הקלות הבלתי נסבלת שבגניבת פרטי כרטיסי אשראי בישראל
כשם שנחשף לאחרונה, כל חברות כרטיסי האשראי הישראליות אינן עומדות בתקן אבטחת המידע PCI-DSS. נראה, כי חיוב עסקים בישראל בסטנדרט האבטחה כאמור, בכל הנוגע למאגרי מידע מסוג פרטי כרטיסי אשראי, יצמצם את גניבת פרטי כרטיסי אשראי והמידע הפרטי של המחזיקים בהם
עו"ד אבגי אדמית
| 30/12/2014
עו"ד אדמית אבגי
גניבת פרטי כרטיסי אשראי ומידע רגיש ממאגרי מידע אלקטרוניים רבים הפכו היום לדבר שבשגרה. רק בשנת 2014, נפלו חברות ענק רבות כ"קורבן" לגניבת פרטי לקוחות ומשתמשים ממאגרי המידע שלהן, ביניהם רשתות הקמעונאות הגדולות בארה"ב: טארגט קורפ (גניבה של כ-70 מיליון מספרי אשראי ועוד מיליוני פרטים אחרים של לקוחות)[1], הום דיפו (גניבה של 56 מיליון פרטי כרטיסי אשראי ו- 53 מיליון כתובות דוא"ל) ,סטייפלס (גניבה של 1.16 מיליון פרטי כרטיסי אשראי)[2].
בעוד שבארה"ב התקפות סייבר אלו התגלו עקב חובת הדיווח החלה על החברות, בישראל, משלא חלה חובת דיווח כאמור (ואף לאחרונה נדחתה הצעת חוק אשר ביקשה לחייב בעל מאגר מידע או מחזיק במאגר מידע לדווח על מאגר שנפרץ[3]), לא ידוע היקף הפריצה למאגרי המידע וגניבת הפרטים מהם. פרשות שונות בישראל, ביניהם פרשת לאומי קארד, מנובמבר 2014, בה נגנבו, על ידי עובדים ועובדים לשעבר, כ-2 מיליון פרטי כרטיסי אשראי ישראליים[4], ממחישות, כי גם בישראל היקף התופעה הינו נרחב.
תופעה זו, הלכה למעשה, גורמת לצרכנים רבים באינטרנט לחשוש מלעשות עסקאות ואף חמור מכך, להימנע מלעשות עסקאות, ומכאן גורמת התופעה לחוסר נוחות לציבור ו/או מהוה מכשול עבורו להשתמש בזכותו לעשות עסקאות בחופשיות וללא חשש, היכולה לעלות כדי עוולת מטרד לציבור שבפקדות הנזיקין [נוסח חדש] ולזכות את הנפגע בסעדים שונים מכוח הפקודה[5].
ועוד, גניבת פרטי אשראי ופרטים אישיים אחרים ממאגרי מידע של חברות האשראי עצמן ו/או חברות אחרות, פרטיות או ציבוריות, למעשה דורשת מכל מחזיק בכרטיס אשראי לבדוק לעיתים תכופות את העסקאות הנעשות בכרטיס ומעמידה אותו כחסר אונים בניסיון להתגונן מפני התופעה. מעבר לפיצויים ללא הוכחת נזק בשיעור של עד 50,000 ש"ח העומדת למי שפרטיו נגנבו כתוצאה מהפרת הוראות חוק הגנת הפרטיות[6], בפסיקה נפסק זה מכבר, כי גם חוסר נוחות הוא בגדר "נזק" המזכה את הנפגע לסעד מכוח פקודת הנזיקין[7].
