הרשות להגנת הפרטיות קבעה כי חברת לולהטק הפרה את הוראות חוק הגנת הפרטיות
מאת:
מערכת Telecom News, 23.11.21, 20:35
בהליך פיקוח, שביצעה הרשות, התגלו ליקויים בהתנהלות החברה, שמחזיקה במאגרי מידע של רשויות מקומיות, שהובילו להתרחשותו של אירוע אבטחה במסגרתו פרצת אבטחה אפשרה גישה למידע רגיש של לקוחותיה לפני כחודשיים. הרשות הטילה על החברה קנס.
הרשות להגנת הפרטיות ביצעה הליך פיקוח בחברת LolaTech
לולהטק. זאת, בהמשך למידע, שהועבר אליה, ושפורסם באמצעי התקשורת, על אודות אירוע אבטחה במסגרתו התרחשה פרצת אבטחה, שארעה בחברה בספטמבר 2019.
חברת לולהטק מחזיקה במאגרי מידע של רשויות מקומיות ובמסגרת כך מספקת להן שירותי פיתוח מערכות לבקרה ושליטה לניהול צוותי עבודה, פקחים, מערכות תווי חניה וכדו'. כתוצאה מפרצת האבטחה ניתנה אפשרות גישה למידע אישי של לקוחות החברה, שכלל פרטים רבים ובהם
שמות פרטיים ומשפחה, כתובת מגורים, מספרי וצילומי תעודות זהות, פרטי בני זוג, בעלות על רכב, תאריכי רישוי, תווי חניה ועוד.
במסגרת אירוע האבטחה, בעת הקלדת רצף תווים בהמשך לכתובת האתר, ניתן היה לגשת לפרטי מידע אודות תושבים במספר רשויות מקומיות, ללא הרשאה. פרטים אלה היו של משתמשים במערכות החברה. הגישה לפרטי המידע התאפשרה בעקבות יכולת גישה למבנה ה-
URL באתר, באמצעות קוד המקור של העמוד.
ממצאי הפיקוח, שביצעה הרשות העלו, שחברת לולהטק לא הפעילה אמצעי הגנה מתאימים, לא נקטה במנגנון אמצעי זיהוי רב-שלבי בעת אירוע האבטחה ולא נקטה בהליך פיתוח מאובטח של האפליקציה, כפי שנדרש בהתאם בתקנות הגנת הפרטיות (אבטחת מידע).
בנוסף, על פי הצהרותיה, חברת לולהטק משמשת כמחזיקה במאגרי מידע של למעלה מ-60 בעלי מאגרי מידע שונים. בהתאם לכך, עומדות לה חובות מוגברות לפי חוק הגנת הפרטיות ובפרט הבטחת הרשאה למורשי גישה, ודיווח שנתי לרשות להגנת הפרטיות אודות רשימת המאגרים שבאחזקתה.
הרשות להגנת הפרטיות קבעה, שהחברה הפרה את החובה הכללית המוטלת עליה לאבטחת המידע והטילה על החברה קנס על סך 25,000 ₪.
בנוסף, דרשה הרשות מהחברה לבצע שורה של פעולות מתקנות ובהן התאמת רמת אבטחת המידע לדרישות הקבועות בחוק ובתקנות, ביצוע סקר סיכונים במערכותיה ועריכת מבדקי חוסן לתשתיות טרם העלאת שירות או אפליקציה לאוויר.
כ"כ, הרשות דרשה מחברת לולהטק לדווח על התיקונים, שביצעה לשם עמידה בחובותיה על פי חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע), ובכלל זאת, נדרשה החברה לדווח לבעלי מאגרי המידע השונים שבהחזקתה אודות ביצוע חובותיה לפי התקנות.
חברת לולהטק עדכנה את הרשות, שהקנס, שהוטל עליה שולם, היא ביצעה את הפעולות המתקנות, שהתבקשו ואף עדכנה את לקוחותיה בממצאי התחקיר של האירוע.