דו״ח סייבר שבועי
עדכון שבועי 27.05.2021
עיקרי הדברים
-
פרטים של 4.5 מיליון נוסעים של חברת התעופה Air India דלפו בגלל תקיפת סייבר של SITA.
-
נוזקה המשוייכת לאיראן מתחזה למתקפת כופר ומשמשת לתקיפת מטרות בישראל.
-
איגוד האינטרנט הישראלי: הוכפלה כמות הפריצות לחשבונות ישראליים ברשת.
-
מיקרוסופט מזהירה מפני נוזקה לגניבת מידע המוסווית כנוזקת כופרה.
-
אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Cisco AnyConnect Secure (גבוה); מוצר Zoho ManageEngine ADSelfService Plus; מוצרי Apple למוצרים macOS ,tvOS ,Safari ,iOS ,iPadOS ו-watchOS ופותרים שלוש חולשות Zero-day, שתי חולשות ב-tvOS וחולשה אחת ב-macOS (קריטי); מערכת הפעלה Windows 10 (קריטי); מוצרי מוצרים VMware Workstation Pro/Player ו-VMware Horizon Client for Windows; דפדפן גוגל Chrome (גבוה).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכוני אבטחה למוצרי Cisco
עדכון אבטחה ל-ADSelfService Plus
עדכוני אבטחה למוצרי Apple
עדכוני אבטחה ל-Windows 10
עדכוני אבטחה למוצרי VMware
עדכון אבטחה ל-Google Chrome
התקפות ואיומים
חברת התעופה Air India חוותה מתקפת סייבר
מידע של חברת גיוס בריטית היה חשוף משך ארבעה חודשים
מיקרוסופט מזהירה מפני נוזקה לגניבת מידע המוסווית כנוזקת כופרה
ממשלת אינדונזיה חוסמת גישה לפורום האקינג בעקבות דליפת מידע
חולשות ב-Bluetooth מאפשרות לתוקפים להתחזות למכשירים לגיטימיים
״דומינוס״ הודו חוותה דליפת מידע
נוזקה חדשה המשוייכת לממשל האיראני תוקפת מטרות בישראל
השבוע בכופרה
Bose מודיעה כי חוותה אירוע דליפת מידע
סייבר בישראל
הוכפלה כמות הפריצות לחשבונות ישראליים ברשת
קבוצת האקרים אסלאמיים ניסתה להשתלט על חשבון הוואטסאפ של סגן ראש עיריית ירושלים
סייבר בעולם
עלייה בתדירות התקיפות בתחכום נמוך נגד מערכות תפעוליות
סייבר ופרטיות - רגולציה ותקינה
מהם "מידע" ו"ידיעה על ענייניו הפרטיים של אדם": גילוי דעת של הרשות להגנת הפרטיות
קנסות בסך 1.8 מיליון דולר הוטלו על חברות בארה"ב מחמת דלף מידע אישי
הסתיימה ה-World Summit on the Information Society בחסות איגוד הטלקום הבינלאומי
ה-International Association of Privacy Professionals ממפה את תהליכי החקיקה של חוקי הגנת הפרטיות ברמה המדינתית בארה״ב
כנסים
הציטוט השבועי
״שיפורים אינקרמנטליים לא יתנו לנו את הביטחון הדרוש לנו; במקום זאת, הממשלה הפדרלית צריכה לבצע שינויים נועזים והשקעות משמעותיות על מנת להגן על המוסדות החיוניים העומדים בבסיס אורח החיים האמריקאי.״
מתוך הצו הנשיאותי בנושא שיפור הגנת הסייבר של האומה של הבית הלבן, מאי 2021
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
העדכונים נותנים מענה לחולשות שנתגלו בכמה ממוצרי החברה:
-
חולשה ברמת חומרה גבוהה (CVE-2020-3556, CVSS 7.3) בתוכנה Cisco AnyConnect Secure Mobility Client, בגרסאות המוקדמות לגרסה 4.10.00093. החולשה עלולה לאפשר לתוקף מקומי שאינו מאומת להריץ קוד זדוני במערכת.
