$
דו"ח טכנולוגי

דו"ח טכנולוגי

הפרצה באפליקציית הבוחרים ממחישה עד כמה המדינה מזלזלת במידע שלנו

שימוש במידע פרטי הפך לסוגיה חשובה בעולם בשנה האחרונה, אבל בישראל, מעצמת הסייבר, הרשויות לא עושות דבר כדי להגן על המידע של האזרחים וחמור מכך - הן אף מסכנות אותו בעצמן; אמזון דורשת תצהיר מטראמפ אובר עדיין בצרות והסינים שוב עומדים מאחורי פריצת סייבר משמעותית

עומר כביר 18:2311.02.20
כשאנשי הרשות להגנת הפרטיות במשרד המשפטי הואילו אתמול סוף סוף להטריח עצמם ממשרדיהם בירושלים ולהגיע לאשקלון, על מנת לבדוק מה קורה בדיוק במערכות של חברת אלקטור, זה כבר היה מאוחר מדי. פנקס הבוחרים ובו פרטיהם האישיים של 6.5 מיליון ישראלים בעלי זכות בחירה – שם, כתובת, מספר תעודת זהות ועוד – היה כבר חשוף ברשת, לא ברור במשך כמה זמן, ונגיש לכל אחד (וגם לעולם לא נדע כנראה האם הורד על ידי גורמים עוינים, למשל מדינה שמעוניינת להתערב בהליכים דמוקרטיים). ההודעה התקיפה של הרשות הליך הפיקוח שערכה היא בבחינת מעט מדי ומאוחר מדי, שקולה לנעילת דלתות האורווה אחרי שהסוסים נמלטו, האורווה נשרפה והסוסים ניצודו ונמכרו למפעל לייצור דבק.

 

אבל הבעיה כאן היא לא רשות הפרטיות, או יותר נכון לא רק רשות הפרטיות. כל הפרשה הזו, דליפת המידע, האפליקציות עצמן, שהפעילות שלהן נחשפה בכלכליסט בשבוע שעבר, התגובה הרפה של הרשויות עוד בטרם התגלתה הדליפה, הכל נובע מתפיסות עולם מוטעות, מיחס שגוי לחשיבות פרטיות המידע ולצורך להגן עליו נתונים אישיים של אזרחים, ומגישה של רחיצת הידיים מאחריות והטלתה על גורמים אחרים.

ספר הבוחרים כולל מידע שהאקרים יכולים לעשות ממנו מטעמים ספר הבוחרים כולל מידע שהאקרים יכולים לעשות ממנו מטעמים צילום: The Independent

 

בכל הנוגע להתנערות מאחריות, הדבר בלט היטב לכל אורך השבוע האחרון. כאשר חשפתי בכלכליסט את פעילות האפליקציות, והתרעתי על הסכנות השונות שהשימוש בה יכול ליצור (ובפרט, על האפשרות האמיתית שהמאגר ידלוף, כפי שהתברר שאכן קרה בסופו של דבר), תהיתי האם מישהו מהגורמים הרלוונטיים דואג לנו, האם מישהו מפקח על השימוש שנעשה במידע שלנו? התחנה הראשונה היתה ועדת הבחירות המרכזית. אבל שם טענו שהנושא "נוגע לסוגיית הגנת הפרטיות ושימוש במאגרי מידע, שאינם בסמכות ועדת הבחירות המרכזית". כלומר, הרגולטור של הבחירות בישראל לא מוטרד מאפליקציות שיכולות להשפיע בצורה לא הוגנת על תוצאות הבחירות. לא האחריות שלו.

