עובד גנב מישראכרט נייד עם מידע רגיש של לקוחות

הרשות להגנת הפרטיות קבעה כי החברה הפרה את הוראות חוק הגנת הפרטיות ותקנותיו בשל אירוע אבטחת המידע החמור. ממצאי הבדיקה לא הצביעו על אינדיקציה לפיה דלף המידע בפועל
רונן לוי |
שיתוף ב facebook
שיתוף ב twitter
שיתוף ב telegram
שיתוף ב whatsapp
שיתוף ב email
הוארך שוב מעצר החייל שסחט את הרב מקריית מלאכי
אילוסטרציה envato

הרשות להגנת הפרטיות קבעה כי חברת ישראכרט הפרה את הוראות חוק הגנת הפרטיות ותקנותיו בשל אירוע אבטחת מידע חמור במסגרתו מכשיר טלפון נייד ששימש את מוקד שירות הלקוחות ובו מידע אישי ורגיש אודות לקוחותיה, נגנב על ידי עובד החברה. הרשות הדגישה כי על חברות במשק שעושות שימוש במכשירים ניידים במסגרת פעילותן, חלה חובה לאבטח את המידע כנדרש בהוראות חוק הגנת הפרטיות ותקנותיו לרבות באמצעות התקנת מערכות הגנה ובקרה המותאמות לסוג המידע שבמכשיר, רגישותו ואופן השימוש בו.

הרשות ביצעה הליך פיקוח בחברת ישראכרט בעקבות דיווח של החברה לרשות על אירוע אבטחת מידע אשר העלה חשד להפרות של הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע). מהדיווח של חברת ישראכרט לרשות עלה כי מכשיר טלפון נייד אשר שימש את מוקד שירות הלקוחות שלה נגנב ממשרדיה.

במסגרת הליך הפיקוח, נתגלה כי תחקיר פנימי שביצעה חברת ישראכרט, העלה כי עובד בחברה נטל את מכשיר הטלפון הנייד לחזקתו בסיום יום עבודה, הוציא ממנו את כרטיס הסים, פירמט אותו, הגדיר בו את חשבון ה-Gmail הפרטי שלו והתקין בו את כרטיס הסים האישי שלו.

מכשיר הטלפון הנייד הכיל מאות מסמכים עם מידע שהועבר לחברה על ידי הלקוחות. המידע כלל בין היתר שמות, מספרי טלפון, מספרי תעודת זהות, אישורי העברות בנקאיות, הרשאות לחיוב חשבון, תעודות פטירה ומידע רגיש נוסף.

מחדל באבטחת המידע

מממצאי הפיקוח של הרשות עלה, כי מכשיר הטלפון הנייד שימש מעין “מוקד ווטסאפ” אליו לקוחות היו מעבירים מסמכים וסוגי מידע שונים לחברה במסגרת פניותיהם. בעקבות הליך הפיקוח, החברה הפסיקה את הפרקטיקה של העברת מסמכים באמצעות אפליקציית הווטסאפ.

ממצאי הליך הפיקוח שביצעה הרשות העלו כי במועד האירוע חברת ישראכרט אפשרה גישה למכשיר מבלי שנקטה אמצעים מקובלים בנסיבות העניין כדי לוודא כי הגישה למאגר ולמערכותיו נעשית רק בידי מי שניתנה לו הרשאת גישה למידע. כמו כן, לא הקפידה החברה שהגישה הפיזית למכשיר תהיה רק לבעלי התפקידים הרלוונטיים, לא וידאה כי כניסה למכשיר תתאפשר רק לבעלי הרשאות תקפות ולא קבעה אופן זיהוי כגון סיסמה או טביעת אצבע.

בנוסף, החברה לא הקפידה שרמת האבטחה של מכשיר הנייד המשמש אותה תהיה הולמת לסוג המידע השמור בו והיקפו, בשים לב לסיכוני אבטחת המידע הייחודיים למכשירים ניידים, כגון מספר רב של משתמשים. יצוין, כי ממצאי הפיקוח לא הצביעו על אינדיקציה לפיה דלף מידע בפועל, ולא התקבלו תלונות ברשות המעידות על דלף מידע, אך עצם החשיפה של המידע מעידה על חומרת האירוע נוכח רגישותו הרבה.

הרשות הבהירה לחברה כי ככל שבכוונתה להמשיך ולהשתמש בהתקנים ניידים לצרכים הקשורים במערכות מאגרי המידע, עליה לוודא כי מוטמעות במכשיר מערכות הגנה ובקרה המותאמות לסוג המידע, רגישות המידע ואופן השימוש בו.

_________________________________________________________________

עו”ד איתמר פלג

שתף את הכתבה ב:
שיתוף ב facebook
שיתוף ב twitter
שיתוף ב telegram
שיתוף ב whatsapp
שיתוף ב email
רוצים להשאר מעודכנים בכל מה שחם בעולם המשפט?
הורידו את אפליקציית אוביטר:

אפליקציית אוביטר לאנדרואיד https://bit.ly/31H6hrk

אפליקצית אוביטר לאייפון https://apple.co/31GhGHV

לדף הפייסבוק שלנו https://bit.ly/32LKr5E

להצטרפות לאחת מקבוצות הוואטסאפ שלנו https://obiter.co.il/ask-lawyer

אתר החדשות המשפטיות obiter.co.il עושה כל מאמץ לאתר זכויות על תמונות וסרטונים המתפרסמים בו. אולם לעיתים התמונות והסרטונים מופצים ברחבי הרשת ולא מתאפשרת הגעה למקור החומר הויזאולי, לכן בהתאם לסעיף 27א’ לחוק זכויות היוצרים כל אדם הרואה עצמו נפגע עקב בעלות על זכויות היוצרים של תמונה או סרטון מוזמן לפנות להנהלת האתר [email protected]

צרו איתנו קשר בנוגע לכתבה:

    נגישות