אפל מול ה-FBI: המלחמה על הפרטיות מגיעה לנקודת רתיחה

הכותרות האחרונות אודות סירובו המהדהד של מנכ"ל אפל, על אף צו מבית המשפט, לפתח 'דלת אחורית' דרכה יוכל ה–FBI לפרוץ למכשיר ה–iPhone של המחבל מסן ברנרנדינו הינן המשך ישיר למלחמה עקובה וממושכת המתנהלת בין מונופולי הטכנולוגיה לגורמי אכיפת החוק בארה"ב.

 מלחמה זו כבר זכתה לכינוי מלחמת הקריפטוגרפיה השנייה, כאשר קדמה לה מלחמת הקריפטוגרפיה הראשונה בשנות ה–90 בה חברות אמריקאיות הוגבלו ע"י הממשל בייצוא של מוצרי הצפנה. מומחי הטכנולוגיה תמימי דעים שאת המלחמה הזו החברות לא יכולות להפסיד. לא בגלל המוניטין שלהם, אלא בגלל האמון הבסיסי במעוז הפרטיות האחרון במרחב הסייבר – הצפנה. השאלה היא מה נשתנה ומדוע הזעקה פורצת דווקא עכשיו? הרי חברת אפל שיתפה פעולה בעבר פעמים רבות עם הממשל, מדוע מקרה זה נתפס כתקדימי וחשוב יותר מקודמיו?

המודל העיסקי של חברת אפל מבוסס על מכירת חומרה לצרכני קצה. בניגוד למונופולי טכנולוגיה כפייסבוק וגוגל, עיבוד מידע אישי אינו לחם חוקה של החברה מה שמאפשר לה להיות נושאת דגל הפרטיות בקרב החברות בעמק הסיליקון. מאז החשיפות של אדוארד סנודן (2013) והעלאת הפרטיות על סדר היום, אפל ממנפת את המודל העיסקי השונה שלה לעומת המתחרות וכתוצאה מכך, הצרכן נהנה מהגנת פרטיות חסרת תקדים.

הפיתוחים הטכנולוגיים האחרונים של אפל, במיוחד בכל הקשור לטלפונים החדשים בעלי מערכת הפעלה מגרסת iOS 9 בהם השתמש המחבל, מצביעים על מודעות גוברת לפרטיות הצרכנים והגנה על מידע ברמות שטרם הכרנו. הפיתוחים כוללים טכנולוגיית טביעת אצבע מתקדמת, וכן ערבול של כתובות וירטואליות ופיזיות על מנת להסוות את נתוני לקוחות. אפל 'יוצאת מגדרה' במונחים טכנולוגים כדי להקשות על גורמים מסחריים, ממשלות, ואפילו אפל עצמה (כמו במקרה המדובר שלנו) לגשת למידע האישי של לקוחותיה. יש לפיתוחים הללו מחיר טכנולוגי מסויים וחווית משתמש קצת פחות 'חלקה' ממה שהורגלנו, אך מהצד השני של כף המאזניים מונח מוניטין החברה ופונטציאל רווח מצרכנים שהגנת הפרטיות הפכה להיות בראש מעייניהם.

טים קוק, מנכ"ל אפל. נעמד על רגליו האחוריות בהגנה על הפרטיות

יחד עם זאת, אפל נהגה בעבר לשתף פעולה עם הממשל עשרות פעמים ולספק מידע מהטלפונים של לקוחותיה על סמך צווי חיפוש. ע"פ רשויות החוק, מאז 2008, אפל איפשרה לרשויות לגשת אל הטלפונים שלה לפחות 70 פעמים. כיצד אם כן ניתן להסביר את ההתנגדות העזה הנוכחית? אפל השקיעה כאמור הרבה מאוד בפיתוח הגרסה האחרונה של מערכת ההפעלה שלה (iOS 9), וטרם פותחו כלי פריצה שיעקפו הגנות שנכון לעכשיו הן בלתי ניתנות לעקיפה עבור הממשל. אמנם הטלפון המדובר נעול ומוצפן, אך התוכנה שפותחת אותו אינה מוצפנת - ואותה בדיוק ה–FBI רוצה לשנות.

