לא להגן רק על תעודות זהות?
טיוטת הנחיות של הרשות לטכנולוגיה ומידע מבקשת למנוע איסוף מספרי תעודות זהות שלא לצורך. ומה לגבי פרטים רגישים אחרים שאם יגנבו עלולים לגרום לנו נזק?
מספר תעודת הזהות שלנו מפוזר במקומות רבים. כמעט בכל משרד ממשלתי שאנחנו מתנהלים מולו וקופת החולים, דרך גופים פרטיים כמו חברות הסלולר, כרטיס חבר במועדון בסופר, ועד לוועד הבית שלנו שיכול לראות מה מספר תעודת הזהות שלנו על גבי הצ'קים שקיבל מאיתנו. אפשר גם לאתר פרטים של אדם אחר דרך רשות האוכלוסין בתנאים מסוימים (נניח במקרה של גביית חוב). זאת בנוסף למאגר המידע שמופץ ברשת זה שנים רבות לאחר שהודלף ממאגר ממשלתי.
הרשות לטכנולוגיה ומידע במשרד המשפטים (רמו"ט), שפיצחה את פרשת הדליפה הזו, מבקשת עתה למנוע איסוף של מספרי תעודות זהות שלא לצורך ופירסמה טיוטה של הנחיות בנושא להערות הציבור (לקריאה ב-PDF). הרשות, שעוסקת באופן תדיר בהסדרה של הפרטיות שלנו, באכיפה ומתן קנסות לגופים שפוגעים לנו בפרטיות, אומרת שהטיוטה גובשה "לאחר שהתגלה כי פרטי מידע אישי שנשמרו במאגרי מידע נגנבו על ידי פצחנים (האקרים) ופורסמו ברשת האינטרנט בפרשה שידועה בשם ההאקר הסעודי". ברמו"ט עוד אומרים כי "החשיבות בהגנה על מידע אישי הכולל מספרי זהות, נובעת מהעובדה כי מספר הזהות הינו מספר ייחודי אשר מלווה אדם כל ימי חייו ואף לאחר מותו", ונשענים על החלטות של בית המשפט העליון בעניין.
לא רק תעודות זהות
במאגרים שפורסמו בפרשה זו ובפרשיות אחרות נחשפו גם מספרי כרטיסי אשראי, כתובות מייל, סיסמאות (שלעתים זהות לסיסמת המייל ומאפשרות לפרוץ אליו) ופרטים מזהים נוספים. במקרה של ההאקר הסעודי מספרי האשראי פורסמו והחברות פעלו מהר בשביל לעצור את הנזק, אך מאגרים עם מספרי אשראי נפרצים גם במחשכים ואז הנזק מתגלה לאחר שכסף נגנב. פרטים אלה נשמרים באתרים קטנים ואצל גופים גדולים, לפעמים ללא צורך, ללא פיקוח ובלי לאבטח את המידע בצורה מסודרת. גניבה של כל אחד מהפרטים הללו עלולה להסב נזק או לגרום לאי נוחות שכרוכה בשחזור סיסמה, בהחלפת כרטיס אשראי או בחלפת כתובת המייל או הטלפון. ועם זאת ההנחיות האחרונות מתחייסות רק למספרי תעודות זהות.
"ככל שאתה מפיץ יותר מידע, זה עוזר למישהו בצד השני להשלים פסיפס לגביך", אומר אבנר פינצ'וק מהאגודה לזכויות האזרח. לדבריו, גם אם מידע על אודותינו התפרסם או שהוא נגיש, כדאי בכל זאת לצמצם את הגישה אליו במידת האפשר. "המטרה היא לא 'הכל או לא כלום'", לדבריו. האפקט הוא אפקט מצטבר. אפשר להמשיל זאת לזיהום. עם ארובה אחת אפשר לחיות, אבל זה שיש אלף או מיליון לא אומר שלא נורא שתהיה עוד אחת או עוד אלף. המטרה שלנו צריכה להיות שמידע יהיה כמה שפחות זמין".
מאגרים שלא מוגנים
למרות שמספרי תעודות זהות הם מידע די נגיש, העניין הוא לא בן אדם ספציפי שמתעניינים בו, לפי יורם הכהן, ראש הרשות לטכנולוגית מידע, "העיסוק הוא במאגרי מידע שחלקם לא מוגנים באופן הולם". הכהן מסביר שישנו הבדל משמעותי בין מספר תעודת זהות לבין פרטים אחרים. מספר תעודת זהות הוא משהו שניתן לך מלידתך ומלווה אותך גם אחרי מותך, ואילו פרטים אחרים אפשר להחליף ואנחנו נמצאים בשליטה עליהם.
זה כמעט לא מעשי להחליף כתובת מייל ולא תמיד נוח להחליף מספר כרטיס אשראי.
"במקרים רבים כתובת מייל מבוטחת ואם פרצו לך לרשת החברתית או המייל קשה מאוד לאכוף את זה, אבל עדיין יש לך יכולת לטפל בזה – להחליף סיסמה ולהקשיח דברים או לפתוח חשבון חדש. במידה מסוימת מספר תעודת זהות זה כמו ביומטריה, אי אפשר להחליף אותו".
בנוגע לכרטיסי אשראי, אומר הכהן כי הנזק מגודר וכי חברות האשראי מחזירות כסף במקרה שלקוח מתלונן ואומר שלא הוא ביצע את הרכישה.
להגביר את המודעות
המטרה של ההנחיות הנוכחיות היא להגביר את המודעות והרגישות בנוגע למספרי תעודת זהות אצל אזרחים ועסקים. "רק אצלנו בארץ מספר תעודת זהות לא נתפש כרגיש. יש פרקטיקה שאנשים מוסרים בקלות ואוספים בקלות, אבל בארצות הברית מספר סושל סקיורטי ומספרי זיהוי במדינות אירופאיות לא נמסרים לגופים באופן חופשי", מסביר הכהן. בארץ, לעומת זאת, "אתרי סחר די עלומים אוספים אותם בתהליך שלא ברור בשביל מה הוא נדרש. אין בעיה למסור את הפרט לבנק או לקופת החולים ויש לך למי לבוא אם קורה נזק. ההנחיה נועדה לבעלי עסקים ולאזרחים לא למסור את הפרטים בתקווה שייווצר איזשהו שינוי".
הכהן אומר גם כי "אם אתה מעקר החוצה ממאגרי מידע את מספר תעודת הזהות, המידע הופך להיות יותר עמום. מה שמבדיל בין אנשים עם שם זהה הוא תעודת זהות. להוציא את המידע הזה, מעמעם את המאגר באופן כזה שמשפר בצורה משמעותית את ההגנה על הפרטיות".
האם תסתפקו בהגנה על מספרי תעודות זהות?
"אנחנו עושים מהלך רחב שיכלול תיקון תקנות של אבטחת מידע. אנחנו מקווים שירד האסימון ונגבה את זה בהיבט חקיקתי ואכיפה שפרטיות זה משהו שצריך לשים עליו דגש. יש עוד מהלכים שאנחנו עושים כמו תקנות נוספות והנחיות נוספות שנוציא".