דלג לתוכן הראשי
עיתון בשירות החברה

שביל של פירורי מידע: כל מי שמנהל חיים מודרניים מותיר מאחוריו פעולות שנרשמות במאגר כלשהו. צילום: פלאש 90

המאגר והדליפה נולדים יחד

חמישה סוגים של דליפות מידע ממאגרים צריכים להטריד את מנוחתנו. יהונתן קלינגר מסביר כי המידע מן המאגר הביומטרי ידלוף בכל אחת מחמש הדרכים הללו

0

המאגר הביומטרי איננו אלא אחד ממאגרי המידע שמוקמים לאחרונה במדינתנו. מדינת ישראל סובלת מקדחת מאגרי מידע, כפי שמגדיר זאת ד"ר מיכאל בירנהק במאמרו ב"גלובס", שהתפרסם כבר ב-2008 (16.7). נראה שהמאגר הביומטרי אינו האחרון שבמאגרים הפוגעניים האלה, וברור שאינו הראשון.

0.1
החזקת מאגרי מידע על אזרחי המדינה, ושימוש מתמיד באותם מאגרים, הם מהמאפיינים של חברת המעקב, שבה הפרט אינו אלא נתון. כדי להבין עד כמה ישראל היא אכן מדינת מעקב, צריך לזכור כמה היא חריגה בנוף העולמי בכל מה שקשור בהחזקת מידע על אזרחיה. ישראל היא אחת המדינות היחידות שבהן קיימים המושגים "תעודת זהות" ו"מספר זהות". כאשר תלכו בניכר לפתוח חשבון בנק, יבקשו מכם דרכון, ויחד עם הדרכון יבקשו מכם חשבונות של שירותים על שמכם (נניח, חשמל או ארנונה) כדי להוכיח כי אתם מוּכּרים על ידי רשויות אחרות. אבל תעודות הזיהוי ומרשם האוכלוסין (שהוא נגע רע משרידי המנדט הבריטי) אינם המאגרים היחידים. כל מי שמנהל חיים מודרניים מותיר מאחוריו בכל פעולה כמעט שהוא מבצע שביל של פירורי מידע: קמנו בבוקר, התלבשנו, צחצחנו שיניים; הפעולה הבאה? יצאנו לבית הקפה השכונתי, קנינו קפה ומאפה ושילמנו בכרטיס אשראי? הפעולה נרשמה במאגר כלשהו. לא השתמשנו בכרטיס אשראי, אבל העברנו את כרטיס המועדון? גם כן; גם אם איננו חברי מועדון, אך הודענו ברשת החברתית האהובה עלינו שקנינו שם, הפעולה נרשמה.

דליפה יכולה להתרחש כאשר מאגר מידע שמוחזק כחוק, ומנוהל בצורה מאוד מאובטחת, נמכר לגורם עסקי שנראה לגיטימי. דוגמה טובה לכך נחשפה בפברואר 2010: עיריית רמת גן מכרה מידע לחברת "קידום" לצורך שיווק. חברת "קידום" הציעה לעירייה לרכוש ממנה את שמות כל התלמידים; התלמידים, שמעולם לא נתנו את הסכמתם לקבלת מידע שיווקי, גילו שהמידע על אודותיהם דלף והגיע לחברה מסחרית

0.2
לאחר מכן, בדרך לעבודה, פתחנו את תוכנת ה-GPS האהובה עלינו, וזו דיווחה לנו על הפקקים בדרך על סמך נתונים של משתמשים אחרים. התקשרנו מהטלפון הסלולרי לבוס להגיד שאנחנו מאחרים, והשיחה (כמו גם נתוני המיקום שלנו באותה שיחה) נרשמה במאגר המידע של חברת הסלולר שלנו על פי חוק נתוני תקשורת. הגענו לבסוף לעבודה והחתמנו כרטיס; חלק מאיתנו אף מחתימים כרטיס עם טביעת האצבע שלהם. גם ההחתמה נרשמה. לאחר מכן שתינו קפה וקראנו עדכונים באתר החדשות האהוב עלינו, וזה שמר עלינו פרטים מזהים וקלט את הרגלי הקריאה שלנו.