 

התחנה הבאה היתה הרשות להגנת הפרטיות, רגולטור הפרטיות ומאגרי המידע של ישראל. אבל שם, הסתפקו באחריות מינימלית בלבד ומהלכיהם לקראת הבחירות הסתכמו, לדבריהם בפרסום "מסמך רענון מפורט" בנושא שימוש במידע מפנקס הבוחרים והזמנת נציגי המפלגות לכנסים בנושא. כלומר, אימייל בכנס. ומה לגבי ביקורת שוטפת על פעילות החברות שמפתחות את אפליקציות אלו? מייסד ומנכ"ל אלקטור, צור ימין, סיפר על כך לכלכליסט: "יום אחרי שפתחנו את החברה פנו אלי מהרשות להגנת הפרטיות במשרד המשפטים וירדו אתי לרזולוציות מאוד נמוכות שרק אנשי תוכנה יכולים לרדת אליהן – איך אתה מאבטח, מי חשוף למידע, מה יקרה במקרה של מתקפה. חתמתי על תצהיר של 20 עמודים שמתאר את אופן הפעילות שלנו, וחזרו אליי עם אינספור תיקונים ובקשות להבהרה. וזה עוד לפני שהתחלנו לעבוד עם הלקוח הראשון".

 

נשמע יפה, עד שמבינים שבסופו של דבר מה שקרה כאן זה שאנשי הרשות שאלו את ימין, "מה אתה עושה?", הוא ענה להם: "הנה", והם השיבו: "אז אולי כדאי שתעשה גם את זה". ובכך, פחות או יותר, זה נגמר. האחריות של הרשות התמצתה אז בקבלת מידע והבטחות ממפעיל האפליקציה, בלי שום בדיקה בשטח. וזו, למרות שידעה שמדובר במידע מהרגיש ביותר שיש. וגם הגורמים האחראים ישירות לדליפת המידע מתנערים מאחריות, או לפחות לא מקבלים אותה במלואה. אחרי שנחשפה הפרצה נמסר מאלקטור ש"מדובר באירוע נקודתי שטופל באופן מיידי, ובעקבותיו תוגברה האבטחה באופן משמעותי". התנצלות? לקיחת אחריות בפה מלא? הודאה בכישלון או במחדל? לא תודה. אין מה לראות כאן, תמשיכו הלאה.

 

מרתיחה יותר היתה תגובת הליכוד. "סוכל ניסיון לחבל במאמצים לגייס את מצביעי הליכוד להצביע בבחירות", נמסר מהמהפלגה. "בעקבות כך, האבטחה על פעילות האתרים תוגברה. יודגש כי מדובר בספק תוכנה חיצוני שנותן שירותים למפלגות רבות".

צור ימין מייסד מנכ"ל אלקטור אותה מאשימים בליכוד באחריות לפרצה צור ימין מייסד מנכ"ל אלקטור אותה מאשימים בליכוד באחריות לפרצה צילום: גדי קבלו

 

אם מנתחים את התגובה לעומק ניתן להסיק מספר דברים. ראשית, הטענה לסיכול ניסיון לחבל במאמצי גיוס המצביעים. מי שחשף את הפרצה הוא רן בר זיק, מתכנת בכיר בוורייזון מדיה שבתור תחביב מזהה ומדווח על פרצות אבטחה ודליפות של מאגרי מידע. הוא לא חיפש את הליכוד, הוא לא חיפש את אלקטור (למעשה, במקרה זה הוא לא חיפש כלום: המידע על הפרצה הגיע אליו כטיפ אנונימי). הוא מחפש רק, באמת ובתמים, לשנות את תפיסת אבטחת המידע בישראל להרים אותה כמה רמות למעלה. בין השאר באמצעות זיהוי נקודות חולשה פעילות לתיקונן, וכן גם פרסום המידע ברבים, בעיקר על מנת להתריע ולחנך את השוק.

