פיקוח שביצעה הרשות להגנת הפרטיות בעיריית הוד השרון, בעקבות דיווח על אירוע אבטחת מידע, העלה כי אירעה פריצה לשרתים בבעלות העירייה, אשר הכילו מידע אישי רב, הן אודות תושבי העיר והן אודות עובדי העירייה. השרתים שנפרצו הכילו מידע אישי הכולל , בין היתר, מסמכים, התכתבויות דואר אלקטרוני, תלונות של תושבים לרבות שמות ומספרי זהות, מידע על עובדים המשתמשים במערכות העירייה ועוד.

חקירת הרשות להגנת הפרטיות העלתה כי הפריצה התבצעה  על ידי רוגלה (תוכנת ריגול), שאפשרה גישה לכניסה מרחוק לשרתים; בהמשך לכך, הרוגלה הצפינה קבצים שונים אשר אפשרו שליטה מלאה במערכת. 

ממצאי הפיקוח של הרשות העלו, כי העירייה פעלה שלא בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017:  במועד האירוע  הגדרות הרשאות הגישה שנקבעו למשתמשים במחשבי העיריה נעשו בצורה כוללת, לא בהתאם להגדרת התפקיד ולא במידה הנדרשת לביצוע התפקיד בלבד. כמו כן, נמצא כי העירייה לא נקטה באמצעים מקובלים כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך.

עוד עלה, כי במועד האירוע לא הקפידה העירייה על ניהול ותפעול תקין של מערכות מאגר המידע שנפרץ ואפשרה גישה למידע דרך רשת האינטרנט, מבלי נקיטת אמצעי הגנה מתאימים מפני חדירה לא מורשית. במסגרת כך, לא בוצעה הפרדה בסביבות העבודה בין מערכות המאגר בהן ניתן לגשת למידע לבין מערכות מחשוב אחרות, לא בוצעו עדכונים שוטפים למערכות ההפעלה של המאגר במחשבי החברה ונעשה שימוש במערכות אשר היצרן הפסיק לתמוך בעדכוני אבטחת מידע בהן.

בנוסף, העירייה לא קיימה כנדרש בתקנות הגנת הפרטיות (אבטחת מידע) סקר לאיתור סיכוני אבטחת מידע במערכותיה במועד הדרוש, ולא פעלה כדי לתקן את הממצאים שנתגלו בסקר קודם שקיימה בנושא.

לאור כל אלה הרשות קבעה כי העירייה הפרה את הוראות חוק הגנת הפרטיות והתקנות מכוחו ונתנה לעירייה הנחיות לתיקון הליקויים שהתגלו במסגרת הליך הפיקוח. על העירייה אף הוטל קנס מנהלי על סך 10,000 שקל בגין אי-רישום של מאגרי מידע החייבים ברישום מכוח הוראות חוק הגנת הפרטיות.

עו"ד עלי קלדרון, מנהל מחלקת אכיפה ברשות להגנת הפרטיות: "ברשויות המקומיות מנוהל מידע אישי רב ורגיש ביותר על אודות התושבים בתחומי החיים השונים ובכללם חינוך, כלכלה רווחה ועוד. על מנת לקבל שירותים שונים, התושבים למעשה מפקידים את המידע אודותיהם בידי הרשויות ומכאן שתפקידן, כמי שאמורות להגן עליו, מתעצם. מצופה מכל רשות מקומית להקפיד על קיום הוראות החוק והתקנות מכוחו ולצמצם את פוטנציאל התרחשותם של אירועי אבטחת מידע ופגיעה בפרטיות התושבים".

עינת מירון, מומחית Cyber Resilience להערכות והתמודדות עם מתקפות סייבר בהיבטים העסקיים מסרה ל-ice: "הרשות להגנת הפרטיות קברה את הזכות שלנו לפרטיות בקנס מביך של 10,000 שקל לעיריית הוד השרון, שנמצאה מפרה בצורה ברורה את תקנות הגנת הפרטיות ושמירה על מאגרי מידע. היו הרבה ציפיות מהגוף הזה אבל שנים מאז כניסתן לתוקף של תקנות הגנת הפרטיות, לא ברורה התועלת שלו לציבור והשיא הוא כמובן היום עם הקנס המגוחך. שנים אנחנו מתמודדים עם חוסר האכפתיות של בכירי המשק בשאלת ההשקעה ובחשיבות ההערכות וצמצום סיכוני הסייבר העסקיים ומקווים ומאמינים שנוכל לסמוך על הרגולטור, על הרשות להגנת הפרטיות, שתנקוט בגישה אחראית ותייצר הרתעה". 

