אייל שרצקי, מנכ"ל ובעלים משותף של איתוראן / צילום: תמר מצפי
אירוע אבטחה חמור באתר חברת איתוראן חשף חולשות של מערכת האבטחה של החברה ואיפשר חדירה למערכות על-ידי גורם חיצוני, באופן שחשף מידע רגיש של מאות אלפי לקוחות של החברה, ובין היתר מספרי תעודות זהות, פרטי חשבון בנק, פרטי אשראי ועוד - כך העלו ממצאי בדיקה שערכה הרשות להגנת הפרטיות במשרד המשפטים בחברת איתוראן איתור ושליטה בע"מ, במסגרת הליכי אכיפה מינהליים שנפתחו נגד החברה.
מדובר באירוע המכונה "האקר לבן" (או "כובע לבן") - מצב שבו האקר מתריע בפני חברה שיש פרצת אבטחה במערכות שלה כדי שתסגור אותו; זאת בניגוד ל"האקר שחור" (או "כובע שחור") - מצב שבו האקר פורץ לאתר כדי לגרום נזק לחברה או כדי לגנוב ממנה מידע.
חברת איתוראן טיפלה בתקלה באופן מיידי, אך התברר כי לא הודיעה עליו לרשות להגנת הפרטיות, חרף חובה חוקית לעשות זאת. בתום בדיקת הרשות נקבע כי איתוראן הפרה את חובותיה לפי חוק ותקנות הגנת הפרטיות לאבטחת המידע האישי של מאות אלפי לקוחותיה.
הבוקר (ד') הודיעה הרשות לחברה כי בהתאם לממצאי ומסקנות הפיקוח נקבע כי החברה הפרה את חוק הגנת הפרטיות ואת תקנותיו לעניין אבטחת מידע, וכי היא נדרשת לבצע פעולות מתקנות ליישום רמת האבטחה הנדרשת על-פי החוק ולדווח לרשות להגנת הפרטיות על פעולותיה.
מדובר בהליך אכיפה ראשון מסוגו, ובפעם הראשונה שבה הרשות ניהלה הליך אכיפה מינהלי על בסיס תקנות הגנת הפרטיות (אבטחת מידע) החדשות, שנכנסו לתוקפן במאי השנה.
במסגרת ההליך, כאמור, נבדק חשד לאירוע אבטחה חמור באתר החברה, אשר חשף חולשות שאפשרו חדירה לא מורשית למערכותיה. חולשות אבטחה אלה אפשרו לגורם חיצוני גישה לדפי המשתמש הפרטיים של לקוחות החברה ולמידע אישי רב ורגיש. מידע זה כלל שם מלא, כתובת, מספר טלפון, מספר תעודת זהות, מספר לוחית זיהוי ברכב, מספר שלדת רכב, חשבוניות לקוח, מספר חשבון בנק, ספרות אחרונות של כרטיס האשראי, מידע אודות תנועת הרכב, היסטוריית מיקומים ונסיעות ואף "מיקום חי" בזמן אמת של הלקוח.
בהתאם לסטנדרט שנקבע בתקנות אבטחת המידע החשדות, חברות המנהלות מידע אישי של למעלה מ-100 אלף איש, בדומה לאיתוראן, נדרשות לרמת האבטחה הגבוהה ביותר. האירוע המדובר הצביע על שורה של ליקויים יסודיים באבטחת המידע של חברת איתוראן, מה שעולה כדי אירוע אבטחה חמור אודותיו חלה חובת דיווח מיידית לרשות להגנת הפרטיות. במקרה זה החברה אמנם פעלה לתיקון התקלה מיידית, אך לא דיווחה לרשות להגנת הפרטיות אודות האירוע.
בהודעת הרשות על ממצאי הבדיקה צוין כי "הרשות מדגישה כי התראה של 'האקר לבן' על ליקויי אבטחת מידע במערכות המידע ואתר האינטרנט של הארגון, משמעותו חדירה ללא רשות למאגר הארגון ולכן מהווה אירוע אבטחה חמור כהגדרתו בתקנות, גם אם המטרה המוצהרת היא לאתר ולבחון ליקויים אלה".
