הרשות להגנת הפרטיות הודיעה היום (שני) כי חברת "דרך ארץ הייוויז", החברה האחראית על הפעלת כביש 6, הפרה את הוראות חוק הגנת הפרטיות ותקנותיו. ההודעה הגיעה על רקע "אירוע אבטחה חמור שהוביל לחשיפה של מידע אישי אודות לקוחותיה".
במסגרת אותו אירוע אבטחה, אשר נפתח בעקבות דיווח של חברת "דרך ארץ הייוויז", התגלו חולשות אבטחת מידע באתר התשלומים שלה, אשר אפשרו חשיפה של מידע רב מתוך חשבוניות לקוחותיה. מהמידע שהעבירה החברה לרשות עלה, כי בעמוד שבו נמצא "תשלום חשבוניות" באתר החברה, ניתן היה לקבל גישה לחשבוניות התשלום של הלקוחות ולחשבוניות עבר, הכוללות מידע אישי, לרבות שם פרטי ומשפחה, סכומי תשלום, מיקום הרכב, תאריכי ושעות נסיעות.
על פי הרשות להגנת הפרטיות, בשל העובדה שהחברה לא תיעדה את הגישה למערכותיה כפי שנדרש ממנה לא ניתן לדעת את הזמן המדויק, בו גורמים בלתי מורשים יכלו לגשת למערכות החברה. בהתאם, הרשות קבעה כי "דרך ארץ הייוויז" לא החזיקה באמצעי הגנה מתאימים. כמו כן, ממצאי הליך הפיקוח שביצעה הרשות מעלים, כי החברה מיפתה באופן חלקי את הסיכונים האפשריים בתחום אבטחת המידע, אך לא פעלה לאורך פרק זמן של למעלה משנה לתיקון הליקויים שנמצאו במבדקי החדירות.
במכתב שהועבר מהרשות לחברה שמפעילה את כביש 6 נמסר כי חברות וארגונים במשק "נדרשים לנקוט במדיניות אבטחת מידע דינמית וכי עם התפתחותם של איומים וסיכונים, על הארגון חלה חובה לבחון בקפדנות את הסיכונים המתעדכנים ולפעול בהתאם לעדכון אמצעי האבטחה המקובלים בנסיבות העניין, בהתאם לאופי המאגר וטיבו. כתוצאה מכך, חלה על חברות וארגונים החובה לעדכן את מערכותיהם ולערוך סקרי סיכונים ומבדקי חדירות, כדי לבחון את הסיכונים המשתנים ולהיערך להם. בנוסף, חלה חובה על חברות וארגונים לעשות שימוש במנגנון תיעוד אוטומטי ויש לערוך הדרכות לעובדים, בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע)".
"בהתאם לממצאי הפיקוח קבעה הרשות כי החברה הפרה את הוראות חוק הגנת הפרטיות ותקנותיו וכן דרשה מהחברה לבצע מספר פעולות מתקנות", הודיעה הרשות להגנת הפרטיות.
מחברת כביש 6 (דרך ארץ) נמסר בתגובה: "הנושא טופל בהתאם לדרישות המחמירות ביותר״.