גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  משפט

כל הפרטים שלכם חשופים: אירוע אבטחה חמור באתר איתוראן

אירוע אבטחה באתר איתוראן איפשר חדירה למערכות החברה ע"י גורם חיצוני, באופן שחשף מידע רגיש של מאות אלפי לקוחות, כולל מספרי תעודות זהות, חשבונות בנק, פרטי אשראי ועוד ● איתוראן לא דיווחה על כך לרשות להגנת הפרטיות, והרשות פתחה בהליך אכיפה וקבעה כי החברה הפרה את חובות הגנת המידע של לקוחותיה

פורסם בתאריך: 18.07.2018, 12:00 מאת: אלה לוי-וינריב
אייל שרצקי, מנכ"ל ובעלים משותף של איתוראן / צילום: תמר מצפי
אייל שרצקי, מנכ"ל ובעלים משותף של איתוראן / צילום: תמר מצפי

אירוע אבטחה חמור באתר חברת איתוראן חשף חולשות של מערכת האבטחה של החברה ואיפשר חדירה למערכות על-ידי גורם חיצוני, באופן שחשף מידע רגיש של מאות אלפי לקוחות של החברה, ובין היתר מספרי תעודות זהות, פרטי חשבון בנק, פרטי אשראי ועוד - כך העלו ממצאי בדיקה שערכה הרשות להגנת הפרטיות במשרד המשפטים בחברת איתוראן איתור ושליטה בע"מ, במסגרת הליכי אכיפה מינהליים שנפתחו נגד החברה.

מדובר באירוע המכונה "האקר לבן" (או "כובע לבן") - מצב שבו האקר מתריע בפני חברה שיש פרצת אבטחה במערכות שלה כדי שתסגור אותו; זאת בניגוד ל"האקר שחור" (או "כובע שחור") - מצב שבו האקר פורץ לאתר כדי לגרום נזק לחברה או כדי לגנוב ממנה מידע.

חברת איתוראן טיפלה בתקלה באופן מיידי, אך התברר כי לא הודיעה עליו לרשות להגנת הפרטיות, חרף חובה חוקית לעשות זאת. בתום בדיקת הרשות נקבע כי איתוראן הפרה את חובותיה לפי חוק ותקנות הגנת הפרטיות לאבטחת המידע האישי של מאות אלפי לקוחותיה.

הבוקר (ד') הודיעה הרשות לחברה כי בהתאם לממצאי ומסקנות הפיקוח נקבע כי החברה הפרה את חוק הגנת הפרטיות ואת תקנותיו לעניין אבטחת מידע, וכי היא נדרשת לבצע פעולות מתקנות ליישום רמת האבטחה הנדרשת על-פי החוק ולדווח לרשות להגנת הפרטיות על פעולותיה.

מדובר בהליך אכיפה ראשון מסוגו, ובפעם הראשונה שבה הרשות ניהלה הליך אכיפה מינהלי על בסיס תקנות הגנת הפרטיות (אבטחת מידע) החדשות, שנכנסו לתוקפן במאי השנה.

במסגרת ההליך, כאמור, נבדק חשד לאירוע אבטחה חמור באתר החברה, אשר חשף חולשות שאפשרו חדירה לא מורשית למערכותיה. חולשות אבטחה אלה אפשרו לגורם חיצוני גישה לדפי המשתמש הפרטיים של לקוחות החברה ולמידע אישי רב ורגיש. מידע זה כלל שם מלא, כתובת, מספר טלפון, מספר תעודת זהות, מספר לוחית זיהוי ברכב, מספר שלדת רכב, חשבוניות לקוח, מספר חשבון בנק, ספרות אחרונות של כרטיס האשראי, מידע אודות תנועת הרכב, היסטוריית מיקומים ונסיעות ואף "מיקום חי" בזמן אמת של הלקוח.

בהתאם לסטנדרט שנקבע בתקנות אבטחת המידע החשדות, חברות המנהלות מידע אישי של למעלה מ-100 אלף איש, בדומה לאיתוראן, נדרשות לרמת האבטחה הגבוהה ביותר. האירוע המדובר הצביע על שורה של ליקויים יסודיים באבטחת המידע של חברת איתוראן, מה שעולה כדי אירוע אבטחה חמור אודותיו חלה חובת דיווח מיידית לרשות להגנת הפרטיות. במקרה זה החברה אמנם פעלה לתיקון התקלה מיידית, אך לא דיווחה לרשות להגנת הפרטיות אודות האירוע.

