בעקבות זליגה ממאגר הנתונים המעודכן של משרד הפנים על אזרחי ישראל, כנראה שגם במקרה הנדון אין לסמוך על השכל הישר והרצון הטוב של הרשויות, וכדי שיתייחסו בכבוד הראוי לשמירת פרטיותנו וביטחוננו יהיה צורך בחקיקה.
זליגת מידע עד הבית – הטור של מיכל הלמן, אנליסטית בכירה, STKI
בראשית השבוע (15.1.07) פורסם בגלי צה”ל, כי מאגר הנתונים המעודכן של משרד הפנים על אזרחי ישראל, המכיל פרטים אישיים על כל אזרחי המדינה, מופץ באחרונה ברשת האינטרנט על ידי גולשים באמצעות תוכנות לשיתוף קבצים.
המאגר מכיל פרטים אישיים רגישים על אזרחי ישראל ובכלל זה גם על אישים בכירים. הדבר מדאיג ביותר כיוון שניתן להשיג מידע רב על כל אדם (פרטים, כמו; כתובת, שם, מצב משפחתי, שמות, קרובי משפחה ועוד) וכאשר מדובר באישים בכירים גם לשמש גורמים עוינים ולסכן את ביטחונם.
כיצד דלף המידע?
לא ידוע, אך משרד הפנים, מסר, כי בתקופת הבחירות מועבר המידע למפלגות לצורך פעילותן וככל הנראה דלף משם. ראש מנהל האוכלוסין, מסר, כי יגיש תלונה למשטרה כדי שתחקור כיצד דלף המידע.
מקרה זה אינו היחיד. כבר קרה מיקרה דומה שהתפרסם לפני מספר שנים ונראה, כי לא נלמד הלקח.
כיום קיימים שלל אמצעים טכנולוגים המאפשרים להגן על מאגרים רגישים; הגבלת גישה, הקשחת והצפנת databases, הצפנת קבצים, VPN, הזדהות חזקה, digital rights management, כלי מניעת זליגת מידע כמו: Onigma, PortAuthority ועוד ועוד.
אך נראה, כי הבעיה טמונה יותר בגורם האנושי. כיום מחלחלת יותר ויותר ההבנה, במיוחד בקרב ארגונים האמונים על מידע רגיש, כי אבטחת המידע תלויה בחלקה הארי באנשים – עובדים, הנהלה, קבלנים, שותפים עסקיים.
הסטטיסטיקות המצוטטות מזה מספר שנים על חשיבות “האיום הפנימי” (38% מהארגונים בסקר האחרון של ה-FBI דירגו איום זה כקריטי ביותר, 70% מאיבוד המידע קורה בטעות ו-80% הוא כתוצאה מגורם פנימי) עברו משלב הסיסמא לשלב הטיפול.
כיום ארגונים גדולים מתקצבים תוכניות להגברת מודעות אבטחת המידע בקרב עובדי הארגון.
סיסמאות כמו; “אבטחת מידע היא תרבות”, “ללא קיום אבטחת מידע גם המשרה שלך אינה בטוחה” ועוד, נשמעות, נכתבות ונטמעות בלא מעט ארגונים.
השינוי בגישה הכללית לתחום אבטחת המידע כמו גם לנושא הגברת המודעות נובע מכמה גורמים אשר הדומיננטי ביניהם הוא החקיקה/רגולציה.
במקרים רבים מטילה הרגולציה אחריות על הדרג המנהל לבצע צעדים לקידום התחום והפרה טומנת בחובה קנסות ועונשים. דוגמא בארץ – רגולציה 357 של המפקח על הבנקים שכל עיסוקה הוא הסדרת נושא אבטחת המידע וההמשכיות העסקית במגזר הפיננסי. רגולציה דומה – של המפקח על הביטוח.
בין ההוראות הבולטות של 357 – חובה למנות מנהל אבטחת מידע לארגון אשר יהיה חבר הנהלה וכפוף למנכ”ל, יש לקיים מדיניות אבטחת מידע עליה חתום הדירקטוריון ועוד.
כנראה שגם במקרה הנדון אין לסמוך על השכל הישר והרצון הטוב של הרשויות, וכדי שיתייחסו בכבוד הראוי לשמירת פרטיותנו וביטחוננו יהיה צורך בחקיקה.
בארה”ב כבר קיימת חקיקה כזו במרבית המדינות – חוקים כמו SB 1386 ו-GLBA מחייבים לשמור על פרטיותו של הלקוח וכן להודיע לו כאשר יש חשד לגניבה של מידע רגיש אודותיו. בעקבות כך כבר הוצאו מיליוני הודעות ללקוחות כאלה מה שגובה מחיר יקר מהארגון החל מהוצאות ישירות דרך נטישת לקוחות.
כעת ישנה הצעת חוק פדראלית מרחיקת לכת עוד יותר Cyber \Security Enhancement and Consumer Data Protection Act of 2006 המציעה להטיל עונשי מאסר בפועל על מנהלי חברות אשר לא הודיעו ל-FBI על פריצה למאגרי מידע שלהם הכוללים מידע על 10,000 עובדים פדראליים או יותר.
חבר הכנסת אופיר פינס הציע בראיון לגל”צ לחוקק חוקים בעלי אופי דומה – מעניין וחשוב לעקוב ולראות אם הדבר יעלה לדיון בכנסת ואם לבסוף יגיע לידי חקיקה.
_________
הכותבת מיכל הלמן היא אנליסטית בכירה בחברת המחקר STKI
