הרשות להגנת הפרטיות: ליקויי אבטחה חמורים ברוב האפליקציות הלימודיות שאוספות מידע על קטינים
בדו''ח של הרשות נמצא שכ-80% מהגופים שנבדקו, ושהשתמשו בשירותי מיקור חוץ לאחסון המידע על הקטינים, הציגו עמידה בינונית ומטה ביישום הוראות החוק להגנת הפרטיות ואבטחת מידע
מרבית הפלטפורמות והאפליקציות הלימודיות שאוספות מידע על קטינים לא מקפידות לידע את הקטינים או הוריהם על האופן שבו נאסף המידע או על הזכויות שמגיעות להם, לא עומדות בתנאי האבטחה הנדרשים בחוק וסובלות מכשלים בעבודה עם שירותי מיקור חוץ – כך התברר בהליך ביקורת נרחב שערכה הרשות להגנת הפרטיות בקרב פלטפורמות אלו. לפי דו"ח שפרסמה הרשות, מבין 24 גופים שנבדקו, בקרב 23 נמצאו ליקויים שהצריכו הנחיות לתיקון.
- הרשות להגנת הפרטיות: מועדוני הלקוחות לא עומדים בכללי אבטחת מידע בסיסיים
- שליש ממתקפות הסייבר החמורות בארץ השנה לא דווחו לרשויות
- כשלים של משרדי הבריאות והחינוך מסכנים מידע של מיליוני ילדים בישראל
במהלך 2018 ו-2019 ביצעה הרשות 233 הליכי פיקוח לבדיקת הבטי פרטיות ואבטחת מידע בתשעה מגזרים, דוגמת מרפאות לבריאות הנפש, מכונים רפואיים, ספקי פלטפורמות לימודיות מקוונות וספקיות שירותי אחסון ואבטחת מידע. לפני כשבועיים פרסמה הרשות דו"ח דומה, שעסק בפעילות מועדוני לקוחות, וחשף גם הוא כשלים נרחבים.
עתה, מתפרסמות תוצאות הבדיקה שנערכה בקרב פלפטורמות ואפליקציות לימודיות, שמיועדות לקטינים מגיל הגן ועד התיכון, וכן הורים ומחנכים. פלטפורמות אלו משמשות כפורטלים חינוכיים, מרכז לקבלת שיעורים פרטיים או לביצוע פעילויות כמו חוגים מקוונים, למידה משותפת, תרגול קריאה, שיתוף תמונות ועוד. במסגרת פעילותן אוספות הפלטפורמות מידע אישי רב, החל מפרטים מזהים ועד ציונים, הישגים לימודים ותמונות אישיות.
מידע על קטינים נדרש לאבטחה מחמירה יותר צילום: שאטרסטוק
"רגישות המידע ואופי נושאי המידע בקרב גופים אלו דורשים הקפדה מיוחדת על אבטחת המידע, קיום חובת השקיפות ועמידה בהוראות החוק לעניין קבלת הסכמת נושא המידע", נכתב בדו"ח. "הרשות להגנת הפרטיות הגדירה את מגזר זה כיעד פיקוח רוחב משמעותי בשל מאפייניו הייחודיים, שכוללים פערי כוחות מובנים בין הפלטפורמות הלימודיות לבין הקטין".
במסגרת הליך הפיקוח נשלחו למפעילות הפלטפורמות שאלוני ביקורת, שבחנו קריטריונים שונים בפעילותן. "בסיום ההליך נמצאו ליקויים ב-23 מתוך 24 גופים המפוקחים", נכתב בדו"ח. "בהתאם לכך, הורתה הרשות לאותם הגופים לתקן את הליקויים שנמצאו, לספק תכנית מפורטת לתיקונם בליווי הצהרת נושא משרה לביצוע והשלמת התיקונים, כאשר כחלק מההליך עשויה הרשות לבדוק בעתיד באמצעות ביקורת חוזרת את השלמת התיקונים בגופים נבחרים".
רוב הגופים עומדים בשלושה קריטריונים
השאלונים בחנו את פעילות הגופים לפי ארבעה קריטריונים. הראשון, בקרה ארגונית וממשל תאגידי, בוחן את קיומה של תכנית אבטחת המידע והגנת הפרטיות ומינוי של גורמים בתחום. מרבית הגופים, 87% עמדו בקריטריון זה ברמה גבוהה, ו-13% הנותרים ברמה בינונית. רמת עמידות גבוהה מוגדרת כעמידה של מעל 80% בקריטריונים, בינונית בטווח של בין 50% ל-80%, ונמוכה כעמידה בפחות מ-50%. בין הכשלים שכן נמצאו מונים ברשות ליקויים בהגדרת המאגר ומטרותיו, אי-מינוי מנהל מאגר או מינוי מנהל ללא כתב מינוי, העדר תיעוד מוסדר של נוהל אבטחה מידע ותוכנית עבודה שנתית, ואי-קיום ביקורת אבטחת מידע ופרטיות.