הארגון דורש מאפל לפתח תוכנה שתמנע מהמידע על הטלפון להמחק לאחר עשרה נסיונות לא מוצלחים לפתיחתו ובכך לאפשר ניחוש סיסמאות אינטנסטיבי (brute force attack) לצורך פתיחת הטלפון. זוהי דרישה חסרת תקדים שטרם ראינו בעבר. הממשלה מבקשת כאן לפתח גרסה מיוחדת, שלא קיימת בשוק, על מנת להפוך את ה–iPhone המוצפן לנגיש.

האם יש לממשל סמכות חוקית להושיב את מהנדסי אפל לפתח משהו בניגוד לרצונם המחליש את מערכת ההפעלה המאובטחת שלהם? ויותר חשוב, האם אנחנו רוצים שזה מה שיקרה? ה-FBI טוען שכן ומסתמך על חוק שחוקק במאה ה-18 ומחייב את אפל לעשות כרצונו. זה פחות משנה לו שיש חוק משנות ה–90 שלא מתיר לממשלה לבקש מחברה כמו אפל להחליש במכוון את הצפנותיה. לדבריו, יש כאן הצדקה לפריצת מכשירו של המחבל וזוהי אינה בקשה חסרת תקדים כפי שאפל מבקשת להציג. ה–FBI סבור כי מחובתו למצות עד תום את הליכי אכיפת החוק על מנת להסתכל בעיניהם של קורבנות הפיגוע בסן ברנרדינו.

הוא לא מתרגש מפריצה לגרסת iPhone נוספת וסבור כי ההתפתחות הטכנולוגית המואצת בה אנו חיים מעידה שכל פתרון פריצה כאן יהיה זמני לחלוטין ולא רלוונטי לגרסאות הבאות. יתרה מזאת, ראש ה–FBI טוען כי ההחלטה בדבר המאזן הרצוי בין בטיחות לפרטיות היא לפתחה למען החברה כולה, ולא מנת חלקה של חברה מסחרית או אפילו ה–FBI . הוא לא קורא לקונפליקט בשמו המדוייק: בטחון מול מעקב.

הוויכוח הזה כאמור הוא לא מאתמול. מאז חשיפות סנודן פרטיות דיגיטלית עלתה על סדר היום הציבורי ושינתה את הנורמות אותם צרכנים מבקשים לאמץ לעצמם במרחב הסייבר. לא עוד איסוף ועיבוד מידע אישי על ידי ממשלות וגורמי צד שלישי, אלא הצפנה מוגברת והעצמת ערך הפרטיות בכל פעילות דיגיטלית. כתוצאה מכך, שיעורי פיתוח ואימוץ מוצרי הצפנה מאז 2013 הגיעו לשיא חדש. העלייה בשימוש בהצפנות במרחב הדיגיטלי מדאיגה מאוד את גורמי אכיפת החוק שנהנו מגישה בלתי מוגבלת לכל שובל המידע שכל אחד משאיר אחריו בימינו. כאן החל הויכוח שמגיע כעת לשיאו – האם חברות מסחריות צריכות להחליש בכוונה תחילה את בטיחות מוצריהם כדי לאפשר גישה חופשית למידע אישי לצרכי חקירה.

סנודן. לאחר החשיפות ב-2013 נפתח עידן חדש של הצפנה צילום: רויטרס

לפני כשבועיים נדרשו חוקרי טכנולוגיה ומשפטנים מהרווארד לתת את הדעת על ויכוח זה. התובנות מן המחקר מצביעות על כך שיכולות איסוף המידע של גורמי אכיפת החוק הן עצומות, גם ללא שבירה סיסטמית של הצפנות עבור הממשלה. גורמי אכיפת החוק, לטענתם, מצביעים על חלק קטן מאוד מתמונה רחבה בהרבה שעל פיה איסוף מידע אישי כאן כדי להישאר. הם הגיעו למסקנה שהצפנות הינן המעוז האחרון אליו לממשלה (אולי) אין גישה, אך בפועל קיימים מסלולי איסוף מידע רבים ומגוונים כך שהוויכוחים אודות הצפנות מכשירים סלולריים הם טיפה בים המידע העוטף אותנו.

ראשית, הם טוענים, הצפנה מלאה של תעבורת המידע היא לא רצויה ולא ממומשת ע"י חברות מסחריות בגלל המודלים העיסקיים של מרבית החברות הנשענים על איסוף מידע. בנוסף, התרחבות הקישוריות של המוצרים סביבנו (Internet of Things) מספקת ערוצי מעקב נוספים. לבסוף, העובדה כי לא ניתן להצפין פיסות meta-data, המוגדרות כ'כותרים' העוטפים פיסות מידע (כגון למי שלחנו מייל, עם מי דיברנו וכו') ובעלות ערך מודיעני רב, מבטיח איסוף מידע עיקבי ומהימן שלא ניתן יהיה להפסיק. השימוש הגובר שלנו במידע הופך את המעקב עלינו לכ"כ פשוט כך שקשה לנו להשתכנע שפריצת הצפנות היא הכרחית.

