דיווח שהתקבל באמצע השנה שעברה ברשות להגנת הפרטיות הצביע על ליקוי אבטחת מידע חמור בעמותת "עמינדב" - האגודה הדתית לאומית להתנדבות, בו דלף מידע רב של מועמדות לשירות לאומי וכן על בנות הנמצאות במהלך השירות. בין פרטי המידע שנחשפו ניתן היה למצוא צילומי תעודות זהות, שמות משתמשים וסיסמאות, שם ההורים, כתובות, טלפון, מספר חשבון בנק, תמונות ותעודות רפואיות.
ממצאי הפיקוח העלו כי במועד האירוע, שהתרחש במהלך 2020, מידע שאוחסן על ידי העמותה בשירות הענן של חברת אמזון היה זמין לגישה מרשת האינטרנט ללא צורך בהזדהות, לפרק זמן של לפחות חודש וחצי, ועד למועד בו נודע לעמותה על קרות האירוע. על אף שהאירוע נודע לעמותה, זו לא דיווחה לרשות על האירוע מיד עם היוודע לה, כנדרש בהוראות תקנות הגנת הפרטיות.
ממצאי הליך הפיקוח שערכה הרשות, בעקבותיו נקבעה לעמותה הפרה בחודש מאי האחרון, העלו כי הליך העברת המידע מהשרת המקומי של העמותה לשירות הענן של אמזון התבצע שלא בהתאם לסטנדרט האבטחה המקובל. כך לדוגמה, לא הוגדרו הגדרות אבטחה מומלצות המפורטות במסמכי אמאזון, הגישה למידע הוגדרה כציבורית ולא פרטית, לא הופעל מנגנון ניטור תיעוד והתראה לאירועי אבטחת מידע ועוד.
-
עוד באותו נושאמהיי-טק לשירות לאומי: אתי שטרן מונתה ליו"ר עמינדב
01/06/21 20:18
בהתאם לממצאי האירוע קבעה הרשות, כי העמותה הפרה את הוראות סעיף 17 לחוק הגנת הפרטיות, הכולל דרישות לאבטחת המידע במאגרי מידע וכן את הוראות תקנות הגנת הפרטיות. בנוסף לכך הרשות נתנה לעמותה הנחיות לתיקון ליקויים, אשר העבירה בהמשך תכנית עבודה לתיקון ליקויים ולשדרוג מערך האבטחה שלה.
ההפרה כללה, בין היתר, מתן גישה למאגר המידע ללא נקיטת אמצעים מקובלים כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד, אפשרות גישה למידע ולמערכות המאגר דרך רשת האינטרנט, וזאת מבלי שהותקנו אמצעי הגנה מתאימים מפני חדירה לא מורשית ואי יישום מנגנוני בקרה מספקים לגילוי וזיהוי אירועים חריגים במאגר המידע.
בעקבות פניית 'חדשות כיפה' בעמינדב מסרו כי, "במסגרת שיפור מערך המחשוב ביצענו מעבר לשרתים של חברת אמזון, שכידוע מובילה בעולם בתחום הענן ואחסון המידע. בתקופת המעבר נוצרה פרצה ללא ידיעתנו לתקופה קצרה. ברגע שזוהתה הפרצה, פעלנו באמצעות חברה חיצונית לסגירת הפרצה וחיזוק כל תחום אבטחת המידע לרמות הגבוהות ביותר. עד היום שנה וחצי אחרי האירוע, לא ידוע לנו על חומר שאכן דלף דרך פרצה זו", הם מדגישים.
"פעולה זו אושרה והתקבלה בהערכה בכתב על ידי מפקח הרשות להגנת הפרטיות, עו"ד וולדנר עומרי שאף אמר: 'הרשות מברכת על הפעולות בהן נקטה העמותה מאז האירוע לצורך אבטחת המידע המצוי ברשותה ומניעת הישנות מקרים אלו בעתיד. אנחנו מודים לכם על שיתוף הפעולה'. עמינדב מחזיקה היום מערכות מידע מהטובות בעולם וכל המידע מאובטח על פי הדרישות הגבוהות ביותר".