הרשות להגנת הפרטיות במשרד המשפטים הודיעה היום (שלישי) כי במסגרת הליך פיקוח התברר שההתאחדות הפרה את הוראות חוק הגנת הפרטיות, כאשר התגלתה חולשת אבטחה באתר הרשמי שלה. פרצת האבטחה אפשרה לכל גולש לבצע שינוי בכתובת האתר ולצפות במידע אישי ובצילומי תעודות זהות של שחקנים, שופטים ובעלי תפקידים במועדונים השונים.
בהודעת הרשות להגנת הפרטיות נמסר: "נמצא כי במועד האירוע, אשר התגלה באפריל 2020, ההתאחדות לא קיימה את נהליה הפנימיים בתחום אבטחת המידע, הכוללים התייחסות לאופן התגובה לאירועי אבטחת מידע ולפיתוח מאובטח, לא ביצעה סקר לאיתור סיכוני אבטחת מידע ומבדקי חדירות למערכות המאגר לבחינת עמידותן בפני סיכונים פנימיים וחיצוניים, לא נקטה אמצעים מקובלים כדי לוודא כי הגישה למאגר ולמערכותיו נעשית בידי בעל הרשאה המורשה לכך בלבד ולא יישמה מנגנון תיעוד אוטומטי המאפשר ביקורת על הגישה למערכות המאגר, הכל כנדרש בתקנות הגנת הפרטיות (אבטחת מידע)".
הממצאים העלו כי ההתאחדות לכדורגל חיברה את אתרה לרשת האינטרנט ללא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר שבו כנדרש בתקנות, ולא קבעה במפורש בהסכם עם ספק מיקור חוץ את הנדרש בהוראות התקנות לעניין הזה.
נוסף על כך, לפי הודעת הרשות להגנת הפרטיות, ההתאחדות לא דיווחה לרשות על אירוע האבטחה החמור מיד עם היוודע לה, כנדרש בתקנות. בעקבות ממצאי הפיקוח קבעה הרשות להגנת הפרטיות כי ההתאחדות הפרה את הוראות חוק הגנת הפרטיות והתקנות מכוחו והעבירה לה הנחיות לתיקון הליקויים.
מההתאחדות לכדורגל נמסר בתגובה: "הרשות מציינת בסייפא של דו"ח הבדיקה כי היא 'מברכת על הפעולות שנקטה ההתאחדות לכדורגל מאז האירוע לצורך אבטחת המידע המצוי ברשותה ומניעת הישנות מקרים כאלה בעתיד, ומודה להתאחדות על שיתוף הפעולה'. נמשיך לפעול בהתאם להוראות הרשות ולכללים המחייבים לטובת אבטחת המידע".
