לאחר דיווח שהעבירה חברת דרך ארץ, מפעילת כביש 6 בישראל, על אירוע אבטחה שהתרחש בחברה, החלה הרשות להגנת הפרטיות בהליך אכיפה. במסגרת האירוע התגלו חולשות אבטחה באתר התשלומים שלה, אשר אפשרו חשיפה של מידע רב מתוך החשבוניות של לקוחות החבר, שהיו חשופות לעיני כל.
בין היתר, נחשפו חשבוניות התשלום של הלקוחות לאורך תקופה לא קצרה וחשבוניות אלו כללו מידע אישי, לרבות שם פרטי ומשפחה, סכומי תשלום, מיקום הרכב, תאריכי הנסיעות ובאילו שעות. נוסף על כך, מכיוון שחברת דרך ארץ לא תיעדה כנדרש בחוק את הגישה למערכותיה, לא ניתן לדעת בצורה מדויקת במשך איזו תקופה יכלו גורמים שאינם מורשים לגשת למערכות החברה.
במכתב ההפרה, שהעבירה הרשות להגנת הפרטיות לחברה, הדגישה הרשות כי רוב החברות והארגונים הגדולים במשק נדרשים לנקוט מדיניות אבטחת מידע דינמית, וכי עם התפתחותם של איומים וסיכונים, על הארגון חלה חובה לבחון בקפדנות את הסיכונים המתעדכנים ולפעול בהתאם לעדכון אמצעי האבטחה המקובלים בנסיבות העניין, בהתאם לאופי המאגר וטיבו.
כתוצאה מכך, חלה על חברות וארגונים החובה לעדכן את מערכותיהם ולערוך סקרי סיכונים ומבדקי חדירות, כדי לבחון את הסיכונים המשתנים ולהיערך להם. כמו כן, חלה חובה על חברות וארגונים להשתמש במנגנון תיעוד אוטומטי ויש לערוך הדרכות לעובדים, בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע).
בהתאם לממצאי הפיקוח קבעה הרשות כי החברה הפרה את הוראות חוק הגנת הפרטיות ותקנותיו וכן דרשה מהחברה לבצע מספר פעולות מתקנות.
מחברת דרך ארץ, מפעילת כביש 6 נמסר: "הנושא טופל בהתאם לדרישות המחמירות ביותר"
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו