דו״ח סייבר שבועי
עדכון שבועי 15.09.2021
עיקרי הדברים
-
האו"ם מאמת כי מערכותיו נפרצו במהלך השנה האחרונה.
-
ענקית הטכנולוגיה Olympus חווה מתקפת כופרה של קבוצת BlackMatter.
-
Zero-trust: האסטרטגיה החדשה של הבית הלבן בעניין התפיסה הפדרלית של הגנת סייבר.
-
הפרת דיני פרטיות על ידי חברת "דרך ארץ", מפעילת כביש 6.
-
אנו ממליצים לעדכן את המוצרים הבאים: פלטפורמת Wordpress; מוצרי Palo Alto (קריטי); מוצרי Adobe (קריטי); דפדפן Google Chrome (קריטי); מוצרי אפל - פגיעות Zero Day (קריטי); מוצרי מיקרוסופט - פגיעות Zero Day (קריטי); מוצרי SAP (קריטי); למוצרי Samsung Mobile (גבוה); מוצר Citrix ShareFile.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-WordPress נותן מענה ל-60 באגים ול-3 חולשות אבטחה
עדכוני אבטחה למוצרי Samsung Mobile
עדכון אבטחה של Citrix לפונקציית ניהול אזורי האחסון ב-ShareFile
עדכוני אבטחה למוצרי Palo Alto נותנים מענה לחולשות קריטיות
עדכוני אבטחה למוצרי Apple
עדכוני אבטחה ושיפור ביצועים עבור Google Chrome
חולשת Zero-day ב-Windows מאפשרת לתוקף להשיג שליטה מרחוק באמצעות קובץ Office זדוני
עדכוני אבטחה של Adobe נותנים מענה לחולשות ב-15 ממוצרי החברה, בהן חולשות קריטיות
עדכוני האבטחה החודשיים של מיקרוסופט נותנים מענה לחולשות ברמות חומרה שונות שנתגלו במוצריה
עדכוני אבטחה למוצרי SAP נותנים מענה לחולשות ברמות חומרה שונות
התקפות ואיומים
ניו זילנד: התקפת מניעת שירות מבוזרת על ארגונים פיננסיים
דליפת פרטי זהות רגישים מאתר הנפקת הוויזות הצרפתי
חברת Sansa מבהירה: המידע שדלף בשבוע שעבר אינו רגיש; מקורו בשרת שהיה חשוף לציבור
סינגפור: נחשפו נתונים של עשרות אלפי לקוחות חברת מובייל
500,000 חשבונות Fortinet VPN הודלפו בחינם
האו"ם מאמת כי מערכותיו נפרצו במהלך השנה האחרונה
השבוע בכופרה
משרד המשפטים של דרום אפריקה חווה מתקפת כופרה
ענקית הטכנולוגיה Olympus חווה מתקפת כופרה של קבוצת BlackMatter
מידע רגיש, או מידע נגיש? אירועי דלף מידע באריזונה וקליפורניה
כששקיפות הופכת עכורה: על חוסר השקיפות של שירותי ייעוץ גסטרואנטרולוגי ביוסטון
סייבר בישראל
מדינת ישראל נמצאת במקום ה-29 בעולם במדד חוסן האבטחה האלקטרונית
סייבר בעולם
בוטנט חדש שובר שיא עולמי במתקפת DDoS עם 21.8 מיליון בקשות לשנייה (RPS)
סייבר ופרטיות - רגולציה ותקינה
Zero-trust: האסטרטגיה החדשה של הבית הלבן בעניין התפיסה הפדרלית של הגנת סייבר
היבטים חדשים של הגנת מידע אישי ברמת הרגולציה העירונית: הגבלות על השימוש במידע שעושים שירותי טייק-אוואי
הפרת דיני פרטיות על ידי חברת "דרך ארץ", מפעילת כביש 6
ארה"ב והאיחוד האירופי מתקדמים בדיוניהם לקראת קביעת הכללים להעברת מידע אישי בין שני הגופים
כנסים
הציטוט השבועי
גנרל פול נקאסון, מפקד פיקוד הסייבר של ארה״ב, בראיון שהעניק ביום שלישי ל-The Associated Press.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל-WordPress נותן מענה ל-60 באגים ול-3 חולשות אבטחה
החולשו והבאגים רלוונטיים לגרסאות 5.4 עד 5.8 והם מתוקנים בגרסה הזמנית 5.8.1, עד שתתפרסם גרסתו הבאה של המוצר, 5.9. בפרסום הרשמי של WordPress לא צוינו רמות החומרה של חולשות האבטחה שלהן ניתן מענה.
