רשות הגנת הפרטיות נגד איתוראן

יום ש', 21 ביולי 2018
 
איתוראן חשפה ברשת מידע אישי של מאות אלפי ישראלים
הרשות להגנת הפרטיות חקרה ומצאה שחברת איתוראן  הפעילה את שירותיה המקוונים ללא הגנה נאותה - מה שאיפשר להאקרים גישה לפרטי אשראי, נתוני רכב, מספרי זהות ומיקומי מכוניות
 
הרשות שבמשרד המשפטים הודיעה רשמית  לאיתוראן שזיהתה הפרת תקנות מצידה, שגרמו לסיכון מידע אישי של מאות אלפי לקוחות. 
 
על פי הודעת הרשות, נבדק חשד לאירוע אבטחה חמור באתר החברה, שחשף חולשות שאפשרו חדירה לא מורשית למערכותיה. חולשות אבטחה אלו אפשרו להאקרים גישה לדפי המשתמש הפרטיים של לקוחות החברה ולמידע אישי רגיש; בין היתר, נחשפו פרטים כשמות, כתובות, מספרי זהות, מספרי רכב ושלדה, חשבוניות, נתוני אשראי, מידע על תנועת הרכב ואף עדכון בזמן אמת על מיקום המכונית.
 
נמסר כי החברה חיברה את מערכות מאגר המידע לרשת האינטרנט בלא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש. במילים אחרות, המאגר היה זמין לכל פורץ.
 
על פי תקנות אבטחת המידע שנכנסו לתוקף במאי האחרון, חברות שמנהלות מידע אישי של יותר מ-100 אלף איש נדרשות לרמת האבטחה הגבוהה ביותר. האירוע המדובר הצביע על שורה של ליקויים יסודיים באבטחת המידע של חברת איתוראן, ואירוע האבטחה החמור שנמצא חייב חובת דיווח מיידית לרשות להגנת הפרטיות. במקרה זה, החברה אמנם פעלה לתיקון התקלה מיידית, אך לא דיווחה לרשות. עד כה, לא ידוע על גניבת מידע בפועל דרך ליקויי האבטחה.
 
בחוגי הרשות להגנה הבהירו כי  יש כאן חור אבטחה מסוכן. הרשות הדגישה שלמרות שמדובר באירוע בו לא נגנב דבר, זהו מחדל  אבטחה חמור שמראה את הפגיעות של מערכות איתוראן.
 
 עוד הוסבר שלא הוכח שהאקרים פליליים לא ניצלו את תקלות האבטחה האלה לפני כן כדי לגנוב מידע.
 
בהתאם לממצאי ומסקנות הפיקוח נקבע כי החברה הפרה את חוק הגנת הפרטיות ואת תקנותיו לעניין אבטחת מידע. בהמשך לכך, חברת איתוראן נדרשת לבצע פעולות מתקנות ליישום רמת האבטחה הנדרשת על פי החוק, לבנות נהלי אבטחת מידע הולמים ולדווח לרשות להגנת הפרטיות על פעולותיה.
 
  
הרשות דורשת עתה מאיתוראן נהעביר לה, בתוך 45 יום, תוכנית לעמידה בתקנות אבטחת המידע על כלל מערכות החברה, חתומה בידי מנכ"ל החברה, אשר תכלול לוחות זמנים ואבני דרך, משימות לביצוע ובעלי תפקידים לביצוע המשימות ולבקרה עליהן.
תוכנית זו תכלול בין היתר את ביצועו של סקר סיכונים ובדיקות חדירות באמצעות חברה המתמחה בתחום בדיקות אבטחה, יישומן של מערכות הגנה, ניטור, בקרה והתרעה על אירועי אבטחת מידע ועמידה ביתר דרישות החוק.