דו"ח טכנולוגי
הטיפול של הרשויות בפרשת אפליקציית אלקטור מעיד שאין מי שמגן עלינו
הפרצה השנייה שנחשפה השבוע באפליקציית הבחירות של הליכוד ומפלגות נוספות הראתה שהרשויות לא ממש עשו מהלכים תקיפים כדי למנוע את הבעיה; גוגל מפות מציבה גבולות בהתאם לנקודת המבט של המשתמש ובפקיסטן השימוש במדיה חברתית הפך לסוג של מסלול מכשולים
לפני שבוע וחצי, כשדיווח כלכליסט לראשונה על פעילות אפליקציות המרצת הבוחרים השונות, התרענו מהסכנה האמיתית שהמידע ידלוף ויחשף. בעת שכתבנו זאת, לא ידענו שהמידע כבר היה חשוף באפליקציית אלקטור של הליכוד, עובדה שהתפרסמה רק ביום ראשון שעבר. בעקבות אותה חשיפה שבנו והתרענו שלא מדובר בסוף פסוק, ושהמחדל הבא נמצא ממש מעבר לפינה. ושוב, לא ידענו שבעוד שאנו מעלים את הדברים על הנייר המחדל כבר בעיצומו, ושבמערכת של אלקטור יש כבר שתי דליפות חדשות לפחות.
הכל טוב, לא קרה כלום, זה הכל קונספירציה של שמאלנים צילום: Youtube
וזה המצב כרגע: הגורמים המעורבים ישירות עסוקים בהפצת מידע שגוי או התנערות מוחלטת. הליכוד מנסה לייצר ספין של מתקפה עוינת וממהר להודיע שהתלונן במשטרה (אף שאנשי המקצוע שחשפו את הפרצות, ההאקר נעם רותם והמפתח הבכיר רן בר זיק, עמדו לכל אורך השבוע בקשר קבוע ורציף עם מערך הסייבר). בישראל ביתנו (שגם משתמשת באפליקציה וגם מידע שלה דלף) נוקטים בשיטת היען וטוענים שלא קרה כלום. ואלקטור מגיבים עם מידע שמפאת הזהירות בלבד נכנה אותו כאן לא לחלוטין מדויק, תוך שהם מנסים לגמד את התקרית המתגלגלת ולטעון נגד הרצינות של שניים מהגורמים המובילים בחשיפת כשלי אבטחה ודליפות מידע בישראל.
מילא הם, אילו גופים עם אינטרס מסחרי או שפועלים עכשיו במטרה יחידה לגייס כמה שיותר מצביעים. פרטיות אזרחי ישראל נמצאת רחוק מאוד מראש סדר העדיפויות שלהם. אבל איפה הרגולטורים שאחראים על הנושא? איפה הרשות להגנת הפרטיות במשרד המשפטים, ועדת הבחירות המרכזית ומערך הסייבר? לפני הדליפה הראשונה, הם הסתפקו בהתנערות מאחריות (ועדת הבחירות) או בפיקוח מנימלי שכלל בעיקרו התכתבות עם אלקטור (רשות הפרטיות).
ובשבוע האחרון, אחרי שכבר נחשפה הדליפה הראשונה, ואחרי שכמה וכמה מומחים התריעו שזה לא הסוף, מה הם עשו? רשות הפרטיות ביצעה ביום שני הליך פיקוח במשרדי אלקטור, שכשל מלזהות את הפרצות הנוספות (למרות שאחת מהן נסתמה חלקית באותו יום עצמו), ושלחה הודעה מאוד תקיפה למפלגות. ועדת הבחירות לוקחת את הזמן, ודנה בעצלתיים בעתירה שהוגשה בנושא (ואיזה מזל שהאקרים וגורמים עוינים מחכים להחלטות של שופטים).
למעשה, רק היום פנו היועץ המשפטי לממשלה ורשות הפרטיות לוועדת הבחירות בבקשה לקבל דחייה נוספת, עד מחר, בהגשת תשובתם לעתירה. וזאת, אחרי שכבר קיבלו דחייה אחת והיו אמורים להגיש את תשובתם היום. "טיוטת התגובה הושלמה", כותבים שם, אך מוסיפים: "תמונת המצב העובדתית... מתעדכנת באופן דינמי בימים אלה ממש... נוכח פיקוח הנערך על ידי הרשות להגנת הפרטיות". בר זיק סיכם בקשה זו היטב: "הרשויות אומרות, 'בגלל שיש מלא דליפות כל הזמן, אנחנו לא יכולים לתת את התשובה לשאלה האם אלקטור מסכנת את המידע של אזרחי ישראל ולדרוש את הפסקת השימוש בה'. מה יש לומר כשאין מה לומר? בוראטלנד".
