הרגולטור: דרך ארץ, מפעילת כביש 6, הפרה את חוק הגנת הפרטיות

הרשות להגנת הפרטיות קבעה כי דרך ארץ הייווייז, מפעילת כביש 6, הפרה את הוראות חוק הגנת הפרטיות ותקנותיו בשל אירוע אבטחה חמור, שהוביל לחשיפה של מידע אישי אודות לקוחותיה – כך מסרה הרשות בהודעה שפרסמה היום (ב'). ברשות אומרים ששורה של אמצעים ותהליכים שונים היו מסייעים לגלות את חולשת אבטחת המידע מבעוד מועד, וכך היה ניתן לצמצם ואולי אף למנוע את הסיכוי להתרחשות האירוע.

ראשיתה של הפרשה בדיווח שמסרה דרך ארץ על אירוע אבטחה חמור שאירע בחברה, שבעקבותיו החלה הרשות בהליך אכיפה. במסגרת אירוע האבטחה התגלו חולשות אבטחת מידע באתר התשלומים של החברה, שלדברי הרגולטור אפשרו חשיפה של מידע רב מתוך החשבוניות של לקוחותיה. מהמידע שהעבירה החברה לרשות עולה כי בעמוד באתר שבו נמצאת האפשרות לשלם חשבוניות ניתן היה לקבל גישה לחשבוניות התשלום של הלקוחות ולחשבוניות עבר, הכוללות מידע אישי, לרבות שם פרטי ומשפחה, סכומי תשלום, מיקום הרכב, תאריכי ושעות נסיעות.

בשל העובדה שדרך ארץ לא תיעדה כנדרש את הגישה למערכותיה, לא ניתן לדעת במדויק במשך כמה זמן גורמים לא מורשים יכולים היו לגשת למערכות החברה – נכתב בהודעה. בהתאם לכך, קבעה הרשות להגנת הפרטיות שהחברה לא החזיקה באמצעי הגנה מתאימים במועד האירוע. כמו כן, ממצאי הליך הפיקוח שביצעה הרשות מעלים שהחברה מיפתה באופן חלקי את הסיכונים האפשריים בתחום אבטחת המידע, אך לא פעלה לאורך פרק זמן של מעל שנה לתיקון הליקויים שנמצאו במבדקי החדירות.

"על ארגונים לנקוט במדיניות אבטחת מידע דינמית"

במכתב ההפרה שהעבירה הרשות להגנת הפרטיות לחברה מדגישה זו שחברות וארגונים במשק נדרשים לנקוט במדיניות אבטחת מידע דינמית ושעם התפתחותם של איומים וסיכונים, על הארגון חלה חובה לבחון בקפדנות את הסיכונים המתעדכנים ולפעול בהתאם לעדכון אמצעי האבטחה המקובלים בנסיבות העניין, בהתאם לאופי המאגר וטיבו. כתוצאה מכך, חלה על חברות וארגונים החובה לעדכן את מערכותיהם ולערוך סקרי סיכונים ומבדקי חדירות, כדי לבחון את הסיכונים המשתנים ולהיערך להם. בנוסף, חלה עליהם חובה להשתמש במנגנון תיעוד אוטומטי ולערוך הדרכות לעובדים, בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע).

הרשות להגנת הפרטיות מדגישה שמשימת אבטחת המידע בחברות וארגונים היא לא אירוע חד פעמי אלא תהליך מורכב ומתמשך, שדורש בדיקות בכל תקופה מסוימת, עדכונים שוטפים והערכת סיכונים מתמדת, בהתאם לרמת אבטחת המידע הנדרשת. מאגר אבטחת המידע של דרך ארץ הייווייז מוגדר ברמת אבטחה גבוהה, ועל מאגרים ברמה זו חלות כלל תקנות הגנת הפרטיות (אבטחת מידע) – מדגישים ברשות.

בהתאם לממצאי הפיקוח קבעה הרשות שהחברה הפרה את הוראות חוק הגנת הפרטיות ותקנותיו ודרשה ממנה לבצע כמה פעולות מתקנות.

מדרך ארץ נמסר בתגובה כי "הנושא טופל בהתאם לדרישות המחמירות ביותר".