-
שלוש חולשות (CVE-2021-1224 ,CVE-2021-1494 ,CVE-2021-1495, CVSS 5.8) הרלוונטיות לכמה ממוצרי התקשורת של Cisco ועלולות לאפשר לתוקף מרוחק שאינו מאומת לעקוף חוקים האמורים למנוע שליחת תוכן זדוני בתקשורת TCP/IP.
לרשימת המוצרים הפגיעים, לפירוט אודות החולשות ולהדרכה בביצוע העדכונים לחצו כאן.
עדכון אבטחה ל-ADSelfService Plus
העדכון שחברת ManageEngine פרסמה למוצר נותן מענה לחולשות שניצולן עלול להוביל למעקף של מנגנון ה-CAPTCHA בעת הכניסה לממשק הניהול, ל-XSS בשדה הזנת מייל המשתמש (CVE-2021-27956), לחשיפת מידע מתוך מסד הנתונים של האפליקציה ולכניסה לממשק הניהול ללא הימצאות ברשימת הכתובות המורשות לכך.
אנו ממליצים למשתמשי המוצר לעדכנו לגרסתו האחרונה.
העדכונים רלוונטיים למוצרים macOS ,tvOS ,Safari ,iOS ,iPadOS ו-watchOS ופותרים שלוש חולשות Zero-day, שתי חולשות ב-tvOS וחולשה אחת ב-macOS. החולשות (CVE-2021-30663 ו-CVE-2021-30665) ב-tvOS הן חולשות WebKit, העלולות לאפשר לתוכן אינטרנטי זדוני להריץ בהצלחה קוד על מוצר פגיע. החולשה (CVE-2021-30713) ב-macOS מצויה במערכת ה-Transparency, Consent, and Control) TCC) ועלולה לאפשר לאפליקציה זדונית לעקוף את הגדרות הפרטיות של המכשיר. שלוש החולשות טרם קיבלו ציון CVSS. לטענת החברה, ייתכן והחולשות כבר מנוצלות על ידי תוקפים.
אנו ממליצים לעדכן את כלל מוצרי ה-Apple שברשותכם לגרסתם האחרונה.
מערך הסייבר הישראלי מזהיר מפני חולשה קריטית (CVE-2021-31166, CVSS 9.7) ב-HTTP Stack בגרסאות מסוימות של Windows 10. ניצול מוצלח של החולשה מאפשר הרצת קוד זדוני מרחוק ללא צורך בהזדהות, או מתקפת מניעת שירות. המערכות הפגיעות הן:
Windows 10, version 2004, all editions
Windows Server, version 2004
Windows 10, version 20H2, all editions
Windows Server, version 20H2, all editions
Windows 10, version 21H1, all editions
למידע מפורט אודות החולשה ודרכי התמודדות עמה, ניתן לעיין בפרסום של מיקרוסופט ובהודעה של מערך הסייבר.
אנו ממליצים למשתמשי המערכות הפגיעות להטמיע את עדכוני האבטחה הרלוונטיים בהקדם האפשרי דרך ממשק ניהול העדכונים.
העדכונים רלוונטיים למוצרים VMware Workstation Pro/Player ו-VMware Horizon Client for Windows ונותנים מענה לשלוש חולשות (CVE-2021-21987, CVE-2021-21988, CVE-2021-21989) בדרגת חומרה נמוכה ובדירוג CVSS ממוצע של 3.2. חולשות אלה עלולות לאפשר לתוקף לגשת למכונה וירטואלית או לקבל גישה לשולחן העבודה מרחוק, ולהוביל לחשיפת מידע באמצעות תהליך ה-TPView, אשר רץ על המערכת שעליה מותקנים המוצרים.
אנו ממליצים לבעלי המוצרים לעדכנם בהקדם לגרסתם האחרונה.
העדכון נותן מענה ל-32 חולשות חדשות שהתגלו בדפדפן, מתוכן 8 ברמת חומרה גבוהה ו-8 ברמת חומרה בינונית.
אנו ממליצים למשתמשי המוצר לעדכנו לגרסתו האחרונה, גרסה 91.
התקפות ואיומים
דליפת מידע בחברת התעופה Air India דרך מתקפה על שרשרת האספקה
לפני מספר חודשים הודיעה חברת SITA שמספקת מערכת לניהול נוסעים (PSS) בחברות תעופה רבות שהיא נפרצה וחלק מהמידע שהיא מחזיקה דלף. הפריצה השפיעה על חברות רבות ביניהן Air India, Malaysia Airlines, Singapore Airlines, Finnair וכו׳.