0.3
במהלך יום העבודה המעביד עקב אחרינו, בין אם באמצעות מצלמות נסתרות שהתקין ובין אם באמצעות טכנולוגיות שנועדו לבדוק את תפוקת העובדים. גם המידע הזה נשמר במאגר.

0.4
בדרך הביתה נסענו בכביש שש. גם שם נשמר עלינו מידע מפורט: מתי נסענו ובאיזו מהירות ואם העדפנו להיות אקולוגיים, ולנסוע בתחבורה ציבורית, כרטיס הרב-קו עקב אחרינו ורשם במאגר מידע מרכזי את נתוני הנסיעה שלנו, לפחות עד שהנחיה חדשה של משרד המשפטים תיכנס לתוקף.

0.5
בערב ישבנו בבית וצפינו בטלוויזיה. אבל גם בבית הפרטיות שלנו נתונה בסכנה: לא רחוק היום שממירים חכמים ידווחו לחברת התקשורת מהם הערוצים שבהם צפיתם.

0.6
קריאה של ארבע מאות המילים האחרונות מעידה על המצב העגום שלנו ומעלה תהיה אחת: האם יש באמת סיבה להילחם על הפרטיות שלנו כאשר בכל יום המידע עלינו נשמר בעשרות מאגרי מידע? וזה עוד לפני שמדברים על מאגרי המידע של הבנקים או קופות החולים. אז מה יש לנו לעשות? האם אנחנו צריכים להילחם בטכנולוגיה ולנסות לשנות את החברה שלנו, או שמוטב להכיר במציאות העגומה שבה כל פירורי העוגיות שאנו מותירים במהלך היום עשויים לפגוע בנו? המטרה של הקדמה קצרה זו היא להבהיר מהי כמות המידע שנשמר, ומהי הסכנה באגירה המסיבית של המידע הזה.

0.7
כדי להבין מהי הסכנה בדליפה של מאגרי המידע נפרק את העניין לכמה סכנות: (1) שימוש במידע למטרות כלכליות [לגיטימיות ולא לגיטימיות], כלומר לגרום לכם לרכוש יותר או להוציא מכם כספים במרמה; (2) שימוש במידע למטרות פרסונליות [לגיטימיות ולא לגיטימיות], כלומר לבצע פעולות בשמכם או להתחזות לכם; (3) שימוש במידע למטרות בטחוניות [לגיטימיות ולא לגיטימיות], כלומר להילחם בפשע ובטרור או לבצע מעשי פשע או טרור.

0.7.1
חשוב להבין שהמטרה שלשמה נאגר המידע עשויה להיות חיובית לחלוטין. לדוגמה, מידע על תנועה של בני אדם בתחבורה הציבורית יכול להביא לזיהוי קווי אוטובוס עמוסים ולסייע בתכנון קווים חדשים. אבל המידע הזה יכול בו בזמן לסייע לארגוני טרור לדעת מהם קווי האוטובוס הצפופים ביותר כדי לתכנן פיגוע. מערכת שמאפשרת זיהוי מול חשבון בנק מסוים, על ידי שמירה של סיסמה או טביעת אצבע, מאפשרת גם לזייף את הכניסה לאותו חשבון בצורה לגיטימית. כלומר, ככל שמאגר יותר רגיש, כך יש לאבטח אותו יותר.

0.8
לכן, קדחת מאגרי המידע, כפי שנראה במאמר זה, היא בעייתית במיוחד: היא לא רק מיותרת, ונובעת מרצון לשמור מידע מיותר, אלא גם מאפשרת את הנזקים שמהם היא מנסה להימנע.

1.

מהי בעצם הדליפה שאנחנו מדברים עליה? דליפה היא כל גישה שאינה מורשית למאגר, בין אם על ידי האקר איראני שגנב את כל המאגר ובין אם בידי חוקר פרטי שמשלם חמישים שקל לפקיד כדי שזה יבדוק מידע המצוי במאגר. גישה, לצורך העניין, היא היכולת לקרוא מידע המצוי במאגר או להוסיף מידע חדש למאגר.

