top image

דיווח על אירוע אבטחה חמור במאגר מידע

שני מסכי מחשב בסביבת עבודה מקצועית, עם קוד HTML ו־CSS על המסך השמאלי, ולידם אדם מצביע לעבר המסך, כחלק מניתוח או תחקור אבטחת מידע והגנת הפרטיות

תקנה 11(ד)(1) לתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017 קובעת כי בעל מאגר מידע שחלה עליו רמת אבטחה בינונית או גבוהה, כהגדרתן בתקנות, חייב להודיע לרשות להגנת הפרטיות באופן מיידי על אירוע אבטחה חמור. בנוסף, עליו לדווח לרשות על הצעדים שנקט בעקבות האירוע.

תשומת הלב כי חובת הדיווח חלה גם על מנהל המאגר ועל המחזיק במאגר, כל אחד בנפרד. אולם, די בדיווח של אחד מהגורמים הללו על האירוע (בעל המאגר/מחזיק/מנהל המאגר) כדי לקיים את החובה עבור שלושת הגורמים גם יחד.

 

מתי חייבים לדווח לרשות להגנת הפרטיות?

ברמת אבטחה בינונית

  • שנעשה בו אחד מאלה שימוש (כולל גילוי, העתקה, העברה או מסירה) ללא הרשאה או בחריגה מהרשאה, בחלק מהותי מהמאגר או שנוצר עותק של המידע.
  • פגיעה בשלמות המידע לגבי חלק מהותי מן המאגר.

יש לשים לב כי פגיעה בשלמות המידע משמעותה גם הצפנת המידע, מניעת גישה למידע, גם אם העותק נמצא עדיין בתוך מערכות המאגר עצמן. לדוגמה, וירוס כופרה המצפין את הקבצים ומונע את הגישה למידע או מניעת גישה למאגר המידע דרך רשת האינטרנט כדוגמת מתקפת מניעת שירות (DOS). במתקפה מסוג זה ‘התוקף’ מבקש שוב ושוב מהשרת את אותה הבקשה עד כדי יצירת עומס על השרת אשר גורם להשבתת השירות והפיכתו ללא זמין.

דוגמה נוספת היא בעת חשיפת מידע רגיש בעקבות טעות אנוש. לדוגמה, שליחת קובץ המכיל נתונים רגישים ו/או אישיים לכתובת דואר אלקטרוני שגויה או לרשימת תפוצה שגויה, או שיגור מסמכים המכילים מידע רגיש למספר פקס שגוי.

ברמת אבטחה גבוהה

  • כאשר זוהתה כניסה למערכות המאגר באופן שניתנה גישה למידע שבמאגר ללא הרשאה או בחריגה מהרשאה, גם אם עדיין לא הוכח שימוש במידע בפועל.
  • כאשר זוהתה גישה למערכות המאגר ולמידע המצוי בו, כשלבעל מאגר המידע אין בהכרח דרך לדעת מהי מידת החשיפה של הגורם הבלתי-מורשה למידע, כמו גם משך הזמן שבו הייתה קיימת גישה למערכות המאגר ולמידע עצמו, הפעולות אותן ביצע הגורם הבלתי-מורשה או אילו רוגלות או נוזקות הותקנו במערכת.

יובהר, כי יש לדווח על אירוע אבטחה חמור גם במקרים בהם גורם אחר (משטרה, מערך הסייבר הלאומי, רגולטור מגזרי או גורם משפטי) יצר עמכם קשר ויידע אתכם על האירוע ו/או גם במקרה בו יידעתם גורם אחר על האירוע.

 

מתי מדווחים?

הכוונה במונח “באופן מיידי” היא שנדרש למסור את ההודעה בסמוך ככל האפשר למועד הגילוי וללא דיחוי בנסיבות העניין.

 

מה קורה אם יש ספק?

בכל מקרה של ספק, מומלץ להעביר לרשות להגנת הפרטיות דיווח על האירוע כאירוע אבטחה חמור.

 

כיצד מדווחים?

  • ניתן לדווח באמצעות טופס דיגיטלי. יש להיכנס לקישור הייעודי באתר הרשות ולדווח באופן מיידי.
  • ניתן לדווח באמצעות דואר אלקטרוני או פקס. יש להיכנס לקישור הייעודי באתר הרשות לטופס דיווח על אירוע אבטחה חמור, ללחוץ על “הדפסה” כדי להדפיס את הטופס ולמלא אותו באופן ידני. לאחר מכן, לשלוח אותו לכתובת הדוא”ל הייעודית – [email protected] או בפקס’ מס’ 02-6467064.

 

המשך הטיפול בבקשה

כאשר הטופס יתקבל במערכות הרשות להגנת הפרטיות, יתקבל אישור על קבלת הטופס (שאיננו בהכרח אישור שהדיווח הוגש כראוי), ונציגי הרשות יצרו עמך קשר לקבלת פרטים נוספים. במקרה בו לא קיבלת אישור על קבלת הטופס בתוך 4 שעות, או במקרה בו הדיווח אודות אירוע האבטחה לא נעשה באמצעות הטופס הייעודי,יש לשלוח את הדיווח בנוסף גם לדוא”ל הנ”ל.

 

מה הלאה?

דיווח על אירוע אבטחה חמור אינו גורע מהחובה לנקוט בכל הצעדים הנדרשים לטיפול באירוע האבטחה החמור ולצמצום הנזקים בהתאם להוראות החוק והתקנות. הרשות רשאית לבקשת הבהרות או מידע נוסף בעקבות הדיווח הראשוני המועבר לה.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign