הרשות להגנת הפרטיות הודיעה הבוקר (רביעי) כי במסגרת הליך פיקוח שביצעה נמצאו שני אירועים של כשלי אבטחה חמורים באתר האינטרנט ובאפליקציה של מד"א שהובילו לדליפת מידע רגיש ממערכות הארגון, זאת בעקבות חשיפת חדשות 12 לפני כחצי שנה. בין הפרטים שנחשפו היו דוחות רפואיים של מטופלים ובהם שמות, כתובות, מספרי תעודות זהות ומספרי כרטיסי אשראי. עוד הדגישו ברשות כי הארגון לא דיווח על אירועי האבטחה החמורים כנדרש בחוק.

לעדכונים נוספים ושליחת הסיפורים שלכם - היכנסו לעמוד הפייסבוק של החדשות 

הליך הפיקוח נפתח בעקבות פנייה שהצביעה על כשלי האבטחה באתר האינטרנט של הארגון. לצד זאת, במועד אחר התקבל מידע המצביע על פרצת אבטחה נוספת - באפליקציה של ניהול המתנדבים של מד"א. פרצה זו אפשרה גישה לשרת שעליו מותקנת האפליקציה, ובכך אפשרה לדלות מידע על מתנדבים במד"א וכן מידע רפואי אודות מטופלים, ואף פתחה את האופציה לשלוח הודעות כוזבות למטופלים על בסיס המידע.

פרצת אבטחה חמורה באפליקציית מד
פרצת אבטחה חמורה באפליקציית מד"א|צילום: חדשות

"בשני האירועים מדובר במערכות שפותחו ותוחזקו עבור מד"א על ידי ספקי מיקור חוץ", הסבירו ברשות. עם זאת הדגישו: "לפי תקנות הגנת הפרטיות, על ארגונים שעושים שימוש בשירותי מיקור חוץ לקבוע בהסכם עם ספקי השירותים שורה של דרישות בהתאם לסיכוני אבטחת המידע הקיימים בארגון".

עוד הסבירו ברשות להגנת הפרטיות: "על הסכמים אלה לקבוע באופן מפורש, בין היתר, מהו המידע שהגורם החיצוני רשאי לעבד ולאלו מטרות, לאלו מערכות הוא רשאי לגשת, מהו סוג העיבוד שאותו הוא רשאי לבצע, אופן יישום הוראות תקנות אבטחת מידע ועוד".

מארגון מד"א נמסר בתגובה: "כל מערכות המידע של מד"א מאובטחות ברמה הגבוהה ביותר ובאמצעים הטכנולוגיים המתקדמים ביותר. יחד עם זאת, פרצות מתגלות לעיתים ככל שרמת ההאקרים עולה ולכן מיד כשנודע לנו על הפרצה נקטנו בכל האמצעים הנדרשים. יודגש ויובהר כי בשום שלב לא דלף מידע חסוי או משמעותי. מדובר באירוע שהיה לפני כשנה כאשר מתנדב מד"א לשעבר המתמחה בתחום אבטחת מידע איתר את הפריצה. הוא מצא חריגה אחת באתר המתנדבים ומקרה נוסף בעמוד הטפסים באתר מד"א. הנושא טופל ותוקן מיידית ושום מידע לא דלף".