הטור החודשי בנושא הגנת פרטיות בארץ ובעולם 06-2021


הגנת הפרטיות – ישראל 

 פרצה במערכות של סינאל חשפה מידע רגיש על החברות הגדולות במשק המידע הראשוני על הפרצה התקבל בדיווח שהעביר מאזין לפודקאסט "סייברסייבר" של רותם ועידו קינן, בעקבותיו נחשפה פרצת אבטחה חמורה במערכות סינאל (Synel) הישראלית, שמספקת שירותי ניהול שכר וכוח אדם לכמה מהחברות הגדולות במשק. המידע שנחשף כולל פרטי גישה והתחברות למערכות שמנהלת סינאל בעבור לקוחותיה, ומידע אישי מזהה על מאות אלפי עובדים. קבצים רבים שנשמרו בשרת ששייך לסינאל לא היו אמורים להיות נגישים ברשת ללא זיהוי. השרת, שלא היה מאובטח, חשף את רשימת הקבצים לכל אדם שיש לו דפדפן וגוגל "אינדקס". בין היתר אותרו פרטי ההתחברות למערכת הדו"חות של סינאל, שמכונה harmony (הסיסמה משתנה מדי יום, אך היא תמיד התאריך העדכני), פרטי התחברות לחשבון Gmail של החברה, פרטי התחברות לשרת המייל שלה, פרטי התחברות לשרתים ופרטי התחברות לשירות רישיונות השימוש שלה. כמו כן, נמצא מסמך שמכיל הסבר כיצד לבצע שאילתות ישירות למאגרי הנתונים השונים שמנהלת סינאל, ללא צורך בהזדהות תוך שימוש בדפדפן בלבד. החברה דיווחה לרשות לניירות ערך על האירוע, בעקבות פניה של האקר לבן, וערכה בחינה וחקירה מקיפים, זיהתה את החשיפה והנתונים שנחשפו ופעלה באופן מידי לסגירת פרצת האבטחה.

גילוי דעת: מהם "מידע" ו"ידיעה על ענייניו הפרטיים של אדם" בחוק הגנת הפרטיות הרשות להגנת הפרטיות פרסמה ביום 25/05/2021 גילוי דעת שבאמצעותו מבקשת להבהיר ולהדגים מהם "מידע" ו"ידיעה על ענייניו הפרטיים של אדם" כמשמעותם בחוק הגנת הפרטיות, וכן מהם סוגי הנתונים עליהם חלות הוראות חוק הגנת הפרטיות, בהתאם לפרשנות שניתנה להם על ידי בתי המשפט. לא מדובר ברשימה ממצה, וייתכנו עוד סוגי נתונים רבים שיהיו מוגנים על פי החוק. גילוי הדעת פתוח להערות הציבור עד ליום 15/06/2021.

חשד: חוקרים פרטיים השיגו מידע אישי ממאגרים של חברות ביטוח הרשות להגנת הפרטיות סיימה חקירה פלילית נרחבת שהתנהלה בשיתוף משטרת ישראל ותחנת פתח תקווה, נגד חוקרים פרטיים החשודים בעבירות של פגיעה בפרטיות והתחזות לאחר, הכוללות כניסה למאגרי מידע מהם שלפו מידע אישי על אזרחים. החקירה המסועפת הובילה גם לחשיפת אופן הגישה למידע, בין היתר, רכשו החוקרים את המידע מחוקר אחר, שהצליח להוציא את המידע במרמה מידי עובדי בנק שהיו חשופים אליו. עוד עולה כי הכניסה למאגרי המידע נעשתה תוך הטעיית העובדים באותם גופים, על ידי שימוש במידע מזהה שהושג במרמה והתחזות לאחר. התיק הועבר כעת לפרקליטות מחוז מרכז (פלילי) לצורך עיון והחלטה.

אוטובוס ממוגן סייבר חברת דן תשקיע בחברת הסייבר אניגמטוס הישראלית ותהיה הראשונה בעולם שתגן על צי האוטובוסים שלה במטרופולין ת"א מפני התקפות סייבר, באמצעות מערכות מתקדמות שפותחו בישראל ע"י אניגמטוס. אוטובוס מכיל עשרות מחשבים המתקשרים ביניהם ושולטים על המערכות שלו, כאשר כל אחד ממחשבים אלו הוא מטרה לתקיפת סייבר, שעלולה להביא להשתלטות עוינת על האוטובוס ולהסתיים באסון. חברת אניגמטוס פיתחה בשנים האחרונות טכנולוגיה פורצת דרך ברמה עולמית אשר יודעת לבצע בזמן אמת ניתוחים של מערכות הרכב ולזהות איום ותוקף.