בהודעת הרשות על ממצאי הבדיקה צוין כי "הרשות מדגישה כי התראה של 'האקר לבן' על ליקויי אבטחת מידע במערכות המידע ואתר האינטרנט של הארגון, משמעותו חדירה ללא רשות למאגר הארגון ולכן מהווה אירוע אבטחה חמור כהגדרתו בתקנות, גם אם המטרה המוצהרת היא לאתר ולבחון ליקויים אלה". 

איתוראן: פעלנו לתיקון הליקוי מיד לאחר אירוע הפריצה

מאיתוראן נמסר בתגובה: "חברת איתורן פעלה מיד לאחר האירוע לתיקון הליקוי שנמצא ולחיזוק אבטחת המידע של מערכותיה, תוך שיתוף-פעולה מלא עם הרשות להגנת הפרטיות. החברה מבקשת להדגיש כי אבטחת המידע של לקוחותיה מצוי בראש מעייניה, וכי היא פעלה ותמשיך לפעול על-מנת למנוע הישנות מקרים מעין אלה. יתרה מכך, במקרה הרלוונטי נחשף פרט של אדם אחד בלבד ולא מעבר לזה.

"יחד עם זאת, תמוה מאוד שדווקא המידע המצוי אצל הרשות להגנת הפרטיות אינו מאובטח ודולף, כאשר מסמך הממוען לחברה בלבד, מוצא עצמו 'מטייל' לתקשורת. לרשות להגנת הפרטיות אין סמכות על-פי חוק לפרסם את ממצאי פיקוחיה". 

"איתוראן היא הסנונית הראשון. נבדקים עשרות דיווחים על אירועי אבטחה חמורים"

החשש של כל אדם שהמידע שלו - שנאסף על-ידי חברות מסחריות שונות וחברות המעניקות לו שירותים - ידלוף לרשת, יגיע לידיים הלא נכונות, ייחשף או ייעשה בו שימוש לא ראוי ולא רצוי - קורם כל העת עור וגידים מול עיני הציבור. זה נחשף פעם אחר פעם לליקויי אבטחה ופריצות של האקרים (בכובעים לבנים או שחורים) למאגרי מידע.

הפעם מדובר באיתוראן, ואולם לדברי עו"ד עלי קלדרון, הממונה על האכיפה המינהלית ברשות להגנת הפרטיות במשרד המשפטים ומי שהיה אחראי על הליך הפיקוח על איתוראן, איתוראן ממש לא לבד. לדבריו, הגם שהליך האכיפה שנוהל נגד חברת איתוראן על-ידי מחלקת האכיפה ברשות להגנת הפרטיות במשרד המשפטים בעקבות אי-דיווח לרשות להגנת הפרטיות מבוסס על תקנות שנכנסו לתוקף לפני חודשיים וחצי בלבד, הרשות מטפלת בימים אלה בעשרות מקרים דומים.

"מאז שנכנסו התקנות לתוקף, שזה בסך-הכול לפני חודשיים ומחצה, כבר קיבלנו עשרות דיווחים לפי החוק על אירועי אבטחה חמורים, שאנחנו בהחלט בודקים אותם", אומר קלדרון. "אנחנו נטפל בהם בכפפות של משי, כי זו תקופת הסתגלות לתקנות, אלא אם היו ממצאים חריגים לגבי אבטחת המידע, ונגלה שם רשלנות או פעילות ממש פלילית. דווקא בגופים שלא מדווחים לנו, אבל אנחנו מאתרים אותם, כמו איתוראן וכמו חברות אחרות שאנחנו פועלים נגדן בימים אלה, ומבצעים נגדן פעילות אכיפה מינהלית, נטפל בנחישות".

עוד מוסיף קלדרון כי "בקרוב ישמעו על עוד הפרות שייתבעו. איתוראן היא פשוט הסנונית הראשונה. נטפל בהם במלוא הכוח שלנו".