 

החלק השני, "האבטחה על פעילות האתרים תוגברה", מזכיר את הפשיטה של רשות הפרטיות. עכשיו באים? תדאגו לתגבור האבטחה לפני שהמידע דולף, לא אחרי שכבר היה חשוף לכל. עכשיו, זה לא ממש עוזר לנו. ואז מגיעה הסיפא של התגובה: "מדובר בספק תוכנה חיצוני". או, במילים אחרות, עזבו אותנו באמ'שלכם, זה בכלל לא אנחנו, זה פופטיץ. האחריות היא לא שלנו, אנחנו סמכנו על החברה. דוברים ומגיבים מטעם הליכוד שיקפו את התפיסה הזו בניסיון להדוף את הביקורת של המפלגה, כשהם טוענים שאין זה נכון להטיל עליה את האחריות למעשים של גורם אחר.

 

הגישה הזו מוטעה מהיסוד, וסביר להניח שהדוברים יודעים זאת. על גוף שמעביר מידע רגיש לצד שלישי, במיוחד מידע שהופקד למשמרתו, חלה האחריות לוודא שהצד השלישי עומד בתקני האבטחה הדרושים, לדעת בוודאות שהמידע שהוא מוסר לא יהיה מוגן. כל ארגון מקצועי נוהג כך, ומבצע הליכים אימות ובקרה אצל גורמים שבידיהם הוא מפקיד מידע, ובמקרים רבים מדובר אף בחובה חוקית. הכשל אולי היה אצל אלקטור, אבל האחריות היא כולה של הליכוד.

 

ואולם מעבר להתנערות הכוללת מאחריות הפרשה הזו ממחישה בעיה עמוקה יותר, כזו שעומדת בלב המקרה ושמקרינה לחלקים אחרים של המשטר בישראל: יחס אגבי, אפילו מזלזל, בכל הנוגע למידע האישי של אזרחי ישראל, שייתכן ונובע מתפיסה שהמידע הזה בכלל לא שייך להם אלא למדינה. ראינו את זה במגוון מקרים (כמו, למשל, ההחלטה לאסוף טביעות אצבע ותמונות פנים של כל אזרחי ישראל ולרכז אותן במאגר ביומטרי, מבלי שעד היום ניתן צידוק לכך).

אורלי עדס מנכ"לית ועדת הבחירות המרכזית אורלי עדס מנכ"לית ועדת הבחירות המרכזית צילום: אלכס קולומויסקי

 

אבל פנקס הבוחרים, שנמצא בלב הפרשה הזו, הוא הדוגמה הבולטת ביותר. הפנקס, רישום מלא ועדכני של כל בעלי זכות הבחירה בישראל, ניתן מדי מערכת בחירות למפלגות מכוח חוק. כפי שציין השבוע עו"ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות. בעבר היה בזה היגיון: המפלגות צריכות ליצור קשר ישיר עם בוחרים, ובעידן טרום האינטרנט האפשרות היחידה היתה הדואר. ולכן יש מקום לספק להן את רשימת כל בעלי זכות הבחירה וכתובתם.

 

אבל בעשורים האחרונים הרבה דברים השתנו. מפלגות כבר לא צריכות לפנות אלינו בדואר או אפילו לצלצל בטלפון. יש להן דרכים יעילות הרבה יותר להגיע לבוחרים, בלי צורך במידע שקיים בפנקס הבוחרים – פעילות "אורגנית" ברשתות חברתיות, פרסום ממוקד בהן, הודעות SMS מציקות. בשלוש מערכות הבחירות האחרונות יש סיכוי גבוה שנתקלתם בפנייה באחת מהדרכים האלו, ולא בגלויה או מברק שנשלח אליכם בניסיון לשכנע אתכם להצביע.

 

במקביל, היכולת להפיץ מידע זה והסכנה שבהפצתו גדולים מתמיד. בעבר, סופק הפנקס בספרים ענקיים – פורמט שקשה להפיץ, וגם בכל מקרה לא היה איך להפיץ אותו. עם המעבר לשימוש במחשבים, החלו המפלגות לקבל את הפנקס על גבי CD-ROM, וזה כנראה המצב גם היום. את הפנקס בגרסתו הדיגיטלית קל לשכפל, קל עוד יותר להפיץ ולהעביר, וכבר היו בעבר מקרים של דליפת פנקס הבוחרים לבדו לרשת (המקרה הנוכחי שונה, שכן בנוסף לפנקס הבוחרים נחשף גם מידע נוסף שנצבר בליכוד על ישראלים, כמו מספרי סלולר וסטטוס תמיכה).

