דו"ח טכנולוגי

דו"ח טכנולוגי

"האפשרות להעביר מידע רגיש על מתחסנים תגרום להם נזק אמיתי"

בעקבות אישור החוק שמאפשר למסור מידע על מתחסנים ולא מתחסנים לרשויות מקומיות, אומר ההאקר נעם רותם: "זה רק עניין של זמן עד שהמידע הרגיש הזה יגיע לגופים פחות מוסמכים"; ד"ר תהילה שוורץ אלטשולר: "מדובר בחוק ריק שמבטא 'פסאדה' של כוח"

עומר כביר 08:4625.02.21

לידידי, ההאקר נעם רותם ,יש תחביב קצת משונה: לחשוף פרצות אבטחה ודליפות מידע במערכות מחשוב של חברות פרטיות וגופים ציבוריים. ביחד, דיווחנו לאורך השנים בכלכליסט על שורה ארוכה של דליפות מידע, חלקן מסוכנות מאוד, כמו פרצה במערכת של סוכני נסיעות שחשפה את יעדי הטיסה של ראש הממשלה ושל בכירי מערכת הביטחון, דליפת מידע רגישה בעשרות גופי ממשלה וחברות פרטיות שלא תוקנה חרף אזהרה של מערך הסייבר שורת פרצות באפליקציית דרבון הבוחרים אלקטורוגם, באופן לא מפתיע, פרצת אבטחה חמורה שחשפה מאגרי מידע של רשויות מקומיות .

  

רותם יודע היטב שאם יש מערכת שמחוברת לרשת, רוב הסיכויים שיש לא פרצת אבטחה כלשהי שיכולה לחשוף את כל המידע שבה. זו לא שאלה של האם המידע ידלוף אלא מתי, וכמה מאמצים עושים המחזיקים במידע כדי להגן עליו.

 

פעמים רבות מדי, במיוחד כמשדובר בגופים ציבוריים, התשובה תהיה: לא מספיק. וזה משהו שצריך להדאיג את כולנו, עכשיו שהכנסת אישרה אתמול בקריאה שנייה ושלישית את החוק שמאפשר למסור מידע על מתחסנים ולא מתחסנים לרשויות מקומיות שאבטחת המידע בהן כל כך בעייתית, שמבקר המדינה נדרש לה בהרחבה ולמשרד החינוך (עוד גוף שרותם חשף בו בעבר פרצות אבטחה). במיוחד בהתחשב בכך שפרט להוראה שהמידע יישמר "באופן מאובטח", אין בחוק שום התייחסות לדרך שבה יש לאחסן את מה שאמור להיות מידע רפואי אישי וחשאי.

 

נעם רותם נעם רותם צילום: אוהד צויגנברג

 

לדברי רותם, יש כאן מתכון המושלם לדליפה מובטחת. "עם הרקורד של אבטחת המידע בשלטון המקומי, זה רק עניין של זמן עד שהמידע הרגיש הזה ימצא את עצמו בידיים של גופים פחות מוסמכים ויגרם נזק אמיתי למי שמופיע ברשימות הללו", הוא אמר לדו"ח טכנולוגי. "העובדה שבהחלטת הממשלה אין התייחסות לענייני אבטחת המידע הזה מדברת בשם עצמה, ואת המחיר נשלם שוב אנחנו, האזרחים".

 

"אחד מסוגי המידע הרגישים ביותר" 

 

ורותם עוד מדבר על מקרה קצה שבו המידע דולף. מומחים רבים מודאגים לא פחות גם ממה שיעשו במידע האנשים שמורשים להשתמש בו. "מידע על התחסנות אולי היה פעם די משעמם, אבל עם ההקשר של הקורונה הוא הפך להיות אחד מסוגי המידע הרגישים ביותר, כי הפוטנציאל לנזק נהיה ממשי", אמר ד"ר ערן טוך מהפקולטה להנדסה באוניברסיטת תל אביב. "אם המידע ידלוף, יגיע לידיים לא נכונות, או יעשה בו שימוש בצורה לא נכונה ברשויות מקומיות או במקומות אחרים, יכול להיווצר נזק אמיתי לאנשים. רשויות מקומיות או מקומות עבודה יכולים, למשל, להפעיל לחצים לא הוגנים על מי שלא מתחסן. רשויות שיוכלו להשתמש במאגר רק כדי להרים טלפונים למי שלא התחסן, שזה לגיטימי בעיניי. אבל העובדה שאין הגנות חזקות על פרטיות יכולות לתת יד חופשית מדי לרשויות שיתכן וייעשו דברים שהם יותר בעייתיים".