לפני מספר ימים עדכנה SITA את חברת התעופה Air India שהיקף הפריצה הוא גדול וכולל נתונים של 4.5 מיליון נוסעים שטסו עם החברה מאוגוסט 2011 ועד פברואר 2021. נתונים אלו כוללים פרטים אישיים, פרטי דרכונים ומידע על מועדון הנוסע המתמיד של החברה.
התקפה זו מכונה התקפה דרך שרשרת אספקה והיא קשה ביותר להגנה משום שהצד שמקבל שירות קשה לוודא שהשירות שהיא מקבלת הוא אכן מוגן. רגולציות שונות כמו GDPR מחייבות את מקבל השירות לעגן בהסכם את חובות אבטחת המידע של נותן השירות בהסכם משפטי.
מידע של חברת גיוס בריטית היה חשוף משך ארבעה חודשים
לחברת FastTrack Reflex נודע כי עקב הגדרה שגויה של אחסון ב-AWS S3 Buckets היה המידע חשוף עוד מדצמבר 2020, כאשר תגובת החברה ושינוי תצורת האחסון התרחשו רק במרץ 2021. המידע האמור כלל כ-5GB של פרטים אישיים של מועמדים רבים, בהם תמונות, קורות חיים, מסמכי רישיונות נהיגה ומספרי דרכונים ותמונות.
מיקרוסופט מזהירה מפני נוזקה לגניבת מידע המוסווית כנוזקת כופרה
לדברי החברה, התקיפה מתבצעת באמצעות נוזקת STRRAT מבוססת Java, אשר מוסיפה לקבצים את הסיומת ״crimson.״ אך לא באמת מצפינה אותם. התקיפה מתבצעת באמצעות מייל פישינג עם שורת הנושא ״Outgoing Payments״, אשר מפתה את המשתמש לפתוח את קובץ ה-PDF המצורף, המכיל קטע קוד זדוני. עם פתיחת הקובץ מורדת לעמדה נוזקת ה-STRRAT, אשר אוספת סיסמאות מהדפדפן, עוקבת אחר לחיצות המשתמש על המקלדת ומריצה קטעי קוד ב-PowerShell. לדבריו של חוקר מחברת מיקרוסופט, אם סיומת הקבצים הפגועים תשונה בחזרה לזו המקורית, הם יוכלו להיפתח כרגיל, שכן כאמור - הם אינם באמת מוצפנים. על מנת להגן על עמדות מפני התקיפה, מיקרוסופט ממליצה להשתמש בשאילתות מובנות שהכינה לצורך איתור הנוזקה ברשת.
ממשלת אינדונזיה חוסמת גישה לפורום האקינג בעקבות דליפת מידע
על פי פרסום במגזין BleepingComputer, משתמש חדש שנרשם לפורום ההאקינג RaidForums פרסם למכירה מאגר המכיל 200 מיליון רשומות של מידע פרטי של אזרחי המדינה, לרבות מספרי זהות, שמות מלאים, תאריכי לידה ופרטים אישיים נוספים. ברשות התקשורת והמידע האינדונזית מאמינים כי מקור המידע שהודלף שייך ל-BPJS Kesehatan, שהינו גוף הביטוח הלאומי האינדונזי במגזר הבריאות. בהודעה רשמית שפרסמה הרשות ב-20 במאי, נכתב כי על מנת למנוע תפוצה נרחבת של מידע אישי, הממשלה חסמה גישה לפורום האמור ולקישורים שונים שדרכם ניתן להוריד את המידע. זאת ועוד, לאחר חקירת מדגם מתוך כמיליון רשומות שפורסמו על ידי המוכר, הסיקו ברשות כי נדרש הליך חקירה מעמיק יותר של האירוע, בשיתוף ה-BPJS Kesahatan, שהתבקש לבחון בשנית את המידע שנחשד כי הודלף. עוד קבעה הרשות כי יש לפעול על מנת למגר את הסיכון לדליפת מידע אישי רחבה יותר.