דליפה יכולה להתרחש כאשר מאגר מידע שמוחזק כחוק, ומנוהל בצורה מאוד מאובטחת, נמכר לגורם עסקי שנראה לגיטימי. דוגמה טובה לכך נחשפה בפברואר 2010: עיריית רמת גן מכרה מידע לחברת "קידום" לצורך שיווק (פגיעה מהסוג הראשון). הסיפור הוא כזה: לעירייה, כחוק, יש מאגר מידע על כל תלמידי בתי הספר. המאגר מאובטח, מוגן ומנוהל כמו שצריך. חברת "קידום" הציעה לעירייה לרכוש ממנה את שמות כל התלמידים; התלמידים, שמעולם לא נתנו את הסכמתם לקבלת מידע שיווקי, גילו שהמידע על אודותיהם דלף והגיע לחברה מסחרית, שניסתה למכור להם מוצרים. אכן, לא מדובר בגנבה של המאגר בידי האקר איראני, או גנב מתוחכם, אבל זוהי בהחלט דליפה.

דליפה מהסוג הזה נפוצה מאוד. באוקטובר 2010 נחשפה פרשה דומה שבה היתה מעורבת חברת "סלקום": החברה רכשה מאגר מידע של מתגייסים לצה"ל והצליבה אותו מול מאגר המידע שלה, כדי לגלות מי מלקוחותיה הוא הורה לילד שעומד להתגייס לצבא ולהציע לו הצעות שיווקיות. גם המקרה הזה לא נקשר למשפחות פשע או לגורמים עוינים לישראל, אבל יש לו השלכות לא מבוטלות.

בתהליך החקיקה נטען לא אחת שהמאגר יהיה מוגן, ויינקטו כל האמצעים להגן עליו מדליפה. אלא שהדליפה הוצגה תמיד כדליפה קלאסית, שבה המאגר כולו מגיע לאינטרנט. בשום מקום לא הסבירו איך יוגן המאגר מפני שימוש לרעה של מי שקיבלו את הסמכות להשתמש בו (כזכור, כל שוטר יוכל לגשת למאגר)

דליפה מהסוג הזה היא דליפה מערכתית; לא מדובר כאן בארגון פשע שסוחר עם ארגון פשע אחר, וגם לא בארגון פשע שסוחר עם גוף מסחרי, אלא בשני גורמים לגיטימיים שסוחרים במידע פרטי בלי ידיעת או הסכמת מושאי המידע.

2.

סוג אחר של דליפות, שמתקרב יותר לדליפה הפלילית, הוא דליפה כתוצאה ממכירת מידע. השיטה פשוטה: חוקר פרטי (או גורם אחר) רוצה מידע על אדם מסוים (לדוגמה, לדעת מהי ההכנסה שלו). הוא מאתר פקיד ששולט במידע הזה, ותמורת כסף (או תוך שימוש בסחיטה) גורם לו להעביר את המידע המבוקש.

לדוגמה: בשנת 2007 הורשעה עובדת בביטוח לאומי שסחרה במידע פרטי ונחשף כי בכירים בביטוח לאומי ורשות המסים סחרו במידע פרטי. דליפה מהסוג הזה היא דליפה שאינה מערכתית, ואפשר לקרוא לה סחר לא לגיטימי במידע; היא נתפשת כחמורה יותר מהדליפה המערכתית, אך הרבה פעמים היא הרבה יותר נקודתית. האירוע כאן הוא פרסונלי ולא מערכתי. המידע נרכש הרבה פעמים על ידי בעל שחושד שאשתו בוגדת בו, או על ידי גורם שמעוניין לברר את מצבנו הפיננסי. לעתים רחוקות יותר המידע נרכש על ידי ארגוני פשיעה שמעוניינים למצוא קורבנות מסוימים.

3.

סוג הדליפה הבא הוא זחילת שימושים. במצב הזה יש אדם הנהנה מגישה למאגר למטרה מסוימת, והוא משתמש בו לצורך מטרה אחרת.