משרד האוצר: ממשלת ישראל עוברת לענן חברות אמזון (AWS) וגוגל, נבחרו כמועמדות לזכייה לאספקת שירותי הענן לממשלה במסגרת החלק הראשון של "פרויקט נימבוס". לאחר שישלימו את התנאים כמועמדות לזכייה, יוכרזו הזוכות ויחלו בהיערכות לאספקת השירותים ובכלל זה, הקמת אתרי ענן מקומיים בישראל בהשקעה ראשונית המוערכת בכ-4 מיליארד שקלים. שירותי הענן יסופקו מאתרים מקומיים כאשר המידע יעובד ויישמר בגבולות מדינת ישראל, תחת הנחיות אבטחת מידע מקפידות בהנחיית הגורמים הרלוונטיים בממשלה. הפרויקט כולל 4 חלקים – רכישה והקמה של תשתיות הענן, גיבוש המדיניות הממשלתית להגירה לענן, מענה לאינטגרציה והגירה לענן וביצוע בקרה ואופטימיזציה על הפעילות בענן. "פרויקט נימבוס" הוא פרויקט דגל רב שנתי וראשון מסוגו בממשלה שנועד לתת מענה מקיף ומעמיק לאספקת שירותי ענן לממשלה, מערכת הביטחון וגופים נוספים במשק. 

מערכת "עין הנץ" שמפעילה המשטרה בכבישים עשויה להיחשף בבג"ץ המדינה הגיבה בשבוע שעבר לעתירה לבג"ץ שהוגשה בינואר האחרון על ידי האגודה לזכויות האזרח וארגון "פרטיות לישראל". מהתגובה מתברר שהמערכת פועלת משנת 2015, נאגר בה מידע אודות כל רכב שחולף על פני המצלמות והמידע יכול לשמש את המשטרה בבוא היום ובמידת הצורך. עוד מודגש כי המצלמות פועלות במרחב הציבורי וכי הן משמשות לא רק לתיעוד של רכבים של גורמים עברייניים, אלא גם של כאלה שעלולים לבצע פשע בעתיד. אחד הסעיפים החשובים בתגובה נוגע להסדרה חוקית של פעולת המערכת. ההסדרה נמצאת בשלבי טיוטת תזכיר.

הרשות להגנת הפרטיות קבעה כי עיריית הוד השרון הפרה את חוק הגנת הפרטיות והתקנות מכוחו בעקבות דיווח על אירוע אבטחת מידע בשרתים של עיריית הוד השרון, אשר הכילו מידע אישי רב, הרשות להגנת הפרטיות ביצעה הליך פיקוח בעירייה. חקירת הרשות העלתה כי הפריצה התבצעה על ידי תוכנת ריגול, שאפשרה גישה מרחוק לשרתים והצפינה קבצים שונים שאפשרו שליטה מלאה במערכת. עוד נמצא כי במועד האירוע התגלו הפרות רבות של העירייה כמו: הגדרות הרשאות הגישה למשתמשים שלא בהתאם להגדרת התפקיד; לא ננקטו אמצעים מקובלים כדי לוודא שהגישה למאגר נעשית בידי מורשים; התאפשרה גישה למידע דרך רשת האינטרנט, מבלי נקיטת אמצעי הגנה מתאימים מפני חדירה לא מורשית; לא בוצעה הפרדה בין מערכות המאגר לבין מערכות מחשוב אחרות; לא בוצעו עדכונים שוטפים למערכות ההפעלה במחשבי העירייה ונעשה שימוש במערכות שהיצרן הפסיק לתמוך בעדכוני אבטחת מידע בהן; העירייה לא קיימה סקר סיכונים במועד הדרוש, ולא פעלה לתיקון הממצאים שנתגלו בסקר קודם שקיימה. הרשות קבעה כי העירייה הפרה את הוראות חוק הגנת הפרטיות והתקנות מכוחו ונתנה לעירייה הנחיות לתיקון הליקויים שהתגלו בהליך הפיקוח. על העירייה אף הוטל קנס מנהלי על סך 10,000 ₪ בגין אי-רישום מאגרי מידע החייבים ברישום מכוח החוק.