צוות קונפידס ממליץ לכל מנהלי מערכות ה-WordPress לקרוא את הפרסום הרשמי מטעם החברה ולעדכן את המוצר בהתאם.
עדכוני אבטחה למוצרי Samsung Mobile
העדכון החודשי שפרסמה החברה עבור מכשיריה מכיל גם עדכוני אבטחה של גוגל, והוא נותן מענה למספר חולשות שניצולן עשוי להעניק לתוקף הרשאות גבוהות, גישה למידע אודות המכשיר ואפשרות לביצוע מתקפות מניעת שירות (DDoS). העדכון יישלח למכשירי המשתמשים באמצעות הודעת מערכת.
עדכון אבטחה של Citrix לפונקציית ניהול אזורי האחסון ב-ShareFile
העדכון נותן מענה לחולשה שניצולה עשוי לאפשר לתוקף להשתלט על המערכת ולפגוע בבקר של אזורי האחסון.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסה 5.11.20 ומעלה.
עדכוני אבטחה למוצרי Palo Alto נותנים מענה לחולשות קריטיות
עדכוני חודש ספטמבר של החברה רלוונטיים למוצרים PAN-OS ו-Cortex XSOAR נותנים מענה ל-5 חולשות קריטיות, לחולשה אחת ברמת חומרה בינונית ולחולשה אחת ברמת חומרה נמוכה, בהן גם חולשות XSS ו-XXE. החולשות הקריטיות עלולות לאפשר לתוקף הרצת פקודות מרחוק, השגת גישה לרכיבים מאובטחים ללא אימות והקרסת המערכת במתכוון.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכוני אבטחה למוצרי Apple
העדכונים רלוונטיים למוצרים macOS Big Sur 11.6, macOS Catalina, watchOS 7.6.2, iOS 14.8, iPadOS 14.8 וכן Safari 14.1.2 ונותנים מענה לחולשות שניצולן עלול להעניק לתוקף יכולת השתלטות על מערכת הקורבן.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות, שיישלחו למכשיריהם באמצעות הודעת מערכת.
עדכוני אבטחה ושיפור ביצועים עבור Google Chrome
העדכונים נותנים מענה לחולשות ברמת חומרה גבוהה, שניצולן עלול לאפשר לתוקף להשתלט על מערכת הקורבן. פרטיהן של מרבית החולשות שנסגרות בעדכון טרם פורסמו במלואם, מחשש שינוצלו על ידי תוקפים.
צוות קונפידס ממליץ למשתמשי הדפדפן במערכות ההפעלה Android, Windows, Linux ו-macOS לעדכנו לגרסתו האחרונה - 93.0.4577.82, או לגרסה 93.0.4577.78 עבור מערכות מבוססות iOS.
חולשת Zero-day ב-Windows מאפשרת לתוקף להשיג שליטה מרחוק באמצעות קובץ Office זדוני
ניצול החולשה (CVE-2021-40444, CVSS 8.8) במערכת ההפעלה של מיקרוסופט מתבסס על רכיב התוכנה MSHTML, המשמש לצפייה בתוכן מבוסס Web בתוך מסמכי Office, ומתבצע באמצעותו דרך שורת קוד המוטמעת בקובץ הזדוני ומופעלת בעת פתיחתו. שורת הקוד גורמת להורדת תוכנה המאפשרת שליטה במחשב הקורבן דרך האינטרנט, כשלמעשה די בתצוגה מקדימה של הקובץ דרך ה-Windows Explorer על מנת לנצל את החולשה, מבלי לפתוח אותו. למרות שמיקרוסופט טרם שחררה עדכון בו מתוקנת החולשה, המצויה בכל גרסאות Windows המודרניות (7, 8.1 ו-10), היא פרסמה פתרונות זמניים המאפשרים את עקיפתה, קרי ביטול האפשרות לתצוגה מקדימה של קבצי Office דרך ה-Windows Explorer וביטול של התקנת תוספי ActiveX חדשים (רכיב תוכנה המאפשר לתוכנות לגשת לאינטרנט, ואשר בעזרתו הקובץ הזדוני מפעיל את הקישור הזדוני). נוסף על הפתרונות הזמניים, מיקרוסופט ממליצה שלא לפתוח אף קובץ Office שמגיע ממקור שאינו ידוע או שאינו מהימן. במידה ובכל זאת יש צורך בפתיחת הקובץ, על המשתמש לצפות בו רק בתצוגה מוגנת (Protected View) ולא לאפשר את עריכתו. בתוך כך, חברת Huntress פרסמה IOCs של התקיפה, בהם Hashים, כתובות IP ודומיינים.
