הרשות להגנת הפרטיות: משרד עו״ד אליהו מלך ושות' הפר את הוראות חוק הגנת הפרטיות
ממצאי הפיקוח העלו, בין היתר, כי התוקף התקין והפעיל תוכנות זדוניות ברשת הארגונית במסגרת התקיפה. עוד נמצא, כי במועד האירוע על חלק מהשרתים הייתה מותקנת תוכנת TeamViewer המאפשרת התחברות מרחוק
עמי רוחקס דומבה
| 10/01/2022
bigstock
הרשות להגנת הפרטיות קבעה כי משרד עו"ד אליהו מלך ושות' הפר את הוראות חוק הגנת הפרטיות בעקבות אירוע אבטחה חמור שהתרחש בו. הרשות ביצעה הליך פיקוח מנהלי בעקבות דיווח שהתקבל מהמשרד, ממנו עלה חשד לתקלה בשרתי המשרד. במהלך הליך הפיקוח עלה כי בחלק ממחשבי ושרתי המשרד נמצאה נוזקה מסוג כופרה.
עם זיהוי התקלה, החל צוות מחברת "בינת תקשורת מחשבים בע"מ" (חברה המתחזקת את מערכת השרתים של המשרד) בבחינת התקלה, ולאחר תחקיר נמצא, כי המקור הוא נוזקה מסוג וירוס כופר.
בעקבות הדיווח על האירוע, ביצעה הרשות להגנת הפרטיות פעולות פיקוח שונות אשר כללו, בין היתר, קבלת מידע ראשוני ממשרד עורכי הדין לגבי האירוע ואופן הטיפול בו, פניה בדרישה לקבלת מידע ומסמכים נוספים ובחינת המידע וההשלמות שסופקו. כמו כן, ניתנו למשרד עורכי הדין מספר הנחיות לתיקון הליקויים שנמצאו.
ממצאי הפיקוח העלו, בין היתר, כי התוקף התקין והפעיל תוכנות זדוניות ברשת הארגונית במסגרת התקיפה. במועד האירוע, חלק מהשרתים ותחנות העבודה היו נעולים באמצעות משתמש מקומי, ובאמצעות הרצת תהליכי גניבת סיסמא מקומית, בוצעה כניסה לתחנות אלו.
עוד נמצא, כי במועד האירוע על חלק מהשרתים הייתה מותקנת תוכנת TeamViewer המאפשרת התחברות מרחוק. תוכנה זו ידועה בחולשות האבטחה שלה, וקיימת המלצה לא לעשות בה שימוש, או לחלופין להסירה מיד לאחר השימוש.
הרשות קבעה כי באחריות המשרד לוודא כי הגישה למאגר המידע שברשותו נעשית בידי בעל הרשאה המורשה לכך בלבד. כמו כן, קבעה הרשות כי המשרד לא התקין אמצעי הגנה מתאימים מפני חדירה לא מורשית, טרם חיבר את מערכות המאגר שלו לרשת האינטרנט. בנוסף, קבעה הרשות כי משרד עורכי הדין לא התקין אמצעי אבטחה מקובלים לאבטחת נתוני הלקוחות מפני חדירה לא מורשית.
הרשות מדגישה כי משרדי עורכי דין, מעצם טיבם ועיסוקים מחזיקים במידע רב ורגיש. כמו כל בעלים או מחזיק של מאגר מידע, חלות עליהם חובות בקשר לאבטחת המידע שברשותם, בין אם המידע הוא שלהם עצמם, ובין אם של לקוחותיהם.
חובה זו מקבלת משנה תוקף בשל חובתם של עורכי הדין לחיסיון כלפי לקוחותיהם. בהתאם נדרשים משרדי עורכי הדין לוודא כי הגישה למידע תהיה בידי בעל הרשאה בלבד. משרדי עורכי דין רבים מסתייעים בגורם חיצוני לצורך תחזוקת מערכות המחשוב במשרדם. עובדה זו כשלעצמה אינה פוטרת אותם מאחריותם לאבטחת המידע.
בנוסף, מדגישה הרשות, כי שימוש בתוכנות שיתוף (כגון TEAMVIEWR) טומן בחובו סיכוני אבטחת מידע. על בעל מאגר (או מחזיק), אשר עושה שימוש כאמור, לקחת בחשבון כי תוכנות אלו עשויות להוות פרצת אבטחה, אשר תעמיד בסיכון את המידע המוחזק על ידו.
בסיום ההליך קבעה הרשות, כי המשרד הפר את הוראות החוק והתקנות מכוחו וניתנו למשרד הנחיות לתיקון הליקויים שנתגלו.
הרשות מבקשת לציין לטובה את שיתוף הפעולה של המשרד ואת הפעולות שנקט ממועד הדיווח על האירוע לשם אבטחת המידע המצוי ברשותו ולמניעת הישנות מקרים דומים בעתיד.
