הוצא צו נגד פרסום המידע שדלף מ-Cyberserve; האם יש למשרד המשפטים כלים להילחם בתופעה?
הוצא צו נגד פרסום המידע שדלף מ-Cyberserve; האם יש למשרד המשפטים כלים להילחם בתופעה?
אם מנתחים את הפעולות שביצעו במשרד המשפטים ניתן לומר בוודאות שאלו לא ישנו דבר. בנוסף, רשות הפרטיות נאבקת עדיין על סמכויות אכיפה; מומחה: "הצו חשוב, ומתבקש כדי להגן על הנפגעים והנפגעות. אך קשה ליישם אותו"
בית משפט השלום בת"א הוציא היום (ד'), לבקשת מחלקת הסייבר בפרקליטות המדינה, צו שמורה על הסרה של כל מידע אישי שהודלף משרתי החברה לאחסון אתרים Cyberserve, ובכלל זה מאגרי מידע אישי של אתרי האינטרנט של אטרף, מכון מור, פגסוס ועוד. על פי הצו, ספקיות האינטרנט יידרשו לחסום גישה לכל אתר הכולל את המידע האישי שהודלף על ידי ההאקרים, ומנועי החיפוש יידרשו לסנן תוצאות חיפוש שמובילות למידע.
על פי הפרקליטות, ספקיות הגישה לאינטרנט החלו בחסימת הגישה לאתרים שבהם מופץ המידע האישי. בנוסף, רשות הפרטיות אסרה על סייברסרב להעלות את אתר אטרף בחזרה לאוויר ולא תאפשר העלאתו עד להודעה חדשה.
הרשות גם דרשה מהחברה להודיע באופן אישי לכל מי שהמידע על אודותיו דלף או קיימת אפשרות שדלף, מהם הנתונים שדלפו ומהן הפעולות המומלצות מצידו, וזאת על מנת לאפשר לציבור הנפגע לנקוט אמצעי זהירות מתאימים ולהקטין את הנזק שעשוי להיגרם לפרטיותו. כך לפי הודעת הרשות שהועברה לידי כלכליסט. עוד ציינו ברשות שהם פתחו בחקירה פלילית על רשלנות נגד סייברסרב בחשד לרשלנות.
ברשות הזכירו ש"כל שימוש במידע אישי שדלף מאתר כזה או אחר, ללא הסכמת נושא המידע, הוא עבירה פלילית לפי חוק הגנת הפרטיות. מעבר לכך, עצם ההורדה והשימוש בקובץ שפורסם על ידי התוקפים ברשת מהווה שימוש בידיעה על ענייניו הפרטיים של אדם שלא למטרה לשמה נמסרה, וככזו יכולה לעלות כדי עבירה פלילית, אשר העונש המרבי עליה הוא חמש שנות מאסר".
יוזמות חלשות שלא יובילו לפתרון הבעיה
אחרי כל ההכרזות האלה, המסקנה המתבקשת היא שבמשרד המשפטים נזכרו סוף סוף לפעול בנושא שנמצא תחת אחריותם מזה שנים רבות. בעוד שמקרי הפריצה והדליפות לגופים וחברות ישראליות התגברו באופן ניכר בשנתיים האחרונות, רק כעת הראו בפרקליטות וברשות הפרטיות קצת יוזמה. אך מדובר ביוזמות חלשות שלא יובילו לפתרון הבעיה. אם מנתחים את הפעולות שביצעו במשרד המשפטים ניתן לומר בוודאות שאלו לא ישנו דבר באירוע הנוכחי ואף במידה מסוימת זורים חול בעיני הציבור.
הוצאת צו החסימה - מדובר בפעולה שתקפה רק לציבור משתמשי האינטרנט בישראל. יכול להיות שהפעולה הזו אכן כוונה לאזרחי המדינה שעשויים לעשות שימוש לא ראוי או אפילו פלילי במאגרים שהודלפו - למשל כדי לטייב נתוני לקוחות או לשלוח ספאם והצעות עסקיות - או אולי אפילו כדי לבצע ניסיונות סחיטה ותקיפות סייבר בעצמם.
לדברי תומר אליאס, דירקטור ניהול מוצר בחברת BigID, המתמחה בניהול מדיניות פרטיות ברשת, "הצו חשוב, ומתבקש כדי להגן על הנפגעים והנפגעות. אך קשה ליישם אותו במידה וכבר צולם, הועתק, הודפס ונשלח גם ברשתות שלספקי האינטרנט אין גישה אליהן".
