קביעת הפרה לחברת איתוראן בגין הפרתם של חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת המידע)

הרשות להגנת הפרטיות קיימה הליך אכיפה מנהלי לבירור נסיבות אירוע אבטחה חמור שארע באתר האינטרנט של חברת איתוראן איתור ושליטה בע"מ. מממצאי הפיקוח שקיימה הרשות להגנת הפרטיות נקבע כי במועד האירוע חברת איתוראן הפרה את חובתה ואחריותה לאבטחת המידע האישי של לקוחותיה כמוגדר בסעיף 17 לחוק הגנת הפרטיות וכי לא מילאה את חובתה ולא דיווחה לרשות להגנת הפרטיות באופן מיידי על אירוע האבטחה החמור ועל הצעדים שנקטה בעקבותיו, כפי שנדרש בתקנות הגנת הפרטיות (אבטחת מידע).

התקנות, אשר נכנסו לתוקף במאי האחרון, מחייבות חברות ועסקים לדווח באופן מיידי (תוך 24 שעות ממועד גילויו של האירוע ובכל מקרה לא יאוחר מ-72 שעות מאותו מועד) לרשות להגנת הפרטיות בקרות אירועי אבטחה חמורים, ובכללם דלפי מידע. נמצא כי על אף שחברת איתוראן היתה מודעת לקיומו של אירוע אבטחת המידע החמור, החברה לא מילאה חובתה ולא הודיעה לרשות להגנת הפרטיות על כך באופן מיידי. 

הליך הפיקוח אשר ערכה הרשות להגנת הפרטיות חשף חולשות אבטחה באתר החברה. במסגרתו נמצא כי חברת איתוראן לא התקינה אמצעי הגנה מתאימים מפני חדירה לא מורשית למערכותיה או תוכנות המסוגלות לגרום נזקים ושיבושים למחשביה. 

חולשות האבטחה אפשרו גישה לדפי המשתמש הפרטיים של לקוחות החברה ולמידע האישי אודותיהם. מידע אישי זה כלל את  שמם המלא, כתובתם, מספר הטלפון, מספר תעודת הזהות, מספר לוחית הזיהוי ברכב, מספר שלדת הרכב, חשבוניות לקוח, מספר חשבון בנק, ספרות אחרונות של כרטיס האשראי, מידע אודות תנועת הרכב, היסטוריית מיקומים ונסיעות ואף "מיקום חי" בזמן אמת של הלקוח.

במסגרת הליך האכיפה וקביעת ההפרה, התייחסה הרשות להגנת הפרטיות לטענותיה של חברת איתוראן שלא מדובר באירוע אבטחה חמור כמוגדר בתקנות:

• חברת איתוראן טענה כי האירוע אינו עולה לכדי אירוע אבטחה חמור כמוגדר בתקנות הגנת הפרטיות (אבטחת המידע), שכן מרביתו התרחש טרם כניסתן של התקנות לתוקף. הרשות להגנת הפרטיות דחתה טענה זו וקבעה כי ברגע שבו נודע לחברה קיומו של האירוע, התקנות היו בתוקף, וכי עם קבלת הדיווח וידיעתה בפועל על התהוותו, בשלה חובתה לעמוד בדרישות התקנות והיה עליה לדווח לרשות על כך באופן מיידי.
• חברת איתוראן טענה כי אירוע האבטחה אינו עולה לכדי אירוע אבטחה חמור שכן האקר התריע בפני החברה על ליקויי אבטחת מידע באתר החברה מבלי שהתכוון לגנוב את המידע, לפגוע בשלמותו או להפר את פרטיות נושאי המידע ולכן הוא מהווה רק "גורם בודק". הרשות להגנת הפרטיות דחתה טיעון זה וקבעה כי אין לחברה יכולת לקבוע מה היו מטרותיו או כוונותיו האמיתיות של ההאקר, ומהו המידע אליו באמת נחשף או נטל, ומכל מקום אין בטענת החברה לפטור אותה מחובת הדיווח, גם אילו הטענה הייתה נכונה, וזאת מפני שנוסח התקנות לא מאפשר להתחשב בכוונות הפורץ, ומפני שפעולתו הצביעה על ליקוי יסודי באבטחת המאגר. בהתאם מדובר באירוע אבטחה חמור המחייב דיווח לרשות להגנת הפרטיות.
• הרשות להגנת הפרטיות דחתה את טענתה של חברת איתוראן כי האירוע אינו עולה לכדי אירוע אבטחה חמור מאחר והמידע שנחשף היה מזערי.  