תקנה 17 לתקנות הגנת הפרטיות (אבטחת מידע) שמכוחן נוהל הליך הבדיקה באיתוראן אינה כוללת סנקציה "נשכנית" בדומה להטלת קנסות או עיצומים (שניתן להטיל מכוח הפרות אחרות של חוק הגנת הפרטיות), אך היא מאפשרת לרשות להגדיר את החברה "כמפירת חוק" - הגדרה שיש לה משמעות מבחינת מוניטין החברה, אך גם פותחת פתח ללקוחות החברה לתבוע את החברה על הפרת הפרטיות שלהם.

לדברי עו"ד קלדרון, "כל לקוח של החברה יכול כעת לפנות לבית המשפט בטענה כי החברה לא שמרה לו על המידע שלו, ובכך פגעה בפרטיות שלו, ולדרוש ממנה 50 אלף שקל, וזה בלי להוכיח מה הנזק בפועל שהיה לו. יש להם מאות אלפי לקוחות. גם ללא הטלת קנסות כלי האכיפה הזה הוא למעשה מקל או פטיש כלכלי מאוד משמעותי".

אלון בכר, ראש הרשות להגנת הפרטיות במשרד המשפטים, מוסיף כי "תקנות הגנת הפרטיות (אבטחת מידע) הרימו את הרף בכל הקשור לאופן שבו המידע האישי שלנו נשמר על-ידי גופים ציבוריים או פרטיים. מאחר שאנו מבינים כי המשק זקוק לזמן מה כדי לעמוד בדרישות, החלטנו על מדיניות אכיפה סבלנית כלפי ארגונים שידווחו על אירועי אבטחה חמורים לרשות.

"הרשות פרסמה מראש את מדיניותה, לפרסם את ממצאיה, בחקירת אירועי אבטחת מידע חמורים שלא דווחו לה כחוק, ולאכוף בחומרה מול ארגונים שלא ידווחו. כך נעשה במקרה איתוראן. פרסום מסמך קביעת ההפרה וסיכום ממצאי החקירה, כחלק ממדיניותה של הרשות, נובע מתוך חובתה לשקיפות לציבור על פעולותיה".

אכיפה פלילית בגין הפרת חוק הגנת הפרטיות

1. רשת אנשים טובים

ממצאי החקירה: מידע על נשים שהתכוונו לבצע הפלות הועבר לידי עמותה במרכז הארץ, שפעלה להניא נשים מלבצע הפלה. 

סטטוס: התיק הועבר למחלקת סייבר בפרקליטות שהגישה כתב אישום נגד 3 חשודות. 

2. פרשת "והדרת"

ממצאי החקירה: סחר במידע רפואי אודות החולים באזור הצפון, שבה היו מעורבים עובדים בבית החולים רמב"ם, בקופת-חולים לאומית ובחברות סיעוד. 

סטטוס: 4 כתבי אישום בתיק בגין עבירות מסוג פשע של פגיעה בפרטיות. 4 נאשמים הודו באישומים ונידונו לעבודות שירות ולקנסות; בנוסף, הוטלו קנסות גבוהים על שתי חברות סיעוד בסך של 400 אלף שקל ו-500 אלף שקל; משפטם של המתוווכים מתנהל בשלום בחיפה. 

3. פרשת "דף חלק"

ממצאי החקירה: מתכנת בכיר בחברת BDI מחק נתוני אשראי שליליים ממאגרי המידע השמורים והרגישים של החברה. נחשפו 5 מתווכים שהבטיחו לאנשים שונים שניסו לקבל הלוואות, כי ידאגו למחיקת המידע השלילי עליהם מדוח האשראי שלהם, וזאת תמורת תשלום. 

סטטוס: הוגשו כתבי אישום נגד המעורבים בפרשה בעבירות לפי חוק הגנת הפרטיות, לפי חוק שירות נתוני אשראי וכן בגין עבירות שוחד וזיוף. 

4. פרשת "אמנון ותמר"

ממצאי החקירה: במאגרי המידע שנסחרו בתיק נמצא מידע מ-3 מקורות: קופת-חולים, חברת ביטוח וסוכנות החזרי מס. 

סטטוס: התיק הועבר לבחינה לצורך הגשת כתב אישום בפרקליטות. 