הקריטריון השני, ניהול מאגרי מידע, בוחן את אופן קבלת ההסכמה לשימוש במידע אישי, ההתאמה בין המידע שנאסף למטרות המאגר, מתן זכות עיון במידע ועמידה בהוראות החוק בהבטים כמו איסוף מידע ביומטרי. "75% מהגופים עמדו בדרישות ברמה גבוהה, 8% ברמה בינונית ו-17% ברמה נמוכה, כאשר חלק מתוך אותם גופים שנמצאה בהם רמת עמידה נמוכה, היו כאלו אשר כמעט ולא עמדו בדרישות החוק", נכתב בדו"ח. "פער זה בא לידי ביטוי בעיקר בין גופים גדולים ובינוניים שעמדו בדרישות ברמה גבוהה, לבין גופים הקטנים הפועלים במגזר זה, אשר טעו לחשוב כי אינם מנהלים או מחזיקים מאגר כהגדרתו בחוק".
קטינים נחשבים קהל שבוי בכל הנוגע למסירת מידע שלהם למסגרות לימודיות ומטפלות צילום: אלן צצקין
הליקויים שאותרו לפי קריטריון זה כוללים חוסר שקיפות בעת דרישת המידע, ואי-יידוע הקטינים עליהם מוחזק המידע בדבר זכויותיהם ובדבר מאגר המידע בו הם רשומים בעת פנייה בדיוור ישיר. "מכלל גופים אלו, מרביתם לא הבהירו לקטינים את זכותם לעיין במאגרי המידע ולא ציינו זאת בתקנון שלהם או במסגרת אחרת. נמצאו גופים אשר לא אפשרו לנושאי המידע לשנות/לתקן את המידע המוחזק אודותיהם", נכתב.
קריטריון אבטחת מידע עוסק בציות לתקנות חוק הגנת הפרטיות בכל הנוגע לניהול מידע אישי, ו-75% מהגופים עמדו בו ברמה גבוהה, 21% ברמה בינונית ו-4% ברמה נמוכה. "נמצאו גופים אשר במערכותיהם לא הותקנו אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק. נמצאו גופים אשר לא ערכו הליכי מיון של עובדים חדשים בטרם מתן הרשאות הגישה למידע. בחלק מהגופים לא ננקטו אמצעים לביטול הרשאות של בעל הרשאה שסיים את תפקידו, ובמידת האפשר לשינוי סיסמאות למאגר ולמערכות המאגר מיד עם סיום תפקידו של בעל ההרשאה".
כישלון בניהול מידע בשירותי מיקור חוץ
הקריטריון האחרון, שירותי מיקור חוץ, בוחן התקשרויות עם גורמים חיצוניים שמחזיקים או מעבדים במידע. כאן זוהו הביצועים הגרועים ביותר: 20% מהגופים נמצאו ברמת עמידות נמוכה, ו-60% ברמה בינונית ורק 20% ברמה גבוהה. לפי הדו"ח, גם גופים שדאגו ליישם מגנונים נאותים בניהול מאגרי המידע שלהם, כשלו בכל הנוגע לדרישות שהציבו לחברות חיצוניות שהעניקו להם שירותי עיבוד מידע אישי במיקור חוץ.
"ליקוי זה מתבטא בין היתר בכך שחלק מהגופים לא נקטו צעדים מספקים מבעוד מועד על מנת להעריך את מידת הסיכון הנשקפת למידע ולפגיעה אגב כך בזכותם לפרטיות של נושאי המידע, הנובע משימוש במיקור חוץ", נכתב בדו"ח. "מרבית מהגופים נמצאו ככאלה שלא מבצעים התקשרות עם ספק מיקור חוץ לפי הוראות התקנות בצורה מספקת, לא בוחנים את איכות ניהול אבטחת המידע ואופן תפעול מאגרי המידע אצל ספקי מיקור החוץ ולא מבצעים פעולות בקרה ופיקוח נאותים".
אף שבשלושה מתוך ארבעת הקריטריונים הרוב המכריע של הגופים זכה לרמת עמידות גבוהה, פרט לארגון אחד לא היה גוף שלא נמצאו אצלו ליקויים שדרשו תיקון. עם זאת, לדברי הרשות, הליך הפיקוח עצמו עורר בקרב חברות מועדוני הלקוחות תהליך בחינה ושיפור. "קיימים סיכונים לא מעטים לפרטיות קטינים, בקרב הגופים המנהלים אתרים ואפליקציות לימודיות וחינוכיות המיועדות לקטינים, אשר נובעים מניהול מידע מזוהה ורגיש אודות הקטין, ונוכח פערי הכוחות המובנים בין מנהל ומחזיק המאגר לבין הקטין", נכתב בדברי הסיכום של הדו"ח. "פערים אלה דורשים הקפדה על יישום הוראות החוק והתקנות, באופן שיהא ברור לקטין בהתאם לגילו ולהבנתו".