צוות קונפידס ממליץ למשתמשי Windows להטמיע את הפתרונות המוצעים על ידי חברת מיקרוסופט, ולהעלות את המודעות בקרב משתמשים בסביבת עבודתם ובקרב לקוחותיהם בנוגע לפתיחת קבצים חשודים ממקורות שאינם ידועים.
עדכוני אבטחה של Adobe נותנים מענה לחולשות ב-15 ממוצרי החברה, בהן חולשות קריטיות
חולשה קריטית אחת מצויה בתוכנת ה-Photoshop, חולשה קריטית נוספת רלוונטית ל-Adobe Premiere Pro ואילו ב-Adobe InDesign נתגלו ונסגרו שתי חולשות קריטיות. החולשות עלולות לאפשר לתוקף להשתלט על מערכות מרחוק.
צוות קונפידס למשתמשי מוצרים מבית Adobe לעבור על רשימת העדכונים המלאה ולהטמיע אותם במערכותיהם בהקדם.
עדכוני האבטחה החודשיים של מיקרוסופט נותנים מענה לחולשות ברמות חומרה שונות שנתגלו במוצריה
החולשות הנסגרות בעדכוני ספטמבר של החברה עלולות לאפשר לתוקף להשתלט על מערכות מרחוק.
צוות קונפידס ממליץ למשתמשי המוצרים ולמנהלי מערכות לעבור על הפרסום המלא של החברה ולעדכן בהתאם את המוצרים שברשותם.
עדכוני אבטחה למוצרי SAP נותנים מענה לחולשות ברמות חומרה שונות
7 מהחולשות הנסגרות בעדכונים שפורסמו הן קריטיות, שתיים הינן ברמת חומרה גבוהה ואילו 9 חולשות הן ברמת חומרה בינונית. את רשימת המוצרים שהעדכון רלוונטי עבורם ניתן למצוא כאן.
צוות קונפידס ממליץ למשתמשי SAP לעבור על הרשימה שפורסמה ולעדכן בהקדם את המוצרים שברשותם.
התקפות ואיומים
ניו זילנד: התקפת מניעת שירות מבוזרת על ארגונים פיננסיים
השבוע חווו קבוצת הבנקים ANZ.AX ושירות הדואר הניו זילנדי מתקפת DDoS אשר גרמה להשבתת שירותים בשני הארגונים. בפוסט בפייסבוק שהעלתה קבוצת הבנקאות היא הודיעה ללקוחותיה על המתקפה וציינה כי הצוותים הטכנולוגיים שלה עובדים כעת על השבת כלל השירותים לפעילות.
דליפת פרטי זהות רגישים מאתר הנפקת הוויזות הצרפתי
משרדי הפנים והחוץ של צרפת, אשר מנהלים אתר אינטרנט להגשת מועמדות לקבלת ויזה למדינה, דיווחו על התרחשותה של פריצה ב-10 באוגוסט, אשר לדברי משרד החוץ נחסמה במהרה. עוד נמסר כי בוצעו התיקונים ההכרחיים על מנת למנוע מהפריצה להישנות. הפרטים הרגישים שדלפו במתקפה שייכים לאנשים אשר הגישו מועמדות לקבלת ויזה צרפתית, בהם שמות מלאים, מספרי זהות (תעודות זהות ודרכונים) ותאריכי לידה. לטענת משרד החוץ הצרפתי, אין במידע שנגנב מספיק לשם פנייה לרשויות המדינה והזדהות בתור אחד הקורבנות.