5. פרשת "האגרון"

ממצאי החקירה: מרשם האוכלוסין המלא של המדינה הועלה אל שרתים שונים, הונגש באמצעות תוכנה נוחה, וצורף לו מסמך הנחיות שימוש. 

סטטוס: הוגשו כתבי אישום נגד 6 נאשמים, שהורשעו ונידונו למאסר בפועל (בין 3 חודשים ל-14 חודשים) ולקנסות (בין 36 אלף שקל ל-100 אלף שקל). 

עוד כתבות

אוניות מטען בנמל עקבה, ירדן / צילום: Shutterstock

עשרות מיליונים למשך 30 שנה: אבו דאבי מהמרת על נמל עקבה

חברת הנמלים AD Ports חתמה על הסכם תפעול ארוך טווח בנמל הירדני ● למרות הנחיתות מול נמלי הים התיכון והאיום הביטחוני, האמירתים מזהים פוטנציאל בעורק החיים הראשי של הממלכה

"האזור מת כלכלית": הקשיים אצל השכנה של ישראל

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל • והפעם: ארה"ב רוצה לצמצם את כמות הנפט שאיראן מוכרת לסין, מתיחות בגבול לבנון, ואיך נראות חגיגות הרמדאן בעזה • כותרות העיתונים בעולם

מפעל רשף טכנולוגיות של ארית בשדרות / צילום: יח''צ

מי קיבל מידע פנים על מניית הפלא של ת"א? החשד שבודקת רשות ני"ע

זינוק חסר תקדים הפך את מניית ארית לכוכבת של הבורסה ● כעת חושדת הרשות בעבירות מידע פנים, על פי הערכות בשוק, ע"י בכיר בבית השקעות ● ארית: "בטוחים שהעניין יסתיים בלא כלום"

וול סטריט / צילום: ap, Mary Altaffer

וול סטריט ננעלה בעליות; הישראלית שזינקה, וזו שנפלה ב-37%

נאסד"ק עלה ב-0.7% ● אנבידיה תספק למטא מיליוני יחידות עיבוד גרפי ● המתיחות בין ארה"ב לאירן: מחירי הנפט זינקו, הדולר התחזק מול סל המטבעות ● מניית גלובל אי זינקה בעקבות הדוחות, סולאראדג' ירדה ● פרוטוקול הפד: חברי הפד היו חלוקים לגבי המשך מדיניות הריבית, ייתכן שזו תרד עוד השנה אם האינפלציה תתנהג בהתאם לציפיות

קופסאות מזון התינוקות נוטרילון של טבע / צילום: טלי בוגדנובסקי

צעד אחד צעד: כך פוספס רעלן הצרוליד בנוטרילון

ועדת הכנסת חשפה את השתלשלות האירועים - ממועד זיהוי הרעלן בעולם ועד הריקול בישראל ● המסקנה: משרד הבריאות פעל מהר, אך מדינת ישראל לא הייתה בעדיפות על שולחן הרגולטורים האירופאים, ומערכת המעקב מצריכה חיזוק

תנובה / צילום: שלומי יוסף

המחוזי: תנובה עשתה דין לעצמה והחזיקה בשטח שאינו בבעלותה

ביהמ"ש קבע כי תנובה אינה בעלת זכויות בשטח בבאר שבע שהחזיקה במשך עשרות שנים ● בנוסף נמתחה ביקורת על התנהלות החברה: איך תאגיד עתיר-משאבים, המלווה ביועצים משפטיים צמודים, שוכח לחתום על הסכם לקבלת מקרקעין?

ריצ'רד פרנסיס, מנכ''ל טבע / צילום: אלעד מלכה

אחרי זינוק של 80% במניית טבע: המנכ"ל פרנסיס מוכר מניות בכ-50 מיליון שקל

נשיא ומנכ"ל טבע ריצ'רד פרנסיס צפוי למכור מניות שקיבל כחלק מתוכנית התגמול שלו, תוך שהוא נהנה מהזינוק במחיר המניה בשנה החולפת ● לאחרונה קיבל מניות נוספות בשווי של 50 מיליון דולר ● בכך, חגיגת המימושים בבורסה נמשכת: 20 מיליארד שקל זרמו לכיסי בעלי עניין בת"א בשנת השיא

