הגנת הפרטיות, חסרת דרך ארץ. הרשות להגנת הפרטיות האמוּנה על הסדרת, פיקוח ואכיפת ‘החוק להגנת הפרטיות’ בהנהלת ממלאת מקום ראש הרשות דר’ שלומית ווגמן-רטנר, הודיעה היום (יום שני, ז’ בתשרי, תשפ”ב) כי בעקבות דיווח של חברת “דרך ארץ הייווייז”, מפעילת כביש 6, על אירוע אבטחה חמוּר (חשיפה של מידע אישי אודות לקוחותיה) שאירע בחברה, פתחה הרשות להגנת הפרטיות בהליך אכיפה.
■ רוצים עוד עדכונים? הצטרפו ל’כאן ישראל | כאן נעים | אתר החדשות המקומיות של כל המדינה ב’פייסבוק’ או ב’טוויטר’.
בהליך אכיפה של הרשות להגנת הפרטיות, נקבע, כי ‘חברת דרך ארץ‘ הפרה את הוראות חוק הגנת הפרטיות ותקנותיו.
לטענת הרשוּת, אילו נקטה חב’ “דרך ארץ הייווייז” בשוּרה של אמצעים ותהליכים שונים, היו מסייעים לגלות את ‘חולשת אבטחת המידע‘ מבעוד מועד.
הרשות להגנת הפרטיות, קובעת, כי בכך ניתן היה לצמצם ואולי אף למנוע את הסיכוי להתרחשות ‘אירוע אבטחת המידע‘ כמו זה של לחשיפה של מידע אישי אודות לקוחותיה.
עולה, שבמסגרת “אירוע האבטחה” באתר התשלומים של דרך ארץ הייווייז, התגלו חולשות אבטחת מידע, שאפשרו חשיפה של מידע רב מתוך ה-חשבוניות של לקוחותיה.
מן המידע שהעבירה חב’ דרך ארץ הייווייז, לרשות עולה, כי בעמוד שבו נמצא “תשלום חשבוניות” באתר החברה, ניתן היה לקבל גישה אל חשבוניות התשלום של הלקוחות ולחשבוניות עבר, אלה, כללו; מידע אישי, לרבות שם פרטי ומשפחה, סכומי תשלום, מיקום הרכב, תאריכי ושעות נסיעות.
בשל העובדה שחברת דרך ארץ הייווייז, לא תיעדה כנדרש את הגישה למערכותיה, לא ניתן לדעת במדויק במשך כמה זמן גורמים בלתי מורשים יכולים היו לגשת למערכות החברה.
בהתאם לכך, קבעה הרשות להגנת הפרטיות, כי החברה לא החזיקה באמצעי הגנה מתאימים במועד האירוע.
כמו כן, ממצאי הליך הפיקוח שביצעה הרשות, מעלים, כי החברה מיפתה באופן חלקי את הסיכונים האפשריים בתחום אבטחת המידע, אך לא פעלה לאורך פרק זמן של למעלה משנה לתיקון הליקויים שנמצאו במבדקי החדירות.
█ הרשות להגנת הפרטיות; משימת אבטחת המידע בחברות וארגונים, אינה אירוע חד פעמי…
במכתב ההפרה, שהעבירה הרשות להגנת הפרטיות אל החברה, מדגישה הרשות, כי חברות וארגונים במשק, נדרשים לנקוט במדיניות אבטחת מידע דינמית וכי עם התפתחותם של איומים וסיכונים, על הארגון חלה חובה לבחון בקפדנות את הסיכונים המתעדכנים ולפעול בהתאם לעדכון אמצעי האבטחה המקובלים בנסיבות העניין, בהתאם לאופי המאגר וטיבו.
בהודעה לעיתונות מטעם הרשות להגנת הפרטיות, נמסר מטעם דוברת היחידות המקצועיות של אגף דוברות הסברה ותקשורת, משרד המשפטים על ידי כרמית אורפז-ימין לאתר ’כאן ישראל | כאן נעים | אתר החדשות המקומיות הוותיק של כל המדינה’ כי כתוצאה מכך, חלה על חברות וארגונים החובה לעדכן את מערכותיהם ולערוך סקרי סיכונים ומבדקי חדירות, כדי לבחון את הסיכונים המשתנים ולהיערך להם.
בנוסף, חלה חובה על חברות וארגונים לעשות שימוש במנגנון תיעוד אוטומטי ויש לערוך הדרכות לעובדים, בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע).
הרשות להגנת הפרטיות, מדגישה, כי משימת אבטחת המידע בחברות וארגונים, אינה אירוע חד פעמי – אלא תהליך מורכב ומתמשך, הדורש בדיקות עיתיות, עדכונים שוטפים והערכת סיכונים מתמדת, בהתאם לרמת אבטחת המידע הנדרשת.
מאגר אבטחת המידע של חברת דרך ארץ הייווייז, הינו מאגר ברמת אבטחה גבוהה, ועל מאגרים ברמה זו, חלות כלל תקנות הגנת הפרטיות (“אבטחת מידע”).
בהתאם לממצאי הפיקוח קבעה הרשות להגנת הפרטיות, כי חברת דרך ארץ הייווייז, הפרה את הוראות חוק הגנת הפרטיות ותקנותיו וכן, דרשה מן החברה לבצע מספר פעולות מתקנות.
█ הרשות להגנת הפרטיות
הרשות להגנת הפרטיות (לשעבר רמו”ט – הרשות למשפט, טכנולוגיה ומידע) היא יחידה במשרד המשפטים האמונה על הסדרת, פיקוח ואכיפת החוק להגנת הפרטיות והגוף המסדיר, המפקח והאוכף על פי חוק הגנת הפרטיות, התשמ”א – 1981 וחוק חתימה אלקטרונית, התשס”א – 2001.
במסגרת תפקידה כרגולטור של זכות היסוד לפרטיות ולהגנת מידע אישי בישראל, מופקדת הרשות להגנת הפרטיות על הגנת המידע האישי במאגרי מידע דיגיטליים מכוח חוק הגנת הפרטיות ועל ביצורה של הזכות לפרטיות.
לתכלית זו, מפעילה רגולציה, לרבות אכיפה מנהלית ופלילית, על כלל הגופים בישראל – פרטיים, עסקיים וציבוריים, המחזיקים או המעבדים מידע אישי דיגיטלי.
הרשות להגנת הפרטיות היא הגוף המומחה לטיפול בתחום ההגנה על מידע אישי במאגרי מידע דיגיטליים וייעודה הוא להתוות את מדיניות ההגנה על המידע האישי בישראל.
משימותיה המרכזיות הן קידום שליטת הפרט במידע אישי אודותיו, השפעה על תהליכי עיצוב לפרטיות בארגונים ובמערכות מידע בכל מגזרי המשק וחיזוק תחושת המוגנות של הציבור.
כל זאת, במטרה לצמצם את הסיכונים הגוברים לפגיעה בפרטיות הגלומים בשמירת מידע דיגיטלי, בעיבודו ובניהולו, והכל תוך איזון ומתן משקל ראוי לחידושים הטכנולוגיים וליתרונותיהם עבור השוק והמשתמשים.
הרשות להגנת הפרטיות, כשומרת הסף של זכויות האזרח בתחום הגנת המידע האישי, רואה כמשימתה העיקרית קידום של ציות לדיני הגנת המידע בכל ארגון, עסק וגוף ציבורי בישראל שמנהלים מידע אישי, כך שיפעלו לניהול המידע שברשותם באופן תקין, בהתאם לדיני הגנת הפרטיות.
