ראיון כלכליסט
"הסנקציות שחוק הגנת הפרטיות מאפשר להטיל לא מרתיעות מספיק"
מנהל מחלקת האכיפה ברשות להגנת הפרטיות עלי קלדרון אומר שאירוע הפריצה לשירביט מדגיש את החשיבות בתיקון החוק שיאפשר לרשות לתת קנסות גבוהים לחברות שמתרשלות בהגנה על המידע של לקוחותיהן. הוא מדגיש שיאשרו לחברת הביטוח לחבר מחדש את מאגרי המידע שלה למערכות חיצוניות "רק לאחר שיבוצעו פעולות שימנעו הישנות תקיפות שעלולות להביא לדלף מידע אישי"
"במסגרת הליך האכיפה המנהלי שפתחנו, אנו בוחנים האם חברת שירביט הפרה את הוראות חוק הגנת הפרטיות - האופן בו היו הגיבויים, החיבורים, ההרשאות, הסיסמאות, המערכות, הכלים, הנהלים ואפילו גיוס האנשים לארגון".
"למעשה אנו בוחנים את המוכנות של החברה לפני האירוע ואת פעילותה לאחר שנודע לה על כך וכמובן את מידת הפגיעה בלקוחות עקב דליפת המידע", אומר ל"כלכליסט" עלי קלדרון, מנהל מחלקת האכיפה ברשות להגנת הפרטיות במשרד המשפטים.
- שירביט חשפה בביהמ"ש: נציגי השב"כ יושבים בחמ"ל החברה
- פג האולטימטום לשירביט: ההאקרים מאיימים למכור את המידע למרבה במחיר
- המדינה כשלה בטיפול בסייבר והחברות ממציאות מתקפות טרור
זאת על רקע אירוע פריצת הסייבר לחברת הביטוח והפצת מידע פרטי וסודי ברשת אודות מאות ממבוטחי החברה, שכלל הפצת צילומי תעודות זהות, כרטיסי אשראי, מסמכים רפואיים, תביעות רכב ועוד. שירביט היתה זו שדיווחה כנדרש בחוק לרשות להגנת הפרטיות על אירוע הדליפה וזו פתחה בבדיקה האם חברת הביטוח הגנה כנדרש על מאגרי המידע שלה והאם היא פעלה בהתאם להוראות החוק בנושא.
ההליך שפתחה הרשות הוא הליך אכיפה מינהלי, סמכות המוקנה לה בחוק (לצד הליך פלילי, שאינו רלוונטי באירוע זה). הבעיה שהחוק הנוכחי, שהוא בן כארבעים שנה לא באמת מרתיע, והקנסות המירביים שמוסמכת הרשות להטיל על חברות המפרות אותו מגיעים ל-25 אלף שקל בלבד לכל היותר עבור כל הפרה, סכום שאינו מרתיע דיו. "האירוע הזה הוא הזדמנות לשים שוב את האצבע על חשיבות תיקון החוק המישן מתחילת שנות ה-80', ואנו שנים רבות מבצעים הליכים לתיקונו בפרט נושא סמכויות האכיפה – תיקון שנמצא כרגע בוועדות הכנסת", אומר קלדרון.
"זה יאפשר הגדלה משמעותית של העיצומים שניתן מכוחו להטיל על חברות מפרות חוק. הקנסות היום נמוכים, והחוק שאנו תומכים בקידומו מדבר על קנסות במיליוני שקלים לעומת עשרות אלפי שקלים בלבד כיום. זה הכרחי כדי להגביר את ההרתעה. זה הכרחי בעולם בו אנו צורכים יותר ויותר שירותים באופן דיגיטלי. כמויות המידע שמחזיקים עלינו הופכת להיות עצומה וההאקרים הופכים ליותר מתוחכמים".
יצויין, כי גם מ"מ ראש הרשות להגנת הפרטיות ד"ר שלומית ווגמן-רטנר הדגישה בריאיון ל"כלכליסט" שפורסם בחודש אוקטובר האחרון, שיש חשיבות להגברת סמכויות האכיפה של הרשות. "לרשות חסרות הרבה מאוד סמכויות וכלי אכיפה כמו עיצומים וקנסות", היא אמרה אז. "הרשות יכולה לתת קנסות של 5,000 שקל ליחיד ו-25 אלף שקל לתאגיד, וזו בדיחה! אין הצדקה ציבורית לכך שתחום הפרטיות יהיה כה חלש. לכן אנו מקדמים רפורמה בחוק בן 40 שנה".
