18 באפריל 2024 0:33

אטרף של מידע – כיצד נשיב את האמון באתר שנפרץ?

מאת צוות דן חי

בזמנים מודרנים כמעט כל פעילות פשוטה של אזרחים מתבצעת, מנוטרת ונשמרת באמצעים דיגיטליים. כיום אנשים מחזיקים לא פעם ב"זהות דיגיטלית" באתרים שונים המספקים להם שירותים בסיסיים ואישיים, משירות תשלומים לעירייה ועד דרכי התקשרות יומיומית ונדרשים לתלות את אמונם באבטחת המידע שבמאגרים. עם כך, מגיעה הציפיה לשמירה על המידע האישי ומניעת פגיעה בפרטיות.

בשנים האחרונות אנו עדים לתופעה של "פיגועי פרטיות" – פריצה למערכות מידע וגניבה של מידע אישי ממאגרי מידע. ערכו ההולך וגובר של מידע אישי לחברות ותאגידים, בשילוב עם טכנולוגיות חדשות ושינויים באורח החיים, הופכים את סוגיית הפרטיות במידע רלוונטית מתמיד. מהו מקומם של בעלי מאגרי מידע אשר נכשלו בהגנה על המידע האישי של נושאי המידע, ומה ניתן לעשות עם זה?. לאחרונה חזר לכותרות מקרה שעורר סערה סביב הנושא.

שנתיים לאחר שנפרץ, אתר ההיכרות האייקוני של הקהילה הגאה בישרל "אטרף" חוזר. בשנת 2021 נסגר האתר לאחר שקבוצת האקרים אירניים השתלטה על בסיס הנתונים של האתר. מדובר באחד מ"פיגועי הפרטיות" הגדולים ביותר שידעה ישראל.

מדובר בפלטפורמת היכרויות ותיקה שתפסה מקום מרכזי ביותר בחיי הקהילה הגאה בישראל. הפלטפורמה ששימשה להיכרויות, הכילה בתוכה עולמות תוכן שונים של חיי לילה, פורומים, מידע ואינטרקציה בסגנון רשת חברתית – שהיוותה ערוץ פרסום מרכזי לקהילה בישראל. מדובר באתר שהיו רשומים אליו בשיא מאות אלפי אנשים – רבים מהם נפגעו.

במסגרת הפריצה התפרסם מידע רגיש ביותר של משתמשי הפלטפורמה. בין היתר הודלפו העדפות מיניות של משתמשים, שמות מלאים, כתובות מייל, מגורים ואף מידע רפואי רגיש. הודעתה של הפלטפורמה על חזרה לפעילות מעוררת את השאלה בדבר האמון שניתן לתת באתר אינטרנט, המחזיק מידע אישי של המשתמשים בו.

במקרה של פלטפורמת "אטרף", נטען כי רבים מן הפרטים שנדלו במתקפת הסייבר נשמרו לא מוצפנים. כמו כן, היו גם קולות שהושמעו טרם הפריצה, שהעלו נורות אדומות. דובר על כך שהטכנולוגיה שלהם מיושנת ושניתן לפרוץ את המידע בקלות, ולא נעשה עם כך דבר.

תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 קובעות שורה של חובות על בעל מאגר מידע, לשם אבטחת המידע במאגר שברשותו. בין החובות ישנה החובה במינוי ממונה על אבטחת המידע במאגר וחובות הנוגעת להכנת נוהלי אבטחת מידע במאגר, מיפוי מערכות המאגר וביצוע סקר סיכונים.

מן הראוי לצפות מכל מחזיק במאגר מידע המכיל מידע אישי, שיעמוד בסטנדרטים ראויים לשם שמירה על פרטיות נושאי המידע. זאת על מנת ליצור אמון בקרב נושאי המידע, שאכן נשמרת הפרטיות שלהם. מקרה כמו בעניין "אטרף" מציף את החשיבות האדירה שישנה להגנה על הפרטיות במידע ולתקנות הגנת הפרטיות אשר מבקשים להבטיחה.

אנו ערים ליוזמות נוספות ליצירת סטנדרטים חדשים בתחום ההגנה על המידע האישי. לדוגמא, למערך הסייבר הלאומי תוכנית מיוחדת להענקת "תו חוסן" לחברות אחסון אתרים אשר יעמדו בסטנדרטים של הגנה מפני פריצות סייבר. חברות שיצטרפו לתכנית ויעמדו בסטנדרטים אשר מציב המערך יצמצמו את הסיכוי להיפגע ממתקפת סייבר. תוכניות כאלו עשוית לתרום לאמון של נושאי המידע באתרים וחברות העושים שימוש במידע אישי.

מדינת ישראל משקיעה משאבים רבים בהקמה ופיתוח של מערך סייבר שמטרתו להגן על האזרחים. אולם, בסדרי העדיפויות של המדינה רוב המשקל ניתן לגופים הגדולים והחשובים כמו הבנקים ובתי החולים, ולתשתיות כמו חברות החשמל והמים. לכן כיום ישנה חשיבות עליונה להעלאת המודעות האישית וחינוך לשמירה על הפרטיות והשימושים במידע. הרשות להגנת הפרטיות מפרסמת ומנגישה מידע והמלצות באשר לשמירה על הפרטיות בעידן המידע. בין ההמלצות הנפוצות שמפרסמת הרשות להגנת הפרטיות:

  • לבחון את הגדרות הפרטיות ברשתות
  • לשים לב למידע המפורט במדיניות הפרטיות
  • להמעיט במתן פרטים אישיים שלא לצורך
  • לעדכן תוכנות ואפליקציות – המתקנות פרצות אבטחה שנתגלו בתוכנה
  • למחוק חשבנות המכילים מידע אישי ואינם נמצאים עוד בשימוש
  • לברר את זהות הגוף המפעיל את האתר ודרכי ההתקשרות עימו

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

דירוג האיכות של Dun's 100 לשנת 2024: משרד דן חי ושות' דורג שוב בקבוצת האיכות הראשונה בתחום הסייבר

דירוג האיכות של מדריך dun’s 100 פרסם את דירוג משרדי עורכי הדין לשנת 2024. בתחום הסייבר המדריך דירג, את משרד דן חי ושות', שוב, תחת ...

הרשות להגנת הפרטיות פרסמה גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות

בעת האחרונה ישנה מגמה גוברת של בתי עסק הדורשים מהלקוח למסור מספר תעודת זהות לצורך מתן שירות, ולעיתים אף דורשים למסור צילום של תעודת הזהות ...

טיוטת מסמך מדיניות חדשה בנושא איסוף ושימוש במידע ביומטרי במקום העבודה

על רקע המגמה הגוברת בשימוש טכנולוגיות לזיהוי ביומטרי אשר נעשה על ידי ארגונים לצרכי בקרת נוכחות עובדיהם, הרשות להגנת הפרטיות פרסמה לאחרונה (15.02.2024) מסמך מדיניות ...

באירופה עובדים. ה-AI ACT אושר.

מאת : צוות דן חי הפרלמנט האירופי אישר (13.03.2024) את תקנות הבינה המלאכותית (AI ACT). המדובר בחקיקה הראשונה מסוגה בעולם ובאה להסדיר את הפיתוח ההפעלה ...
דילוג לתוכן