לדוגמה: בשנת 2009 הורשע עובד מדינה ששלף מידע מתוך מאגר והשתמש בו לצורך אכיפה של תשלום מס (עשמ 3275/07 שמואל ציילר נגד נציבות שירות המדינה); דליפה מהסוג הזה, שהיא מחוץ לחוק ובניגוד לנהלים והמוגדרת כאמור כזחילת שימושים, היא כנראה הדליפה הנפוצה ביותר ולכן אף מסוכנת ביותר.

אלא שלכידת "מדליפים" מהסוג הזה קשה ביותר: רשות המסים, במקרה הזה, אמנם צריכה להתנער מהעובד הסורר ששלף מידע על נישומים, אבל היא גם מרוויחה כסף מכך שהוא הגדיל את הכנסותיה מגביית מסים.
זחילת שימושים כזו התרחשה גם במאגר הדנ"א המשטרתי. הסיפור היה פשוט למדי: במסגרת חקירת רצח מסוימת התבקש אדם לתת דגימת דנ"א מתוך הסכמה עם המשטרה שהראיה תשמש אך ורק לצורך חקירת הרצח; לאחר שהדגימה הגיעה למעבדה, מצאה אחת השוטרות כי היא תואמת לדגימה אחרת שנמצאה בזירת אונס. על סמך ראיות אלה הורשע האיש באונס. המקרה הגיע לבית המשפט העליון (עפ 4988/08 איתן פרחי נגד מדינת ישראל), וזה פסל את הראיה אך הותיר את ההרשעה על כנה.

המקרה היה מעניין ביותר: חוקרת המשטרה אמרה שלא היתה "הצלבה" בין מאגרי המידע, אלא שהיא עצמה זכרה את אלל הדנ"א וביצעה את ההצלבה בראשה. המקרה הזה הביא להושבת אנס מאחורי סורג ובריח, אך מעניין לדעת כמה "הצלבות בראש" נערכות עם מידע אחר שנמסר למשטרה, וזו אומרת שלא תעשה בו שימושים לרעה.

4.

סוג רביעי של דליפה הוא פִּרצת אבטחה. במקרה הזה מידע אינו מוגן היטב, וכתוצאה מכך אדם בעל כישורים מסוימים יכול להשתמש בו. דוגמאות לנושא זה ניתן למצוא ברשת למכביר, אבל דומה שהותרתן ברחוב של תעודות פטירה או זריקה לרחוב של גליונות ציונים הן רק קצה הקרחון של הרשלנות בהגנה על מידע פרטי. שני המקרים התרחשו באוקטובר 2009, חודשיים לפני שחוק המאגר הביומטרי התקבל בכנסת, אבל לא היה בהם לגרום למחוקק להבין את הסכנות בדליפה של מידע או בחוסר היכולת להגן עליו.

מקרה אחר שהתרחש בחודש יולי 2008 היה פרצת אבטחה באתר בית החולים איכילוב, שאפשרה צפייה בפרטים רפואיים של כל מטופל; במקרה אחר, שהתרחש חודש לאחר מכן, פרצת אבטחה באתר האינטרנט של שאול מופז אפשרה לכל אדם לצפות בספר המתפקדים של מפלגת קדימה.

פרצת אבטחה אינה נובעת מזדון, אלא מתכנון לקוי. בדרך כלל היא גם לא ניתנת למניעה; גם תכנון טוב אינו חסין לפרצות אבטחה. לאחרונה הציעה גוגל מיליון דולר למי שיצליח למצוא פרצות אבטחה בדפדפן האינטרנט כרום. המטרה היתה, כמובן, להראות כמה הדפדפן בטוח, אך לא עברו מספר דקות מרגע שהחלה התחרות ועד שהצליחו האקרים, עם מיליון דולר של מוטיבציה בכיס, למצוא פרצה.

5.