חברת Sansa מבהירה: המידע שדלף בשבוע שעבר אינו רגיש; מקורו בשרת שהיה חשוף לציבור
בהמשך לידיעה על תקיפת חברת החלל הדרום אפריקאית על ידי קבוצת התקיפה CoomingProject, שפרסמה קובץ מידע בגודל 20GB אשר לטענתה נלקח משרתי החברה, מצהירה כעת Sansa כי מבדיקה מעמיקה שערכה עלה שרשת התקשורת שלה לא הותקפה ושהמידע שפורסם אמנם מכיל את פרטיהם של תלמידי עבר במוסד, אך הוא אינו מוגדר רגיש, ומקורו בשרת שיתוף קבצים שהיה חשוף לגישה מבחוץ. עוד נמסר כי מרבית הקבצים שפורסמו הינם קבצי מחקר וקבצים נוספים שאת תוכנם ניתן למצוא באינטרנט, וכי התוקפים לא יצרו קשר עם החברה על מנת לבקש דמי כופר עבור התכנים.
סינגפור: נחשפו נתונים של עשרות אלפי לקוחות חברת מובייל
ב-10 בספטמבר פרסמה חברת MyRepublic באתרה בהודעה לפיה בחודש אוגוסט חוותה אירוע אשר במהלכו התבצעה גישה בלתי מורשית למקום בו מאוחסנים נתונים אישיים אודות לקוחות המובייל שלה. עוד הודיעה החברה כי הפעילה צוות תגובה לאירוע, הכולל, בין היתר, מומחים מחברות ידועות, כגון KPMG, על מנת לנהל ולפתור את התקרית בצורה הטובה והמהירה ביותר האפשרית. עד כה עלה מחקירת החברה כי האירוע השפיע על כ-79,388 מנויים, כולם מסינגפור, וכי המידע שדלף בעקבותיו הכיל מסמכים אשר שימשו את החברה לשם אימות הלקוחות, בהם צילומים של כרטיסי אזרח משני צדיהם, תצלומי חשבונות, שמות לקוחות ומספרי סלולר. נכון לשעה זו לא ידוע על דלף של מידע אודות אמצעי תשלום ואמצעים פיננסיים אחרים או על שימוש כלשהו שנעשה במידע שדלף, אך על מנת לנסות ולמזער את הפגיעה, החברה הציעה ללקוחות שנפגעו באירוע שירות לניטור תנועות האשראי שלהם. מנכ״ל החברה, מלקולם רודריגז, הודיע כי נעשית בדיקה של כל המערכות והתהליכים בחברה על מנת לוודא כי אירוע מסוג זה לא ישנה.
500,000 חשבונות Fortinet VPN הודלפו בחינם
המדליף הינו תוקף אנונימי המכונה Orange, בעברו ממפעילי הכופרה Babuk וכיום בעליו של פורום התקיפות החדש RAMP. ניתוח שבוצע על ידי מגזין אבטחת המידע BleepingComputer חושף כי הקובץ שפורסם על ידי התוקף מכיל 498,908 חשבונות ביותר מ-12,856 רכיבים. ככל הנראה, החולשה שנוצלה לשם גיבוש הקובץ היא CVE-2018-13379.
קונפידס ממליצה לבעלי המוצר לוודא כי הוא מעודכן לגרסתו אחרונה, לבחון אם הוא מכיל רכיבים פגיעים, לבדוק כאן אם הוא נפגע בהדלפה ולשנות את סיסמת ההתחברות אל המוצר בהתאם.
האו"ם מאמת כי מערכותיו נפרצו במהלך השנה האחרונה
הפריצה אירעה בסביבות חודש אפריל 2021 וכללה גניבת מידע העלול להוביל לתקיפה של גופים ממשלתיים נוספים. על פי פרסום ב-BleepingComputer, התוקפים פרצו לרשת באמצעות פרטי התחברות גנובים שנרכשו בדארקנט ואשר שייכים למערכת ניהול הפרויקטים Umoja, תוך שהם מעלים הרשאות עד כדי כניסה למערכות הארגון. מסתמן כי התוקפים נותרו פעילים ברשת עד לחודש אוגוסט. בתגובה לפרסום במגזין אבטחת המידע, האו״ם אישר את דבר התקיפה. לדברי הארגון, גורמים עוינים לא ידועים אכן תקפו את תשתיותיו באפריל האחרון, אך הדבר זוהה לפני שהתקבל דיווח על כך מחברה חיצונית וננקטו מיד צעדי מניעה לשם בלימת התקיפה. עוד הוסיף הארגון כי מעצם מעמדו הוא מתמודד עם ניסיונות פריצה רבים ונוקט באמצעים שונים לבלימתם.