הקלות הבלתי נסבלת שבגניבת פרטי כרטיסי אשראי ופרטים רגישים אחרים ממאגרי מידע אלקטרוניים, מעלה את השאלה: האם ניתן למנוע זאת או לכל הפחות לצמצם את התופעה? התשובה לכך, היא חיובית ומתבטאת בחלקו בהוראות החוק, התקנות והפסיקה ובסטנדרט אבטחה מקובל בעולם, הנוגעות לאחזקה וניהול מאגרי מידע מסוג פרטי כרטיסי אשראי על ידי גופים פרטיים:
חוק הגנת הפרטיות חל על מאגרי מידע אלקטרוניים[8]. "מידע" לצורך המאגר מוגדר, כמידע על מעמדו האישי של אדם והכשרתו המקצועית, המהווים "מידע רגיל", וכן מידע על: אישיותו של אדם (כגון: מידע דמוגרפי, קורות חיים, ראיון אישי, מידע ביומטרי, עבר פלילי, נתוני תקשורת ועוד), צנעת אישיותו (כגון: נטייה מינית קשרים משפחתיים), מצב בריאותו (כגון: מצב רפואי, מידע גנטי וכד'), מצבו הכלכלי (כגון: נכסים, חובות, משכורת, פרטי כרטיס אשראי, הרגלי צריכה או התנהגות כלכלית, נתוני תקשורת), דעותיו (כגון: דעות פוליטיות) ואמונתו (כגון: השתייכות דתית, כת), המהווים "מידע רגיש"[9].
סעיף 8(א) לחוק הגנת הפרטיות קובע, כי לא ינהל אדם ולא יחזיק מאגר מידע החייב ברישום אלא אם כן התקיימו החריגים שבסעיף. סעיף 8(ג) לחוק קובע, כי מאגר יהיה חייב ברישום אם נתקיים בו אחת מאלה: מספר האנשים שבמאגר המידע עולה על 10,000, יש במאגר מידע רגיש, המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה, המאגר הוא של גוף ציבורי כהגדרתו בחוק והמאגר משתמש לשירות דיוור ישיר.
על פי תכלית החוק "מטרת רישום המאגר היא להבטיח את ההגנה על הפרטיות במאגרי מידע, ולתת כלים, הן בידי רשם מאגרי המידע, והן בידי הציבור שמידע עליו מנוהל במאגרי המידע, לאכוף את הזכויות והחובות המוטלות בחוק הגנת הפרטיות על בעלי מאגרים."[10] מכאן שכל מאגר מידע הנוגע לפרטי כרטיסי אשראי חייב ברישום.
סעיף 17 לחוק הגנת הפרטיות, מטיל אחריות, על בעל, מחזיק או מנהל מאגר מידע, לאבטחת המידע שבמאגר. "אבטחת מידע" מוגדרת בסעיף 7 לחוק כהגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין.
תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים) התשמ"ו-1986, קובעות הוראות כלליות לניהול מאגר מידע בהם נקבע, כי מנהל מאגר אחראי לנקיטת האמצעים הדרושים לשם קיום תקנות אלה, בהתאם לנסיבות השימוש במאגר המידע שעליו הוא מופקד[11].
בנוסף, התקנות קובעות כי מנהל המאגר, אחראי לאבטחת המידע במאגר, בין היתר, בתחומים הללו: קיום הגנה פיסית על מערכת עיבוד הנתונים האוטומאטית ועל תשתיתה; עריכת רשימה מעודכנת של מורשי הגישה למאגר המידע לפי הרשאות הכניסה השונות; החתמת מורשי הגישה על התחייבות לשמירה על סודיות; נקיטת אמצעי אבטחה סבירים, בהתאם לרמת רגישות המידע, שימנעו חדירה מכוונת או מקרית למערכת אל מעבר לתחומי המידע שאושרו למשתמש; ועוד.
