בייצוגית: “במסגרת פעולות הגנת הסייבר אותן מבצעת חברת דרך ארץ לפי תוכנית עבודתה בשיגרת פעילותה, תוסיף שירות חדר בקרת סייבר, שינוהל ע”י חברה חיצונית לטובת ניטור, התראה ותגובה לאירועי סייבר ואבטחת מידע, וזאת עד לסוף 2021”

בית-המשפט המחוזי מרכז בלוד אישר לאחרונה בקשת הסתלקות מתביעה (ובקשה לאשרה כתובענה ייצוגית) שהוגשה בידי שי וייסמן ואהוד מזרחי. התביעה הוגשה נגד חברת דרך ארץ הייווייז (1997) בע”מ, מפעילת כביש 6.

כבוד השופטת איריס רבינוביץ-ברון כתבה בין היתר בפסק הדין [ת”צ 62334-08-18]:

“לפי הנטען בבקשת האישור, המבקשים עושים שימוש מעת לעת בכביש 6. במהלך חודש אוגוסט 2018 התגלתה פירצת אבטחה במסד הנתונים שמחזיקה ומתחזקת המשיבה, באופן שלקוח הנכנס לאתר החברה לצפות בחשבונית שהוצאה לו, יכול באמצעות הקשה על היסטוריית התשלומים ושינוי מספר סידורי בשורת הכותרת, לבחור חשבונית אחרת ולהציגה, שם ייחשף לפרטי הלקוח (האחר), כולל שם פרטי ומשפחה, עלות חשבונית, מועד נסיעה, מקום הנסיעה ומספר תעודת הזהות. הפירצה התגלתה ע”י לקוח אחר של המשיבה וכתבה בנושא פורסמה בעיתון TheMarker. בכתבה אף צויין כי המשיבה מסרה שהתקלה תוקנה.

“עוד נטען כי המשיבה שולחת חשבוניות או דרישות תשלום בדואר רגיל ובהן מפורטים פרטים הכוללים: שם לקוח, מספר תעודת הזהות, מספר הרכב, כתובת ומספר חשבונית וכן מועדי נסיעה ושימוש ברכב, מקום הנסיעה וגובה התשלום. כך שלכל עובר אורח שהגיעה לידיו חשבונית כזו תהיה גישה לפרטים אלו.

“עפ”י הנטען בבקשת האישור, המשיבה היטעתה את לקוחותיה בכך שגרמה להם לחשוב כי פרטיהם ונתוניהם בטוחים עפ”י הסטנדרט הקבוע בדין, אלא שבפועל לא כך הם הדברים”.

חברת דרך ארץ, בתגובה לכתב הטענות, הגישה בקשה לסילוק על הסף ואילו התובעים ביקשו לתקן את כתב התביעה ולצרף חוות דעת מקצועית.

ביום 1 בינואר 2020 נדחתה בקשת הנתבעת לדחות את התביעה על הסף. כמו כן התקבלה בחלקה בקשת המבקשים לתיקון בקשת האישור באופן שתכלול התייחסות לאירוע (קודם) משנת 2014 ותצורף חוות דעת.

ביולי 2020 הגישה חברת דרך ארץ תשובה לבקשת האישור המתוקנת. “בתמצית, המשיבה טענה כי שני האירועים המתוארים בבקשת האישור המתוקנת טופלו בסמוך לגילויים ואין כל אינדיקציה לכך שאכן נעשה שימוש בפרצות הנטענות על-מנת לחדור

לנתוני המבקשים, או לנתוניהם של לקוחות אחרים של המשיבה והדיווח עליהם נעשה רק במסגרת תחקירים עיתונאיים לאחר שהפרצות תוקנו ולכן גם לא נגרם כל נזק למבקשים או ללקוחות המשיבה כתוצאה מהאירועים. מדובר באירועים שלפי הנטען היה רק חשש תיאורטי לחדירה לפרטיותם של מי מחברי הקבוצה. קיומו של תהליך הפקת לקחים רציני מעין זה שנערך בידי המשיבה מוביל למסקנה כי המשיבה מעניקה שירות הולם, שאינו רשלני.

“נטען כי אין בשני האירועים משום הוכחה שהמשיבה לא השקיעה את הכספים שנועדו להיות מושקעים באבטחת מידע ולא הוצגו ראיות להיעדר השקעה מספקת באבטחת מידע, כך שלא הוכח כי הסכום שכביכול לא הושקע באבטחת מידע צריך להיות מוחזר ללקוחות המשיבה.

ביום 8 בנובמבר 2020 ולאחר שני דיוני קדם משפט, הוגשה בקשת ההסתלקות. התקיים דיון נוסף בנושא בפברואר 2021.

על-פי הסכם ההסתלקות, “מבלי להודות בטענות המבקשים, לאחר התדיינות בין הצדדים, במסגרת פעולות הגנת הסייבר אותן מבצעת המשיבה לפי תוכנית עבודתה בשיגרת פעילותה וכפי שתוכנן ממילא להתבצע בתוכנית העבודה לשנת 2021, תפעל המשיבה להוספת שירות חדר בקרת סייבר, אשר ינוהל ע”י חברה חיצונית לטובת ניטור, התראה ותגובה לאירועי סייבר ואבטחת מידע, וזאת עד לסוף שנת 2021”.