הסוף לפקקים? מיזם מבוסס AI ינסה להפחית את עומסי התנועה בכבישי ישראל לפני מספר חודשים דיווחנו על הפרויקט החדשני בהובלת חברת נתיבי ישראל ואיגוד התחבורה החכמה Israel Smart Mobility Living Lab . כאמור, מטרת הפרויקט היא להוריד משמעותית את עומסי התנועה בכבישים ולפעול למניעת תאונות דרכים באמצעות שיתוף מידע בין חברות טכנולוגיות, ביצוע אינטגרציה של המידע והסקת מסקנות בזמן אמת. קטע הניסוי הראשון שנבחר הוא כביש החוף, בין מחלף נתניה ועד מחלף גלילות, שכן מדובר באחד הכבישים המרכזיים ועתירי התשתיות במדינה, אליו מקבילה תשתית הרכבת הראשית בישראל.

פס"ד של בית המשפט העליון: מתן צו חיפוש במכשירים דיגיטליים ללא הודעה מראש לבעל המכשיר בפסק דין שמעון נ. מדינת ישראל שניתן ביום 25.5.21, קבע בית המשפט העליון כי בקשות מצד משטרת ישראל לצווי חיפוש במחשבים, בטלפונים חכמים ובמכשירים דיגיטליים אחרים יכולות להישמע במעמד צד אחד בבתי משפט השלום, מבלי לאפשר לבעלי מכשירים אפשרות לטעון כנגד הצורך המשטרתי בקבלת צו חיפוש או כנגד היקפו של הצו. עוד קבע בית המשפט כי בנוגע לבקשות אלה לא תינתן זכות ערעור על החלטות בית המשפט. דעת המיעוט של כבוד השופט אלרון ציינה את חשיבות הדיון במעמד שני הצדדים בכל בקשה למתן צו חיפוש במכשירים דיגיטליים, מלבד במקרים חריגים, כמו גם את חשיבותה של זכות הערעור במקרה של מתן הצו. מנגד, דעת הרוב לא מצאה בסיס סטטוטורי לדיון במעמד שני הצדדים בשעת מתן הצו, ונקבע כי דיון כזה היה פוגע במטרות של חקירה יעילה של עבירות מחשב ועבירות אחרות, בכך שהיה מעניק לבעל המכשיר ידיעה מוקדמת אודות הכוונה לערוך בו חיפוש, דבר אשר היה מאפשר שיבוש הליכי החקירה. בפסק הדין צוין כי "למעלה מ-20,000 צווי חיפוש במחשבים – ובכלל זה במכשירי טלפון ניידים חכמים – ניתנים מדי שנה". 


הגנת הפרטיות ברחבי העולם 

נציבות האיחוד האירופי פרסמה ביום 04/06/2021 סעיפי חוזה סטנדרטיים חדשים (SCC), המאפשרים העברת מידע אישי מהאיחוד האירופי למדינות חוץ (Standard Contractual Clauses for International Transfers). הסעיפים מהווים מענה לפסק דין שרמס 2, אשר ביטל את מנגנון ההלימות (Privacy Shield) שאפשר העברת מידע אישי מהאיחוד האירופי לארה"ב, וקבע כי העברת מידע אישי כאמור, תתאפשר רק בכפוף להוספת סעיפי הסכם אשר יקיימו רמת הגנה תואמת GDPR. בנוסף, פרסמה הנציבות סעיפי חוזה סטנדרטיים המאפשרים העברת מידע אישי בין מחזיקי מידע למעבדי מידע בתחומי האיחוד האירופי (Standard Contractual Clauses for Controllers and Processors in the EU/EEA). סעיפי החוזים הסטנדרטיים החדשים יכנסו לתוקף בתוך 18 חודשים ממועד פרסומם, ועד למועד זה נדרש כל גוף העוסק בהעברת מידע טרנס-אטלנטי, להחליף את הסעיפים ששימשו אותו עד כה להעברת מידע בינלאומי, בסעיפים הסטנדרטיים החדשים. במקביל, נשיא ארה"ב, ג'ו ביידן, פועל להשגת הסכם מדיני עם האיחוד האירופי, על מנת לאפשר העברת מידע ממדינות האיחוד האירופי לארה"ב. המחסום העיקרי שעודנו עומד בפני הצדדים הוא אי הגבלת הגישה של סוכנויות הביטחון האמריקאיות למידע האישי של אזרחי האיחוד האירופי.