חולשות ב-Bluetooth מאפשרות לתוקפים להתחזות למכשירים לגיטימיים
ההתחזות, המתאפשרת באמצעת ניצול של מספר חולשות במשותף ב-Bluetooth Core וב-Mesh Profile, מקנה לתוקפים את היכולת לבצע מתקפת MITM. בין החברות שהושפעו מהפגיעות מצויות Android Open Source Project (AOSP) ,Cisco ,Intel ,Red Hat ,Microchip Technology ו-Cradlepoint. חלק מהארגונים שנפגעו כבר הודיעו כי הם עובדים על עדכוני אבטחה שיתקנו את החולשה, ואילו מ-AOSP נמסר כי החולשה דורגה ברמת סיכון גבוהה וכי פתרון לה יופץ כבר בעדכון האבטחה הבא של אנדרואיד.
״דומינוס״ הודו חוותה דליפת מידע
על פי הודעתה של השלוחה ההודית של רשת הפיצריות הבינלאומית, עוד בחודש אפריל המידע שנגנב ממערכותיה פורסם למכירה בפורום האקינג על ידי התוקף, אך החברה חשפה את המקרה רק ב-24 במאי. התוקף העלה לרשת דגימות של המידע, ובעת הפרסום דרש עבור המאגר 10 ביטקוין (כחצי מיליון דולר).
נוזקה חדשה המשוייכת לאיראן, מתחזה לכופרה ותוקפת מטרות בישראל
על פי פרסום של חוקרים מ-SentinelOne, נוזקת Apostle בה עושה שימוש קבוצת התקיפה Agrius מסווה עצמה כנוזקת כופרה, אך למעשה מבצעת פעולות Disk wiping ומשחיתה מידע של הקורבן. לטענת החוקרים, התוקפים ניסו תחילה להשתמש בנוזקה כ-Disk wiper בלבד (ללא סממני כופרה), אך נכשלו בשל פגם בקוד המקור. גרסתה האחרונה של הנוזקה היא גרסה משופרת, לה התווספו יכולות התנהגות של נוזקת כופרה, הכוללות השארת הודעות כופר על העמדות הנגועות, בהן נדרש תשלום עבור הסרת ההצפנה מהקבצים, כביכול. הוספת סממני ההתנהגות הללו נועדה, להערכת החוקרים, לשם הסוואת מטרתה האמיתית של הנוזקה, כלומר מחיקת מידע. עוד הוסיפו החוקרים כי כתובות ה-IP שנמצאו ומקור קבצי ההרצה מקשרים את Agrius לאיראן. הקוד של Apostle דומה מאוד לזה של Backdoor המכונה IPSec Helper, בו היא אף עושה שימוש בו בתהליך התקיפה. עוד משתמשת הקבוצה ב-Web shells המאפשרים לה לנוע ברשת המותקפת. בתמונה זו מומחשת דרך הפעולה של הנוזקה, שהתגלתה בתקיפות של יעדים במזרח התיכון.
השבוע בכופרה
Bose מודיעה כי חוותה אירוע דליפת מידע
בהודעה שמסרה יצרנית ציוד האודיו לתובע המחוזי בניו המפשייר, נאמר כי חוותה תקיפת סייבר מתוחכמת, שמהלכה הוחדרה נוזקה לרשת הארגון. בעקבות התקיפה פנתה Bose למומחי אבטחת מידע חיצוניים ולחברת פורנזיקה, על מנת לגלות אם ואיזה מידע הודלף לתוקפים, לערוך חקירה פורנזית מקיפה של האירוע ולבצע שחזור מערכות מלא, שצלח. לטענת החברה, לא שולמו לתוקפים דמי כופר. במהלך חקירת האירוע התגלה כי אכן נחשף מידע של מספר קטן של עובדים ועובדים לשעבר בחברה, אשר כלל שמות, מספרי ביטוח לאומי ומידע מנהלי שנשמר באגף משאבי האנוש של Bose. הודעות נשלחו לנפגעים, אשר הונחו כיצד לפעול. זאת ועוד, כחלק מטיפולה של החברה באירוע, נבדק אם חלק מהמידע הודלף לדארקנט, וננקטו מספר צעדים לאבטחת הרשת לשם הקטנת הסיכוי להתרחשות תקיפה נוספת, בהם התקנת אמצעי ניטור והגנה על כלל עמדות הקצה בארגון, חסימת תיקיות זדוניות וכתובות IP שנעשה בהן שימוש בזמן התקיפה, שינוי סיסמאות כל המשתמשים ושינוי מפתחות הגישה לכל חשבונות השירות ברשת.
