חברת ישראכרט הפרה את הוראות חוק הגנת הפרטיות ותקנותיו
מאת:
מערכת Telecom News, 25.8.21, 16:10
זאת, מאחר שמכשיר טלפון נייד, ששימש את מוקד שירות הלקוחות ובו מידע אישי ורגיש אודות לקוחותיה, נגנב ע"י עובד החברה. בעקבות הליך הפיקוח, החברה הפסיקה את הפרקטיקה של העברת מסמכים באמצעות ווטסאפ.
הרשות להגנת הפרטיות ביצעה הליך פיקוח בחברת ישראכרט בעקבות דיווח של החברה לרשות על אירוע אבטחת מידע, שהעלה חשד להפרות של הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע). מהדיווח של חברת ישראכרט לרשות עלה, כי שמכשיר טלפון נייד, אשר ששימש את מוקד שירות הלקוחות שלה, נגנב ממשרדיה.
במסגרת הליך הפיקוח נתגלה, שתחקיר פנימי, שביצעה חברת ישראכרט, העלה, שעובד בחברה נטל את מכשיר הטלפון הנייד לחזקתו בסיום יום עבודה, הוציא ממנו את כרטיס הסים, פירמט אותו, הגדיר בו את חשבון ה-
Gmail הפרטי שלו והתקין בו את כרטיס הסים האישי שלו.
מכשיר הטלפון הנייד הכיל מאות מסמכים עם מידע, שהועבר לחברה ע"י הלקוחות. המידע כלל בין היתר שמות, מספרי טלפון, מספרי תעודת זהות, אישורי העברות בנקאיות, הרשאות לחיוב חשבון, תעודות פטירה ומידע רגיש נוסף.
מממצאי הפיקוח של הרשות עלה, שמכשיר הטלפון הנייד שימש מעין "מוקד ווטסאפ" אליו לקוחות היו מעבירים מסמכים וסוגי מידע שונים לחברה במסגרת פניותיהם. בעקבות הליך הפיקוח, החברה הפסיקה את הפרקטיקה של העברת מסמכים באמצעות אפליקציית הווטסאפ.
ממצאי הליך הפיקוח, שביצעה הרשות, העלו, שבמועד האירוע חברת ישראכרט אפשרה גישה למכשיר מבלי שנקטה אמצעים מקובלים בנסיבות העניין כדי לוודא, שהגישה למאגר ולמערכותיו נעשית רק בידי מי שניתנה לו הרשאת גישה למידע.
כ"כ, לא הקפידה החברה, שהגישה הפיזית למכשיר תהיה רק לבעלי התפקידים הרלוונטיים, לא וידאה, שכניסה למכשיר תתאפשר רק לבעלי הרשאות תקפות ולא קבעה אופן זיהוי כגון סיסמה או טביעת אצבע.
בנוסף, החברה לא הקפידה, שרמת האבטחה של מכשיר הנייד, שמשמש אותה, תהיה הולמת לסוג המידע השמור בו והיקפו, בשים לב לסיכוני אבטחת המידע הייחודיים למכשירים ניידים, כגון מספר רב של משתמשים.
יצוין, שממצאי הפיקוח לא הצביעו על אינדיקציה לפיה דלף מידע בפועל, ולא התקבלו תלונות ברשות המעידות על דלף מידע, אך עצם החשיפה של המידע מעידה על חומרת האירוע נוכח רגישותו הרבה.
בהתאם לממצאים אלה קבעה הרשות, שחברת ישראכרט הפרה את תקנות הגנת הפרטיות (אבטחת מידע).
הרשות הבהירה לחברה, שככל שבכוונתה להמשיך ולהשתמש בהתקנים ניידים לצרכים הקשורים במערכות מאגרי המידע, עליה לוודא, שמוטמעות במכשיר מערכות הגנה ובקרה המותאמות לסוג המידע, רגישות המידע ואופן השימוש בו.
יצוין, שהתאם להנחיה של הרשות להגנת הפרטיות (מס' 1/2018), בתנאים מסוימים, ניתן לראות בגופים הכפופים להוראות המפקח על הבנקים בעניין אבטחת מידע ועומדים בהן, כמי שמקיימים גם את תקנות הגנת הפרטיות (אבטחת מידע). אולם, במקרה זה נמצא, שהחברה הפרה מספר תקנות המחייבות גם גופים הכפופים להוראות המפקח על הבנקים. כך, שלא ניתן לראות בה כמי שמקיימת את התקנות.
יצוין, שחברת ישראכרט העבירה את ממצאי התחקיר הפנימי שערכה לידי הרשות ודיווחה על תיקון הליקויים הרלוונטיים הקשורים במכשיר הנייד. כ"כ, החברה איתרה, באמצעות מנגנוני אבטחה העומדים לרשותה ותחקור שביצעה, את העובד, שגנב את המכשיר, והשיבה את המכשיר תוך מספר ימים.