ePrivacy Regulation - שאלות ותשובות בנושאים עיקריים בחודשים הקרובים יחלו הדיונים סביב מסמך הטיוטה של תקנות הפרטיות החדשות באירופה. מומחי פרטיות ריכזו שאלות ותשובות בנושאים העיקריים של התקנות החדשות, ביניהם: Cookies, היקף היישום של התקנות, דיוור ישיר וספאם.

פורסם קוד התנהגות בענן של האיחוד האירופי הרשות להגנת הפרטיות בבלגיה פרסמה את קוד ההתנהגות בענן של האיחוד האירופי (EU Cloud Code of Conduct), אשר נועד לסייע לספקי ענן להגיע לתאימות עם תקנות ה-GDPR. הקוד הינו מסמך הדרכה, אשר בשלב זה אינו מחייב אולם נועד להפוך בהמשך לחקיקה משלימה ל-GDPR. הקוד כולל הוראות ודרישות במסגרת יחסי הלקוח בעל השליטה במידע(Controller)  לבין ספק הענן הפועל כמעבד מידע(Processor).

תקנות המכשור הרפואי של האיחוד האירופי (MDR) נכנסו לתוקף התקנות נכנסו לתוקף ביום 26.5.2021, לאחר תקופת מעבר בת 3 שנים, והן חלות גם על "תוכנת מכשור רפואי" (MDSW), כהגדרתה בתקנות. הרגולציה החדשה מחילה דרישות מחמירות של הגנת פרטיות על ספקי תוכנה אשר מחזיקים או מעבדים מידע בתחום הרפואי, כגון: תוכנה המספקת תמיכה לאנשי מקצוע בתחום הבריאות, תוכנה המעבדת או מנתחת מידע רפואי, תוכנה המאחסנת מידע רפואי וכיו"ב. התקנות חלות בכל אירופה, ואינן מאפשרות יישום פרטני במדינה בודדת. האיחוד האירופי פרסם מסמך הדרכה ליישום התקנות החלות על תוכנה.

יפן מקדמת רגולציית סייבר משודרגת בתחום התשתיות הקריטיות היוזמה החדשה של הממשלה תחול על 14 מגזרים של תשתיות קריטיות במדינה ותחייב עלייה ברמת הגנת הסייבר עליהם. רגולציה זו מגיעה על רקע דיווחים אודות מתקפות סייבר המכוונות בחודשים האחרונים כלפי תשתיות קריטיות ביפן. בין היתר, הכללים החדשים יקדמו מגבלות על רכישת ציוד המיוצר מחוץ ליפן ויתירו פיקוח על השימוש בשירותי ענן ובשירותים אחרים המאפשרים אחסון מידע מחוץ ליפן. נכון לעכשיו, הפיקוח על תשתיות קריטיות במדינה אינו מאפשר לרגולטורים המגזריים לבחון שיקולים של ביטחון לאומי, לרבות הגנת סייבר, כאשר בעלי התשתיות משדרגים את מערכותיהם.

טיקטוק הודיעה כי היא אוספת מידע ביומטרי אודות משתמשי האפליקציה בארה"ב החברה עדכנה את מדיניות הפרטיות שלה והוסיפה לרשימת סוגי המידע שהיא אוספת גם נתונים ביומטריים של משתמשיה, לרבות זיהוי פנים וקול. טיקטוק לא הסבירה לאיזה צורך היא אוספת את המידע הביומטרי, אך הצהירה כי ככל שהדבר נדרש על פי חוק, היא תבקש את הסכמת המשתמשים לאיסוף המידע. מדובר בהצהרה בעייתית שכן לא ברור האם הכוונה לחוק פדרלי או מדינתי, ובהתחשב בכך שברוב מדינות ארה"ב אין חוקי פרטיות בנוגע למידע ביומטרי, יתכן שטיקטוק תאסוף מידע ביומטרי של רוב המשתמשים, מבלי לבקש את הסכמתם.