איתוראן: פעלנו לתיקון הליקוי מיד לאחר אירוע הפריצה
מאיתוראן נמסר בתגובה: "חברת איתורן פעלה מיד לאחר האירוע לתיקון הליקוי שנמצא ולחיזוק אבטחת המידע של מערכותיה, תוך שיתוף-פעולה מלא עם הרשות להגנת הפרטיות. החברה מבקשת להדגיש כי אבטחת המידע של לקוחותיה מצוי בראש מעייניה, וכי היא פעלה ותמשיך לפעול על-מנת למנוע הישנות מקרים מעין אלה. יתרה מכך, במקרה הרלוונטי נחשף פרט של אדם אחד בלבד ולא מעבר לזה.
"יחד עם זאת, תמוה מאוד שדווקא המידע המצוי אצל הרשות להגנת הפרטיות אינו מאובטח ודולף, כאשר מסמך הממוען לחברה בלבד, מוצא עצמו 'מטייל' לתקשורת. לרשות להגנת הפרטיות אין סמכות על-פי חוק לפרסם את ממצאי פיקוחיה".
"איתוראן היא הסנונית הראשון. נבדקים עשרות דיווחים על אירועי אבטחה חמורים"
החשש של כל אדם שהמידע שלו - שנאסף על-ידי חברות מסחריות שונות וחברות המעניקות לו שירותים - ידלוף לרשת, יגיע לידיים הלא נכונות, ייחשף או ייעשה בו שימוש לא ראוי ולא רצוי - קורם כל העת עור וגידים מול עיני הציבור. זה נחשף פעם אחר פעם לליקויי אבטחה ופריצות של האקרים (בכובעים לבנים או שחורים) למאגרי מידע.
הפעם מדובר באיתוראן, ואולם לדברי עו"ד עלי קלדרון, הממונה על האכיפה המינהלית ברשות להגנת הפרטיות במשרד המשפטים ומי שהיה אחראי על הליך הפיקוח על איתוראן, איתוראן ממש לא לבד. לדבריו, הגם שהליך האכיפה שנוהל נגד חברת איתוראן על-ידי מחלקת האכיפה ברשות להגנת הפרטיות במשרד המשפטים בעקבות אי-דיווח לרשות להגנת הפרטיות מבוסס על תקנות שנכנסו לתוקף לפני חודשיים וחצי בלבד, הרשות מטפלת בימים אלה בעשרות מקרים דומים.
"מאז שנכנסו התקנות לתוקף, שזה בסך-הכול לפני חודשיים ומחצה, כבר קיבלנו עשרות דיווחים לפי החוק על אירועי אבטחה חמורים, שאנחנו בהחלט בודקים אותם", אומר קלדרון. "אנחנו נטפל בהם בכפפות של משי, כי זו תקופת הסתגלות לתקנות, אלא אם היו ממצאים חריגים לגבי אבטחת המידע, ונגלה שם רשלנות או פעילות ממש פלילית. דווקא בגופים שלא מדווחים לנו, אבל אנחנו מאתרים אותם, כמו איתוראן וכמו חברות אחרות שאנחנו פועלים נגדן בימים אלה, ומבצעים נגדן פעילות אכיפה מינהלית, נטפל בנחישות".
עוד מוסיף קלדרון כי "בקרוב ישמעו על עוד הפרות שייתבעו. איתוראן היא פשוט הסנונית הראשונה. נטפל בהם במלוא הכוח שלנו".
תקנה 17 לתקנות הגנת הפרטיות (אבטחת מידע) שמכוחן נוהל הליך הבדיקה באיתוראן אינה כוללת סנקציה "נשכנית" בדומה להטלת קנסות או עיצומים (שניתן להטיל מכוח הפרות אחרות של חוק הגנת הפרטיות), אך היא מאפשרת לרשות להגדיר את החברה "כמפירת חוק" - הגדרה שיש לה משמעות מבחינת מוניטין החברה, אך גם פותחת פתח ללקוחות החברה לתבוע את החברה על הפרת הפרטיות שלהם.
