הרשות להגנת הפרטיות קבעה כי חברת ישראכרט הפרה את הוראות חוק הגנת הפרטיות ותקנותיו בשל אירוע אבטחת מידע חמור במסגרתו מכשיר טלפון נייד ששימש את מוקד שירות הלקוחות ובו מידע אישי ורגיש אודות לקוחותיה, נגנב על ידי עובד החברה. הרשות הדגישה כי על חברות במשק שעושות שימוש במכשירים ניידים במסגרת פעילותן, חלה חובה לאבטח את המידע כנדרש בהוראות חוק הגנת הפרטיות ותקנותיו לרבות באמצעות התקנת מערכות הגנה ובקרה המותאמות לסוג המידע שבמכשיר, רגישותו ואופן השימוש בו.
הרשות ביצעה הליך פיקוח בחברת ישראכרט בעקבות דיווח של החברה לרשות על אירוע אבטחת מידע אשר העלה חשד להפרות של הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע). מהדיווח של חברת ישראכרט לרשות עלה כי מכשיר טלפון נייד אשר שימש את מוקד שירות הלקוחות שלה נגנב ממשרדיה.
במסגרת הליך הפיקוח, נתגלה כי תחקיר פנימי שביצעה חברת ישראכרט, העלה כי עובד בחברה נטל את מכשיר הטלפון הנייד לחזקתו בסיום יום עבודה, הוציא ממנו את כרטיס הסים, פירמט אותו, הגדיר בו את חשבון ה-Gmail הפרטי שלו והתקין בו את כרטיס הסים האישי שלו.
מכשיר הטלפון הנייד הכיל מאות מסמכים עם מידע שהועבר לחברה על ידי הלקוחות. המידע כלל בין היתר שמות, מספרי טלפון, מספרי תעודת זהות, אישורי העברות בנקאיות, הרשאות לחיוב חשבון, תעודות פטירה ומידע רגיש נוסף.
מחדל באבטחת המידע
מממצאי הפיקוח של הרשות עלה, כי מכשיר הטלפון הנייד שימש מעין "מוקד ווטסאפ" אליו לקוחות היו מעבירים מסמכים וסוגי מידע שונים לחברה במסגרת פניותיהם. בעקבות הליך הפיקוח, החברה הפסיקה את הפרקטיקה של העברת מסמכים באמצעות אפליקציית הווטסאפ.
ממצאי הליך הפיקוח שביצעה הרשות העלו כי במועד האירוע חברת ישראכרט אפשרה גישה למכשיר מבלי שנקטה אמצעים מקובלים בנסיבות העניין כדי לוודא כי הגישה למאגר ולמערכותיו נעשית רק בידי מי שניתנה לו הרשאת גישה למידע. כמו כן, לא הקפידה החברה שהגישה הפיזית למכשיר תהיה רק לבעלי התפקידים הרלוונטיים, לא וידאה כי כניסה למכשיר תתאפשר רק לבעלי הרשאות תקפות ולא קבעה אופן זיהוי כגון סיסמה או טביעת אצבע.
בנוסף, החברה לא הקפידה שרמת האבטחה של מכשיר הנייד המשמש אותה תהיה הולמת לסוג המידע השמור בו והיקפו, בשים לב לסיכוני אבטחת המידע הייחודיים למכשירים ניידים, כגון מספר רב של משתמשים. יצוין, כי ממצאי הפיקוח לא הצביעו על אינדיקציה לפיה דלף מידע בפועל, ולא התקבלו תלונות ברשות המעידות על דלף מידע, אך עצם החשיפה של המידע מעידה על חומרת האירוע נוכח רגישותו הרבה.
הרשות הבהירה לחברה כי ככל שבכוונתה להמשיך ולהשתמש בהתקנים ניידים לצרכים הקשורים במערכות מאגרי המידע, עליה לוודא כי מוטמעות במכשיר מערכות הגנה ובקרה המותאמות לסוג המידע, רגישות המידע ואופן השימוש בו.
_________________________________________________________________