השבוע בכופרה
משרד המשפטים של דרום אפריקה חווה מתקפת כופרה
בהודעה מטעם המשרד נמסר כי במהלך המתקפה הוצפנו כלל מערכות הארגון וכתוצאה ממנה שירותים דיגיטליים רבים אינם זמינים, בהם הנפקת מסמכים רשמיים, שחרורים בערבות, שירותי מייל וכן אתר משרד המשפטים. במקביל למאמצי החקירה והשחזור שמבצעים הצוותים הטכניים, המשרד הפעיל את נהלי ההמשכיות העסקית שלו ועבר לעבודה ידנית בבתי המשפט ובמתן שירותים נוספים. על פי הערכות ראשוניות, נראה כי מדובר במתקפת פישינג. טרם פורסם אם נדרשו דמי כופר מצד התוקפים.
ענקית הטכנולוגיה Olympus חווה מתקפת כופרה של קבוצת BlackMatter
בהודעה רשמית מטעם החברה נטען כי מתבצעת חקירה של האירוע, המשפיע על רשתותיה באירופה, במזרח התיכון ובאפריקה. לטענת Olympus, עם זיהויין של פעולות חריגות ברשת הוקפצו צוותי חקירה ופורנזיקה במטרה להתחקות אחר מקור הפעולות והופסקה העברת המידע למערכות הנגועות. לדברי גורם המעורה בפרטי התקרית, החברה חוותה אירוע כופרה שבמהלכו הוצפנו מחשביה והושארה הודעת כופר מטעם הכנופייה התוקפת, לצד קישור לאתר בדארקנט שדרכו ניתן לתקשר עמה. Olympus סירבה להגיב על הדברים וטענה כי תמשיך לעדכן במידה ויתגלו פרטים חדשים בחקירתה.
מידע רגיש, או מידע נגיש? אירועי דלף מידע באריזונה וקליפורניה
שני מרכזים רפואיים החלו לשלוח מכתבים למאות אלפי מטופלים אודות אירוע דלף מידע רגיש, אשר כלל את כל הנתונים אודותם שהיו בידי המרכזים, לרבות מספרי ביטוח לאומי, שמות מלאים, תאריכי לידה, מספרי תיקים רפואיים ומידע אודות טיפולים רפואיים ואבחנות רפואיות. המרכז הראשון, LifeLong Medical Care, הממוקם בקליפורניה, עדכן כ-115 אלף מלקוחותיו בדבר אירוע סייבר שהתרחש בנובמבר אשתקד, מבלי לציין את זהות התוקפים. Netgain, ספק צד ג׳ המספק שירותים למרכז הרפואי, מסר כי התקרית הוכרזה כאירוע סייבר רק בסוף פברואר 2021, למרות שעוד לפני כן התגלו אנומליות בפעילות הרשת של המרכז הרפואי. החקירה, שנמשכה עד תחילת אוגוסט, העלתה כי בוצעה גישה למידע אודות מטופלים, שבעקבותיה הומלץ להם להירשם לשירות ניטור אשראי לצורך קבלת התראות על פעולות המבוצעות בכרטיסיהם, וכן נפתח קו טלפון ייעודי לסיוע ולמענה למטופלים שנפגעו באירוע. במרכז הרפואי השני, Desert Wells Family Madicine, הממוקם באריזונה, התגלה אירוע כופרה שהתרחש בסוף חודש מאי האחרון. הנהלת המרכז שכרה באופן מיידי צוות תגובה לאירוע, על מנת שיסייע בתהליך ההתאוששות ממנו. מלבד הגישה למידע האמור, במקרה זה הצליחו התוקפים להשחית את גיבויי המידע, ולא ניתן לשחזרו. למרות זאת, מהמרכז נמסר כי טרם אמרו נואש בניסיונות שחזור המידע הרפואי של המטופלים, וכי הוצע ללקוחת שנפגעו שירות לניטור תנועות האשראי שלהם.
