עובד בחברת ישראכרט גנב מכשיר טלפון נייד ובו מאות מסמכים עם מידע פרטי של לקוחות לצורך שימושו הפרטי. על האירוע דיווחה חברת ישראכרט לרשות להגנת הפרטיות שקבעה לאחרונה כי החברה הפרה את הוראות חוק הגנת הפרטיות ותקנותיו.
את הדיווח לרשות להגנת הפרטיות העבירה חברת ישראכרט לאחר שהתגלה כי מכשיר טלפון נייד ששימש את מוקד שירות הלקוחות שלה נגנב ממשרדיה. בתחקיר פנימי שערכה החברה, עלה כי העובד שגנב את המכשיר, הוציא ממנו את כטיס הסים, פירמט אותו, הגדיר בו את חשבון ה-Gmail הפרטי שלו והתקין בו את כרטיס הסים האישי שלו.
המכשיר הנייד שימש "מוקד ווטסאפ" של שירות הלקוחות בחברה, אליו לקוחות היו מעבירים מסמכים וסוגי מידע שונים שכללו בין היתר שמות, מספרי טלפון, מספרי תעודת זהות, אישורי העברות בנקאיות, הרשאות לחיוב חשבון, תעודות פטירה ומידע רגיש נוסף.
על אף פירצת האבטחה החמורה, ממצאי הליך הפיקוח של הרשות לא הצביעו על אינדיקציה לפיה המידע הרגיש דלף בפועל. בעקבות התחקיר הפנימי בחברה, אותר העובד שגנב את המכשיר שהושב תוך מספר ימים.
יחד עם זאת, ציינו ברשות להגנת הפרטיות, כי עצם החשיפה של המידע מעידה על חומרת האירוע: חברת ישראכרט אפשרה גישה למכשיר מבלי שנקטה אמצעים מקובלים כדי לוודא שהגישה נעשית רק בידי מי שניתנה לו הרשאת גישה למידע. כמו כן, לא הקפידה החברה שהגישה הפיזית למכשיר תהיה רק לבעלי התפקידים הרלוונטיים, לא וידאה כי כניסה למכשיר תתאפשר רק לבעלי הרשאות תקפות ולא קבעה אופן זיהוי כגון סיסמה או טביעת אצבע.
בנוסף נקבע, שהחברה לא הקפידה שרמת האבטחה של מכשיר הנייד המשמש אותה תהיה הולמת לסוג המידע השמור בו והיקפו, בשים לב לסיכוני אבטחת המידע הייחודיים למכשירים ניידים, כגון מספר רב של משתמשים.
הרשות הבהירה ל'ישראכרט' כי ככל שבכוונתה להמשיך ולהשתמש במכשירי טלפון ניידים לצרכים הקשורים במערכות מאגרי המידע, עליה לוודא כי מוטמעות במכשיר מערכות הגנה ובקרה המותאמות לסוג המידע, רגישות המידע ואופן השימוש בו.