"והנה, נמצאה הפרה ברורה בעיריית הוד השרון ומה עושה הרשות להגנת הפרטיות? כלום. מוכיחה לנו שאין לנו על מי לסמוך. שמדובר בגוף חסר משמעות, חסר השפעה ובעיקר חסר אחריות. במקום לממש קנס משמעותי, שיראה רצינות ויהווה הרתעה לרשויות מקומיות אחרות ובכלל למשק כולו, במקום להעביר מסר חד משמעי, במקום להשתמש בזכותה להפעיל חבות פלילית, הרשות רומסת את הזכות לפרטיות בסכום מגוחך ובהודעת יחסי ציבור מגוחכת אפילו יותר. מנהלים צריכים לקחת בחשבון שאמנם הרשות להגנת הפרטיות היא כבר לא מקל משמעותי ומסוכן, אבל במקום שבו הרגולטור נעדר, הציבור הוא זה שיתקן והם עלולים למצוא את עצמכם מתמודדים עם תביעות משפטיות הרבה פחות סלחניות".

מעיריית הוד השרון נמסר בתגובה: מאז אירוע ניסיון הכופר בחודש מרץ 2020 שסוכל בהצלחה על ידי עיריית הוד השרון, עובדת העירייה בתיאום עם מספר גופי ממשלה, בהם הרשות להגנת הפרטיות לניתוח האירוע, הפקת לקחים מתהליך ההתגוננות והיערכות להמשך. הופתענו לקרוא היום את הודעת דוברות הרשות שאינה תואמת את התהליך שנעשה מול הרשות ואף את הדו"ח המסכם שלה. בנוסף, ההודעה אינה תואמת מסקנות של גופי בדיקה נוספים דוגמת המנהל לשירות חירום – יחידת הסייבר של משרד הפנים. הגדרת האירוע כאירוע דליפת מידע הינה שגויה מיסודה – מדובר באירוע מסוג וירוס כופר שמטרתו נעילת קבצים לצורך תמורה כספית, ולא כפי המצוין בהודעת הרשות להגנת הפרטיות. בניגוד למשתמע מההודעה, לא נראתה שום אינדיקציה באף אחת מהבדיקות פנימיות וחיצוניות, לדליפת מידע מאגרי המידע המוחזקים בעירייה ולא נגרמה כל פגיעה בפרטיותם של הגורמים הבאים במגע עם העירייה ונתוניהם לא זלגו לאף גורם, גם היום יותר משנה לאחר סיום האירוע".

"בעקבות התחקיר שבוצע על ידי יחידת הסייבר של משרד הפנים, שעודכנה על ידי עיריית הוד השרון מיד עם תחילת האירוע, טופלו רוב הליקויים ותהליכי עומק לתיקון מערכות המידע נמשכים, כאמור בשיתוף פעולה. נדגיש שוב, כי הנתונים והפרטים האישיים של תושבות ותושבי העירייה ומערכות העירייה ובסיסי הנתונים  של המערכים נמצאים "בענן" ולכן לא היו מעורבים כלל באירוע. עוד קודם לאירוע הוקם אגף מערכות מידע וכן מאז האירוע בוצע רישום של כל מאגרי המידע וכן מונה ממונה אבטחת מידע לצורך טיפול באירועים דומים. יש לציין כי במכתב של הרשות להגנת הפרטיות בנושא שנשלח לעיריית הוד השרון הם אף אישרו את הפרטים, והדגישו כי מדובר באירוע כופר וכי הם מברכים על הצעדים שנקטה העירייה בנושא".

לסיכום, עיריית הוד השרון שיתפה פעולה ודיווחה לכלל הגופים האמונים על הגנת הפרטיות לצורך טיפול בליקויים, עמדנו בקשר עם הרשות להגנת הפרטיות כולל התכתבויות והעברת מסמכים על פי בקשתם ומצופה מהם שהפרטים יוצגו באופן מהימן כפי שהוא משקף את השתלשלות האירועים באופן מדויק.