כלומר, מדובר הלכה למעשה בפעולה חסרת תוכלת שכל האקר חובב יכול בקלות לעקוף. חסימה של אתרים יכולה להתבצע על ידי מחיקת ההפנייה לאתר משרתי ה-DNS של ספקיות האינטרנט. אלה מתרגמים את כתובת האתר ממילים למספרים שמחשב יכול להבין. אבל מדובר בחסימה שקל מאוד לעקוף - כל מה שנדרש הוא מספר פעולות פשוטות במחשב של הגולש - כגון שינוי שרת ה-DNS, מה שמאפשר לגלוש לאתר החסום.
בנוסף, צילומי מסך או עותקים שהועלו לאפליקציית טלגרם כבר מפורסמים ואין אפשרות לחסום את ההפצה שלהם. לראיה, למרות פניות רבות של המדינה לבעלי אפליקציית טלגרם ומחיקת מספר קבוצות שקשורות לקבוצת ההאקרים, אלה עדיין ממשיכים להפעיל ערוצים ולהפיץ את המידע שלהם באופן חופשי. גם הגישה לאתר שלהם עדיין זמינה דרך DNS שאינו של ספקיות האינטרנט כפי שנבדק על ידינו.
עוד מוסיף אליאס: "בעוד שבאיחוד האירופי מוגדר בבירור תוך כמה זמן חברות צריכות לתת מענה לבקשות שלנו בתור לקוחות ומשתמשים (תוך 30 יום) והקנסות למקרה של חריגה מגיעים לכדי 4% מהמחזור השנתי העולמי של הגוף המפר או קנס בשיעור של 20 מיליון יורו. בישראל הקנסות מגיעים לסכום מקסימלי של 29,200 שקל. זה אומר שאם המידע של כולנו נפרץ או דלף מחברה מסוימת, או שהחברה לא מוכנה למסור לנו את המידע ששייך לנו, או מסרבת למחוק אותנו מהמאגר שלה - זה הקנס המקסימאלי שהיא תקבל, ללא קשר לגודל החברה וחומרת התקרית".
רשות הפרטיות נאבקת על סמכויות אכיפה
מעבר לכך, רשות הפרטיות מנהלת גם מאבקים על סמכויות אכיפה. על פי הודעת הרשות עצמה, "הרשות שבה וקוראת לקידומם הדחוף של תיקוני החקיקה שגובשו בנושא, אשר יובילו לשיפור המשמעותי הנדרש בתחום הגנת המידע האישי בישראל, לרבות הענקת סמכויות אכיפה מנהליות משמעותיות לרשות להגנת הפרטיות, כמקובל בעולם. הדבר הכרחי למען הגנה על הציבור, מניעת אירועי דלף עתידיים, וכן ליצירת הרתעה בקרב בעלי אתרים, מאגרים ואפליקציות המחזיקים מידע רגיש להקפיד על עמידה בדרישות אבטחת המידע כנדרש בחוק, ולא להתרשל בהגנה על המידע של הציבור". אם זו לא קריאת מצוקה של רשות ממשלתית שמשוועת לכלים שיאפשרו לה לפעול, לא ברור מה כן.
חבל שמדינת ישראל לא עושה סדר בשלל הסוכנויות והגופים הממשלתיים שאמונים על הגנת הסייבר של המשק. כיום סמכויות אלה נמצאות בקרב: צה''ל, משטרת ישראל, שב''כ, רשות הפרטיות, מערך הסייבר הלאומי, משרד הבריאות, בנק ישראל, המפקח על הביטוח ועוד גופים נוספים. חוק הסייבר שהיה אמור להגדיר את הסמכויות, הזכויות והחובות של כל אחד "תקוע" יותר מ-6 שנים בכנסת ללא שיש צפי לאישורו, וגם כך מדובר בחוק שבצורתו הנוכחית מזכיר יותר דיקטטורה חשוכה ממדינה דמוקרטית.
חוק הפרטיות המיושן נחקק בתחילת שנות ה-80 וזכה לעדכון תקנות לפני מספר שנים - אך אלה לא שיפרו אותו אלא רק סיפקו אספלנית. ניכר שעד שהמצב בראש הפירמידה לא ישתנה, כנראה שנמשיך לספוג התקפות סייבר ולראות את פרטינו מודלפים לכל דיכפין.
תגובת משרד המשפטים טרם התקבלה.