עו"ד יהונתן קלינגר עו"ד יהונתן קלינגר צילום: גיא אסיאג

 

כלומר, הצורך של המפלגות בפנקס הבוחרים קטן, אבל הסכנות שבמסירתו להן זינק משמעותית. אז למה הן ממשיכות המפלגות לקבל אותו? כי אף אחד לא טרח לעצור ולבדוק האם עדיין יש בכך צורך, והאם הוא משמש בכלל למטרה שלשמה נועד (ולא, למשל, כבסיס ליצירת מאגר מידע מפותח שיאפשר להשפיע על תוצאות הבחירות). זה נובע בחלקו מאינטרסנטיות של המפלגות – בסופו של דבר נציגיהן הם אלו שקובעים את החוק, ולמה שהם ישנו אותו לרעתם? אבל במידה רבה יותר זה נובע מתפיסה אדנותית שהמידע של האזרח הוא לא באמת שלו, ושלממשל וזרועותיו השונות יש זכות לעשות בו כרצונו.

 

וכשזו התפיסה, אין מה להתפלא שמפלגות מלהטטות בפנקס הבוחרים, מעשירות אותו במידע, מוסרות אותו לגורמים אחרים בלי שמץ של אחריות וכשהכל מתפוצץ הן וכל מי שבסביבה ממהר להתנער מאחריות. יאללה, אפשר לחשוב, כולה השם ומספר תעודת הזהות שלך, ומי אמר בכלל שהם שלך? כלום לא קרה. ואם כבר קרה, אז מה קרה?

 

קצרצרים

 

1. אמזון לא ממש אהבה את החלטת הפנטגון שלא להעניק לה את חוזה 10 מיליארד הדולר לאספקת שירותי ענן. אז היא החליטה לקחת את ממשל טראמפ לבית המשפט, ובין השאר דורשת לגבות תצהיר מדונלד טראמפ עצמו, בטענה שהוא מוטה נגד החברה. בין מייסד ומנכ"ל אמזון, ג'ף בזוס, לטארמפ יש איבה לא בדיוק סודית, תוצאה של הביקורת החריפה שמותח הוושינגטון פוסט (שבבעלות בזוס) על טראמפ. נאחל בהצלחה לשני הצדדים.

בזוס לטראמפ: תביא תצהיר לבית המשפט בזוס לטראמפ: תביא תצהיר לבית המשפט צילום: איי אף פי

 

2. ובקליפורניה, בינתיים, דחה בית משפט את בקשת אובר להוציא צו מניעה זמני נגד החוק שיחייב אותה להתייחס לנהגים שלה במדינה כאל עובדים ולהעניק להם כל מיני הטבות שערוריותיות כמו שכר נורמלית. המשמעות היא שהחוק יהיה בתוקף לכל אורך הדיונים בעתירה של אובר נגדו, והחברה צפויה לשלם על כך בדו"חות הכספיים שלה.

 

3. משרד המשפטים האמריקאי האשים אנשי מודיעין בצבא סין בפרצה למאגר המידע של חברות דירוג האשראי Equifax, שחשפה נתונים פיננסיים רגישים של מיליוני אמריקאים. לדברי גורמים רשמיים, המתקפה גובתה על ידי השלטונות בבייג'ינג, כחלק ממאמצים סדירים לגנוב מידע פרטי לצורך שימוש במבצעי מודיעין ועל מנת לסייע לפעילות של חברות מקומיות. אגב, אל תצפו מסין להסגיר את ארבעת הנאשמים לסין – הגשת כתב האישום במקרה זה היא מהלך יחצני בעיקרו.
בטל שלח
    לכל התגובות
    x