בית הספר יודע הכל על הילדים. וגוגל?
בכל רגע נתון, במאות קבוצות וואטסאפ כיתתיות, מתנהל שיח שפעם היה נשמר בקלסרים נעולים בכספת המנהל. מורה מעדכנת על אלרגיה של תלמיד, יועצת משתפת אבחון פסיכולוגי, ומזכירה שולחת טופס גוגל תמים למראה לאיסוף הצהרות בריאות רגישות. בלחיצת כפתור אחת, מידע אישי ורגיש על אודות כ-2.5 מיליון תלמידי ישראל מוצא את דרכו למרחב הדיגיטלי הפרוץ. הפעולות הללו, הנעשות בשם הנוחות והיעילות, הן חלק משערורייה מתמשכת ומושתקת.
האיום האמיתי: לא האקרים, אלא פרצות שקטות בעלות תג מחיר
כאשר חושבים על פרצת אבטחה, הדימוי הרווח הוא של האקרים מתוחכמים. המציאות, כפי שהוכח בדליפת המידע המזעזעת של 21,439 תלמידי החינוך המיוחד, אפורה והרסנית הרבה יותר. לא נדרשה מתקפת סייבר כדי לחשוף את האבחנות הרפואיות והפרטים האישיים של הילדים הפגיעים ביותר; כל מה שנדרש היה קובץ אקסל אחד ורשלנות אנוש. ההשלכות הכלכליות לא איחרו לבוא, עם הגשת תביעה ייצוגית נגד המדינה על סך מאות מיליוני שקלים.
אך הדליפות הגדולות הן רק קצה הקרחון. הסכנה האמיתית טמונה ב"פרצות האבטחה השקטות". זוהי מציאות שבה, לפי סקרים, למעלה מ-70% מהעובדים במשק משתמשים באפליקציות מסרים אישיות לתקשורת מקצועית. כל העברת מידע רגיש בוואטסאפ, כל איסוף נתונים בטופס גוגל, כל קובץ הערכה פסיכולוגית שנשמר ב'גוגל דרייב' פרטי – כל אלה הן פרצות שקטות. הן לא זוכות לכותרות, אך הצטברותן יוצרת סיכון מערכתי אדיר ומפקירה את המידע של התלמידים באופן שיטתי.
מערכת יש, אכיפה אין – והעלות הכלכלית
באופן אירוני, הבעיה אינה היעדר פתרונות. קיימת מערכת מאובטחת ומאושרת על ידי משרד החינוך. אם כן, מדוע המציאות בשטח פרוצה לחלוטין?
התשובה היא פער בלתי נסבל בין מדיניות ליישום. בשם הנוחות וההרגל, צוותי חינוך רבים עוקפים את המערכת הרשמית. אין זה מאבק בין טוב לרע, אלא בין דחוף לחשוב. הלחץ לספק תשובה מיידית להורה מודאג גובר על החובה לפעול לפי הנהלים. התוצאה היא הפרטה דה-פקטו של המידע הרגיש ביותר של המדינה. במקום לנוח על שרתים מאובטחים של משרד החינוך, המידע על התלמידים נודד לשרתים של מטא, גוגל ואפל. המחיר הכלכלי של רשלנות כזו הוא אדיר: העלות הממוצעת של אירוע דליפת מידע בישראל מוערכת בכ-1.2 מיליון דולר, עלות שנופלת בסופו של דבר על כתפי משלם המיסים.
הדרך קדימה: שילוב של אכיפה וכלים גמישים
הפתרון אינו טמון רק באכיפה נוקשה של המערכת הקיימת, אלא בשילוב שלה עם כלים מודרניים וגמישים. ראשית, יש לקבוע מדיניות של אפס סובלנות לשימוש בפלטפורמות לא מאושרות להעברת מידע רגיש, ולהבהיר זאת בהנחיה ברורה מלשכת מנכ"ל המשרד. יש לחייב הסמכה שנתית פשוטה ומעשית לכל עובדי ההוראה, שתתמקד בתרחישים יומיומיים.
אך אכיפה לבדה אינה מספיקה. כדי שהצוותים בשטח יאמצו את המערכות המאושרות, עליהן לתת מענה אמיתי לצרכים הדינמיים שלהם. המערכת חייבת לכלול כלים גמישים ופשוטים המאפשרים איסוף אישורים והסכמות מהורים באופן דיגיטלי ומאובטח. דמיינו מצב שבו ניתן לאשר יציאה לטיול או יום למידה בחוץ בלחיצת כפתור, או שהורה יכול לחתום על טופס סודיות או לאשר שחרור מידע רפואי חסוי באופן נקודתי ומבוקר ישירות לגוף האחראי.
רק כאשר הפתרון המאובטח יהיה גם הפתרון הנוח והיעיל ביותר לבעיות היומיום, תופעת 'הפרצות השקטות' תיעלם. פרטיותם של תלמידים אינה המלצה. זוהי חובה משפטית וזכות יסוד. הגיע הזמן שמערכת החינוך תספק לצוותים שלה לא רק חוקים, אלא גם כלים מתאימים כדי לעמוד בהם.
אבירם כהן הוא מנכל EasyDo