בעוד שהחוק והתקנות קובעות חובה ברורה לאבטחת מאגרי מידע, לא ברור מהם כלל מהם האמצעים הדרושים ו/או הסבירים שעל בעל, מחזיק או מנהל מאגר מידע לנקוט בכדי לעמוד בדרישותיהן, וככל הנראה עניין זה יהיה נתון להכרעתו של בית המשפט, אשר לעניין זה יכול וישקול שיקולים כגון: סוג המאגר והחשיבות של הזכות לפרטיות בנוגע לו, העלות שבנקיטת האמצעי למול התועלת שלו, קיומו של סטנדרט או נוהג אבטחה קיים, גזירה שהציבור לא יכול לעמוד בה, אינטרסים ציבוריים, תקנת הציבור ועוד.
בהקשר לזה, נראה כי אימוץ תקן אבטחת המידע PCI-DSS, כסטנדרט, מטעם מועצת PCI, המורכבת מחמש חברות האשראי הגדולות: ויזה, מסטרקארד, JCB, Discover ואמריקן-אקספרס, והחל משנת 2013 מחייבות הן כל בית-עסק חדש המבקש לבצע סליקת אשראי באמצעותן לעמוד בסטנדרדט, נותן מענה לדרישות האבטחה שבחוק. בהתאם לתקן: אסור לשמור - פס מגנטי, CVV2/CVV/CID וקוד סודי; יש להצפין את מספרי כרטיסי האשראי; יש להגן על נתוני הכרטיס האחרים; למדר את הגישה של העובדים למערכות ולמידע על הכרטיסים; להצפין תעבורת נתונים ועוד[12].
כשם שנחשף לאחרונה, כל חברות כרטיסי האשראי הישראליות אינן עומדות בתקן האמור, והדבר חמור שעה שמחייבות עסקים אחרים בו ולאור העובדה, כי נתונות הן למתקפות חוזרות ונשנות, והלכה למעשה מפירות את החוק. נראה, כי חיוב עסקים בישראל בסטנדרט האבטחה כאמור בכל הנוגע למאגרי מידע מסוג פרטי כרטיסי אשראי, יצמצם את התופעה ואף אולי ימנע אותה.
*עו"ד אבגי אדמית מתמחה במשפט טכנולוגיה, סייבר ומידע, מייצגת ונותנת שירותים משפטיים ליחידים, יזמים וחברות ובעלת משרד עורכי דין בתחום. עו"ד אדמית הינה חוקרת משפט הסייבר באוניברסיטאות תל אביב וחיפה ובעלת ניסיון של שנים בתחום הסייבר בין היתר מתוקף עבודתה בחברת RSA כאנליסטית וחוקרת הונאות באינטרנט.
[1] http://www.calcalist.co.il/internet/articles/0,7340,L-3621588,00.htmlכתבה על טארגט קורפ וגניבת הפרטים:
[2] http://www.calcalist.co.il/world/articles/0,7340,L-3647831,00.html כתבה על סטייפלס וגניבת הפרטים:
[3] כשם שחשפה לימור לבנת בדף הפייסבוק שלה בהצבעה מיום 23 נובמבר 2014 https://www.facebook.com/155726207778990/photos/a.170107533007524.38133.155726207778990/887908484560755/?type=1&theater
[4] http://www.ynet.co.il/articles/0,7340,L-4592163,00.html כתבה על הפרשה http://www.calcalist.co.il/internet/articles/0,7340,L-3645199,00.html נתונים בעקבות הפרשה
[5] סעיף 42 לפקודת הנזיקין [נוסח חדש]
[6] סעיף 29א לחוק הגנת הפרטיות
[7] ת"צ 38449-04-11 שטיין נ' יוניליוור ישראל מזון
[8] כהגדרת "מאגר מידע" בסעיף 7 לחוק הגנת הפרטיות - "סעיף 7 לחוק הגנת הפרטיות מגדיר מהו "מאגר מידע" אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב".