מיכה קאופמן, מנכ''ל ומייסד פייבר ואור עופר, מייסד ומנכ''ל סימילרווב / צילום: יואב הורנונג, איל יצהר

שתי הישראליות שנפלו בוול סטריט אחרי פרסום הדוחות

סימילרווב אכזבה את השוק עם התחזיות שפרסמה בדוחותיה, והמניה נפלה בחדות בוול סטריט ● פייבר סיפקה תוצאות מעורבות, וגם המניה שלה הגיבה בירידות ● מנכ"ל פייבר: "אנו נמצאים בעיצומו של שינוי משמעותי באופן שבו ארגונים מאמצים AI"

אוניית צים LNG / צילום: Mr YC Chou

זכרונות מעסקת טאואר: הסיבה שמניית צים זינקה לפחות מהשווי במכירה

השווי של צים זינק אל פחות משווי העסקה בגלל החשש שזו לא תצא לפועל ● השגת האישורים הנדרשים לעסקה צפויה להימשך עוד חודשים ארוכים, והחששות כבר צפים על פני השטח

אלונה בר און, מו''ל גלובס, בכנס שמים את הצפון במרכז / צילום: כדיה לוי

אלונה בר און, מו"ל גלובס: "עיתונות כלכלית מביאה נתונים ולא דעות פוליטיות"

"אנחנו מנסים לעשות עיתונות אחרת", כך אמרה הבוקר אלונה בר און, מו"ל גלובס, בכנס שמים את הצפון במרכז של גלובס ● עוד הוסיפה בר און, כי "המטרה שלנו היא לספק לאזרחים מידע מהימן ומדויק לו הם זקוקים לצורך תפקודם בחברה החופשית"

רוב סיטורן / צילום: Reuters, REUTERS

מנהל קרן גידור טוען: אלה שני השווקים שיצמחו יותר מוול סטריט

מנהל אחת מקרנות הגידור המוכרות בוול סטריט טען שהשוק האמריקאי נסחר בפרמיה מוגזמת, חשף שהוא מהמר נגדו וגם - מי שני השווקים שיצמחו להערכתו?

שי באב''ד, נשיא ומנכ''ל קבוצת שטראוס, בכנס שמים את הצפון במרכז / צילום: כדיה לוי

מנכ"ל שטראוס: "מרב ההשקעות שנעשה בעשור הקרוב יהיו בישראל"

"השקעה בפריפריה היא העתיד התזונתי והביטחוני של מדינת ישראל", אמר מנכ"ל שטראוס שי באב"ד בכנס שמים את הצפון במרכז של גלובס ● על רפורמת החלב אמר: "ראוי ונכון היה שהממשלה תעשה רפורמה להפחתת יוקר המחיה, מבלי להוריד את הרגליים שעליהן כולנו עומדים" ● והאם הוא מתכנן לחזור למגזר הציבורי?

רחפנים של חברת אקסטנד / צילום: אקסטנד

חברת הרחפנים שמגיעה לוול סטריט וממחישה עד כמה התחום לוהט

כניסתה הצפויה של אקסטנד הישראלית לנאסד"ק לפי שווי של 1.5 מיליארד דולר אינה אירוע נקודתי ● תחום הרחפנים עובר מתמחור של טרנד חם לתמחור של תשתית אסטרטגית גלובלית

יעקב אטרקצ'י, מנכ''ל ובעלים אאורה, בכנס שמים את הצפון במרכז / צילום: שלומי יוסף

יעקב אטרקצ'י: "הנגיד צריך להוריד ריבית, עודף שמרנות זו פחדנות"

בכנס שמים את הצפון במרכז של גלובס הציג מנכ"ל ובעלי אאורה, יעקב אטרקצ'י, אופטימיות לגבי הבנייה בפריפריה וטען כי הביקושים מחוץ לגוש דן נותרו חזקים • לדבריו, "95% מהציבור לא יכול לקנות דירה בת"א", ולכן העתיד נמצא בצפון ובדרום • לצד זאת הוא מתח ביקורת חריפה על נגיד בנק ישראל: "במצב של צמיחה ואינפלציה מרוסנת – הוא עושה מעט מדי ומאוחר מדי"

