אירוע שירביט – היום שאחרי?

המידע האישי והרגיש של הלקוחות עומד במרכז אירועי סייבר, במיוחד כמו זה שהתרחש בשבוע שעבר כנגד חברת שירביט. עו"ד יעקב עוז מפרסם את עקרונות היסוד לאבטחת מידע והגנת הפרטיות
שיתוף ב facebook
שיתוף ב twitter
שיתוף ב linkedin
שיתוף ב whatsapp
שיתוף ב email

גילוי נאות: אינני לקוח של שירביט, אינני בעל ענין בה ואני מאחל לה רק הצלחה, אך הסערה עדיין כאן: יש כאן חברה, סוכנות וסוכנים ואולי הכי חשוב – הציבור ואמון הציבור. מעל הכל יש את הלקוחות או בשפת אבטחת המידע והגנת הפרטיות – "נושאי המידע" אותם לקוחות שהפקידו בידי סוכנות וסוכני הביטוח והחברות את מה שכמעט הכי יקר להם מכל, את המידע האישי, המידע הרגיש. 

יש מי שתוקף את שירביט גם בימים אלה, שרוחות ההתקפה הפרועה עליה טרם שכחו. ואני? אני מסרב להימנות על אלה ש"כעיט חגים מעל טרף". עוד יהיה מספיק זמן, די והותר על מנת לבצע תחקירי עומק ואפיון, במטרה להבין מי שם ידו על אחד הנכסים החשובים שיש לה לחברת ביטוח ולשכמותה – המידע האישי.

האם המידע שלנו מוגן? | צילום: Shutterstock

"באירוע שירביט" ישנן מספר עובדות ברורות ואין עליהן עוררין: קיימת דרישת כופרה מחברת הביטוח שירביט; מידע אישי ומידע רגיש דלף לרשת; שיעור דרישת הכופרה גדל מאז פקיעת האולטימטום; חברת הביטוח מצהירה כי לא תיכנע ל"טרור רשת".

אתגרי הסייבר

אני מלא הערכה לסוכנים שפרסמו הודעת תמיכה ואמון בחברה, כמו גם לשקיפות ולקור הרוח של מנהלי ומנהלות שירביט. אין אני שם עצמי כמבקר של הדרך – לנהל מו"מ עם טרוריסטים של סיייבר, אם לאו. מה שבטוח הוא שלעולם לא נדע אם שירביט היתה משלמת את דמי הכופרה, אם אז החומרים לא היו מודלפים על ידי BLACKSHADOW.

לא נזכיר כעת את החוקים והתקנות העוסקים בדיני הגנת הפרטיות, הם מפורטים בהמשך. ואם ישאל השואל מה הקשר בין סייבר לאבטחת מידע והגנת הפרטיות, אשיב שישנם מספר אתגרים כמפורט להלן: עמידה בדרישות החוק; התקפת סייבר (כאמור); שמירה על נכסים דיגיטליים וסודות מסחריים; והאתגר, בה"א הידיעה, הוא הגשמת רצון הלקוח מוסר המידע.

שלא יישמע לכם מוזר, שהמחבר כאיש חוק שומר חוק, מציג בראש סדר העדיפויות את רצון הלקוח – "נושא המידע". חוקים ואיומים נועדו לשרת את המטרה של ההתגוננות שתוארה לעיל.

אי ודאות

בשבוע שחלף מאז התפרצו לרשת ולכל מהדורות ותוכניות החדשות דבר התקפת הסייבר, אנו מקבלים פניות רבות שהכותרת שלהן היא: אי ודאות. לכן, הנני ממליץ להירגע, ובקור רוח כל מי שמחזיק במאגר מידע אישי – מידע רגיש, לשאול עצמו מספר שאלות: האם המידע שלי מוגן? האם אני עומד.ת בדרישות החוק? מה עלי לעשות כעת?

להלן תשובות הרשות להגנת הפרטיות והמחבר: גיבויים – יש לוודא ביצועם וקיומם של גיבויים תקינים; הרשאות – רק על פי המינימום הנדרש למטרת הארגון, להימנע מהרשאות רחבות מדי; חיבור מרחוק – רק על פי צורך, בהרשאה מותאמת ובעדיפות לכתובות מוגדרות.

עדכונים – לשמור על מערכות ותוכנות מעודכנות בגרסאותיהם ובעדכוני האבטחה; סיסמאות – לעבוד בכפוף למדיניות סיסמאות וגישה מוקשחת; סגמנטציה – להקפיד על הפרדה בין רשתות והמערכות השונות בארגון.

ניטור ובקרה של התחברויות ופעילות ברשת לשם זיהויה של פעילות אנומלית; מערכות זיהוי – ישומן של מערכות IDS/IPS לזיהוי והתרעה מפני חדירה בנוסף למערכות ההגנה והאנטי וירוס.

רכישת ביטוח סייבר; רשימת מאגר המידע כחוק; בניית תיק נהלי אבטחה לפי החובות החלות עליו בחוק הגנת הפרטיות, התשמ"א-1981 ותקנות הגנת הפרטיות (אבטחת מידע) התשע"ז–2017.

הכותב הינו יו"ר ועדת הסייבר והגנת הפרטיות בלהב, ויועץ לחברי לשכת סוכני הביטוח

שיתוף ב facebook
שיתוף ב twitter
שיתוף ב linkedin
שיתוף ב whatsapp
שיתוף ב email