הרשות להגנת הפרטיות קנסה את עיריית הוד השרון בסכום של 10,000 שקל עקב פרצת אבטחה שאפשרה גניבת מידע רגיש על תושבי העיר ואחרים, מהמערכת הממוחשבת של העיריה אשר לא היתה מאובטחת כנדרש בתקנות החוק להגנת הפרטיות.
בהחלטת הרשות נקבע עוד, כי עקב הרשלנות העירייה הפרה את חוק הגנת הפרטיות.
ב-13 מרס 2020 נפרצו מחשבי עיריית הוד השרון, שפנתה לרשות להגנת הפרטיות ועדכנה על המקרה. חקירת הרשות העלתה כי הפריצה התבצעה על ידי רוגלה (תוכנת ריגול), שאפשרה גישה לצורך השתלטות מרחוק על השרתים בהם אוחסן המידע. בהמשך לכך הרוגלה הצפינה קבצים שונים אשר מאפשרים לפורצים שליטה מלאה על מערכת העירונית הממוחשבת.
כאמור, ממצאי החקירה העלו כי העירייה לא פעלה בהתאם להוראות תקנות הגנת הפרטיות.
במועד האירוע, נקבע, הרשאות הגישה שנקבעו למשתמשים במחשבי העירייה הוגדרו בצורה כוללת ללא הסיווג ההייררכי הנדרש – בהתאם להגדרת התפקיד והסמכויות של הפקידים הרלוונטים.
עוד נקבע, כי עובר למועד האירוע לא הקפידה העירייה על ניהול ותפעול תקין של מערכות מאגר המידע שנפרץ, ואפשרה גישה חיצונית למידע דרך רשת האינטרנט, מבלי שננקטו אמצעי הגנה מתאימים מפני חדירה לא מורשית.
בהקשר זה, נקבע, לא בוצעה הפרדה בסביבות העבודה בין מאגרי המידע השונים לבין מערכות מחשוב אחרות, לא בוצעו עדכונים שוטפים למערכות ההפעלה, ואף נעשה שימוש בתוכנות ישנות שלא תאמו לעדכוני אבטחת מידע תקפים.
גורם הבקיא בפרטי האירוע מסביר לאתר "פוסטה", כי בשלב זה לא נמצאה אינדיקציה לכך שהפורצים שלפו את המידע או העבירו אותו הלאה.
תגובת עיריית הוד השרון
דובר העירייה מסר: "מאז אירוע ניסיון הכופר בחודש מרץ 2020 שסוכל בהצלחה על ידי עיריית הוד השרון, עובדת העירייה בתיאום עם מספר גופי ממשלה, בהם הרשות להגנת הפרטיות לניתוח האירוע, הפקת לקחים מתהליך ההתגוננות והיערכות להמשך. הופתענו לקרוא את הודעת הרשות, שאינה תואמת את התהליך שנעשה מולה, ואת מסקנות גופי בדיקה נוספים דוגמת המנהל לשירות חירום – יחידת הסייבר של משרד הפנים.
"הגדרת האירוע כאירוע דליפת מידע הינה שגויה מיסודה – מדובר באירוע מסוג וירוס כופר שמטרתו נעילת קבצים לצורך תמורה כספית, ולא כפי המצוין בהודעת הרשות להגנת הפרטיות. בניגוד למשתמע מההודעה, לא נראתה שום אינדיקציה באף אחת מהבדיקות פנימיות וחיצוניות, לדליפת מידע מאגרי המידע המוחזקים בעירייה ולא נגרמה כל פגיעה בפרטיותם של הגורמים הבאים במגע עם העירייה ונתוניהם לא זלגו לאף גורם, גם היום יותר משנה לאחר סיום האירוע".
סנקציה לא מרתיעה
ארז קריינר, לשעבר ראש חטיבת הסייבר בשב"כ ויזם חברת "סייבר ריידר" אומר ל"פוסטה", כי הסנקציה שהטילה הרשות, קנס של 10,000 אינה מהווה הרתעה לרשויות נוספות. "מדובר בסכום של 100 דו"חות חניה, זו הכנסה של פקח ממוצע ביום. לכן חלק גדול מהעיריות מזלזלות בהנחיות של אבטחת מידע.
"נושא שמירת הפרטיות הוא חובה לכל הגופים הציבוריים, בעולם מחלקים קנסות הרבה יותר משמעותיים. חברת בריטיש איירווייז קיבלה בעבר קנס של עשרות מיליוני לי"ש על פריצת סייבר לפני מספר שנים. הקנסות באיחוד האירופי בנושא הסייבר יכולים להגיע לארבעה אחוז מהמחזור השנתי של החברות בהן התגלו מחדלים".
קריינר מעריך כי ההודעה לעיתונות לצד הקנס הנמוך, שניתן לראשונה, נועדו להעביר מסר לעיריית הוד השרון ולרשויות נוספות וגופים ציבוריים בכלל, להתחיל לבדוק את מערכות אבטחת המידע שלהם.
הוא מציין כי תחום אבטחת המידע הוא אחד התחומים המתפתחים בעולם הקיברנטי הפוסט מודרני. ארגונים רבים מדי אינם מקפידים על אבטחת מידע כי הם חושבים שהמידע שלהם לא מעניין פורצים והאקרים, אלא שמידע במחשבים של גופים ציבוריים וגופים פרטיים גדולים שווה הרבה לצורך ריגול תעשייתי.
מלבד זאת, עיריות מחזיקות גם במידע אישי רגיש על אזרחים. "לכל תושב יש בין 40 ל-50 סוגי 'שדות' במחשב הרשות המקומית שלו, וכל שדה כזה מעניין גורמים שונים – כלכליים ופליליים. בנקים שומרים הרבה יותר ביעילות על המידע שלהם, כי אחרת הלקוחות יצביעו ברגליים. אצל הרשויות המקומיות מדובר בקהל שבוי, ולכן חשוב הפיקוח של הרגולטור".
לגנוב 80 מיליון דולר
בוגר השב"כ מספר כי לאחרונה ארגוני פשע מהדור החדש מנסים להיכנס לתחום עבירות הסייבר. "לא מזמן היתה גניבה של 80 מיליון דולר מבנק. היום אי אפשר לגנוב פיזית 80 מיליון, גם משום שהבנקים לא מחזיקים סכומים כאלה במזומן. שטר של 100 דולר שוקל 0.8 גרם. בתיק ג'יימס בונד נכנסים לכל היותר מיליון דולר. בשביל 80 מיליון דולר צריך 80 תיקי ג'יימס בונד. היום, בהעברה אחת מתוחכמת דרך ענן, מעבירים סכומי עתק.
"הנחת העבודה כיום היא, שבין 10 ל-20 אחוזים מפעילות הפשיעה עוברת למימד הווירטואלי, ארגוני הפשע מעסיקים האקרים אישיים".
