"הלו, אבא?": בנק זרע גדול חשף כי האקרים גנבו מידע על תורמים
בנק זרע מרכזי בארה"ב הודה כי פרצת אבטחה במערך ה-IT שלו נוצלה והובילה למספר לא ידוע של נפגעים. חושבים שזה חמור? הוא דיווח על התקיפה אחרי שנה
תמונה: dreamstime
עבור מי שבוחר לתרום זרע, אנונימיות היא לא רק עניין של נוחות – היא חלק מהותי מהתהליך. מדובר בהחלטה אישית עם השלכות רגשיות, רפואיות ומשפטיות, ולכן תורמים מצפים שהמידע שלהם יישמר בביטחון מוחלט ושזהותם תישאר אנונימית לנצח. אבל מה קורה כשהמידע נשפך החוצה? החשש הגדול הוא כמובן שיום אחד ידפוק ילד בדלת וישאל אם פה מתגורר אבא, אבל כל עוד אנחנו לא חיים בסרט הוליוודי, החשש יכול גם להגיע מכיוון לא צפוי אחר – וזה בדיוק מה שקרה ל-California Cryobank, אחד מבני הזרע הגדולים בארה"ב.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
בימים האחרונים נחשף כי הבנק הותקף ופרצת אבטחה נוצלה והשפיעה על מספר בלתי ידוע של תורמים. בבנק אישרו כי באפריל 2024 גורם לא מורשה חדר לרשת ה-IT, צפה בקבצים רגישים ומסתמן שגם העתיק אותם. בין הנתונים שדלפו היו שמות מלאים, מספרי ביטוח לאומי, מספרי רישיון נהיגה, פרטי חשבונות בנק ומידע רב על ביטוחי בריאות. מדובר בפרצה חמורה במיוחד, בהתחשב בכך שהחברה מתמחה בשירותי הקפאת זרע, ביציות ועוברים, מה שמעלה חשש גם לפגיעה במידע ביומטרי.
ואם המחדל הזה לא מספיק חמור, אז בבנק זיהו את הפרצה כבר לפני כמעט שנה אך מסיבה כלשהי חיכו עד השבוע כדי לדווח עליה לציבור ולרשויות בקליפורניה ובמיין. עד כה ידוע כי לפחות 28 תושבי מיין נפגעו, אך אין מידע מלא על מספר הקורבנות האמיתי. מעניין לציין שאף קבוצת תקיפה טרם לקחה אחריות על הפריצה, מה שאולי מסביר למה החברה לא מיהרה לשתף מידע – אבל עדיין, מדובר בזמן תגובה בעייתי במיוחד.
ברגע שהפריצה נחשפה, החברה נקטה מספר צעדים: היא בודדה את המחשבים שנפגעו, פתחה חקירה פנימית והתחילה לשלוח מכתבי אזהרה לנפגעים. כדי למזער נזקים (או לפחות להפגין אחריות), היא גם מציעה לנפגעים שנה חינם של שירותי ניטור אשראי – כי כנראה אין דרך טובה יותר להירגע אחרי פרצת מידע אישית מאשר מעקב קבוע אחר ניסיונות הונאה על שמך.
העובדה שהחברה דיווחה על האירוע כמעט שנה לאחר שהתרחש מעוררת שאלות לגבי היכולת של ארגונים לזהות ולבלום חדירות בזמן אמת. מדובר על חלון זמן עצום שבו ייתכן שהנתונים כבר עברו לידיים הלא נכונות. חקירה משפטית בנושא כבר מתנהלת, ומשרד עורכי דין אחד לפחות בוחן אפשרות לתביעה ייצוגית. אם יימצא שהייתה כאן רשלנות באבטחת מידע, עשויים להיפתח הליכים משפטיים שיחייבו את החברה לפצות את הנפגעים.
במקרים כאלה לא מדובר רק בפרטים אישיים, אלא גם במידע רפואי שיכול להיות מנוצל בדרכים מסוכנות. עבור מי שמנהל תשתיות IT בתחום הבריאות או מטפל במידע אישי רגיש, זו תזכורת אכזרית לחשיבות של ניהול גישה הדוק יותר, שימוש בפתרונות הצפנה חזקים יותר ופריסה של ניטור רציף לאיומים.