לדברי עו"ד קלדרון, "כל לקוח של החברה יכול כעת לפנות לבית המשפט בטענה כי החברה לא שמרה לו על המידע שלו, ובכך פגעה בפרטיות שלו, ולדרוש ממנה 50 אלף שקל, וזה בלי להוכיח מה הנזק בפועל שהיה לו. יש להם מאות אלפי לקוחות. גם ללא הטלת קנסות כלי האכיפה הזה הוא למעשה מקל או פטיש כלכלי מאוד משמעותי".
אלון בכר, ראש הרשות להגנת הפרטיות במשרד המשפטים, מוסיף כי "תקנות הגנת הפרטיות (אבטחת מידע) הרימו את הרף בכל הקשור לאופן שבו המידע האישי שלנו נשמר על-ידי גופים ציבוריים או פרטיים. מאחר שאנו מבינים כי המשק זקוק לזמן מה כדי לעמוד בדרישות, החלטנו על מדיניות אכיפה סבלנית כלפי ארגונים שידווחו על אירועי אבטחה חמורים לרשות.
"הרשות פרסמה מראש את מדיניותה, לפרסם את ממצאיה, בחקירת אירועי אבטחת מידע חמורים שלא דווחו לה כחוק, ולאכוף בחומרה מול ארגונים שלא ידווחו. כך נעשה במקרה איתוראן. פרסום מסמך קביעת ההפרה וסיכום ממצאי החקירה, כחלק ממדיניותה של הרשות, נובע מתוך חובתה לשקיפות לציבור על פעולותיה".
אכיפה פלילית בגין הפרת חוק הגנת הפרטיות
1. רשת אנשים טובים
ממצאי החקירה: מידע על נשים שהתכוונו לבצע הפלות הועבר לידי עמותה במרכז הארץ, שפעלה להניא נשים מלבצע הפלה.
סטטוס: התיק הועבר למחלקת סייבר בפרקליטות שהגישה כתב אישום נגד 3 חשודות.
2. פרשת "והדרת"
ממצאי החקירה: סחר במידע רפואי אודות החולים באזור הצפון, שבה היו מעורבים עובדים בבית החולים רמב"ם, בקופת-חולים לאומית ובחברות סיעוד.
סטטוס: 4 כתבי אישום בתיק בגין עבירות מסוג פשע של פגיעה בפרטיות. 4 נאשמים הודו באישומים ונידונו לעבודות שירות ולקנסות; בנוסף, הוטלו קנסות גבוהים על שתי חברות סיעוד בסך של 400 אלף שקל ו-500 אלף שקל; משפטם של המתוווכים מתנהל בשלום בחיפה.
3. פרשת "דף חלק"
ממצאי החקירה: מתכנת בכיר בחברת BDI מחק נתוני אשראי שליליים ממאגרי המידע השמורים והרגישים של החברה. נחשפו 5 מתווכים שהבטיחו לאנשים שונים שניסו לקבל הלוואות, כי ידאגו למחיקת המידע השלילי עליהם מדוח האשראי שלהם, וזאת תמורת תשלום.
סטטוס: הוגשו כתבי אישום נגד המעורבים בפרשה בעבירות לפי חוק הגנת הפרטיות, לפי חוק שירות נתוני אשראי וכן בגין עבירות שוחד וזיוף.
4. פרשת "אמנון ותמר"
ממצאי החקירה: במאגרי המידע שנסחרו בתיק נמצא מידע מ-3 מקורות: קופת-חולים, חברת ביטוח וסוכנות החזרי מס.
סטטוס: התיק הועבר לבחינה לצורך הגשת כתב אישום בפרקליטות.
5. פרשת "האגרון"
ממצאי החקירה: מרשם האוכלוסין המלא של המדינה הועלה אל שרתים שונים, הונגש באמצעות תוכנה נוחה, וצורף לו מסמך הנחיות שימוש.
סטטוס: הוגשו כתבי אישום נגד 6 נאשמים, שהורשעו ונידונו למאסר בפועל (בין 3 חודשים ל-14 חודשים) ולקנסות (בין 36 אלף שקל ל-100 אלף שקל).