כל הגורמים הרלוונטיים נמנעו עד עתה מלעשות את הצעד החשוב ביותר: לסגור לאלתר את פעילות אלקטור עד לסיום הברור בנושא. "כלל פשוט בדליפות מידע קריטיות וחמורות כמו זו שראינו בשבוע שעבר הוא: קודם סוגרים, אחר כך שואלים שאלות", אמר רותם לדו"ח טכנולוגי. "אם אכן היו רשויות המדינה פועלות על פי הכלל הפשוט הזה, לא היינו צריכים לראות את המערכת דולפת פעם אחר פעם, ואת המידע של כל אזרחי המדינה נלקח על ידי גורמים בלתי ידועים שלא תמיד טובתם לנגד עיניה. אצלנו, במקום לסגור, הרשויות עמדו בפינה ולא עשו דבר. הגורמים המקצועיים, האמונים הן על הגנה על המידע של האזרחים, והן על קיומן התקין של הבחירות בישראל, התרשלו בתפקידם.
פילוחי מידע באפליקציה שמאפשרים לקבל את פרטיהם של כל טייסי חיל האוויר בבסיס תל נוף
"יש מקום לבחון את תפקוד הרשויות והגורמים המקצועיים במקרה הזה, כי אין ספק שלו היו עושים את תפקידם מראש ודורשים בדיקה בסיסית של המערכת הממאחסנת כל כך הרבה מידע רגיש - לא היינו עומדים במצב בו אנחנו מתבוססים היום, ואם היו עושים את תפקידם אחרי שקיבלו את הדיווח הראשוני ומורידים אותה עד לבירור עומק המחדל - לא היינו עומדים במצב בו גורמים רבים נחשפו למידע הכל כך רגיש הזה על כל אזרחי המדינה".
אף אחד לא נראה מודאג מספיק, אף גורם אחראי לא מקים קול זעקה ופוצח במהלכים תקיפים, אף אחד לא מורה לסגור מידית את הפעילות של האפליקציה, ועדת הבחירות לא מוציאה לפחות צו מניעה זמני בעודה בודקת את הנושא. והמידע של האזרחים חשוף, והיכולות המודיעיניות שהוא מספק חמורות. לכאורה, פנקס הבוחרים כולל רק שמות, תעודות זהות, כתובות מלאות ומספרי טלפון. מה כבר אפשר לעשות עם מידע זה? הרבה, כפי שהדגים בר זיק בטוויטר: "הנה דוגמה קטנה - בחיפוש קליל מצאתי את כל הטייסים ובני/בנות זוגם שגרים בבסיס תל נוף. את כל אנשי הקבע של מחנה טלי והרבה הרבה יותר. זה לא אגרון 2006, כן? זה מעודכן. זה נזק. נזק משמעותי".
אז הנה סיכום עדכני של תמונת המצב: המפלגות ואלקטור עסוקים בספינים, ולגורמים האחראיים לא אכפת מספיק כדי לעשות משהו משמעותי. בישראל 2020, עלק אומת הסטארט-אפ, אין לאזרחים מגן אמיתי על הפרטיות שלהם, גם בתרחיש ההזוי שהמידע שלהם דולף ושוב ושוב מאותו גורם ובאותו האופן. כל אזרח לעצמו, ולך חפש את החברים שלך. וכשאלו העניינים, כשכולם רואים שהכל פרוץ ולאף אחד לא אכפת, אפשר להיות בטוחים שהדליפה הגדולה הבאה נמצאת ממש מעבר לפינה. למעשה, אם אירועי השבוע האחרון לימדו אותנו משהו, יכול להיות שהיא חיה ופעילה ממש ברגעים אלו.
קצרצרים
1. גבול לפי בקשתך: לפי דיווח של הוושינגטון פוסט, גוגל מפות משנה את השרטוט של גבולות בינלאומיים בהתאם למדינה ממנה גולש המשתמש לשירות. בקשמיר, החבל שנמצא במחלוקת בין פקיסטן להודו, מוצג כמעט בכל העולם הגבול כמקווקו, שמעיד על אזור במחלוקת. בהודו, מנגד, מוצג האזור כחלק מהמדינה. גם שמות יכולים להשתנות. גוף המים שמפריד בין יפן לקוריאה הדרומית מוצג ביפן כ"ים יפן", ובקוריאה הדרומית כ"הים המזרחי".
גוגל מפות: גבולות לפי דרישת הלקוח צילום מסך: google maps 2. פקיסטן אישרה כללי רגולציה חדשים ודרקוניים נגד רשתות חברתיות, שלדברי מבקרים מספקים לממשל כוח כמעט בלתי מוגבל להשתיק מבקרים ולפגוע בחופש הביטוי. הכללים החדשים מטילים אל החברות עצמן אחריות ישירה למנוע פרסום או שידור של כל תוכן ש"קשור לטרור, קיצוניות, שיח שטנה, השמצה, פייק ניוז, עידוד לאלימות וביטחון לאומי" – מטרייה רחבה שיכולה לכסות כמעט כל דבר בעולם, בהתאם לצרכי הממשל. החברות גם יחויבו להפעיל במדינה נציג מקומי לקבלת תלונות מהממשל, ולהסיר בתוך 24 שעות כל תוכן שהממשל קבע שהוא מנוגד לחוק.
