אאא

הרשות להגנת הפרטיות במשרד המשפטים הודיעה היום (ד') לאיתוראן שזיהתה הפרת תקנות מצידה, שגרמו לסיכון מידע אישי של מאות אלפי לקוחות.

על פי הודעת הרשות, נבדק חשד לאירוע אבטחה חמור באתר החברה, שחשף חולשות שאפשרו חדירה לא מורשית למערכותיה. חולשות אבטחה אלו אפשרו להאקרים גישה לדפי המשתמש הפרטיים של לקוחות החברה ולמידע אישי רגיש; בין היתר, נחשפו פרטים כשמות, כתובות, מספרי זהות, מספרי רכב ושלדה, חשבוניות, נתוני אשראי, מידע על תנועת הרכב ואף עדכון בזמן אמת על מיקום המכונית.

החברה חיברה את מערכות מאגר המידע לרשת האינטרנט בלא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש. במילים אחרות, המאגר היה זמין לכל פורץ.

על פי תקנות אבטחת המידע שנכנסו לתוקף במאי האחרון, חברות שמנהלות מידע אישי של יותר מ-100 אלף איש נדרשות לרמת האבטחה הגבוהה ביותר. האירוע המדובר הצביע על שורה של ליקויים יסודיים באבטחת המידע של חברת איתוראן, ואירוע האבטחה החמור שנמצא חייב חובת דיווח מיידית לרשות להגנת הפרטיות. במקרה זה, החברה אמנם פעלה לתיקון התקלה מיידית, אך לא דיווחה לרשות. עד כה, לא ידוע על גניבת מידע בפועל דרך ליקויי האבטחה.

חור אבטחה מסוכן

הרשות הדגישה שלמרות שמדובר באירוע בו לא נגנב דבר, מדובר באירוע אבטחה חמור שמראה את הפגיעות של המערכות שלה. עוד הוסבר שלא הוכח שהאקרים פליליים לא ניצלו את תקלות האבטחה האלה לפני כן כדי לגנוב מידע. בנוסף הסבירו מהרשות שהתראה של האקר לבן על ליקויי אבטחת מידע במערכות המידע ואתר הארגון, משמעותה חדירה ללא רשות למאגר הארגון ולכן מהווה אירוע אבטחה חמור כהגדרתו בתקנות, גם אם המטרה המוצהרת היא לאתר ולבחון ליקויים אלה.

בהתאם לממצאי ומסקנות הפיקוח נקבע כי החברה הפרה את חוק הגנת הפרטיות ואת תקנותיו לעניין אבטחת מידע. בהמשך לכך, חברת איתוראן נדרשת לבצע פעולות מתקנות ליישום רמת האבטחה הנדרשת על פי החוק, לבנות נהלי אבטחת מידע הולמים ולדווח לרשות להגנת הפרטיות על פעולותיה.

נראה שברשות ניצלו את האירוע כדי לייצר דוגמה לחברות אחרות. הרשות לא הטילה שום סוג עונש או קנס. זאת מכיוון שהם לא ממש נקבעו בתקנות ובנוסף בגלל שהסעיף היחיד שמאשפר זאת, תיקון 13 להגנת הפרטיות עוד לא הועבר בכנסת.

כל מה שדורשת כעת הרשות מאיתוראן הוא להעביר לה, בתוך 45 יום, תוכנית לעמידה בתקנות אבטחת המידע על כלל מערכות החברה, חתומה בידי מנכ"ל החברה, אשר תכלול לוחות זמנים ואבני דרך, משימות לביצוע ובעלי תפקידים לביצוע המשימות ולבקרה עליהן.

תוכנית זו תכלול בין היתר את ביצועו של סקר סיכונים ובדיקות חדירות באמצעות חברה המתמחה בתחום בדיקות אבטחה, יישומן של מערכות הגנה, ניטור, בקרה והתרעה על אירועי אבטחת מידע ועמידה ביתר דרישות החוק. הרשות לא ציינה מה עשוי להיות העונש של החברה אם לא תבצע את הפעולות האלה.