כששקיפות הופכת עכורה: על חוסר השקיפות של שירותי ייעוץ גסטרואנטרולוגי ביוסטון
במהלך חודש אוגוסט האחרון מאות אלפי מטופלים של Gastroenterology Houston הטקסנית קיבלו במייל הודעות אודות אירוע אבטחת מידע אשר התרחש בחברה בינואר השנה. המטופלים שנפגעו הביעו תרעומת על אופן ההתנהלות של החברה במהלך האירוע, ובעוד שמן שהחברה מסרה כי בהתבסס על המשא ומתן שקיימה עם התוקפים המידע אודות מטופלים היה אמור להיות מושמד מיד לאחר תשלום הכופר, לטענת מטופלים החברה שילמה לעבריינים מבלי לוודא שהמידע אכן יימחק. ככל הידוע עד כה, פרטי המטופלים שדלפו הם נתוני ביטוח לאומי, שמות, כתובות ומידע רפואי, אך לדברי החברה המערכת שבה שמורים נתונים רפואיים של מטופלים לא הושפעה מהתקרית. עוד נמסר כי מיד עם היוודע דבר האירוע רופאי המוסד שינו את סיסמאותיהם, מערכות החברה נותקו והארגון פתח בחקירה פורנזית. למרות זאת, החברה לא יידעה את הרשויות בדבר התקרית, על אף שהחוק מחייב אותה לעשות זאת במקרה של דלף מידע המשפיע על יותר מ-250 איש בפרק זמן של עד 60 יום. לדברי חלק רופאי החברה, אתר הארגון עודכן בנושא, אך הצהרה זו רק ליבתה עוד יותר את זעם המטופלים, שטענו כי אינם נכנסים לאתר באופן שוטף וכי הדבר לא הובא לידיעתם. מן החברה נמסר כי היא מצרה על אי-הנוחות שנגרמה למטופלים וכי תגן על פרטיות המידע שברשותה ככל יכולתה.
סייבר בישראל
מדינת ישראל נמצאת במקום ה-4 בעולם במדד חוסן האבטחה האלקטרונית
תוצאה זו עלתה מסקר שערכה חברת Surfshark בנושא איכות החיים הדיגיטליים של מדינות העולם, כאשר מלבד חוסן האבטחה האלקטרונית נבחנו בסקר 4 מדדים נוספים: מחיר שירותי האינטרנט, איכות האינטרנט, נגישות אלקטרונית אל שירותים ממשלתיים ותשתית אלקטרונית. בשקלול הכולל, ישראל דורגה במקום הרביעי בעולם.
מקור: Digital Quality of Life Index, ספטמבר 2021.
סייבר בעולם
בוטנט חדש שובר שיא עולמי במתקפת DDoS עם 21.8 מיליון בקשות לשנייה (RPS)
הבוטנט, שזכה לכינוי Mēris, גדל במהלך הקיץ ותקף את ענקית האינטרנט הרוסית Yandex לאורך החודש האחרון, בקבעו את השיא החדש. את כוחה הרב צברה התקיפה על ידי השתלטות על עשרות אלפי רכיבי תקשורת חזקים ש"סייעו" לביצועה. בתוך כך, הבוטנט העוצמתי תקף לאחרונה גם ארגונים רבים בארה"ב ובניו זילנד.
סייבר ופרטיות - רגולציה ותקינה
Zero-trust: האסטרטגיה החדשה של הבית הלבן בעניין התפיסה הפדרלית של הגנת סייבר
ב-7 בספטמבר פרסם משרד הניהול והתקציב של הבית הלבן (OMB) טיוטת מסמך אסטרטגי בנושא, שעניינה Zero-trust (״אפס אמון״). אסטרטגיה זו מחייבת תוכנית עבודה רב-שנתית המיועדת לשיפור היכולות ההגנתיות של הממשלה הפדרלית של ארה"ב במרחב הסייבר. הציבור מוזמן להגיב לשלושה מרכיבים שונים של טיוטת המסמך כאן. לדברי מנהלת מערכות המידע (ה-CIO) הפדרלית, קלייר מרטורנה, "לעולם אל תסמוך, וודא תמיד. עם ההודעה היום בדבר ה-Zero-trust, אנו מדגישים באופן ברור לרשויות הפדרליות את המסר לפיו אין לבטוח באופן אוטומטי בדבר, בתוך או מחוץ לרשתותיהן. מוטלת עליהן החובה לאמת ולוודא כל דבר המנסה להתחבר למערכותיהן, לפני שהן מעניקות גישה."
