אבטחת מידע
אבטחת מידעצילום: ISTOCK

הרשות להגנת הפרטיות קבעה היום (רביעי) כי חברת ישראכרט הפרה את הוראות חוק הגנת הפרטיות ותקנותיו בשל אירוע אבטחת מידע חמור במסגרתו מכשיר טלפון נייד ששימש את מוקד שירות הלקוחות ובו מידע אישי ורגיש אודות לקוחותיה, נגנב על ידי עובד החברה.

הרשות להגנת הפרטיות מדגישה כי על חברות במשק שעושות שימוש במכשירים ניידים במסגרת פעילותן, חלה חובה לאבטח את המידע כנדרש בהוראות חוק הגנת הפרטיות ותקנותיו לרבות באמצעות התקנת מערכות הגנה ובקרה המותאמות לסוג המידע שבמכשיר, רגישותו ואופן השימוש בו

הרשות להגנת הפרטיות ביצעה הליך פיקוח בחברת ישראכרט בעקבות דיווח של החברה לרשות על אירוע אבטחת מידע אשר העלה חשד להפרות של הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע). מהדיווח של חברת ישראכרט לרשות עלה כי מכשיר טלפון נייד אשר שימש את מוקד שירות הלקוחות שלה נגנב ממשרדיה.

במסגרת בדיקת המקרה התגלה כי בתחקיר פנימי שביצעה חברת ישראכרט נמצא שהעעובד בחברה נטל את מכשיר הטלפון הנייד לחזקתו בסיום יום העבודה, הוציא ממנו את כרטיס הסים, פירמט אותו, הגדיר בו את חשבון ה-Gmail הפרטי שלו והתקין בו את כרטיס הסים האישי שלו.

מכשיר הטלפון הכיל מאות מסמכים ומידע שהועבר לחברה על ידי הלקוחות. המידע כלל בין היתר שמות, מספרי טלפון, מספרי תעודת זהות, אישורי העברות בנקאיות, הרשאות לחיוב חשבון, תעודות פטירה ומידע רגיש נוסף.

מממצאי הפיקוח של הרשות עלה, כי מכשיר הטלפון הנייד שימש מעין "מוקד ווטסאפ" אליו לקוחות היו מעבירים מסמכים וסוגי מידע שונים לחברה במסגרת פניותיהם. בעקבות הליך הפיקוח, החברה הפסיקה את הפרקטיקה של העברת מסמכים באמצעות אפליקציית הווטסאפ.

עוד נמצא בממצאי הליך הפיקוח כי במועד האירוע חברת ישראכרט אפשרה גישה למכשיר מבלי שנקטה אמצעים מקובלים בנסיבות העניין כדי לוודא כי הגישה למאגר ולמערכותיו נעשית רק בידי מי שניתנה לו הרשאת גישה למידע. כמו כן, לא הקפידה החברה שהגישה הפיזית למכשיר תהיה רק לבעלי התפקידים הרלוונטיים, לא וידאה כי כניסה למכשיר תתאפשר רק לבעלי הרשאות תקפות ולא קבעה אופן זיהוי כגון סיסמה או טביעת אצבע.

בנוסף, החברה לא הקפידה שרמת האבטחה של מכשיר הנייד המשמש אותה תהיה הולמת לסוג המידע השמור בו והיקפו, בשים לב לסיכוני אבטחת המידע הייחודיים למכשירים ניידים, כגון מספר רב של משתמשים. עם זאת, ממצאי הפיקוח לא הצביעו על אינדיקציה לפיה דלף מידע בפועל, ולא התקבלו תלונות על כך מלקוחות. אך עצם החשיפה של המידע מעידה על חומרת האירוע נוכח רגישותו הרבה.

עוד נמסר מהרשות כי היא מגבירה את האכיפה ופועלת למיצוי כל הכלים והסמכויות שבידה במקרים בהם ישנה אינדיקציה ברורה להפרה של הוראות חוק הגנת הפרטיות או התקנות.