 

רן בר זיק, מתכנת בכיר בוורייזון מדיה ועוד חובב של חשיפת פרצות אבטחה, תמיד מדמיין את התרחיש הגרוע ביותר. ובמקרה הזה, התרחיש הוא שהמידע שיועבר ישמש לא לעידוד לא-מתחסנים לצאת ולהתחסן, אלא דווקא לפגיעה באלו שכבר התחסנו או להרתעת אזרחים שמעוניינים להתחסן: "מבחינה פרקטית, הכי פרקטית בעולם, זה רעיון רע מאוד. למה? כי העברת מידע כזה לא רק חושפת את הלא מתחסנים. היא חושפת מי כן התחסן - המידע של מי שלא נמצא ברשומות. ויש לא מעט קהילות שבהן מי שמתחסן זוכה לסטיגמה ולבעיות. 'אה, הוא התחסן בניגוד לדעת מנהיג הקהילה/הרב? אז נעיף את הילד שלו מבית הספר למען יראו וייראו'. מה זה יעשה לשיעור החיסון? מעבר לכך שזה פוטנציאל אדיר לבעיות - כי המידע הזה יזלוג".

 

נו, אז יזלוג. מה כבר יעשו? שידעו שהתחסנתי. ביג דיל.

"בטח, לעומר כביר מתל אביב (אני לא מתל אביב, ע"כ) אין בעיה. אבל מה אם אתה חבר בקהילה חרדית שהרב אסר על חיסון? או קהילה כמו בפרדס חנה שבה המדיניות של הגן, המתנ"ס או כל שיט אחר היא שלא מתחסנים ואז יעיפו את הילד שלך מהמסגרת הזו? העניין הוא שלהפצת מידע כזה יש השלכות לא צפויות. כאלו שלא חשבו עליהן עד הסוף. לא התייעצו עם מומחי פרטיות, למשל, ואז מגיעים לבעיה הזו".

 

"חוק ריק שמבטא 'פסאדה' של כוח"

 

וכל זה, כל החוק וכל הסיכונים האלו, אפילו לא יצליחו כנראה למלא את המטרה העיקרית שלשמה הוא נועד – עידוד אזרחים להתחסן. ראשית, מכיוון שאין אפשרות להטיל שום סנקציות על לא-מתחסנים. "החוק כפי שעבר הוא חוק ריק שמבטא 'פסאדה' של כוח", הסבירה לדו"ח טכנולוגי ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה. "זאת, מפני שכתוב בו במפורש שאסור למי שהרשימה תעבור אליו לפגוע בזכויות של מי שלא מתחסן; אסור להתנות מתן שירותים בהתחסנות; ואסור לבעלי תפקידים ליצור קשר עם מי שהם מכירים באופן אישי כדי לשכנע להתחסן. לכן, בפשטות, הצלת החיים לא תגיע מהכיוון הזה, כי משרד החינוך לא יוכל להודיע למי שלא התחסן שהוא מפוטר וראש העיר לא יוכל לאסור על ילדים שהוריהם לא מחוסנים להשתתף באירועים".

 

 

ד"ר תהילה שוורץ אלטשולר ד"ר תהילה שוורץ אלטשולר

 

ובכל הנוגע לעידוד ושכנוע הססנים? לדברי שוורץ אלטשולר רשויות מקומיות ומשרד החינוך הם בכלל לא הכתובת הנכונה: "בדיוק כפי שאנחנו מסתמכים על מחקרים כדי להוכיח את יעילות החיסון, כדאי להסתמך על מחקרים שמלמדים מה גורם לאנשים להסכים להתחסן. המסקנות די חד-משמעיות: גורמי רפואה, ובעיקר רופאי המשפחה, הם הגורמים בעלי הסיכוי הגבוה ביותר לשכנע בחשיבות נטילת החיסון. יש בידם את המידע המקצועי-רפואי והם אלו שבפניהם אנשים חושפים מידע רפואי אישי ביום יום. להם גם יש ממילא את המידע מי התחסן ומי לא.