היבטים חדשים של הגנת מידע אישי ברמת הרגולציה העירונית: הגבלות על השימוש במידע שעושים שירותי טייק-אוואי
מועצת העיר ניו יורק פרסמה תיקון לקוד הניהולי של העירייה, המגדיר את השימוש המותר במידע אישי של לקוחות הנאסף על ידי שירותי טייק-אוואי של מזון. התיקון נוגע להיתר לשתף במידע האישי של משתמשי השירותים האמורים (שם הלקוח, מספר טלפון, כתובת מייל, כתובת למשלוח ותוכן ההזמנה) על פי בקשת המסעדה או הארגון ממנו המשלוח הוזמן. על פי התיקון, ללקוחות תהיה הזכות לסרב לשיתוף המידע האישי שלהם כאמור, או לדרוש שיימחק בכל נקודת זמן. חברות שיפרו את ההוראות החדשות, שייכנסו לתוקף ב-27 בדצמבר השנה, יהיו חשופות לקנס בגובה $500 עבור כל יום הפרה. דוגמה זו של רגולציה עירונית בתחום הגנת הפרטיות אינה נפוצה כיום, אך ככל שערים מתקדמות למתכונת של "ערים חכמות" המשתמשות יותר ויותר במידע אישי של תושבים, ייתכן והסדרת הנושא תתגבר.
הפרת דיני פרטיות על ידי חברת "דרך ארץ", מפעילת כביש 6
הרשות להגנת הפרטיות ערכה הליך אכיפה מנהלית של פעילות החברה, ממנו עלה כי ״דרך ארץ״ הפרה מספר הוראות של חוק הגנת הפרטיות ושל תקנות הגנת הפרטיות (אבטחת מידע). במכתב ההפרות שהעבירה הרשות ל״דרך ארץ״, ואשר פורסם ב-13 בספטמבר, מצוינות מספר חולשות אבטחת מידע באתר התשלומים של החברה אשר אפשרו חשיפה של מידע אישי רב של לקוחותיה. בין היתר, התגלה כי מערכת החשבוניות של החברה מאפשרת ללקוחות להיחשף לפרטי חשבוניות של לקוחות אחרים, לרבות מידע אישי מזהה ופרטים נוספים אודות שעות פעילות ומיקומי רכבים. זאת ועוד, החברה לא תיעדה כנדרש את הגישה למערכותיה הממוחשבות ולמאגרי המידע אודות לקוחות המצויים בידיה, דבר שבעטיו לא מתאפשר לבחון האם החולשות שהתגלו באבטחת המידע כבר נוצלו לרעה בעבר. עוד גילה הליך האכיפה של הרשות כי ״דרך ארץ״ לא ביצעה כנדרש מיפוי של הסיכונים הקיימים בתחום אבטחת המידע ולא תיקנה ליקויים שנמצאו במבדקי חדירות שבוצעו. בהודעה לציבור על הליך האכיפה, הרשות אף מדגישה כי "...ניהול נכון של מערכות המאגר [של ״דרך ארץ״ מסייע] לגלות את חולשת אבטחת המידע מבעוד מועד וכך לצמצם ואולי אף למנוע את הסיכוי להתרחשות אירוע אבטחת המידע". לאור הממצאים, הרשות דורשת מ"דרך ארץ" לנקוט במספר צעדים לתיקון המצב הנוכחי של אי-הציות לדיני הפרטיות הישראליים.
ארה"ב והאיחוד האירופי מתקדמים בדיוניהם לקראת קביעת הכללים להעברת מידע אישי בין שני הגופים
על ההתקדמות בדיונים, המתמקדים בסגירת הפערים שנפערו בהסדרים המוסכמים שהיו קיימים עד לפסה"ד של בית הדין האירופי בנושא ביולי 2021 ("פס"ד שרמס 2"), דווח בעיתון ה-Wall Street Journal. נקודה מרכזית בדיונים, המתקיימים מזה מספר חודשים, היא הנכונות של ארה"ב לאפשר לתושבי אירופה לאתגר את המעקב והניטור הפוטנציאליים של הרשויות האמריקאיות על מידע אישי שלהם, ולהיעזר בתרופות משפטיות בהקשר זה.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רחל ביניאשוילי, רז ראש, רם לוי, דבּ האוסן-כוריאל, שי שבתאי, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, רוני עזורי, עמית מוזס וגיא פינקלשטיין.