מד”א הפר פרטיות: 2 אירועי אבטחה חמורים הובילו לדליפת מידע רגיש

יוני גרין
|
ד' טבת התש"פ / 01.01.2020 13:59
בעקבות הליך פיקוח של הרשות להגנת הפרטיות במשרד המשפטים נמצא כי ארגון מד”א הפר את הוראות חוק הגנת הפרטיות • ארגון מד”א לא דיווח לרשות על אירועי האבטחה החמורים, כנדרש בחוק

הרשות להגנת הפרטיות במשרד המשפטים קיימה הליך פיקוח לבירור שני אירועי אבטחת מידע חמורים, אשר הובילו לדליפת מידע רגיש ממערכות המידע של ארגון מד”א.

הליך הפיקוח נפתח בעקבות פניה שהגיעה לרשות, ממנה עלה כי קיימים כשלי אבטחת מידע באתר האינטרנט של מד”א, שהביאו לחשיפתו של מידע רגיש של מטופלים, הכולל בין היתר, דוחות רפואיים המכילים מידע רפואי ומסמכי התחייבות הכוללים פרטים אישיים כגון שמות, כתובות, מספרי תעודות זהות ומספרי כרטיסי אשראי. 

במשרד המשפטים מדגישים, כי הארגון לא דיווח לרשות על אירועי האבטחה החמורים, כנדרש בחוק.

 בנוסף, במועד אחר, התקבל ברשות להגנת הפרטיות מידע נוסף המצביע על פרצת אבטחה ביישומון (אפליקציה) של ניהול המתנדבים של מד”א.

הפרצה אפשרה גישה לשרת עליו מותקנת האפליקציה, ובכך אפשרה לדלות מידע על מתנדבים במד”א וכן מידע רפואי אודות מטופלים ואף פתחה את האופציה לשלוח הודעות כוזבות למטופלים על בסיס המידע.

 בשני האירועים מדובר במערכות אשר פותחו ותוחזקו עבור מד”א על ידי ספקי מיקור חוץ. 

לפי תקנות הגנת הפרטיות (אבטחת מידע), על ארגונים אשר עושים שימוש בשירותי מיקור חוץ לקבוע בהסכם עם ספקי השירותים שורה של דרישות בהתאם לסיכוני אבטחת המידע הקיימים בארגון. על הסכמים אלה לקבוע באופן מפורש, בין היתר, מהו המידע שהגורם החיצוני רשאי לעבד ולאלו מטרות, לאלו מערכות הוא רשאי לגשת, מהו סוג העיבוד שאותו הוא רשאי לבצע, אופן יישום הוראות תקנות אבטחת מידע ועוד.

 ממצאי הפיקוח העלו, כי במועד אירועי אבטחת המידע, ארגון מד”א לא הגדיר את דרישות אבטחת המידע בהן חייב ספק מיקור החוץ לעמוד במסגרת השירות אותו הוא מספק, כנדרש בתקנה 15(א)(2) לתקנות הגנת הפרטיות (אבטחת מידע).

כמו כן, מממצאי הפיקוח עלה, כי  במועד האירוע ארגון מד”א לא נקט באמצעי בקרה ופיקוח על עמידתו של ספק מיקור החוץ בהוראות תקנות הגנת הפרטיות (אבטחת מידע), ובהוראות ההסכם עם הספק החיצוני כנדרש בתקנה 15(א)(4).

בנוסף,  ארגון מד”א לא דיווח לרשות להגנת הפרטיות על אירועי אבטחת המידע עם גילויים, זאת בניגוד למתחייב מתקנה 11(ד) לתקנות הגנת הפרטיות (אבטחת מידע).

 בהתאם לממצאי הפיקוח  קבעה הרשות להגנת הפרטיות כי  ארגון מד”א הפר את הוראות סעיף 17 לחוק הגנת הפרטיות, וכן את תקנות 11(ד), 15(א)(2), 15(א)(4) לתקנות הגנת הפרטיות (אבטחת מידע). 

בנוסף, ניתנו למד”א הנחיות לתיקון ליקויים.

במד”א הגיבו: “כל מערכות המידע של מד״א מאובטחות ברמה הגבוהה ביותר ובאמצעים הטכנולוגיים המתקדמים ביותר. יחד עם זאת, פרצות מתגלות לעיתים ככל שרמת ההאקרים עולה ולכן מיד כשנודע לנו על הפרצה נקטנו בכל האמצעים הנדרשים. יודגש ויובהר כי בשום שלב לא דלף מידע חסוי או משמעותי. מדובר באירוע שהיה לפני כשנה כאשר מתנדב מד״א לשעבר המתמחה בתוחם אבטחת מידע איתר את הפריצה. הוא מצא חריגה אחת באתר המתנדבים ומקרה נוסף בעמוד הטפסים באתר מד״א. הנושא טופל ותוקן מיידית ושום מידע לא דלף.”