חשיבותה של ההצפנה באה לידי ביטוי גם בדיוני החקיקה האמריקנים. בדיונים על הצעות חוק הנוגעת לפרטיותם של אזרחי ארה"ב, הממשל ובתי הקונגרס דנים על מתי יש לדווח לאזרחים על פריצה אפשרית במאגרי מידע אישי אודותיהם (breach notification). בעוד ויכוחים רבים מתנהלים כיצד יש לבצע זאת, על סוגייה אחת אין עוררין – מאגר מידע מוצפן שהאקרים הצליחו לגשת אליו אינו חייב בדיווח. כלומר, הצפנה מסייעת לאזרחים לישון בשקט שהמידע שלהם לא חשוף, על אף שנמצא מוצפן ובידיים עיונות. הבקשה הזו של ה –FBI מקריבה את מעוז הפרטיות האחרון במרחב מרובה איומים ואינטרסים להשגת מידע. במקום להבנות לנו מרחב סייבר בטוח יותר, הממשלה מתעקשת להמשיך ולעקוף הצפנות ולהחליש את המרחב הדיגיטלי המהווה את הבית המשותף של כולנו.

אך מדוע לא לבצע זאת באופן חד פעמי עבור המקרה המדובר? אם כן, זו אכן כוונת המשורר. בית המשפט ביקש מאפל לפתח את המעקף באופן שיעבוד רק על הטלפון של המחבל וייחתם דיגיטלית ע"י חברת אפל ומזהה ייחודי של הטלפון המיועד. יחד עם זאת, בהנתן הכלי עצמו, כל שנותר על מנת לפרוץ לטלפונים הבאים הוא החתימה הדיגיטלית של אפל והמזהה של כל טלפון. אין לנו מושג למי יש את היכולות האלו, אבל לא בטוח שאנחנו רוצים לנסות.

ההיסטוריה מלמדת שכלי פריצה נופלים בסופו של דבר לידיים הלא נכונות. שוק ה-zero day attacks מוצף כיום במכירה של כלי פריצה ששימשו ממשלות בעבר הלא מאוד רחוק. המחשבה שנראית מעט רחוקה כרגע כי מכשירי iPhone בגרסתם החדשה יהפכו פריצים היא מסוכנת ועלולה לדרדר עוד יותר את מרחב הסייבר הפגיע. מעבר לכך, יש כאן

החלטה תקדימית שעלולה לתת לגיטימציה לרשויות החוק לשבור הצפנות נוספות ולדרדר את כדור השלג הזה עוד יותר. האם היינו מוכנים למשל שיפגעו פגיעה זמנית בתשתיות המים שלנו על מנת לפגוע במחבל כזה או אחר? האם זה שווה את הסיכון שכולנו נורעל ביום מן הימים? אנחנו על סף כניסה לעידן שבו הקישוריות תהיה נחלתם של כל המוצרים שלנו בבית. האינטרס הציבורי הינו לשמור על המוצרים שילוו את חיינו בטוחים ונגישים לנו בלבד. האינטרס המסחרי ולעיתים הממשלתי מצד שני הוא לדעת עלינו כמה שיותר. המרחב הדיגיטלי גם כך מאוד פגיע, מסיבות שהן אוביקטיביות ונוגעות בעיקר להסתמכות על פרוטוקולים ישנים ומימוש אבטחה לא מספיק טוב, אך הפסיקה הזו של בית המשפט לוקחת אותנו במורד מדרון תלול עוד יותר.

רק לפני מספר ימים נחשפנו להחלטתו של בית חולים בהוליווד לשלם כופר להאקרים שהחזיקו את המערכות שלו כבני ערובה ואילצו את סגל בית החולים לעבור לפקסים. השפעתם של האקרים היום היא בלתי נתפסת. היכולות לפגוע במרחב משתכללות ומכניסות אותנו לפינות שטרם היינו בהם. האם פיתוח כלי פריצה להחלשה נוספת של המרחב הוא הפתרון?