ממצאי הפיקוח העלו, בין היתר, כי התוקף התקין והפעיל תוכנות זדוניות ברשת הארגונית במסגרת התקיפה. עוד נמצא, כי במועד האירוע על חלק מהשרתים הייתה מותקנת תוכנת TeamViewer המאפשרת התחברות מרחוק
bigstock
הרשות להגנת הפרטיות קבעה כי משרד עו"ד אליהו מלך ושות' הפר את הוראות חוק הגנת הפרטיות בעקבות אירוע אבטחה חמור שהתרחש בו. הרשות ביצעה הליך פיקוח מנהלי בעקבות דיווח שהתקבל מהמשרד, ממנו עלה חשד לתקלה בשרתי המשרד. במהלך הליך הפיקוח עלה כי בחלק ממחשבי ושרתי המשרד נמצאה נוזקה מסוג כופרה.
עם זיהוי התקלה, החל צוות מחברת "בינת תקשורת מחשבים בע"מ" (חברה המתחזקת את מערכת השרתים של המשרד) בבחינת התקלה, ולאחר תחקיר נמצא, כי המקור הוא נוזקה מסוג וירוס כופר.
בעקבות הדיווח על האירוע, ביצעה הרשות להגנת הפרטיות פעולות פיקוח שונות אשר כללו, בין היתר, קבלת מידע ראשוני ממשרד עורכי הדין לגבי האירוע ואופן הטיפול בו, פניה בדרישה לקבלת מידע ומסמכים נוספים ובחינת המידע וההשלמות שסופקו. כמו כן, ניתנו למשרד עורכי הדין מספר הנחיות לתיקון הליקויים שנמצאו.
ממצאי הפיקוח העלו, בין היתר, כי התוקף התקין והפעיל תוכנות זדוניות ברשת הארגונית במסגרת התקיפה. במועד האירוע, חלק מהשרתים ותחנות העבודה היו נעולים באמצעות משתמש מקומי, ובאמצעות הרצת תהליכי גניבת סיסמא מקומית, בוצעה כניסה לתחנות אלו.
עוד נמצא, כי במועד האירוע על חלק מהשרתים הייתה מותקנת תוכנת TeamViewer המאפשרת התחברות מרחוק. תוכנה זו ידועה בחולשות האבטחה שלה, וקיימת המלצה לא לעשות בה שימוש, או לחלופין להסירה מיד לאחר השימוש.
הרשות קבעה כי באחריות המשרד לוודא כי הגישה למאגר המידע שברשותו נעשית בידי בעל הרשאה המורשה לכך בלבד. כמו כן, קבעה הרשות כי המשרד לא התקין אמצעי הגנה מתאימים מפני חדירה לא מורשית, טרם חיבר את מערכות המאגר שלו לרשת האינטרנט. בנוסף, קבעה הרשות כי משרד עורכי הדין לא התקין אמצעי אבטחה מקובלים לאבטחת נתוני הלקוחות מפני חדירה לא מורשית.
הרשות מדגישה כי משרדי עורכי דין, מעצם טיבם ועיסוקים מחזיקים במידע רב ורגיש. כמו כל בעלים או מחזיק של מאגר מידע, חלות עליהם חובות בקשר לאבטחת המידע שברשותם, בין אם המידע הוא שלהם עצמם, ובין אם של לקוחותיהם.
חובה זו מקבלת משנה תוקף בשל חובתם של עורכי הדין לחיסיון כלפי לקוחותיהם. בהתאם נדרשים משרדי עורכי הדין לוודא כי הגישה למידע תהיה בידי בעל הרשאה בלבד. משרדי עורכי דין רבים מסתייעים בגורם חיצוני לצורך תחזוקת מערכות המחשוב במשרדם. עובדה זו כשלעצמה אינה פוטרת אותם מאחריותם לאבטחת המידע.
בנוסף, מדגישה הרשות, כי שימוש בתוכנות שיתוף (כגון TEAMVIEWR) טומן בחובו סיכוני אבטחת מידע. על בעל מאגר (או מחזיק), אשר עושה שימוש כאמור, לקחת בחשבון כי תוכנות אלו עשויות להוות פרצת אבטחה, אשר תעמיד בסיכון את המידע המוחזק על ידו.
בסיום ההליך קבעה הרשות, כי המשרד הפר את הוראות החוק והתקנות מכוחו וניתנו למשרד הנחיות לתיקון הליקויים שנתגלו.
הרשות מבקשת לציין לטובה את שיתוף הפעולה של המשרד ואת הפעולות שנקט ממועד הדיווח על האירוע לשם אבטחת המידע המצוי ברשותו ולמניעת הישנות מקרים דומים בעתיד.