סייבר בישראל
הוכפלה כמות הפריצות לחשבונות ישראליים ברשת
בהודעה שפרסם Block, מרכז הסייבר האזרחי שהינו מיזם של איגוד האינטרנט הישראלי (ISOC-IL), נמסר כי מתחילת החודש נצפתה עלייה של כ-50% בדיווחים על פריצות לחשבונות, חלקן בעלות סממנים אנטי-ישראליים. בהשוואה לתקופה המקבילה אשתקד, מדובר בעלייה של כ-180% בפניות בנושא. על מנת להתגונן מפני מתקפות סייבר ונסיונות פריצה, Block ממליץ להימנע מלחיצה על קישורים חשודים, להחליף את הסיסמאות לכלל החשבונות והאפליקציות לצירופים חזקים שטרם נעשה בהם שימוש, להגדיר אימות דו-שלבי ולעולם לא לשתף סיסמאות או קודים שנשלחו אליכם מבלי שביקשתם לקבלם. באתר של Block תוכלו למצוא מדריכים שונים לסיוע במקרים של התקפה או פריצה במרחב הסייבר.
קבוצת האקרים אסלאמיים ניסתה להשתלט על חשבון הוואטסאפ של סגן ראש עיריית ירושלים
על פי פרסום ב-TheMarker, בסרטון שהופץ בקבוצות של אבטחת מידע בטלגרם נראים ניסיונות חוזרים ונשנים להקליד באפליקציה את מספר הטלפון של אריה קינג, ואחריהם ניסיונות להקליד קוד אימות בן 6 ספרות. בשיחה עם העיתון סיפר קינג כי התוקפים ניסו לקבל ממנו את קוד האימות, אך הוא לא נפל בפח והמתקפה נכשלה. מטרת התקיפה הייתה כפולה: למנוע מבעליו החוקיים של החשבון גישה אליו (ביצוע ניסיונות התחברות כושלים עשויה לגרום לחברה למנוע גישה לחשבון) ולהשתלט על החשבון על מנת להתחזות לקינג בפני אנשי הקשר שלו. נראה כי קבוצת ההאקרים העומדת מאחוריי התקיפה פועלת ממלזיה.
סייבר בעולם
עלייה בתדירות התקיפות בתחכום נמוך נגד מערכות תפעוליות
ההנחה שעל מנת לפגוע במערכות טכנולוגיה תפעולית (OT) נדרשות הבנה רבה ועבודה קשה עם כלים מורכבים כבר אינה משקפת את המציאות בשנים האחרונות, כך עולה ממחקר חדש שערכה FireEye, העוקבת מ-2012 אחר תקיפות סייבר נגד מערכות OT. העלייה שנמצאה בשנים האחרונות בתדירות התקיפות שרמת התחכום שלהם נמוכה באופן יחסי מתבטאת בכך שיותר ויותר תוקפים משתמשים בטכניקות וכלי IT נפוצים להשגת גישה ושליטה על מערכות החשופות לרשת האינטרנט. מאחר ובשנים אלה עוד ועוד מערכות תפעוליות נחשפו לרשת וממשקי השליטה והבקרה הפכו מונגשים יותר, הדבר הקל משמעותית על גורמי איום, זאת לצד העובדה שבניגוד לעבר - כיום ההבנה כיצד לתפעל מערכות שונות (מים, חשמל, דלק ועוד) אינה דורשת תחכום רב. ממחקרה של FireEye עולה שבמרבית המקרים גורמי האיום מנצלים שירותי גישה מרוחקת שאינם מאובטחים, על מנת לקבל גישה למערכות החשופות לרשת. בשלב הבא הדבר מאפשר להם לטפל בממשקים הגרפיים המתפעלים את המערכות. זאת ועוד, הולכים ומתרבים ברשת המדריכים המלמדים כיצד לפרוץ למערכות תפעוליות שונות. בתוך כך, FireEye פרסמה ציר זמן המציג פעולות ופגיעות פומביות ולא פומביות במערכות תפעוליות במדינות שונות, שזוהו על ידה מ-2020 עד אפריל 2021. יש לציין שרוב מערכות התפעול שעל הכוונת שייכות למגזרים שונים בישראל.