[9] http://index.justice.gov.il/Units/ilita/faq/Pages/faqregistration.aspxסעיף 7 לחוק הגנת הפרטיות; הנחיות רמו"ט בנושא :
[10] ראה הנחיות רמו"ט בנושא http://index.justice.gov.il/Units/ilita/faq/Pages/faqregistration.aspx
[11] סעיף 3(א) לתקנות
כשם שנחשף לאחרונה, כל חברות כרטיסי האשראי הישראליות אינן עומדות בתקן אבטחת המידע PCI-DSS. נראה, כי חיוב עסקים בישראל בסטנדרט האבטחה כאמור, בכל הנוגע למאגרי מידע מסוג פרטי כרטיסי אשראי, יצמצם את גניבת פרטי כרטיסי אשראי והמידע הפרטי של המחזיקים בהם
עו"ד אדמית אבגי
גניבת פרטי כרטיסי אשראי ומידע רגיש ממאגרי מידע אלקטרוניים רבים הפכו היום לדבר שבשגרה. רק בשנת 2014, נפלו חברות ענק רבות כ"קורבן" לגניבת פרטי לקוחות ומשתמשים ממאגרי המידע שלהן, ביניהם רשתות הקמעונאות הגדולות בארה"ב: טארגט קורפ (גניבה של כ-70 מיליון מספרי אשראי ועוד מיליוני פרטים אחרים של לקוחות)[1], הום דיפו (גניבה של 56 מיליון פרטי כרטיסי אשראי ו- 53 מיליון כתובות דוא"ל) ,סטייפלס (גניבה של 1.16 מיליון פרטי כרטיסי אשראי)[2].
בעוד שבארה"ב התקפות סייבר אלו התגלו עקב חובת הדיווח החלה על החברות, בישראל, משלא חלה חובת דיווח כאמור (ואף לאחרונה נדחתה הצעת חוק אשר ביקשה לחייב בעל מאגר מידע או מחזיק במאגר מידע לדווח על מאגר שנפרץ[3]), לא ידוע היקף הפריצה למאגרי המידע וגניבת הפרטים מהם. פרשות שונות בישראל, ביניהם פרשת לאומי קארד, מנובמבר 2014, בה נגנבו, על ידי עובדים ועובדים לשעבר, כ-2 מיליון פרטי כרטיסי אשראי ישראליים[4], ממחישות, כי גם בישראל היקף התופעה הינו נרחב.
תופעה זו, הלכה למעשה, גורמת לצרכנים רבים באינטרנט לחשוש מלעשות עסקאות ואף חמור מכך, להימנע מלעשות עסקאות, ומכאן גורמת התופעה לחוסר נוחות לציבור ו/או מהוה מכשול עבורו להשתמש בזכותו לעשות עסקאות בחופשיות וללא חשש, היכולה לעלות כדי עוולת מטרד לציבור שבפקדות הנזיקין [נוסח חדש] ולזכות את הנפגע בסעדים שונים מכוח הפקודה[5].
ועוד, גניבת פרטי אשראי ופרטים אישיים אחרים ממאגרי מידע של חברות האשראי עצמן ו/או חברות אחרות, פרטיות או ציבוריות, למעשה דורשת מכל מחזיק בכרטיס אשראי לבדוק לעיתים תכופות את העסקאות הנעשות בכרטיס ומעמידה אותו כחסר אונים בניסיון להתגונן מפני התופעה. מעבר לפיצויים ללא הוכחת נזק בשיעור של עד 50,000 ש"ח העומדת למי שפרטיו נגנבו כתוצאה מהפרת הוראות חוק הגנת הפרטיות[6], בפסיקה נפסק זה מכבר, כי גם חוסר נוחות הוא בגדר "נזק" המזכה את הנפגע לסעד מכוח פקודת הנזיקין[7].