רמת האבטחה החלה על מאגר המידע של חברת איתוראן הינה רמת האבטחה הגבוהה שכן הוא כולל מידע על נכסיהם של למעלה מ-100,000 אנשים, התחייבויותיהם הכלכליות וצנעת חייהם האישיים, ובין היתר גם את מספר תעודת הזהות שלהם, המשמש כ"מפתח" חד ערכי ובלתי ניתן לשינוי לסוגים שונים של מידע אישי רגיש. 
היקף הנזק אליו מתייחסת החברה אינו קריטריון בקביעה כי אירוע אבטחה הינו חמור שכן אירוע אבטחה חמור במאגר שחלה עליו רמת אבטחה גבוהה, כולל כל אירוע שנעשה בו שימוש במידע מן המאגר בלא הרשאה.

הרשות להגנת הפרטיות דחתה גם את טענת חברת איתוראן כי בעצם פרסומו של דלף המידע בתקשורת או במדיה קיימה את חובת הדיווח, שכן אלה לא ממלאים את הצורך המוגדר בתקנות אבטחת המידע אשר נועד לחייב דיווח לרשות להגנת הפרטיות, על מנת שיבטיח שמירה על זכויותיהם של הלקוחות להם שייך המידע האישי שדלף.

בנוסף לכך, ממצאי הפיקוח העלו כי חברת איתוראן לא הכינה מסמך הגדרות מאגר כנדרש בתקנות הגנת הפרטיות (אבטחת מידע), לא קבעה מסמך נוהל מספק לאבטחת המידע, לא החזיקה מסמך מבנה מאגר מעודכן, לא קבעה בנוהל האבטחה את אופן ורמות הזיהוי של משתמשי המאגר ולא ניהלה מנגנון תיעוד אוטומטי שיאפשר ביקורת על הגישה למערכות המאגר.

בהתאם לממצאי ומסקנות הפיקוח נקבע כי החברה הפרה את הוראות סעיף 17 לחוק וכן את תקנות 2, 4, 5(א), 9(ב)(2), 10, 11(ד) ו-14(א) לתקנות אבטחת המידע. 

נוכח קיומם של ליקויי אבטחת מידע, נדרשה חברת איתוראן לבצע פעולות מתקנות ליישום רמת האבטחה הנדרשת על פי החוק, ולדווח לרשות להגנת הפרטיות תוך תקופה שנקבעה על פעולותיה.

יצוין כי עם היוודע דבר אירוע אבטחת המידע פעלה החברה מיידית לתיקון התקלה.

הרשות מדגישה כי התראה של "האקר לבן" על ליקויי אבטחת מידע במערכות המידע ואתר האינטרנט של הארגון, משמעותו חדירה ללא רשות למאגר הארגון ולכן מהווה אירוע אבטחה חמור כהגדרתו בתקנות, גם אם המטרה המוצהרת היא לאתר ולבחון ליקויים אלה. 

הרשות להגנת הפרטיות קוראת לחברות ועסקים לקבל מידע נוסף באתר הרשות על תקנות הגנת הפרטיות (אבטחת מידע) ועל מדיניות האכיפה שפרסמה בנוגע לאופן הטיפול בדיווחי אבטחה חמורים. 

הרשות להגנת הפרטיות מזכירה כי במסגרת מדיניות זו הוחלט על תקופת מעבר ליישום התקנות במסגרתה תנקוט במדיניות אכיפה סובלנית כלפי המדווחים על אירוע אבטחה חמור בתקופת ההטמעה הראשונית של התקנות, לצד הפעלת סנקציות כלפי מפרי חובת דיווח כמפורט במסמך מדיניות האכיפה. 

למכתב ההפרה שנשלח לחברת איתוראן לחצו כאן