המאגר יוגן על ידי האמצעים הטובים ביותר בשוק, אבל עדיין יש לו נקודת כשל אחת: כל פקיד במשרד הפנים שירצה להכניס את בן הדוד שלו, ששילם מספר שקלים, בזהות בדויה, יוכל לעשות זאת, כי על תהליך הכניסה הראשון למאגר אין ביקורת

סוג חמישי של דליפה הוא אובדן מידע. כאן מדובר במצב שבו מידע לא מוגן מוצא מתוך מאגר המידע לצורך מטרה מסוימת ואובד בדרך. לדוגמה, בשנת 2005 אבד כונן USB עם מידע רפואי של 120,000 חולים בהוואי, ב-2006 אבד כונן USB עם מידע צבאי רגיש, ב-2010 אבד כונן נייד עם מידע על מבוטחים רפואיים, באוגוסט 2011 זה קרה לחברה שנשכרה לצורך בקרה על בדיקת הגנת הפרטיות ואיבדה מידע רגיש על 4,500 חולים… אובדן מידע מתרחש לעתים תכופות כאשר מידע מוצא על התקנים ניידים, ובמיוחד כאשר הוא לא מוצפן. כאן אין כוונה זדונית, אלא רשלנות גרידא וחוסר טיפול במידע.

6.

עכשיו, משהבנו את חמשת סוגי הדליפה, ניכנס לסוגיית המאגר הביומטרי ונשאל האם אפשר באמת לומר שהוא יהיה מאובטח.

בתהליך החקיקה נטען לא אחת שהמאגר יהיה מוגן, ויינקטו כל האמצעים להגן עליו מדליפה. אלא שהדליפה הוצגה תמיד כדליפה קלאסית, שבה המאגר כולו מגיע לאינטרנט. בשום מקום לא הסבירו איך יוגן המאגר מפני שימוש לרעה של מי שקיבלו את הסמכות להשתמש בו (כזכור, כל שוטר יוכל לגשת למאגר).

גם אם נניח שתהיה בקרת גישה ויתועד כל מקרה שבו עובד של המאגר ייגש למידע, עדיין יש כמה כשלים עיקריים: הראשון הוא בכך שגישה, כאמור, היא גם כתיבה וגם קריאה במאגר. נכון להיום מנסים למכור לנו את הטענה שהמאגר הביומטרי יגן עלינו מפני גנבת זהויות וזיוף של תעודות זהות, אלא שכל פקיד במשרד הפנים יוכל להכניס זהות למאגר.

כלומר, המאגר יוגן על ידי האמצעים הטובים ביותר בשוק, אבל עדיין יש לו נקודת כשל אחת: כל פקיד במשרד הפנים שירצה להכניס את בן הדוד שלו, ששילם מספר שקלים, בזהות בדויה, יוכל לעשות זאת, כי על תהליך הכניסה הראשון למאגר אין ביקורת.

כלומר, דליפה מהסוג השני מתחייבת להתרחש: או על ידי שוטר שמקבל משכורת נמוכה וישוחד להעביר מידע לגורמי פשע, או על ידי פקיד משרד הפנים שישוחד (או לא ישוחד) להכניס זהויות בדויות למאגר. הנקודה החלשה, של הדליפה מהסוג השני, אינה מטופלת בארכיטקטורה של המאגר.

7.

שלא יהיה ספק: המאגר ידלוף בכל דרך אפשרית. כל אחת מחמש דרכי הדליפה תתרחש לאורך זמן. הסכנה בכך תהיה רבה, משום שלא יהיה אפשר להשתמש עוד בזיהוי ביומטרי כלל וכלל, כשם שכיום אי אפשר להשתמש במספר הזהות שלנו כאמצעי זיהוי מול גורמים אחרים. אלא שעד שהמאגר ידלוף במלואו ויגיע לאינטרנט ייגרמו לנו עוד הרבה נזקים, כי אנחנו נסתמך על המאגר: אנחנו נאמין שהמידע הביומטרי שלנו מאובטח, ושאף אחד לא עושה בו שימוש, כשבפועל מה שיקרה הוא שימוש לרעה, התחזות וניצול.

 

המאמר פורסם בגיליון מספר 64 של "ארץ אחרת": מדינת מעקב – המאגר הביומטרי ומאגרים אחרים. להזמנת הגיליון לחצו כאן

עו"ד יהונתן קלינגר הוא מומחה בתחום דיני המידע

תגובות פייסבוק

תגובות

תגובות

הגיבו לכתבה