בעקבות ההאקר: יוגבל איסוף מספרי תעודת זהות
פרשת "ההאקר הסעודי" הובילה את משרד המשפטים לפרסם טיוטת הנחיות לציבור ולעסקים, לפיה ייאסר איסוף מספרי זהות במאגרי מידע בלי בחינה מוקדמת שתצדיק זאת. אזרחים נקראים לברר כבר היום לשם מה נדרש המספר, וכיצד הוא מוגן
מספרי הזהות של מאות אלפי ישראלים נחשפו ברשת, ומשרד המשפטים מנסה לחדד את ההנחיות לגבי איסוף מידע אישי. בטיוטת הנחיה שמפרסמת הבוקר (יום א') הרשות למשפט טכנולוגיה ומידע (רמו"ט) במשרד, נקבע כי חל איסור על איסוף מספרי זהות "ללא הצדקה משמעותית".
עוד בערוץ החדשות של ynet:
כך נטשה הממשלה את העורף: מקלטים לעשירים, בתי ספר חשופים, 40% בלי ערכות מגן
השריפה בבית האבות: איפה היו העובדים?
סוכנים ומעקבים: ה-CIA והמוסד בבעיה באיראן
במשרד המשפטים מסבירים כי הצורך בפרסום ההנחיה התחדד לאחר שהתגלה כי פרטי מידע אישי שנשמרו במאגרי מידע נגנבו על ידי פצחנים (האקרים) ופורסמו באינטרנט בפרשה שכונתה "ההאקר הסעודי"; וכן בהמשך לדיונים שהתקיימו בוועדת המדע והטכנולוגיה בכנסת ובעקבות פניות מהציבור לגבי איסוף גורף של מספרי זהות על ידי גורמים עסקיים.
המסמך שמתפרסם להערות הציבור, קובע כי איסוף מספרי זהות במאגרי מידע טרם שנבחנה ונמצאה הצדקה לאסוף נתון זה - אסור. טיוטת ההנחיה מפרטת את התהליכים הנדרשים לצורך הבחינה, פירוט החובות החלים על מי שאוסף מספרי זהות והתנאים שבהם ניתן לעשות שימוש במידע זה.
"החשיבות בהגנה על מידע אישי הכולל מספרי זהות, נובעת מהעובדה כי מספר הזהות הינו מספר ייחודי אשר מלווה אדם כל ימי חייו ואף לאחר מותו, ומאפשר לקשר בין פרטי מידע אישיים ורגישים אודותיו הנמצאים במאגרי מידע שונים", נכתב בהודעת משרד המשפטים.
עמדת רמו"ט היא כי "טיוטת ההנחיה משקפת את האיזון הנכון בין ההכרה בצורך של גופים מסוימים לאסוף מספרי זהות, תוך עמידה בדרישות חוק הגנת הפרטיות, כפי שבאות לידי ביטוי בטיוטת ההנחיה, מחד, ומנגד, איסור איסוף מספרי זהות כאשר לא נמצאה הצדקה לעשות כן".
בין היתר מצוין בטיוטה כי על בעל המאגר ליידע בצורה מפורשת אם חלה על אותו אדם חובה חוקית למסור את מספר זהותו, או שמסירת המידע תלויה ברצונו ובהסכמתו; עליו להבהיר לאדם את המטרה לשמה מבוקש מספר הזהות כולל הסבר מדוע לא ניתן להשיג את המטרה של זיהויו בדרך אחרת. עוד יש למסור לאדם למי יימסר המידע בדבר מספר זהותו ומטרות המסירה. במשרד המשפטים מציעים למשל להשתמש ב"מספר לקוח" כחלופה למספר הזהות.
"להניע מהלך של שינוי חשיבתי"
יורם הכהן, רשם מאגרי מידע וראש הרשות למשפט טכנולוגיה ומידע, אמר שטיוטת ההנחיה "אמורה להניע מהלך של שינוי חשיבתי על ידי עסקים לגבי האופן שבו נאסף מידע אישי. במקרים רבים אין צורך בזהות הוודאית שנותן הקישור למספר הזהות, ואיסופו יוצר בעיית אבטחת מידע לאומית. הגופים אשר כן נדרשים למידע זה יידרשו להגן על המידע באופן שהולם את הסיכונים, לרבות הצפנתם".
הכהן קרא לאזרחים "לא למסור בקלות את פרטי מספר הזהות שלהם, ולברר כבר היום עם העסקים המבקשים אותו לשם מה הוא נדרש, וכיצד הוא מוגן". לפי הטיוטה, ההנחיות ייכנסו לתוקף תוך שלושה חודשים מיום פרסומן לעניין איסוף מידע שיחל לאחר הפרסום, ושישה חודשים מיום הפרסום לעניין מידע שנאסף לפניו. "לאחר מועדים אלה יפעיל רשם מאגרי מידע את מכלול הסמכויות הקבועות לו בדין", צוין.
עוד אמר הכהן כי "ההנחיה הופכת את המשוואה וקובעת שאסור לאסוף את מספרי תעודות הזהות אלא אם כן יש הצדקה טובה מאוד כמו במקומות שהם יש חובה חוקית, בנקים או קופות חולים. בתום הזמן שנקבע בהנחיה, לרשם מאגרי המידע יש יכולות פיקוח שמאפשרות לו לסגור את מאגרי המידע ולהטיל קנסות. בנוסף יש חקיקה שמתגבשת עכשיו בכנסת שתגדיל את הסמכויות הללו".
מידע על 400 אלף ישראלים
בתחילת ינואר טענו האקרים סעודים כי הדליפו לרשת קבצים ובהם מידע אישי על יותר מ-400 אלף ישראלים, כולל עשרות אלפי מספרי כרטיסי אשראי, תוקף ומספרי הביטחון שאפשר באמצעותם לבצע רכישות ברשת. ההאקרים שמזהים את עצמם כחלק מקבוצת פעילי הרשת אנונימוס, העלו את הקבצים לאתרי הורדות וסיפקו קישור להורדה כ"מתנה לעולם".
הדלפת מספרי האשראי עוררה בהלה בקרב עשרות אלפי ישראלים מודאגים. חברות האשראי בישראל טענו כי מדובר ב"מתקפת טרור". סטודנט ישראלי אף טען כי הצליח לחשוף את זהותו של ההאקר OxOmar. הסטודנט, אמיר פדידה, מצא ש"עומאר" הוא למעשה עומאר חביב, בן 19 שנולד באיחוד האמירויות ומתגורר כעת בעיר פאצ'וקה שבמכסיקו. עם זאת, עומאר עצמו טען בשיחה עם ynet: "אני לא מכסיקני, איש לא יכול לעצור אותי, זה בלתי אפשרי".
דליפת האשראי הגדולה לא עברה בשתיקה. אחרי הפריצה לאתרים בישראל, טענו האקרים מישראל כי הצליחו לשים ידם על פרטי אלפי כרטיסי אשראי שבהם נעשה שימוש באתרי קניות סעודים. בדיקת ynet אימתה אז את הפרטים שהציגו ההאקרים לגבי חלק מכרטיסי האשראי. "אם יימשכו ההדלפות, נגרום לפגיעה קשה מאוד בפרטיות אזרחים במדינת ערב", איימו ההאקרים.אחד ההאקרים הישראלים ציין כי האתרים הערביים מתמקדים יותר באבטחת מידע, "אך תמיד תישאר הפרצה הקטנה הזו שתאפשר את הגישה לפרטים".