בעקבות אירוע של מתקפת סייבר על מחשבי העירייה שגרם לחשיפת מידע אישי רגיש אודות תושבי ועובדי עיריית הוד השרון נפתחה חקירה. העירייה: "הופתענו לקרוא את הודעת דוברות הרשות שאינה תואמת את התהליך שנעשה מול הרשות ואף את הדו”ח המסכם שלה”.
הרשות להגנת הפרטיות קבעה כי עיריית הוד השרון הפרה את חוק הגנת הפרטיות והתקנות מכוחו. פיקוח שביצעה הרשות להגנת הפרטיות בעיריית הוד השרון, בעקבות דיווח על אירוע אבטחת מידע, העלה כי אירעה פריצה לשרתים בבעלות העירייה, אשר הכילו מידע אישי רב, הן אודות תושבי העיר והן אודות עובדי העירייה. השרתים שנפרצו הכילו מידע אישי הכולל, בין היתר, מסמכים, התכתבויות דואר אלקטרוני, תלונות של תושבים לרבות שמות ומספרי זהות, מידע על עובדים המשתמשים במערכות העירייה ועוד. חקירת הרשות להגנת הפרטיות העלתה כי הפריצה התבצעה על ידי רוגלה (תוכנת ריגול), שאפשרה גישה לכניסה מרחוק לשרתים; בהמשך לכך, הרוגלה הצפינה קבצים שונים אשר אפשרו שליטה מלאה במערכת. האירוע החל בתחילת חודש מרץ 2020 אז קרסו מחשבי העירייה ובמשך מספר שבועות ניסו בעירייה למזער את הנזק. מחלקות שלמות בעירייה לא תפקידו. הסיפור על קריסת המחשבים נשמר בסוד במסדרונות העירייה אך לאחר שבועיים הוא דלף החוצה. באמצע חודש מרץ פנו שלושת חברי האופוזיציה חנוכה, גוטרמן וקריב לסגן ראש העיר, נאור שירי לקבל עדכונים. לטענתם: "לאחר כשלוש שעות מפנייתנו פורסמה באתר החדשות net-my כתבה שחשפה את ניסיון מתקפת הסייבר על מחשבי העירייה- שם אישרו את דבר הפריצה”. בעקבות כך פנו חברי האופוזיציה במכתב לעו”ד עלי קלדרון, מנהל מחלקת אכיפה ברשות להגנת הפרטיות ובין היתר נכתב כך “על פי הדיווחים שבידנו עד לכתיבת שורות אלו ישנן מחלקות שעדיין מושבתות נוכח העובדה שהתקלה טרם טופלה באופן מלא! אנו מביעים דאגה של ממש כי במצב חירום זה העירייה לא מצליחה לטפל בניסיון הפריצה לאורך ימים ארוכים – במיוחד נוכח החשש כי בפריצה נחשפו נתונים אישיים של תושבות ותושבי העירייה שמצויים במערכת, פרטים אישיים של ילדי העיר במערכת החינוך, זו ואף נתוני אשראי במערכות הגביה! לא זו אף זו עולה חשש במידה והעירייה מצויה תחת מתקפת סייבר. נוכח האמור נבקש לקבל דיווח מיידי – האם ניסיון הפריצה דווח לרשויות המדינה? האם קיימת וודאות שנתונים רגישים לא זלגו לשום גורם? מי מבטיח את השמירה על פרטיותם של תושבות ותושבי העיר? נבקש אפוא לקבל את דו”ח האירוע והתחקור שביצעתם.” ואכן לאחר שנה וחודשים פורסם השבוע דוח החקירה של הרשות להגנת הפרטיות במשרד המשפטים. לידי ירוק הגיעה הדוח שמתפרסם בשלמותו “ממצאי הפיקוח של הרשות העלו, כי העירייה פעלה שלא בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017: במועד האירוע הגדרות הרשאות הגישה שנקבעו למשתמשים במחשבי העיריה נעשו בצורה כוללת, לא בהתאם להגדרת התפקיד ולא במידה הנדרשת לביצוע התפקיד בלבד. כמו כן, נמצא כי העירייה לא נקטה באמצעים מקובלים כדי לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך. עוד עלה, כי במועד האירוע לא הקפידה העירייה על ניהול ותפעול תקין של מערכות מאגר המידע שנפרץ ואפשרה גישה למידע דרך רשת האינטרנט, מבלי נקיטת אמצעי הגנה מתאימים מפני חדירה לא מורשית. במסגרת כך, לא בוצעה הפרדה בסביבות העבודה בין מערכות המאגר בהן ניתן לגשת למידע לבין מערכות מחשוב אחרות, לא בוצעו עדכונים שוטפים למערכות ההפעלה של המאגר במחשבי החברה ונעשה שימוש במערכות אשר היצרן הפסיק לתמוך בעדכוני אבטחת מידע בהן. בנוסף, העירייה לא קיימה כנדרש בתקנות הגנת הפרטיות (אבטחת מידע) סקר לאיתור סיכוני אבטחת מידע במערכותיה במועד הדרוש, ולא פעלה כדי לתקן את הממצאים שנתגלו בסקר קודם שקיימה בנושא. לאור כל אלה הרשות קבעה כי העירייה הפרה את הוראות חוק הגנת הפרטיות והתקנות מכוחו ונתנה לעירייה הנחיות לתיקון הליקויים שהתגלו במסגרת הליך הפיקוח. על העירייה אף הוטל קנס מנהלי על סך 10,000 ₪ בגין אי-רישום של מאגרי מידע החייבים ברישום מכוח הוראות חוק הגנת הפרטיות”.
מעיריית הוד השרון נמסר בתגובה: מאז אירוע ניסיון הכופר בחודש מרץ 2020 שסוכל בהצלחה על ידי עיריית הוד השרון, עובדת העירייה בתיאום עם מספר גופי ממשלה, בהם הרשות להגנת הפרטיות לניתוח האירוע, הפקת לקחים מתהליך ההתגוננות והיערכות להמשך. נדגיש, כי הנתונים והפרטים האישיים של תושבות ותושבי העירייה ובסיסי הנתונים של המערכים נמצאים ״בענן״ ולכן לא היו מעורבים כלל באירוע. באף אחת מהבדיקות, פנימיות וחיצוניות, וגם בחלוף יותר משנה מסיום האירוע לא נראתה שום אינדיקציה לדליפת מידע. הגדרת האירוע כאירוע דליפת מידע הינה שגויה מיסודה – מדובר באירוע מסוג וירוס כופר שמטרתו נעילת קבצים לצורך תמורה כספית, ולא כפי שציינה הרשות להגנת הפרטיות בהודעתה הראשונית ולכן היא אף פרסמה הבהרה בנושא. בעקבות התחקיר שבוצע על ידי יחידת הסייבר של משרד הפנים, שעודכנה על ידי עיריית הוד השרון מיד עם תחילת האירוע, טופלו רוב הליקויים ותהליכי עומק לתיקון מערכות המידע נמשכים, בשיתוף פעולה.