הרשות להגנת הפרטיות קבעה כי חברת "דרך ארץ הייוויז", מפעילת כביש 6, הפרה את הוראות חוק הגנת הפרטיות ותקנותיו

מבזקים

גל שקט יפעל במהלך השבת במתכונת אמצעי התרעה אישי אימון מסכם: מכבי בני ריינה מול מכבי חיפה שוב זיהום בנחלי הצפון המטה לביטחון לאומי מחמיר את אזהרת המסע על מאלמו שבשוודיה קריית ים: פעוט ננעל בשגגה ברכב, מתנדבי ידידים חילצו אותו בשלום משרד הבריאות מעדכן על חולה בחצבת בחיפה תחזית מזג האוויר לסוף השבוע: מעונן הנחיות פיקוד העורף בעקבות המצב הביטחוני | ישראל במלחמה חיפה: הישג לאופוזיציה והימין | פוזר אירוע ההתרמה לעזה בית הדין פסק: אוהדי מכבי חיפה לא יגיעו לטרנר בעקבות הדלקת האבוקות תאונת עבודה בקריות: פועל נפל מגובה חיפה: כשל חשמלי במקרר גרם לשרפה בדירת מגורים בעיר | צפו משבר בליכוד סביב מועצת העיר חיפה | הליכוד לא מלוכד קריית ים: תינוק ננעל בשגגה ברכב וחולץ בשלום המשבר בחינוך: מכתב התראה לשרי החינוך והאוצר קריות: מרכז רפואי חדיש של מכבי שירותי בריאות בגבעת אלונים קריות: סמים קשים שווי מאות אלפי שקלים נתפסו חיפה: תינוקות ננעלו ברכבים בעיר ומתנדבי ידידים הוזעקו פרה נגועה בכלבת במושב דלתון תחזית מזג האוויר ליום חמישי: מעונן

ראשי

←

מבזקים

←

הרשות להגנת הפרטיות קבעה כי חברת “דרך ארץ הייוויז”, מפעילת כביש 6, הפרה את הוראות חוק הגנת הפרטיות ותקנותיו

מערכת חדשות NWS
קרדיט תמונה: ניווט ברכב, צילום ארכיון: PIXABAY
13/09/2021
14:41
מבזקים, מומלצים, צרכנות

מהליך האכיפה המנהלית שביצעה הרשות עולה, כי שורה של אמצעים ותהליכים שונים היו מסייעים לגלות את חולשת אבטחת המידע מבעוד מועד וכך היה ניתן לצמצם ואולי אף למנוע את הסיכוי להתרחשות אירוע אבטחת המידע

בעקבות דיווח של חברת “דרך ארץ הייווייז”, מפעילת כביש 6, על אירוע אבטחה חמור שאירע בחברה, החלה הרשות להגנת הפרטיות בהליך אכיפה.

במסגרת אירוע האבטחה התגלו חולשות אבטחת מידע באתר התשלומים שלה, אשר אפשרו חשיפה של מידע רב מתוך החשבוניות של לקוחותיה.

מהמידע שהעבירה החברה לרשות עולה, כי בעמוד שבו נמצא “תשלום חשבוניות” באתר החברה, ניתן היה לקבל גישה לחשבוניות התשלום של הלקוחות ולחשבוניות עבר, הכוללות מידע אישי, לרבות שם פרטי ומשפחה, סכומי תשלום, מיקום הרכב, תאריכי ושעות נסיעות.

בשל העובדה שחברת “דרך ארץ הייווייז” לא תיעדה כנדרש את הגישה למערכותיה, לא ניתן לדעת במדויק במשך כמה זמן גורמים בלתי מורשים יכולים היו לגשת למערכות החברה. בהתאם לכך, קבעה הרשות להגנת הפרטיות כי החברה לא החזיקה באמצעי הגנה מתאימים במועד האירוע.

כמו כן, ממצאי הליך הפיקוח שביצעה הרשות מעלים, כי החברה מיפתה באופן חלקי את הסיכונים האפשריים בתחום אבטחת המידע, אך לא פעלה לאורך פרק זמן של למעלה משנה לתיקון הליקויים שנמצאו במבדקי החדירות.

במכתב ההפרה, שהעבירה הרשות להגנת הפרטיות לחברה, מדגישה הרשות, כי חברות וארגונים במשק נדרשים לנקוט במדיניות אבטחת מידע דינמית וכי עם התפתחותם של איומים וסיכונים, על הארגון חלה חובה לבחון בקפדנות את הסיכונים המתעדכנים ולפעול בהתאם לעדכון אמצעי האבטחה המקובלים בנסיבות העניין, בהתאם לאופי המאגר וטיבו.

כתוצאה מכך, חלה על חברות וארגונים החובה לעדכן את מערכותיהם ולערוך סקרי סיכונים ומבדקי חדירות, כדי לבחון את הסיכונים המשתנים ולהיערך להם.

בנוסף, חלה חובה על חברות וארגונים לעשות שימוש במנגנון תיעוד אוטומטי ויש לערוך הדרכות לעובדים, בהתאם להוראות תקנות הגנת הפרטיות, אבטחת מידע.

מהרשות להגנת הפרטיות נמסר: “משימת אבטחת המידע בחברות וארגונים אינה אירוע חד פעמי אלא תהליך מורכב ומתמשך, הדורש בדיקות עיתיות, עדכונים שוטפים והערכת סיכונים מתמדת, בהתאם לרמת אבטחת המידע הנדרשת.

מאגר אבטחת המידע של חברת דרך ארץ הייווייז, הינו מאגר ברמת אבטחה גבוהה, ועל מאגרים ברמה זו חלות כלל תקנות הגנת הפרטיות, אבטחת מידע.

בהתאם לממצאי הפיקוח קבעה הרשות, כי החברה הפרה את הוראות חוק הגנת הפרטיות ותקנותיו וכן דרשה מהחברה לבצע מספר פעולות מתקנות”.