משרד המשפטים: עיריית הוד השרון הפרה את חוק הגנת הפרטיות
פעולת פיקוח שביצעה הרשות להגנת הפרטיות גילתה פריצה למערכות של העירייה, שבה נחשף מידע אישי של עובדים ותושבים ● הרשות קבעה כי העירייה הפרה את החוק ולא פעלה לתיקון ליקויים קודמים שהתגלו
עיריית הוד השרון הפרה את חוק הגנת הפרטיות ואת התקנות שנובעות ממנו – כך קבעה הרשות להגנת הפרטיות שבמשרד המשפטים, בעקבות פעולת פיקוח שביצעה. במסגרת הפעולה גילתה הרשות פריצה שאירעה לשרתים של העירייה.
דיווח לרשות על אירוע אבטחת מידע גילה את אירוע הפריצה לשרתים, שהכילו מידע אישי רב – הן אודות תושבי העיר והן אודות עובדי העירייה. השרתים שנפרצו הכילו, בין היתר, מסמכים, התכתבויות מייל, תלונות של תושבים – לרבות שמות ומספרי זהות – ומידע על עובדים המשתמשים במערכות העירייה.
בחקירה נמצא שהפריצה בוצעה באמצעות רוגלה שאפשרה גישה לכניסה מרחוק לשרתים. בהמשך לכך, הרוגלה הצפינה קבצים שונים, שאפשרו שליטה מלאה במערכת.
ממצאי הפיקוח העלו שהעירייה פעלה שלא בהתאם להוראות תקנות הגנת הפרטיות: במועד האירוע, הגדרות הרשאות הגישה שנקבעו למשתמשים במחשבי העיריה נעשו בצורה כוללת, לא בהתאם להגדרת התפקיד ולא במידה הנדרשת לביצוע התפקיד בלבד. כמו כן, נמצא כי העירייה לא נקטה באמצעים מקובלים כדי לוודא שהגישה למאגר ולמערכות שבו נעשית בידי בעל הרשאה המורשה לכך.
עוד עלה כי במועד האירוע העירייה לא הקפידה על ניהול ותפעול תקינים של מערכות מאגר המידע שנפרץ, ואפשרה גישה לנתונים דרך האינטרנט, מבלי שהיא נוקטת אמצעי הגנה מתאימים מפני חדירה לא מורשית. במסגרת כך, לא בוצעה הפרדה בסביבות העבודה בין מערכות המאגר שבאמצעותן ניתן לגשת למידע למערכות מחשוב אחרות, לא בוצעו עדכונים שוטפים למערכות ההפעלה של המאגר במחשבי החברה ונעשה שימוש במערכות שהיצרן הפסיק לתמוך בעדכוני אבטחת מידע עבורן.
בנוסף, העירייה לא קיימה כנדרש את התקנות הנוגעות לביצוע סקר לאיתור סיכוני אבטחת מידע במערכותיה במועד הדרוש, ולא פעלה כדי לתקן את הממצאים שהתגלו בסקר קודם שקיימה בנושא.
קנס של 10,000 שקלים
לאור כל אלה, הרשות להגנת הפרטיות קבעה כי העירייה הפרה את הוראות חוק הגנת הפרטיות ואת התקנות מכוחו, ונתנה לעירייה הנחיות לתיקון הליקויים שהתגלו במסגרת הליך הפיקוח. על העירייה אף הוטל קנס מנהלי על סך 10,000 שקלים בגין אי-רישום של מאגרי מידע החייבים ברישום מכוח הוראות החוק.
עו"ד עלי קלדרון, מנהל מחלקת אכיפה ברשות להגנת הפרטיות, אמר כי "ברשויות המקומיות מנוהל מידע אישי רב ורגיש ביותר אודות התושבים בתחומי החיים השונים ובכללם חינוך, כלכלה, רווחה ועוד. על מנת לקבל שירותים שונים, התושבים מפקידים את המידע אודותיהם בידי הרשויות, ומכאן שתפקידן, כמי שאמורות להגן עליו, מתעצם. מצופה מכל רשות מקומית להקפיד על קיום הוראות החוק והתקנות מכוחו, ולצמצם את פוטנציאל התרחשותם של אירועי אבטחת מידע ופגיעה בפרטיות התושבים".
טרם התקבלה תגובת עיריית הוד השרון.
תגובות
(0)