"חברות חייבות למחוק מידע עודף, שברבות הימים עלול להוות סיכון אסטרטגי"
לדברי קלדרון, "הארועים בימים האחרונים מדגישים את פוטנציאל הנזק שהוא עצום גם לחברה עצמה וכמובן הפגיעה בציבור הלקוחות עצמו, שהנזק בהם פה הוא עצום. התקנות והחוק קובעים הוראות שהמטרה שלהם לצמצם את הסיכון להתרחשות של אירוע אבטחה חמור – כמו הארוע הזה - ואופן השימוש במידע".
קלדרון מספר כי הרשות העבירה לשירביט דרישה לעדכן את הלקוחות שעשויים להינזק מדליפת המידע. "החברה הוציאה עדכון לאקוני ללקוחות ואנו חשבנו שלא היה בהודעה מספיק כדי לאפשר להם לנקוט באמצעי זהירות מתאימים כדי לצמצם את הנזק הפוטנציאלי שלהם - אז הנחנו את החברה להוציא להם הודעה מעודכנת שתעדכן את הלקוחות לנקוט את אמצעי הזהירות המתאימים".
קלדרון אומר עוד כי "ברגע שהחל האירוע שירביט ניתקה את החיבורים שלה למערכות חיצוניות, אינטרנט ומערכות תקשורת אחרות, ואנו נאשר לחברה לחבר אותן מחדש רק אחרי שהמצב יאפשר זאת - כלומר נאשר את החיבור של מאגרי המידע של החברה למערכות החיצונות רק אחרי שיבוצעו פעולות שמבחינתנו ימנעו את ההישנות של תקיפות שעלולות להביא לדלף מידע אישי נוסף או ימנעו את ההרחבה של האירוע".
לגבי השאלה האם יש דברים ששירביט לא עשתה כנדרש כדי למנוע את דליפת המידע, אומר קלדרון כי "אני לא יכול להתייחס לאירוע שבעיצומו. אני כן יכול להגיד שבסוף ההליך נחליט האם החברה הפרה את הוראות החוק או לא, ואם נמצא שכן, נקבע זאת באופן פורמאלי, ובהינתן למה שנמצא ואיזה הפרות בוצעו, אנו יכולים לקבוע להם במסגרת הסמכות שלנו קנסות מנהליים או הנחיות לתיקון ליקויים וכדומה. בסמכותנו גם להתלות או לבטל את הרישיון של החברה להחזיק במאגר מידע, שזה כמובן קריטי לחברה שעיקר עיסוקה הוא הקשר עם לקוחותיה, ומשמעותו סוף פעילותה. זה לא המצב שאנו שואפים אליו ואני גם לא חושב שזה המצב במקרה הנוכחי, אך כמובן שאיני יכול להיכנס לפרטים".
קלדרון מדגיש עוד כי "כל גורם במשק שמחזיק או מנהל מידע אישי חייב לקיים את דרישות וחובות אבטחת המידע על פי התקנות שמגדיר החוק. חברות צריכות להבין שכשהן מחזיקות מידע הן צריכות לעשות סקר סיכונים ולהבין מה המשמעות של החזקת המידע הזה ולמחוק מידע שהוא עודף, שברבות הימים יכול להפוך להיות איום אסטרטגי על החברה ולעלות לה ביוקר".
הוא מוסיף כי "ברור שבאירוע הזה מדובר במידע רגיש. כולנו ממלאים שאלונים לחברות הביטוח מתוך אמונה שהן תדענה לשמור על המידע, וכמובן שהמידע הזה רגיש מאוד וכולל הרבה מאוד פרטים אישיים עלינו ועל בני בתינו, ודליפה וחשיפה של המידע הזה ומכירתו אולי לכל מיני גופים אחרים יכולה להוות שבר להרבה מאוד אנשים שנפגעים מהאירוע הזה".