שני אירועי אבטחת מידע ודליפת מידע אישי חמורים התרחשו במגן דוד אדום: מידע אישי של מטופלים הכולל דו"חות רפואיים, מספרי תעודות זהות ומספרי כרטיסי אשראי שלהם דלף, כך חושפת הרשות להגנת הפרטיות בעקבות הליך פיקוח שביצעה בארגון. בנוסף, מידע אישי של מתנדבי הארגון היה חשוף גם הוא נוכח פרצת אבטחה באפליקציה לניהול המתנדבים. בהודעה שפורסמה לא נמסר מה היקף המידע שדלף על מטופלים ואם פרטיהם האישיים של המתנדבים דלפו החוצה.

לפני כשנה נחשפה פרצת האבטחה של מד"א ב-TheMarker. מדובר בהפרה של סעיף 17 לחוק הגנת הפרטיות, והפרת תקנות נוספות. על שני אירועי אבטחת המידע החמורים לא דיווח הארגון לרשות להגנת הפרטיות – כמחוייב בחוק, והרשות ביצעה את החקירה בעקבות מידע שנמסר לה.

בהודעה שפירסמה הרשות הבוקר (ד') – היא חושפת כי מדובר בפרצות אבטחה חמורות במערכות שפותחו עבור מד"א על ידי ספקי מיקור חוץ. אלה יצרו עבור הארגון את המערכות לניהול מטופלים ולניהול מתנדבי הארגון. ממצאי הפיקוח העלו כי במד"א לא הגדירו דרישות אבטחה כנדרש מאותם ספקים, כפי שקובעות תקנות הגנת הפרטיות של מדינת ישראל. על פי ממצאי הבחינה – במד"א לא דרשו מהספקים שפיתחו את המערכות ליצור מנגנון הגנה שעומד בתנאי החוק ומתאים לרמת הסיכון של המידע שמחזיקה מד"א במערכותיה.

במקרה הראשון שבו פרטיהם של מטופלים היו חשופים – גילתה הרשות כי פרטים רגישים ביותר אכן דלפו וכי בנוסף על כך במד"א ידעו על כך ולא דיווחו לרשות להגנת הפרטיות – כפי שמחייב החוק. בנוסף לכך, האפליקציה שפותחה כדי לנהל את אלפי מתנדבי הארגון, הייתה חשופה בגלל רמת אבטחה ירודה. אם לא די בכך, נכתב בהודעת הרשות – "הפרצה איפשרה גישה לשרת שעליו מותקנת האפליקציה, ובכך אפשרה לדלות מידע על מתנדבים במד"א וכן מידע רפואי אודות מטופלים ואף פתחה את האופציה לשלוח הודעות כוזבות למטופלים על בסיס המידע".

העובדה שהרשות קבעה כי מדובר בהפרת חוק, חושפת את מד"א לתביעות אזרחיות מצד מי שנפגעו.

פורסם ב-TheMarker

עוד ב-TheMarker

תמיד פחדנו מטכנולוגיה פורצת דרך - אבל היא מצילה אותנו שוב ושוב
נשים יתמודדו על תפקיד רק כשהן בטוחות שיש להן את רוב הכישורים; גברים יסתפקו בשליש

ממד"א נמסר כי "כל מערכות המידע של מד"א מאובטחות ברמה הגבוהה ביותר ובאמצעים הטכנולוגיים המתקדמים ביותר. יחד עם זאת, פרצות מתגלות לעתים ככל שרמת ההאקרים עולה. מיד כשנודע לנו על הפרצה נקטנו כל אמצעי נדרש. בשום שלב לא דלף מידע חסוי או משמעותי". עוד מסרו, כי מדובר באירוע שהיה לפני כשנה כאשר מתנדב מד"א לשעבר המתמחה בתחום אבטחת מידע איתר את הפירצה. "הוא מצא חריגה אחת באתר המתנדבים ומקרה נוסף בעמוד הטפסים באתר. הנושא טופל ותוקן מיידית ושום מידע לא דלף".