פייסבוק אינה יכולה להתנער מצווים של רגולטורים באיחוד האירופי כך קבע בית המשפט העליון לצדק של האיחוד האירופי, בפסק דין מיום 11.6.2021. ההחלטה ניתנה בעקבות טענת פייסבוק כי לרגולטור של בלגיה אין סמכות לאסור עליה להשתמש ב"עוגיות" ללא הסכמת המשתמשים, מכיוון שהיא כפופה לסמכויות הרגולטור של אירלנד בלבד. בית המשפט קבע כי בנסיבות מסוימות, רשות מפקחת להגנת הפרטיות באיחוד האירופי יכולה להטיל סנקציות על פייסבוק ועל ענקיות טכנולוגיה אחרות, גם כאשר היא אינה הסמכות המפקחת של אותה חברה. ברקע פסק הדין, השמיעו רשויות מפקחות באירופה טענות נגד עמיתתן האירית, בגין טיפול איטי בתיקים ואי נקיטת פעולה נגד חברות המפרות את דיני הפרטיות. הרשות המפקחת של אירלנד מטפלת בכ-27 תיקים שנפתחו נגד ענקיות טכנולוגיה וביניהן: פייסבוק, גוגל, אפל, ווטסאפ, ועוד. הלן דיקסון, מנהלת הרשות להגנת הפרטיות של אירלנד, טענה בתגובה כי התלונות נגדה מגוחכות.

אמזון עומדת בפני קנס בסך 425 מיליון דולר בגין הפרת דיני הפרטיות הרגולטור המפקח על אמזון בלוקסמבורג פרסם את המלצתו להטיל על אמזון קנס כספי בגובה 2% מהכנסותיה השנתיות, בגין הפרת תקנות האיחוד האירופי להגנה על פרטיות (ה-GDPR). על פי דיווח של הוול סטריט ג'ורנל, ההפרות לכאורה מתייחסות לאיסוף ועיבוד נתונים של משתמשי Amazon.com ואינן קשורות לשירותי הענן Amazon Web Services. המלצת ה-CNPD תיושם רק אם תתקבל על ידי 26 הרגולטורים המפקחים הנוספים באיחוד האירופי. אמזון סירבה להגיב.

לאחר שהואשמה בריגול אחר לקוחות ועובדים: מיליון אירו קנס לאיקאה צרפת ביום 15.6.21 בית המשפט בצרפת הטיל קנס בגובה מיליון אירו על איקאה צרפת. זאת, לאחר שהואשמה בריגול אחר עובדים ולקוחות ונמצאה אשמה בשימוש בלתי הולם במידע אישי. במקביל, בית המשפט הטיל על אחד הבכירים בחברה, ג'אן לואיס באילוט, עונש של שנתיים מאסר על תנאי וקנס כספי של 50 אלף אירו.

מתקפות סייבר על מקדונלדס ופולקסווגן, פרטי לקוחות נחשפו לפי ההודעה של מקדולנדס, הפרטים שנחשפו כוללים כתובות מייל אלקטרוני, כתובות משלוחים ומספרי טלפון, אך לא פרטי כרטיסי אשראי. בוול סטריט ג'ורנל דיווחו כי פרטי הפריצה התגלו בעקבות חקירה חיצונית שנפתחה בעקבות פעילות לא מאושרת ברשת המחשבים של החברה וכי הושגה גישה לפרטים של חלק מהעובדים. יצרנית הרכב פולקסווגן דיווחה כי פריצה למחשבים פגעה ביותר מ-3.3 מיליון לקוחות בצפון אמריקה. מדובר בעיקר בלקוחות נוכחיים או פוטנציאליים של מותג אאודי. לפי הודעת החברה, צד שלישי לא מאושר השיג מידע אישי מוגבל על לקוחות וקונים פוטנציאליים מספק שבו משתמשים מותגי אאודי וחלק מסוכני הרכב בארה"ב ובקנדה עבור שירותי מכירות דיגיטליות ושיווק. המידע שנחשף נוגע למכירות שבוצעו בשנים 2014-2019. לפי ההודעה שמסרה החברה לרגולטורים, מדובר בעיקר במספרי טלפון ובכתובות מייל, אך בחלק מהמקרים המידע כלל גם את סוג הרכב שרכשו הלקוחות או התעניינו בו. לפי ההערכות, המידע הושג בין אוגוסט 2019 ומאי 2021, אז התגלתה התקרית.