חולשות אבטחה חמורות באתר של חברת "דרך ארץ הייווייז", מפעילת כביש 6, הותירו מידע רב מתוך החשבוניות של לקוחותיה כשהוא חשוף - כך הודיעה היום (ב') הרשות להגנת הפרטיות במשרד המשפטים. מהליך האכיפה המנהלית של הרשות עולה כי ניתן היה לצמצם או למנוע את האירוע, אולם החברה לא החזיקה באמצעי הגנה מתאימים במועד האירוע. ב"דרך ארץ" אמרו כי "הנושא טופל בהתאם לדרישות המחמירות ביותר". למרות שהפרה את הוראות חוק הגנת הפרטיות ותקנותיו, החברה לא נענשה או נקנסה במסגרת ההליך.
עוד כתבות שיעניינו אתכם:
הליך האכיפה החל בעקבות דיווח של "דרך ארץ" על אירוע אבטחה חמור שאירע בחברה, שבמסגרתו התגלו חולשות האבטחה באתר התשלומים. מהמידע שהעבירה החברה לרשות התברר כי בעמוד שבו נמצא "תשלום חשבוניות", ניתן היה לקבל גישה לחשבוניות התשלום של הלקוחות ולחשבוניות עבר, הכוללות מידע אישי, לרבות שם פרטי ומשפחה, סכומי תשלום, מיקום הרכב, תאריכי ושעות נסיעות. עם זאת, לא ידוע אם גורמים זדוניים ניצלו את חולשות האבטחה.
ברשות להגנת הפרטיות אומרים כי בשל העובדה שחברת "דרך ארץ" לא תיעדה כנדרש את הגישה למערכותיה, לא ניתן לדעת במדויק במשך כמה זמן גורמים בלתי מורשים יכולים היו לגשת למערכות החברה. בהתאם לכך, קבעה הרשות כי החברה לא החזיקה באמצעי הגנה מתאימים במועד האירוע. כמו כן, ממצאי הליך הפיקוח שביצעה הרשות מעלים, כי החברה מיפתה באופן חלקי את הסיכונים האפשריים בתחום אבטחת המידע, אך לא פעלה לאורך פרק זמן של למעלה משנה לתיקון הליקויים שנמצאו במבדקי החדירות. בהתאם לממצאי הפיקוח קבעה הרשות כי החברה הפרה את הוראות חוק הגנת הפרטיות ותקנותיו וכן דרשה מהחברה לבצע מספר פעולות מתקנות.
ברשות להגנת הפרטיות אומרים כי "חברות וארגונים במשק נדרשים לנקוט במדיניות אבטחת מידע דינמית וכי עם התפתחותם של איומים וסיכונים, על הארגון חלה חובה לבחון בקפדנות את הסיכונים המתעדכנים ולפעול בהתאם לעדכון אמצעי האבטחה המקובלים בנסיבות העניין, בהתאם לאופי המאגר וטיבו. כתוצאה מכך, חלה על חברות וארגונים החובה לעדכן את מערכותיהם ולערוך סקרי סיכונים ומבדקי חדירות, כדי לבחון את הסיכונים המשתנים ולהיערך להם. בנוסף, חלה חובה על חברות וארגונים לעשות שימוש במנגנון תיעוד אוטומטי ויש לערוך הדרכות לעובדים, בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע).