מאניית עיבוד מידע אישי מסכנת את אזרחי ישראל

אלה ימים רעים לפרטיות. ישראל נתונה למתקפת סייבר. מאגרי מידע נפרצים ודולפים לרוב. מידע אינטימי על מאות אלפי ישראלים נגנב מאתר הקהילה ההומסקסואלית, אטרף, והתוקפים מפיצים אותו בטלגרם. בית החולים הלל יפה בחדרה שותק בעקבות מתקפת כופרה שנעלה את קבציו. מידע רפואי ואישי על מאות אלפי מטופלים במכון מור זמין באינטרנט. בתי משפט הוציאו בחיפזון צווים המורים לחסום את הגישה למידע הזה.

עוד בטרם ידועים הפרטים לאשורם, אצבע מאשימה מופנית כלפי החברות המסחריות המפעילות את השירותים שנפרצו. הן התרשלו בשמירה על המידע: הרשות להגנת הפרטיות הודיעה שב-2019 איתרה כשלי אבטחה בחברת סייברסרב, המפעילה את אטרף, והחברה דיווחה לה כי טיפלה בהם. מערך הסייבר הלאומי החרה החזיק אחריה ומסר שבשנה שעברה דיווח לחברה כמה פעמים על בעיות אבטחה והיא לא עשתה דבר בנדון. ח"כ יוראי להב-הרצנו דיווח בהתרגשות לוועדת החוקה על אנשים הפונים אליו לאחר שחרב עליהם עולמם לנוכח חשיפת המידע וידו קצרה מלהושיע. לפחות תביעה ייצוגית אחת כבר הוגשה נגד אטרף. אחרות יגיעו: כאשר האקרים גנבו מידע מחברת הביטוח שירביט, שש תובענות ייצוגיות הוגשו נגדה בתוך ימים.

קל להאשים את החברות שנפרצו, והפרטים המדווחים אכן מטרידים: מי שביקשו להימחק מהמאגר, לא נמחקו בפועל. מידע אינטימי מעין כמותו, על נטיה מינית ומצב בריאותי, לא הוצפן. וכמובן, מאגר המידע הרגיש הזה נפרץ. מי שהתרשל צריך לשלם.

האמנם?

ישראל מאוימת לא רק על ידי פושעי סייבר הפועלים לצורך בצע כסף, אלא גם על-ידי האקטיביסטים החודרים למערכות מחשב מסיבות אידאולוגיות של התנגדות לכיבוש, על-ידי ארגונים חצי-צבאיים נתמכי אירן כמו חיזבאללה וחמאס ועל-ידי מעצמות כדוגמת סין ורוסיה וגם איראן. אף תוקף לא משאיר חתימה שמשיייכת אותו לארגון צבאי ועם זאת מומחי אבטחה טוענים שההתקפות האחרונות הן חלק מ'מבצע תודעה איראני'.

נקבל לרגע את ההנחה ש-8200 האיראני תקף את אטרף. תאגיד פרטי איננו צריך להיות אחראי לנזק שגרמה פעילות צבאית של מדינת אויב. אם טיל אירני היה נופל על משרדי אטרף והורג בהם חלילה אנשים, איש לא היה מעלה על הדעת לתבוע את החברה משום כך. מדוע אם כן היא נדרשת לשאת באחריות לפעולה צבאית בסייבר?

אטרף לא נקטה אמצעי אבטחה ובכך היא משולה לחברה שאנשיה נהרגו מפני שלא קיימה את החובה להקים ממ"ד, אומרים לי בפסקנות ידידים באקדמיה הישראלית.

זוהי חכמה בדיעבד. במציאות, למגינים בסייבר אין סיכוי. בהינתן תוקף נחוש, כל מאגר מידע ייפרץ. המגן צריך לסתום אלף פרצות. זו מלאכה סיזיפית שאין לה סוף. התוקף צריך למצוא נקודת כשל אחת ויחידה. במבט שלאחר מעשה הפירצה האחת לעולם תיראה גדולה ובוהקת כאבטיח בשמש. איש לא יזקוף לזכות החברה שטיפלה באלף פרצות אחרות.