יצויין כי גם לאחר הגשת בקשת ההסתלקות היה ויכוח מתמשך בין הצדדים לגבי נושא הגמול לתובעים ולבאי כוחם. בסופו של דבר קבעה השופטת כי הייתה תועלת ציבורית מסויימת בתביעה זו ולכן פסקה פיצויים לתובעים ולבאי כוחם, כפי שנאמר בפסק הדין.

הערת עורך Read IT Now: ידיעות קודמות לגבי תביעה זו פורסמו כאן ו- כאן באתר זה בעבר.

= = = = = = = = =

ב- 13 בספטמבר 2021 פירסמה הרשות להגנת הפרטיות במשרד המשפטים את ההודעה הבאה:

“חברת דרך ארץ הייוויז, מפעילת כביש 6, הפרה את הוראות חוק הגנת הפרטיות ותקנותיו בשל אירוע אבטחה חמור שהוביל לחשיפה של מידע אישי אודות לקוחותיה

מהליך האכיפה המנהלית שביצעה הרשות עולה כי שורה של אמצעים ותהליכים כגון מנגנוני תיעוד אוטומטי, תיקון ליקויים שעלו במבדקי חדירות, יישום מדיניות זיהוי ואמצעי אימות מוקשחים, וכן ניהול נכון של מערכות המאגר היו מסייעים לגלות את חולשת אבטחת המידע מבעוד מועד וכך לצמצם ואולי אף למנוע את הסיכוי להתרחשות אירוע אבטחת המידע.

הליך האכיפה שביצעה הרשות להגנת הפרטיות נפתח בעקבות דיווח של חברת דרך ארץ הייווייז, מפעילת כביש 6,על אירוע אבטחה חמור שאירע בחברה, במסגרתו התגלו חולשות אבטחת מידע באתר התשלומים שלה אשר אפשרו חשיפה של מידע רב מתוך החשבוניות של לקוחותיה.

מהמידע שהעבירה החברה לרשות עולה כי בעמוד ששמו “תשלום חשבוניות” באתר החברה ניתן היה לקבל גישה לחשבוניות הלקוחות באמצעות הזנת מספר ת.ז, לחיצה על כפתור “אין לי את מספר החשבונית”, בחירה באפשרות “מספר לוחית רישוי” ולאחר מכן הזנת מספרים אקראיים על מנת לנחש את מספר רישוי הרכב.

לאחר מכן, וללא שום אימות נוסף, ניתן היה לקבל גישה לחשבוניות התשלום של הלקוח ולחשבוניות עבר הכוללות מידע אישי של לקוחותיה לרבות שם פרטי ומשפחה, סכומי תשלום, מיקום הרכב, תאריכי ושעות נסיעות.

בשל העובדה שחברת דרך ארץ הייווייז לא תיעדה כנדרש את הגישה למערכותיה, לא ניתן לדעת במדויק במשך כמה זמן גורמים בלתי מורשים יכולים היו לגשת למערכות החברה. בהתאם לכך, קבעה הרשות להגנת הפרטיות כי החברה לא החזיקה באמצעי הגנה מתאימים במועד האירוע.

כמו כן, ממצאי הליך הפיקוח שביצעה הרשות מעלים כי החברה מיפתה באופן חלקי את הסיכונים האפשריים בתחום אבטחת המידע, אך לא פעלה לאורך פרק זמן של למעלה משנה לתיקון הליקויים שנמצאו במבדקי החדירות.

במכתב ההפרה שהעבירה הרשות להגנת הפרטיות לחברה מדגישה הרשות כי חברות וארגונים במשק נדרשים לנקוט במדיניות אבטחת מידע דינמית וכי עם התפתחותם של איומים וסיכונים, על הארגון חלה חובה לבחון בקפדנות את הסיכונים המתעדכנים ולפעול בהתאם לעדכון אמצעי האבטחה המקובלים בנסיבות העניין, בהתאם לאופי המאגר וטיבו. בהתאם לכך, על חברות וארגונים חלה, בין היתר, החובה לעדכן את מערכותיהם ולערוך סקרי סיכונים ומבדקי חדירות כדי לבחון את הסיכונים המשתנים  ולהיערך להם וכן לערוך הדרכות לעובדים – הכל בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע).

בנוסף, חלה חובה על חברות וארגונים לעשות שימוש במנגנון תיעוד אוטומטי.

הרשות מדגישה כי משימת אבטחת המידע בחברות וארגונים אינה אירוע חד פעמי אלא תהליך מורכב ומתמשך, הדורש בדיקות עיתיות, עדכונים שוטפים והערכת סיכונים מתמדת, בהתאם לרמת אבטחת המידע הנדרשת. מאגר אבטחת המידע של חברת דרך ארץ הייווייז, הינו מאגר ברמת אבטחה גבוהה, ועל מאגרים ברמה זו חלות כלל תקנות הגנת הפרטיות (אבטחת מידע).

בהתאם לממצאי הפיקוח קבעה הרשות, כי החברה הפרה את הוראות חוק הגנת הפרטיות ותקנותיו וכן דרשה מהחברה לבצע מספר פעולות מתקנות”.