חברת דרך ארץ מפעילת כביש 6 הפרה את הוראות חוק הגנת הפרטיות
מאת:
מערכת Telecom News, 13.9.21, 18:54
זאת, בשל אירוע אבטחה חמור, שהוביל לחשיפה של מידע אישי אודות לקוחותיה.
מפעילת כביש 6, חברת דרך ארץ הייוויז, הפרה את הוראות חוק הגנת הפרטיות ותקנותיו.
הליך האכיפה, שביצעה
הרשות להגנת הפרטיות, נפתח בעקבות דיווח של חברת דרך ארץ הייווייז, מפעילת כביש 6, על אירוע אבטחה חמור, שאירע בחברה, במסגרתו התגלו חולשות אבטחת מידע באתר התשלומים שלה, שאפשרו חשיפה של מידע רב מתוך החשבוניות של לקוחותיה.
מהמידע, שהעבירה החברה לרשות, עולה, שבעמוד, ששמו "תשלום חשבוניות" באתר החברה, ניתן היה לקבל גישה לחשבוניות הלקוחות באמצעות הזנת מספר ת.ז, לחיצה על כפתור "אין לי את מספר החשבונית", בחירה באפשרות "מספר לוחית רישוי" ולאחר מכן הזנת מספרים אקראיים כדי לנחש את מספר רישוי הרכב.
לאחר מכן, וללא שום אימות נוסף, ניתן היה לקבל גישה לחשבוניות התשלום של הלקוח ולחשבוניות עבר, שכוללות מידע אישי של לקוחותיה לרבות שם פרטי ומשפחה, סכומי תשלום, מיקום הרכב, תאריכי ושעות נסיעות.
בשל העובדה שחברת דרך ארץ הייווייז לא תיעדה כנדרש את הגישה למערכותיה, לא ניתן לדעת במדויק במשך כמה זמן גורמים בלתי מורשים יכולים היו לגשת למערכות החברה. בהתאם לכך, קבעה הרשות להגנת הפרטיות, שהחברה לא החזיקה באמצעי הגנה מתאימים במועד האירוע.
כמו כן, ממצאי הליך הפיקוח, שביצעה הרשות, מעלים, שהחברה מיפתה באופן חלקי את הסיכונים האפשריים בתחום אבטחת המידע, אך לא פעלה לאורך פרק זמן של למעלה משנה לתיקון הליקויים, שנמצאו במבדקי החדירות.
במכתב ההפרה, שהעבירה הרשות להגנת הפרטיות לחברה, מדגישה הרשות, שחברות וארגונים במשק נדרשים לנקוט במדיניות אבטחת מידע דינמית ושעם התפתחותם של איומים וסיכונים, על הארגון חלה חובה לבחון בקפדנות את הסיכונים המתעדכנים ולפעול בהתאם לעדכון אמצעי האבטחה המקובלים בנסיבות העניין, בהתאם לאופי המאגר וטיבו.
בהתאם לכך, על חברות וארגונים חלה, בין היתר, החובה לעדכן את מערכותיהם ולערוך סקרי סיכונים ומבדקי חדירות כדי לבחון את הסיכונים המשתנים ולהיערך להם וכן לערוך הדרכות לעובדים - הכל בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע).
בנוסף, חלה חובה על חברות וארגונים לעשות שימוש במנגנון תיעוד אוטומטי.
הרשות מדגישה, שמשימת אבטחת המידע בחברות וארגונים אינה אירוע חד פעמי אלא תהליך מורכב ומתמשך, שדורש בדיקות עיתיות, עדכונים שוטפים והערכת סיכונים מתמדת, בהתאם לרמת אבטחת המידע הנדרשת. מאגר אבטחת המידע של חברת דרך ארץ הייווייז, הוא מאגר ברמת אבטחה גבוהה, ועל מאגרים ברמה זו חלות כלל תקנות הגנת הפרטיות (אבטחת מידע).
לסיכום: מהליך האכיפה המנהלית, שביצעה הרשות עולה, ששורה של אמצעים ותהליכים כגון מנגנוני תיעוד אוטומטי, תיקון ליקויים שעלו במבדקי חדירות, יישום מדיניות זיהוי ואמצעי אימות מוקשחים, וכן ניהול נכון של מערכות המאגר היו מסייעים לגלות את חולשת אבטחת המידע מבעוד מועד וכך לצמצם ואולי אף למנוע את הסיכוי להתרחשות אירוע אבטחת המידע.
בהתאם לממצאי הפיקוח קבעה הרשות, שהחברה הפרה את הוראות חוק הגנת הפרטיות ותקנותיו וכן דרשה מהחברה לבצע מספר פעולות מתקנות