אם אטרף אחראית זה לא מפני שנפרצה, אלא מפני שלא פעלה על בסיס ההנחה שיחדרו אליה: לכן לא הבנתה שיקולים של הגנת הפרטיות במערכות המידע שלה (פעולה הקרויה עיצוב לפרטיות), לא מיזערה את המידע שהיא אוספת ומאחסנת למינימום הדרוש לקיים את מטרת השירות שהציעה ולא מחקה מידע עודף. יש לכל הפעולות האלה עלות כספית ותפעולית. אם אטרף שקלה אותן, היא העדיפה חסכון כספי. לחסכון הזה היה מחיר הרה אסון.

לזכותה ייאמר שהחוק בישראל אינו מחייב אותה לעשות זאת. דיני הגנת פרטיות מודרנים ברחבי עולם, כן – אבל ישראל חיה מכוח חוק מיושן מ-1981. שנים קוראים מומחי משפט לעדכונו, אבל משרד המשפטים פעל בעצלתיים ולא תיקן דבר. הצעה לתיקון שגובשה כעת כוללת תערובת מביכה של הגדרות חדשניות והסדרים מיושנים. גם הכנסת לא הזדרזה לפעול. יש מקום לאופטימיות זהירה ששינוי צפוי: בדיון בוועדת החוקה שהתקיים בעקבות ארועי הסייבר האחרונים – הדיונים האלה תמיד מתקיימים בדיעבד – התחייב יו"ר הוועדה, ח"כ גלעד קריב, שפרטיות תהיה מהנושאים המרכזיים על סדר יומה ב-2022.

גרוע מזה, המדינה פועלת ממש כמו אטרף, על סמך אותה הנחה שגויה שלא תיפרץ לעולם. לכן היא אוספת לאין ערוך יותר מידע מחברות פרטיות. יוזמות כאלה מתרבות כפטריות אחר הגשם: בנק ישראל רוצה את המידע האישי על הרכישות שביצענו בכרטיסי אשראי. משרד התקשורת רוצה את המידע על כל צריכת המדיה והאינטרנט של כל אחד מאיתנו. משרד הבריאות הקים מאגרי מידע ענקיים על כל תושב וכל מי שנוסע לחו"ל. רשות האוכלוסין וההגירה הקימה בלי הרשאה מאגר תמונות פנים שלנו. משטרת ישראל עוקבת אחר התנועה שלנו בדרכים באמצעות מערכת מצלמות מתוחכמת הקרויה עין הנץ. תמונות ביומטריות ממשרד הרישוי הופצו למשרדי ממשלה בחשאי. זה שנים מחזיקים ראש מערך הסייבר הלאומי והממונה על היישומים הביומטרים בממשלה בדעה שאין צורך באיסוף טביעות אצבע למאגר הביומטרי ואפשר להסתפק בתמונות פנים, אבל טביעות אצבע עוד קיימות במאגר. שרי הפנים לא הורו לבער אותן, להפך – הם מבקשים להמשיך לעת עתה באיסופן.

הדוגמה שנותנת המדינה רעה וקשה. לא ייתכן דין אחד למדינה ודין אחר למגזר העסקי-אזרחי.  לכולם יש הצדקות לאיסוף מידע כזה. אלה של המגזר האזרחי טובות לא פחות מאלה של המדינה: החברות הפרטיות מקבלות הסכמה של לקוחותיהם לאיסוף המידע ומציעות תמורה ישירה. המדינה רומסת את הפרטיות מכוח סמכויות שהיא נוטלת לעצמה בחוק. על המדינה לחדול ממאניית עיבוד המידע האישי שתקפה אותה בשנתיים האחרונות, ולמזער את המידע שבידה. אם לא תעשה כן, שלא תבוא בטענות לחברות פרטיות הנוהגות ממש כמוה.

המאמר פורסם לראשונה בבלוג הפרטיות של הכותב בהארץ, מיינד דה גפ.