הקלות הבלתי נסבלת שבגניבת פרטי כרטיסי אשראי ופרטים רגישים אחרים ממאגרי מידע אלקטרוניים, מעלה את השאלה: האם ניתן למנוע זאת או לכל הפחות לצמצם את התופעה? התשובה לכך, היא חיובית ומתבטאת בחלקו בהוראות החוק, התקנות והפסיקה ובסטנדרט אבטחה מקובל בעולם, הנוגעות לאחזקה וניהול מאגרי מידע מסוג פרטי כרטיסי אשראי על ידי גופים פרטיים:
חוק הגנת הפרטיות חל על מאגרי מידע אלקטרוניים[8]. "מידע" לצורך המאגר מוגדר, כמידע על מעמדו האישי של אדם והכשרתו המקצועית, המהווים "מידע רגיל", וכן מידע על: אישיותו של אדם (כגון: מידע דמוגרפי, קורות חיים, ראיון אישי, מידע ביומטרי, עבר פלילי, נתוני תקשורת ועוד), צנעת אישיותו (כגון: נטייה מינית קשרים משפחתיים), מצב בריאותו (כגון: מצב רפואי, מידע גנטי וכד'), מצבו הכלכלי (כגון: נכסים, חובות, משכורת, פרטי כרטיס אשראי, הרגלי צריכה או התנהגות כלכלית, נתוני תקשורת), דעותיו (כגון: דעות פוליטיות) ואמונתו (כגון: השתייכות דתית, כת), המהווים "מידע רגיש"[9].
סעיף 8(א) לחוק הגנת הפרטיות קובע, כי לא ינהל אדם ולא יחזיק מאגר מידע החייב ברישום אלא אם כן התקיימו החריגים שבסעיף. סעיף 8(ג) לחוק קובע, כי מאגר יהיה חייב ברישום אם נתקיים בו אחת מאלה: מספר האנשים שבמאגר המידע עולה על 10,000, יש במאגר מידע רגיש, המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה, המאגר הוא של גוף ציבורי כהגדרתו בחוק והמאגר משתמש לשירות דיוור ישיר.
על פי תכלית החוק "מטרת רישום המאגר היא להבטיח את ההגנה על הפרטיות במאגרי מידע, ולתת כלים, הן בידי רשם מאגרי המידע, והן בידי הציבור שמידע עליו מנוהל במאגרי המידע, לאכוף את הזכויות והחובות המוטלות בחוק הגנת הפרטיות על בעלי מאגרים."[10] מכאן שכל מאגר מידע הנוגע לפרטי כרטיסי אשראי חייב ברישום.
סעיף 17 לחוק הגנת הפרטיות, מטיל אחריות, על בעל, מחזיק או מנהל מאגר מידע, לאבטחת המידע שבמאגר. "אבטחת מידע" מוגדרת בסעיף 7 לחוק כהגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין.
תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים) התשמ"ו-1986, קובעות הוראות כלליות לניהול מאגר מידע בהם נקבע, כי מנהל מאגר אחראי לנקיטת האמצעים הדרושים לשם קיום תקנות אלה, בהתאם לנסיבות השימוש במאגר המידע שעליו הוא מופקד[11].
בנוסף, התקנות קובעות כי מנהל המאגר, אחראי לאבטחת המידע במאגר, בין היתר, בתחומים הללו: קיום הגנה פיסית על מערכת עיבוד הנתונים האוטומאטית ועל תשתיתה; עריכת רשימה מעודכנת של מורשי הגישה למאגר המידע לפי הרשאות הכניסה השונות; החתמת מורשי הגישה על התחייבות לשמירה על סודיות; נקיטת אמצעי אבטחה סבירים, בהתאם לרמת רגישות המידע, שימנעו חדירה מכוונת או מקרית למערכת אל מעבר לתחומי המידע שאושרו למשתמש; ועוד.
בעוד שהחוק והתקנות קובעות חובה ברורה לאבטחת מאגרי מידע, לא ברור מהם כלל מהם האמצעים הדרושים ו/או הסבירים שעל בעל, מחזיק או מנהל מאגר מידע לנקוט בכדי לעמוד בדרישותיהן, וככל הנראה עניין זה יהיה נתון להכרעתו של בית המשפט, אשר לעניין זה יכול וישקול שיקולים כגון: סוג המאגר והחשיבות של הזכות לפרטיות בנוגע לו, העלות שבנקיטת האמצעי למול התועלת שלו, קיומו של סטנדרט או נוהג אבטחה קיים, גזירה שהציבור לא יכול לעמוד בה, אינטרסים ציבוריים, תקנת הציבור ועוד.
