אירועי אבטחה חמורים - מקרים לדוגמא

במטרה להעמיד לציבור מידע וכלים לצורך יישומן של תקנות הגנת הפרטיות (אבטחת מידע), הרשות להגנת הפרטיות מפרסמת רשימה של אירועי אבטחה במאגרי מידע דיגיטליים, המלווה בדוגמאות, המסווגים בהתאם לפרשנותה כחמורים. בעת גילוי או חשש לקיומו של אירוע אבטחת מידע חמור, יש  לדווח לרשות להגנת הפרטיות סמוך ככל האפשר למועד הגילוי וללא דיחוי, בנסיבות העניין. 

יודגש, כי אין מדובר ברשימה ממצה, אלא ברשימה המשקפת את עמדת הרשות בשלב זה ואשר עשויה להתעדכן בהמשך בהתאם לתמורות טכנולוגיות ולמדיניות הרשות. מכל מקום, נוסח החוק והתקנות הם שקובעים את מהות האירוע ואת אופן ומועד חובת הדיווח. 

בכל מקרה של ספק, מומלץ להעביר לרשות להגנת הפרטיות דיווח על האירוע כאירוע אבטחה חמור.

במאגר מידע שחלה עליו רמת אבטחה בינונית ואירוע האבטחה נגע לחלק מהותי מהמאגר, או במאגר שחלה עליו רמת אבטחה גבוהה - חובה לדווח לרשות להגנת הפרטיות במקרים הבאים: 

1. זיהוי של פריצה לרשת הארגון במסגרתה קיים חשש סביר כי לגורם בלתי מורשה היתה גישה פיזית או דיגיטלית למאגר המידע של הארגון, באופן שאפשר צפייה, שינוי או מחיקה של מידע המצוי בו. לדוגמא, אי יישומם של אמצעי אבטחה נאותים לזיהוי ואימות גישה, אשר עשויים לאפשר גישה מרחוק של גורם בלתי מורשה למאגר המידע של הארגון.

2. זיהוי בפועל של זליגת מידע רגיש (בכל היקף) ממאגר מידע של הארגון אל מחוצה לו, באמצעות הודעה או פרסום חיצוני. לדוגמא פרסום אודות אירוע זליגת המידע ב"רשת האפלה" (Dark net) או בתקשורת, קבלת דיווח מגורמים חיצוניים כגון "האקר לבן" המודיע כי הצליח לחדור למידע האישי של הארגון, לקוח המודיע לארגון כי הגיע לידיו מידע אישי השייך לארגון או באמצעות בקרה עצמית של הארגון במסגרתה נחשף האירוע. יובהר, כי דיווח מיידי לרשות על גילוי האירוע יעשה גם במקרה בו לארגון יש ידיעה כי לרשות כבר נודע על האירוע ממקורות אחרים.

3. פגיעה, מחיקה, שיבוש או מניעת גישה זמנית או קבועה למידע של הארגון, באמצעות פגיעה פיזית במזיד במערכות המאגר. לדוגמא וירוס כופרה המצפין את הקבצים ומונע את הגישה למידע או מניעת גישה למאגר המידע דרך רשת האינטרנט כדוגמת מתקפת מניעת שירות (DOS). במתקפה מסוג זה 'התוקף' מבקש שוב ושוב מהשרת את אותה הבקשה עד כדי יצירת עומס על השרת אשר גורם להשבתת השירות והפיכתו ללא זמין.

4. העברה של מידע רגיש ממאגרי המידע של הארגון על ידי עובד החברה אל מחוצה לו, ללא אישור או הרשאה. לדוגמא, שליחת קובץ המכיל מידע אישי של לקוחות בדואר אלקטרוני לגורם לא מורשה, העברה של קובץ נתונים המכיל מידע רגיש לטלפון נייד או מחשב אישי ללא אישור וללא אמצעי הגנה.

5. גניבה או אבדן של ציוד מחשוב, מדיה נתיקה או אמצעי פיזי לגיבוי המכיל מידע רגיש מתוך מאגר מידע של הארגון, או העברתו לגורם חיצוני זר שאינו בעל הרשאה. לדוגמא, מדיה אופטית דוגמת תקליטור או דיסק המכילים מידע רגיש אשר הועברו ללא הצפנה ואבדו לחברת השליחויות בדרכה ליעד. 

6. חשיפת מידע רגיש בעקבות טעות אנוש. לדוגמא שליחת קובץ המכיל נתונים רגישים ו/או אישיים לכתובת דואר אלקטרוני שגויה או לרשימת תפוצה שגויה, או שיגור מסמכים המכילים מידע רגיש למספר פקס שגוי. 

7. חדירה למאגר מידע וצפייה בנתונים בו באמצעות שימוש בסיסמה, זאת בשל מדיניות ניהול סיסמאות חלשה ו/או מחסור במנגנון הזדהות חזק. לדוגמא, עובד המעביר את סיסמתו לשימוש גורם לא מורשה, תוקף המנצל את מדיניות הסיסמאות החלשה ומנחש את הסיסמה לצורך חדירה למערכות וגישה למאגר המידע  .

8. כל זיהוי של ניסיון גישה, שינוי או מחיקה של מידע רגיש במאגר מידע המוחזק או מנוהל על ידי גורם חיצוני מכוח הסכם. לדוגמא, הפצה שגוייה של דוחות שנתיים לרשימת נמענים לא נכונה בשל הגדרות שגויות במערכת הפצת הדוחות.