 

"מהו המענה שיוכלו לתת גורמים ברשות מקומית, במשרד החינוך או העבודה כאשר מהסס החיסון עמו יצרו קשר יעלה בפניהם את חששותיו הרפואיים? כיצד יוכלו לתת ייעוץ מקצועי במידה שמתנגד החיסון עושה זאת בשל בעיה רפואית ממנה הוא סובל? הדרך הנכונה היא שכאשר רופא המשפחה סבור שיש אדם שלא הגיע להתחסן מפני שהוא זקוקים לתמיכה מסוג כלשהו, למשל הסעה, יועברו פרטיו אל הרשות המקומית. בדיוק כפי שהרופא פונה לרשות הרווחה המקומית אם הוא מגלה, חלילה, ילד שיש על גופו סימני חבלה. אם מדובר בשכנוע כללי יותר, למשל באמצעות יצירת הפנינג חיסונים, ממילא אין צורך בפרטים האישיים של מתחסנים.

 

"לא לחינם טענו מומחי בריאות הציבור בישיבת ועדת העבודה, הרווחה והבריאות של הכנסת, שדנה בהצעת החוק, שהעברת המידע לפי החוק תיצור יותר נזק מתועלת, אולם חברי הכנסת ביטלו כלאחר יד מומחיות של אנשים שכל עיסוקם הוא בריאות הציבור ועידוד התחסנות, והעדיפו לסמוך על תחושות הבטן והתקוות שלהם עצמם".

 

"ישראל בוחרת צעדים קיצוניים ביחס לדמוקרטיות אחרות"

 

אבל הבעיה שאתה אנו מתמודדים היום גדולה הרבה יותר מהחוק הספציפי הזה, שהוא רק הרכיב האחרון בהליך מואץ של כרסום פרטיות של אזרחי ישראל שהתרחש כאן בשנה האחרונה בחסות הקורונה. זה התחיל עם איכוני השב"כ, שעדיין מאושרים ומוארכים תקופתית חרף העובדה שיעילותם טרם הוכחה ולמרות שיעור המתחסנים הגבוה. זה המשיך עם הפיכת המידע הרפואי, הגם שאגרגטיבי ואנונימי, לנכס סחיר שנמכר לפייזר במסגרת המאמצים (הראויים) להגדיל את אספקת החיסונים, בהליך שנעשה באופן לא שקוף דיו וללא דיון ציבורי מספק. ועתה, בחקיקת בזק שחושפת מה שהוא בסופו של דבר מידע רפואי אישי, מידע שמסורתית ואתית אמור להיות חשאי מעין כמוהו, בפני גורמים שאין אפשרות אמיתית לפקח על השימוש שהם עושים בו, ושהיכולות שלהם להגן על מידע רגיש אינן מרשימות.

 

כל אלו פוגעים ישירות בפרטיות של אזרחי ישראל, ומסירים חסמים בפני פגיעות עתידיות נוספות, הופכים את המהלכים הבאים לקלים יותר להעברה ואישור. "ברור שמדובר במצב חירום וברור שמדובר בצורך להגביל זכויות, אבל הקושי הוא שיש חכמה נצברת בהגנה על זכויות האדם", אמרה שוורץ אלטשולר. "למשל, יצירת שבר עמוק באמון הציבור מול השלטון. פחד לשתף בעתיד במידע רפואי. חוסר יכולת להיגמל מהפגיעה כמו שקורה בעניין האיכונים. ישראל בוחרת צעדים קיצוניים ביחס לדמוקרטיות אחרות ובעיקר נדמה שהזכות לפרטיות כמעט ולא מוכרת כמשהו שצריך להתחשב בו. יום אחד תסתיים המגיפה. מה שיישאר הוא חשש של אנשים ממסירת מידע רפואי לגופי בריאות ובוודאי למשרד הבריאות, וזה יסב פגיעה קשה וארוכת טווח".

בטל שלח
    לכל התגובות
    x