שליש ממתקפות הסייבר החמורות בארץ השנה לא דווחו לרשויות

הרשות להגנת הפרטיות במשרד המשפטים חשפה כי טיפלה בשנה האחרונה בכ-146 אירועי סייבר חמורים אשר הפרו את תקנות הגנת המידע בישראל, בעוד רק 103 מהם דווחו בידי קורבנות ההאקרים כמחויב; שאר המקרים נחשפו בעקבות תלונות חיצוניות וחקירות.

מתוך כל המקרים, בכ-13% מהמקרים נקבעו הפרה של הוראות החוק והתקנות, מה שעשוי לחשוף את הארגונים לסנקציות. ב-66% מהמקרים נדרשו הגופים לבצע תיקוני ליקויים אך נקבע שלא היתה הפרה. על פי הערכת הרשות, קיימים אירועים נוספים שלא דווחו כפי שמחייבות התקנות כשהיקפם לא ידוע.

הסקטור בו התגלו מירב המקרים היה תחום הביטוח והפיננסים (23%), אחריו סקטור הטכנולוגיה כגון חברות לניהול מערכות מידע (10%), הבריאות (10%), התקשורת (8%), החינוך (8%) והאינטרנט (7%).

ברשות ביצעו ניתוח של אירועי האבטחה ומצאו שאלה היו מסוגים שונים: ב-15% מהמקרים ניצלו ההאקרים פרצת אבטחה במסד נתונים, גניבה של סיסמאות ושמות משתמש ב-7% מהמקרים, הנדסת אנוש, נוזקות וכן טעויות אנוש שכללו הגדרות שגויות במערכות נצפו ב-9% מהמקרים ומסירת מידע לא מכוונת ללא הרשאה או אובדן מדיה ב-8% מהמקרים.

עד כה ניסתה הרשות לעסוק יותר בפדגוגיה ובהסברה - אך מעתה תחל להפעיל את אמצעי הענישה שהתקנות מעמידות לרשותה. מהרשות נמסר ללכלכליסט"שהיא מוסמכת להטיל קנסות - אם כי לא נמסר היקפם.

כמו כן, יכולה הרשות לבטל או לחסום זמנית את רשיון מאגר המידע. היא מוסמכת לפרסם את ההפרה לצורך ביצוע רגולציה עצמית של נושאי המידע שנפגעו מההפרה, במילים אחרות, מדובר בסוג של שיימינג.

רשות הפרטיות עוסקת אך ורק באסדרה של מאגרי המידע - רשומות של לקוחות, מידע מסחרי עם שמות של משתמשים או למשל מידע פרטי שנקצר על ידי גופי צד שלישי לטובת פרסום. זאת, בניגוד למערך הסייבר שתפקידו הוא לפקח על מדיניות אבטחת המידע לכשעצמה. עדיין לא ברור כיצד מתחלקת העבודה בין שני הגופים שפועלים בנפרד מבחינה מנהלית, וחוק הסייבר הלאומי, לו מחכים בתעשייה כבר זמן רב, עשוי לשנות את הסמכויות.