דונלד טראמפ, בנימין נתניהו, עלי חמינאי / עיבוד: ap, Mark Schiefelbein

הערכות: טראמפ קרוב לתת פקודה ליציאה למלחמה במזרח התיכון

דריכות גבוהה בישראל לקראת אפשרות לתקיפה אמריקאית באיראן על רקע תקיעות השיחות בז'נווה ● אסון בצנחנים: עפרי זוהה בטעות כאיום - ונפגע מאש חברו. הכוח פעל בח'אן יונס לחשיפת רשת מנהרות שבה הוחזקו גם חטופים ● באיראן הודיעו: נקיים מחר תרגיל ימי עם רוסיה בים עומאן ובצפון האוקיינוס ההודי ● הערכה בישראל: בעוד כשבוע תושלם צבירת הכוח הצבאי של ארה"ב במזרח התיכון ● עדכונים שוטפים

רעננה / צילום: Shutterstock, defotoberg

פסק הדין שמחייב את הרשויות המקומיות בתשלום מס חדש

עיריית רעננה תחויב במס רכישה בגובה 34 אלף שקל על שטחים ציבוריים שקיבלה במסגרת תוכנית יזמית, לאחר שוועדת ערר דחתה את טענתה להפקעה ● ההכרעה עשויה להשפיע על מחלוקות דומות המתנהלות מול רשויות נוספות בפרויקטים ברחבי הארץ, וברשות המסים מעריכים כי הסוגיה תתגלגל לבסוף לפתחו של העליון

יערה זיו גביש, מיכל פינק, שריף ניגם ומירב בן שימול, בפאנל משותף / צילום: כדיה לוי

מתוך 87 סטארט-אפים לפוד טק באצבע הגליל נותרו רק 3 פעילים

בכנס שמים את הצפון במרכז של גלובס נראה כי מצב העסקים בצפון משתפר, אבל בשטח עדיין לא ניכרת התאוששות ● אלפי עסקים נסגרו, התיירות קרסה, וברשויות מזהירים שהסיוע "בפרוסות" ללא גורם מתכלל לא יחזיר אנשים ועבודה לאזור

נשיא טורקיה, רג'פ טאייפ ארדואן / צילום: ap, Achmad Ibrahim

גם עצירת המלחמה לא בולמת את שנאתו של ארדואן כלפי ישראל. זו הסנקציה החדשה

אחרי המסלול העוקף דרך הרשות הפלסטינית והפריקה והטעינה מחדש בנמלים זרים, אנקרה מהדקת את החנק הכלכלי: הופסקה הנפקת "תעודות העדפה" (יורומד) המאפשרות פטור ממכס לסחורות טורקיות המגיעות לישראל דרך צד שלישי ● הנפגע הצפוי העיקרי: ענף הרכב

אלי כהן, מנכ''ל אוניברסיטת קריית שמונה והגליל בהקמה, בכנס שמים את הצפון במרכז / צילום: שלומי יוסף

מנכ"ל אוניברסיטת תל חי: "הכפלנו את המספר הבוגרים שנשארים בצפון, אבל היעדר התעסוקה מקשה"

"הגורם המרכזי שמקשה על הבוגרים שלנו להישאר הוא התעסוקה", כך אמר מנכ"ל האקדמית תל חי, אלי כהן, בכנס שמים את הצפון במרכז של גלובס ● עוד הוא ציין כי "יש אוניברסיטאות בחיפה, אבל חיפה זה לא באמת הצפון מבחינתנו, זה לא המטרופולין שלנו"

פלג דוידוביץ, מנכ''ל פרופדו, בכנס שמים את הצפון במרכז / צילום: שלומי יוסף

פלג דוידוביץ': "הנתונים צריכים להיות קריאת השכמה – הצפון הוא המרכז החדש"

"הנדל"ן בישראל עובד בשיטת הכלים השלובים, פריפריאלית, גאוגרפית, אורבנית - כל התהליכים מתחילים מהמרכז, וכשהוא מתייקר, הולכים צפונה ודרומה" - כך אמר פלג דוידוביץ', מנכ"ל פרופדו, בכנס שמים את הצפון במרכז של גלובס