הרשות להגנת הפרטיות קבעה היום (ב') כי חברת "דרך ארץ הייוויז", מפעילת כביש 6, הפרה את הוראות חוק הגנת הפרטיות ותקנותיו. מידע שהעבירה חברת כביש 6 לרשות העלה כי בעמוד שבו נמצא "תשלום חשבוניות" באתר החברה, ניתן היה לקבל גישה לחשבוניות התשלום של כלל הלקוחות כמו גם לחשבוניות עבר. באופן זה יכול היה כל גולש להיחשף למידע אישי של כל מי שנסע בכביש 6, הכולל את מיקום הרכב תאריכי ושעות נסיעות, לצד שם ושם משפחתו של הנהג.
הליך האכיפה המנהלית שביצעה הרשות העלה כי שימוש באמצעים ותהליכים מסוימים היה מסייע לגלות את חולשת אבטחת המידע מבעוד מועד, וכך היה ניתן לצמצם ואולי אף למנוע את הסיכוי להתרחשות אירוע אבטחת המידע.
לדברי אנשי הרשות להגנת הפרטיות שבמשרד המשפטים, בשל העובדה שחברת "דרך ארץ הייווייז" לא תיעדה כנדרש את הגישה למערכותיה, לא ניתן לדעת במדויק במשך כמה זמן גורמים בלתי מורשים יכולים היו לגשת למערכות החברה. בהתאם לכך, קבעה הרשות להגנת הפרטיות כי החברה לא החזיקה באמצעי הגנה מתאימים במועד האירוע. כמו כן, ממצאי הליך הפיקוח שביצעה הרשות מעלים כי החברה מיפתה באופן חלקי את הסיכונים האפשריים בתחום אבטחת המידע, אך לא פעלה לאורך פרק זמן של למעלה משנה לתיקון הליקויים שנמצאו במבדקי החדירות.
במכתב ההפרה שהעבירה הרשות להגנת הפרטיות לחברה, הודגש כי חברות וארגונים במשק נדרשים לנקוט במדיניות אבטחת מידע דינמית, וכי עם התפתחותם של איומים וסיכונים, על הארגון חלה חובה לבחון בקפדנות את הסיכונים המתעדכנים ולפעול בהתאם לעדכון אמצעי האבטחה המקובלים. כתוצאה מכך, חלה על חברות וארגונים החובה לעדכן את מערכותיהם ולערוך סקרי סיכונים ומבדקי חדירות, כדי לבחון את הסיכונים המשתנים ולהיערך להם. בנוסף, חלה חובה על חברות וארגונים לעשות שימוש במנגנון תיעוד אוטומטי ויש לערוך הדרכות לעובדים, בהתאם להוראות תקנות הגנת הפרטיות.
ברשות להגנת הפרטיות מדגישים כי משימת אבטחת המידע בחברות וארגונים אינה אירוע חד פעמי אלא תהליך מורכב ומתמשך, הדורש בדיקות עיתיות, עדכונים שוטפים והערכת סיכונים מתמדת, בהתאם לרמת אבטחת המידע הנדרשת. בהתאם לממצאי הפיקוח קבעה הרשות, כי חברת כביש 6 הפרה את הוראות חוק הגנת הפרטיות ותקנותיו וכן דרשה מהחברה לבצע מספר פעולות מתקנות.
