הרשות להגנת הפרטיות חוקרת את ליקויי האבטחה באיתוראן
מדובר בחשד למחדל אבטחה חמור שלא דווח, בנושא ניהול מדיניות הסיסמאות של משתמשיה. הרשות החרימה ממצאים דיגיטליים חשובים הקשורים בחשדות. איתוראן: "לא מדובר באירוע אבטחה חמור"
הרשות להגנת הפרטיות הודיעה כי היא מנהלת זה כשלושה שבועות חקירה נגד חברת איתוראן בשל חשד למחדל אבטחה חמור שלא דווח, בנושא ניהול מדיניות הסיסמאות של משתמשיה, כפי שמחייבות התקנות. הרשות, הכפופה למשרד המשפטים, מסרה כי החרימה ממצאים דיגיטליים חשובים הקשורים בחשדות.
החקירה נפתחה לאחר פרסומים לפיהם איתוראן פעלה ברשלנות בניהול מדיניות הסיסמאות של משתמשיה. מדובר בכשל שאפשר חשיפת פרטים אישיים של לקוחות באמצעות פרצות באבטחת המידע.
איתוראן הגדירה ללקוחותיה את פרטי שם המשתמש והסיסמה בדרך פשטנית שהתבססה על מספר תעודת הזהות של הלקוח. מדיניות זו חשפה את הפרטים האישים בפורטל איתוראן, בהם מספר הרכב, מספר השילדה, מספר חשבון בנק ונתונים נוספים. כמו כן, נמצא כשל נוסף שדרכו ניתן היה להוריד את מאגר לקוחותיה של איתוראן ללא ההרשאה מתאימה.
שרצקי מנכ"ל משותף, איתוראן | צילום: אוראל כהן |
ברשות מסבירים כי על פי התקנות החדשות להגנת הפרטיות ואבטחת המידע, על איתוראן חלה החובה לדווח על שאירע בחברה, מה שלא עשתה.
בטרם כניסת התקנות לתוקף התריעה הרשות כי מי שידווח על אירוע אבטחה חמור ויפעל לתיקון בהתאם לדרישות הרשות, יזכה ביחס מקל. לפיכן אומרים ברשות כי על פניו מדובר במחדל אבטחה חמור שמהווה הפרה של הוראות הדין. "במקרים בהם יתגלו אירועי אבטחה חמורים שלא דווחו כנדרש ובלוחות הזמנים שנקבעו בתקנות, כפי שאירע בחברת איתוראן, הם יטופלו במלא החומרה", נמסר מהרשות להגנת הפרטיות.
מאיתוראן נמסר בתגובה: "אנשי הרשות ערכו בדיקה על פי סמכותם בחוק. לא דווח או נודע לנו על הימצאותם של ממצאים כלשהם וטיבם. כמו כן, החברה לא נדרשה לדווח על המהלך בהודעה כלשהי מצד החברה לבורסה או למי מהגופים, וגם באשר מה שמדובר כ'אירוע אבטחה חמור' לא נדרש דיווח הואיל ולא מדובר בכזה כמוגדר בתקנות".