.
דובר מגן דוד אדום מר זכי הלר, הביא את התייחסות מדא; “כל מערכות המידע של מדא מאובטחות ברמה הגבוהה ביותר ובאמצעים הטכנולוגיים המתקדמים ביותר.
יחד עם זאת, פרצות מתגלות לעיתים ככל שרמת הפצחנים (האקרים), עולה ולכן, מיד כשנודע לנו על הפרצה, נקטנו בכל האמצעים הנדרשים. יודגש ויובהר, כי בשום שלב לא דלף מידע חסוי או משמעותי.
מדובר באירוע שהיה לפני כשנה, כאשר מתנדב מדא לשעבר המתמחה בתחום אבטחת מידע איתר את הפריצה. הוא מצא חריגה אחת ב’אתר המתנדבים’ ומקרה נוסף בעמוד הטפסים באתר מדא. גם הנושא הזה, טופל ותוקן מיידית ושוּם מידע לא דלף“.