סייבר ופרטיות - רגולציה ותקינה
מהם "מידע" ו"ידיעה על ענייניו הפרטיים של אדם": גילוי דעת של הרשות להגנת הפרטיות
גילוי הדעת שפרסמה הרשות ב-25 במאי לתגובות הציבור עוסק בהבהרת שני המושגים כמשמעותם בחוק הגנת הפרטיות, תשמ"א -1981 ובפרשנות המשפטית שניתנת להם על ידי בתי המשפט. שני המושגים עומדים בבסיס אסדרת זכויות הפרט להגנה על מידע אישי בדין הישראלי, וגילוי הדעת סוקר את התשתית החוקית שלהם ומספק דוגמאות לנתונים המהווים "מידע" כפי שהוא מוגדר בחוק הגנת הפרטיות הישראלי: "אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו". יצוין כי המושג "מידע" מוגדר גם בדברי חקיקה נוספים בספר החוקים הישראלי, למשל בחוק המחשבים, תשנ"ה-1985. הרשות מזמינה את הציבור להעביר הערות לגילוי הדעת עד לתאריך ה-15.06.21.
קנסות בסך 1.8 מיליון דולר הוטלו על חברות בארה"ב מחמת דלף מידע אישי
שתי החברות, First Unum Life Insurance Company of America ו-Paul Revere Life Insurance Company, חוו דלף מידע אישי ב-2018 וב-2019, והרשות לשירותים פיננסיים של מדינת ניו יורק (New York Department of Financial Services) הטילה עליהן את הקנסות משום שלא עמדו בדרישות הרגולטוריות להגנה על מידע אישי שקובעת רגולציית הסייבר של הרשות משנת 2017. האירוע נודע לציבור עם פרסום ההסדר שנקבע בין ה-NYDFS לשתי החברות. רגולציית הסייבר של ה-NYDFS שימשה מודל לרגולטורים אחרים, כולל נציבות הסחר הפדרלית (FTC), האיגוד הלאומי של נציבי הביטוח (NAIC), ועידת הפיקוח על הבנקים הממלכתיים (CSBS) ומספר מדינות בארה"ב. לדבריה של נציבת הרשות, לינדה לייסוול, "אבן הפינה ברגולציית הסייבר שלנו היא להבטיח שכל מידע אישי מוגן, והנושא אינו רק בגדר מטרה שאפתנית. אנו נותרים מחויבים להבטיח שהגנת הסייבר תטופל בבהילות הנדרשת, כדי להגן בצורה הטובה ביותר על מידע אישי של הצרכנים במדינת ניו יורק."
הסתיימה ה-World Summit on the Information Society בחסות איגוד הטלקום הבינלאומי
כנס ה-WSIS של ITU, בשיתוף עם הארגונים UNESCO ,UNCTAD ו-UNDP, סוכנויות נוספות של האו"ם, מדינות רבות וגופים מהמגזר השלישי, מהווה פלטפורמה גלובלית רבת-משתתפים בתחום טכנולוגיות המידע והתקשורת (ICT). השנה, נושא הפורום היה "תקשוב למען חברות וכלכלה כוללות". מטרה עיקרית של הכנס היא ליצור הזדמנויות לבעלי עניין ב-WSIS כדי לאפשר לרכז את המאמצים והרעיונות החדשניים של הגופים השונים לשם מינוף ה-ICT הגלובלי. השנה קידמה ה-WSIS ביתר שאת דיאלוג באוריינטציה מעשית על נושאי ההתאוששות ממגפת הקורונה, והיוזמות ליישום קווי הפעולה של משתתפי הכנס שנועדו לקדם את יעדי האו"ם לפיתוח בר-קיימה (SDG). הדו"ח הסופי של הכנס כאן.
ה-International Association of Privacy Professionals ממפה את תהליכי החקיקה של חוקי הגנת הפרטיות ברמה המדינתית בארה״ב
את ממצאי המעקב שמבצע ה-IAPP הוא מעדכן במפה אינטראקטיבית:
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, קונסטנטין חולביצקי, רחל נועה ביניאשוילי, אלמה תורג'מן וגיא פינקלשטיין.