בהקשר לזה, נראה כי אימוץ תקן אבטחת המידע PCI-DSS, כסטנדרט, מטעם מועצת PCI, המורכבת מחמש חברות האשראי הגדולות: ויזה, מסטרקארד, JCB, Discover ואמריקן-אקספרס, והחל משנת 2013 מחייבות הן כל בית-עסק חדש המבקש לבצע סליקת אשראי באמצעותן לעמוד בסטנדרדט, נותן מענה לדרישות האבטחה שבחוק. בהתאם לתקן: אסור לשמור - פס מגנטי, CVV2/CVV/CID וקוד סודי; יש להצפין את מספרי כרטיסי האשראי; יש להגן על נתוני הכרטיס האחרים; למדר את הגישה של העובדים למערכות ולמידע על הכרטיסים; להצפין תעבורת נתונים ועוד[12].
כשם שנחשף לאחרונה, כל חברות כרטיסי האשראי הישראליות אינן עומדות בתקן האמור, והדבר חמור שעה שמחייבות עסקים אחרים בו ולאור העובדה, כי נתונות הן למתקפות חוזרות ונשנות, והלכה למעשה מפירות את החוק. נראה, כי חיוב עסקים בישראל בסטנדרט האבטחה כאמור בכל הנוגע למאגרי מידע מסוג פרטי כרטיסי אשראי, יצמצם את התופעה ואף אולי ימנע אותה.
*עו"ד אבגי אדמית מתמחה במשפט טכנולוגיה, סייבר ומידע, מייצגת ונותנת שירותים משפטיים ליחידים, יזמים וחברות ובעלת משרד עורכי דין בתחום. עו"ד אדמית הינה חוקרת משפט הסייבר באוניברסיטאות תל אביב וחיפה ובעלת ניסיון של שנים בתחום הסייבר בין היתר מתוקף עבודתה בחברת RSA כאנליסטית וחוקרת הונאות באינטרנט.
[1] http://www.calcalist.co.il/internet/articles/0,7340,L-3621588,00.htmlכתבה על טארגט קורפ וגניבת הפרטים:
[2] http://www.calcalist.co.il/world/articles/0,7340,L-3647831,00.html כתבה על סטייפלס וגניבת הפרטים:
[3] כשם שחשפה לימור לבנת בדף הפייסבוק שלה בהצבעה מיום 23 נובמבר 2014 https://www.facebook.com/155726207778990/photos/a.170107533007524.38133.155726207778990/887908484560755/?type=1&theater
[4] http://www.ynet.co.il/articles/0,7340,L-4592163,00.html כתבה על הפרשה http://www.calcalist.co.il/internet/articles/0,7340,L-3645199,00.html נתונים בעקבות הפרשה
[5] סעיף 42 לפקודת הנזיקין [נוסח חדש]
[6] סעיף 29א לחוק הגנת הפרטיות
[7] ת"צ 38449-04-11 שטיין נ' יוניליוור ישראל מזון
[8] כהגדרת "מאגר מידע" בסעיף 7 לחוק הגנת הפרטיות - "סעיף 7 לחוק הגנת הפרטיות מגדיר מהו "מאגר מידע" אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב".
[9] http://index.justice.gov.il/Units/ilita/faq/Pages/faqregistration.aspxסעיף 7 לחוק הגנת הפרטיות; הנחיות רמו"ט בנושא :
[10] ראה הנחיות רמו"ט בנושא http://index.justice.gov.il/Units/ilita/faq/Pages/faqregistration.aspx
[11] סעיף 3(א) לתקנות
