הרשות להגנת הפרטיות קבעה כי עיריית הוד השרון הפרה את חוק הגנת הפרטיות

הרשות להגנת הפרטיות (לשעבר רמוט)

פיקוח שביצעה הרשות להגנת הפרטיות בעיריית הוד השרון, בעקבות דיווח על אירוע אבטחת מידע, העלה כי אירעה פריצה לשרתים בבעלות העירייה, אשר הכילו מידע אישי רב, הן אודות תושבי העיר והן אודות עובדי העירייה. השרתים שנפרצו הכילו מידע אישי הכולל , בין היתר, מסמכים, התכתבויות דואר אלקטרוני, תלונות של תושבים לרבות שמות ומספרי זהות, מידע על עובדים המשתמשים במערכות העירייה ועוד.

חקירת הרשות להגנת הפרטיות העלתה כי הפריצה התבצעה  על ידי רוגלה (תוכנת ריגול), שאפשרה גישה לכניסה מרחוק לשרתים; בהמשך לכך, הרוגלה הצפינה קבצים שונים אשר אפשרו שליטה מלאה במערכת.

ממצאי הפיקוח של הרשות העלו, כי העירייה פעלה שלא בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017:  במועד האירוע  הגדרות הרשאות הגישה שנקבעו למשתמשים במחשבי העיריה נעשו בצורה כוללת, לא בהתאם להגדרת התפקיד ולא במידה הנדרשת לביצוע התפקיד בלבד. כמו כן, נמצא כי העירייה לא נקטה באמצעים מקובלים כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך.

עוד עלה, כי במועד האירוע לא הקפידה העירייה על ניהול ותפעול תקין של מערכות מאגר המידע שנפרץ ואפשרה גישה למידע דרך רשת האינטרנט, מבלי נקיטת אמצעי הגנה מתאימים מפני חדירה לא מורשית. במסגרת כך, לא בוצעה הפרדה בסביבות העבודה בין מערכות המאגר בהן ניתן לגשת למידע לבין מערכות מחשוב אחרות, לא בוצעו עדכונים שוטפים למערכות ההפעלה של המאגר במחשבי החברה ונעשה שימוש במערכות אשר היצרן הפסיק לתמוך בעדכוני אבטחת מידע בהן.

בנוסף, העירייה לא קיימה כנדרש בתקנות הגנת הפרטיות (אבטחת מידע) סקר לאיתור סיכוני אבטחת מידע במערכותיה במועד הדרוש, ולא פעלה כדי לתקן את הממצאים שנתגלו בסקר קודם שקיימה בנושא.

לאור כל אלה הרשות קבעה כי העירייה הפרה את הוראות חוק הגנת הפרטיות והתקנות מכוחו ונתנה לעירייה הנחיות לתיקון הליקויים שהתגלו במסגרת הליך הפיקוח. על העירייה אף הוטל קנס מנהלי על סך 10,000 ₪ בגין אי-רישום של מאגרי מידע החייבים ברישום מכוח הוראות חוק הגנת הפרטיות.

עו"ד עלי קלדרון, מנהל מחלקת אכיפה ברשות להגנת הפרטיות: "ברשויות המקומיות מנוהל מידע אישי רב ורגיש ביותר על אודות התושבים בתחומי החיים השונים ובכללם חינוך, כלכלה רווחה ועוד. על מנת לקבל שירותים שונים, התושבים למעשה מפקידים את המידע אודותיהם בידי הרשויות ומכאן שתפקידן, כמי שאמורות להגן עליו, מתעצם. מצופה מכל רשות מקומית להקפיד על קיום הוראות החוק והתקנות מכוחו ולצמצם את פוטנציאל התרחשותם של אירועי אבטחת מידע ופגיעה בפרטיות התושבים."

מעיריית הוד השרון נמסר בתגובה: מאז אירוע ניסיון הכופר בחודש מרץ 2020 שסוכל בהצלחה על ידי עיריית הוד השרון, עובדת העירייה בתיאום עם מספר גופי ממשלה, בהם הרשות להגנת הפרטיות לניתוח האירוע, הפקת לקחים מתהליך ההתגוננות והיערכות להמשך.

הופתענו לקרוא היום את הודעת דוברות הרשות שאינה תואמת את התהליך שנעשה מול הרשות ואף את הדו"ח המסכם שלה. בנוסף, ההודעה אינה תואמת מסקנות של גופי בדיקה נוספים דוגמת המנהל לשירות חירום – יחידת הסייבר של משרד הפנים.

הגדרת האירוע כאירוע דליפת מידע הינה שגויה מיסודה – מדובר באירוע מסוג וירוס כופר שמטרתו נעילת קבצים לצורך תמורה כספית, ולא כפי המצוין בהודעת הרשות להגנת הפרטיות. בניגוד למשתמע מההודעה, לא נראתה שום אינדיקציה באף אחת מהבדיקות פנימיות וחיצוניות, לדליפת מידע מאגרי המידע המוחזקים בעירייה ולא נגרמה כל פגיעה בפרטיותם של הגורמים הבאים במגע עם העירייה ונתוניהם לא זלגו לאף גורם, גם היום יותר משנה לאחר סיום האירוע.

בעקבות התחקיר שבוצע על ידי יחידת הסייבר של משרד הפנים, שעודכנה על ידי עיריית הוד השרון מיד עם תחילת האירוע, טופלו רוב הליקויים ותהליכי עומק לתיקון מערכות המידע נמשכים, כאמור בשיתוף פעולה.

נדגיש שוב, כי הנתונים והפרטים האישיים של תושבות ותושבי העירייה ומערכות העירייה ובסיסי הנתונים של המערכים נמצאים "בענן" ולכן לא היו מעורבים כלל באירוע.

עוד קודם לאירוע הוקם אגף מערכות מידע וכן מאז האירוע בוצע רישום של כל מאגרי המידע וכן מונה ממונה אבטחת מידע לצורך טיפול באירועים דומים.

יש לציין כי במכתב של הרשות להגנת הפרטיות בנושא שנשלח לעיריית הוד השרון הם אף אישרו את הפרטים, והדגישו כי מדובר באירוע כופר וכי הם מברכים על הצעדים שנקטה העירייה בנושא להלן הסעיפים הרלבנטיים מסיכום דו"ח תיקון ליקויים של הרשות להגנת הפרטיות לעיונכם:

15. הרשות מברכת על הצעדים שננקטו על ידי העיריה, כפי שתוארו במפורט במכתב המענה, ובהתכתבויות בין המחלקות השונות ברשות לבין נציגי העיריה.

16. העיריה העבירה תוכנית לטיפול בליקויים אשר נמצאו לאורך הפיקוח ואשר עלו כממצאים מתחקיר אירוע אבטחת המידע.

17. בהמשך למסמכים שהועברו לרשות, יש להעביר עדכון בדבר תיקון הליקויים ורישום המאגרים, כפי שהתבקש, עד ליום 2.7.2021

18. בזאת מסתיים ההליך ותיק הפיקוח שמספרו 1873 נסגר. אנו מודים על שיתוף הפעולה.


בכבוד רב,
עו"ד אורי דגן, מפקח
הרשות להגנת הפרטיות

לסיכום, עיריית הוד השרון שיתפה פעולה ודיווחה לכלל הגופים האמונים על הגנת הפרטיות לצורך טיפול בליקויים, עמדנו בקשר עם הרשות להגנת הפרטיות כולל התכתבויות והעברת מסמכים על פי בקשתם ומצופה מהם שהפרטים יוצגו באופן מהימן כפי שהוא משקף את השתלשלות האירועים באופן מדויק.