ישראכרט הקימה "מוקד ווטסאפ" – ועובד גנב את המכשיר שממנו הוא נוהל
הרשות להגנת הפרטיות קבעה כי קרה "אירוע אבטחת מידע חמור", שבמסגרתו סמארטפון שהכיל נתונים רגישים של לקוחות של ישראכרט נגנב על ידי עובד החברה ● ישראכרט לא נקנסה, אולם סגרה את ה-"מוקד" ותיקנה את הליקויים
"חברת ישראכרט הפרה את תקנות הגנת הפרטיות (אבטחת מידע)", כך קבעה הרשות להגנת הפרטיות בהודעה שהוציאה היום (ד'). זאת, לאחר שערכה תחקיר על אירוע שבו נגנב מכשיר טלפון של החברה, שהכיל מידע רגיש אודות לקוחות שלה. מעבר לקביעה הבעייתית, הרשות לא השיתה על חברת כרטיסי האשראי עונש כלשהו, דוגמת קנס כספי.
ישראכרט דיווחה לרשות על אירוע אבטחת מידע, שהעלה חשד להפרות של הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע). על פי דיווח זה, מכשיר טלפון נייד, ששימש את מוקד שירות הלקוחות שלה, נגנב ממשרדיה. תחקיר פנימי שביצעה חברת כרטיסי האשראי העלה שעובד בחברה לקח את מכשיר הסמארטפון בסיום יום עבודה, הוציא ממנו את כרטיס הסים, פירמט אותו, הגדיר בו את חשבון הג'י-מייל הפרטי שלו ואז התקין בו את כרטיס הסים האישי שלו.
מכשיר הטלפון הנייד הכיל מאות מסמכים עם מידע שהעבירו לקוחות של ישראכרט לחברה. המידע כלל שמות, מספרי טלפון, מספרי תעודת זהות, אישורי העברות בנקאיות, הרשאות לחיוב חשבון, תעודות פטירה ומידע רגיש נוסף.
"מוקד ווטסאפ"
מהתחקיר של הרשות עולה שהסמארטפון המדובר שימש מעין "מוקד ווטסאפ", שאליו לקוחות היו מעבירים מסמכים וסוגי מידע שונים לחברה במסגרת פניותיהם. בעקבות התחקיר, ישראכרט הפסיקה את הנוהג של העברת מסמכים באמצעות ווטסאפ.
ישראכרט
"ישראכרט אפשרה גישה למכשיר, בלא שנקטה אמצעים מקובלים כדי לוודא כי הגישה למאגר המידע ולמערכות שלה נעשית רק בידי מי שניתנה לו הרשאת גישה למידע", נקבע בממצאי התחקיר. "החברה לא הקפידה שהגישה הפיזית למכשיר תהיה רק לבעלי התפקידים הרלוונטיים, לא וידאה כי כניסה למכשיר תתאפשר רק לבעלי הרשאות תקפות ולא קבעה אופן זיהוי, כגון סיסמה או טביעת אצבע".
"בנוסף", קבעה הרשות, "ישראכרט לא הקפידה שרמת האבטחה של המכשיר הנייד שנגנב תהיה הולמת לסוג המידע השמור בו ולהיקפו, וזאת בשים לב לסיכוני אבטחת המידע הייחודיים למכשירים ניידים, כגון מספר רב של משתמשים".
ככל הנראה, לא הייתה דליפת מידע
מהרשות להגנת הפרטיות נמסר שהיא "מדגישה שעל חברות במשק שעושות שימוש במכשירים ניידים במסגרת פעילותן חלה חובה לאבטח את המידע כנדרש בהוראות חוק הגנת הפרטיות ותקנותיו. זאת, לרבות באמצעות התקנת מערכות הגנה ובקרה המותאמות לסוג המידע שבמכשיר, רגישותו ואופן השימוש בו".
ברשות הדגישו שלא עלו בתחקיר סימנים לדליפה בפועל של מידע, ולא התקבלו אצלה תלונות שמעידות על דליפה שכזאת, "אך עצם החשיפה של המידע מעידה על חומרת האירוע, נוכח רגישותו הרבה". לאחר שהרשות קבעה, כאמור, כי "ישראכרט הפרה את הפרה את תקנות הגנת הפרטיות" היא הוסיפה ש-"נמצא שהחברה הפרה כמה תקנות המחייבות גם גופים שכפופים להוראות המפקח על הבנקים, כך שלא ניתן לראות בה כמי שמקיימת את התקנות".
ישראכרט העבירה את ממצאי התחקיר הפנימי שערכה לידי הרשות ודיווחה על תיקון הליקויים הרלוונטיים הקשורים במכשיר הנייד. כמו כן, החברה איתרה, באמצעות מנגנוני אבטחה העומדים לרשותה ותחקור שביצעה, את העובד שגנב את המכשיר והשיבה אותו בתוך כמה ימים.
מישראכרט נמסר בתגובה: "כפי שעולה מהודעת הרשות, מדובר באירוע אבטחת מידע שטופל ודווח על ידי חברת ישראכרט. האירוע עצמו התרחש לפני מעל שנה, ביוני 2020, כאשר הלקחים ממנו יושמו מיידית ובצמוד אליו. יש לציין כי פרטיותם של לקוחות החברה לא נפגעה וכי לא דלף כל מידע. אנחנו, בישראכרט, נמשיך לבדוק את עצמנו, לדווח ולתקן ליקויים בשקיפות מלאה אם עולה הצורך".
חודש הבא מבצעים כרטיס ועדיין לא קיבלתי .את הכרטיס החדש