מאת צוות דן חי
בזמנים מודרנים כמעט כל פעילות פשוטה של אזרחים מתבצעת, מנוטרת ונשמרת באמצעים דיגיטליים. כיום אנשים מחזיקים לא פעם ב"זהות דיגיטלית" באתרים שונים המספקים להם שירותים בסיסיים ואישיים, משירות תשלומים לעירייה ועד דרכי התקשרות יומיומית ונדרשים לתלות את אמונם באבטחת המידע שבמאגרים. עם כך, מגיעה הציפיה לשמירה על המידע האישי ומניעת פגיעה בפרטיות.
בשנים האחרונות אנו עדים לתופעה של "פיגועי פרטיות" – פריצה למערכות מידע וגניבה של מידע אישי ממאגרי מידע. ערכו ההולך וגובר של מידע אישי לחברות ותאגידים, בשילוב עם טכנולוגיות חדשות ושינויים באורח החיים, הופכים את סוגיית הפרטיות במידע רלוונטית מתמיד. מהו מקומם של בעלי מאגרי מידע אשר נכשלו בהגנה על המידע האישי של נושאי המידע, ומה ניתן לעשות עם זה?. לאחרונה חזר לכותרות מקרה שעורר סערה סביב הנושא.
שנתיים לאחר שנפרץ, אתר ההיכרות האייקוני של הקהילה הגאה בישרל "אטרף" חוזר. בשנת 2021 נסגר האתר לאחר שקבוצת האקרים אירניים השתלטה על בסיס הנתונים של האתר. מדובר באחד מ"פיגועי הפרטיות" הגדולים ביותר שידעה ישראל.
מדובר בפלטפורמת היכרויות ותיקה שתפסה מקום מרכזי ביותר בחיי הקהילה הגאה בישראל. הפלטפורמה ששימשה להיכרויות, הכילה בתוכה עולמות תוכן שונים של חיי לילה, פורומים, מידע ואינטרקציה בסגנון רשת חברתית – שהיוותה ערוץ פרסום מרכזי לקהילה בישראל. מדובר באתר שהיו רשומים אליו בשיא מאות אלפי אנשים – רבים מהם נפגעו.
במסגרת הפריצה התפרסם מידע רגיש ביותר של משתמשי הפלטפורמה. בין היתר הודלפו העדפות מיניות של משתמשים, שמות מלאים, כתובות מייל, מגורים ואף מידע רפואי רגיש. הודעתה של הפלטפורמה על חזרה לפעילות מעוררת את השאלה בדבר האמון שניתן לתת באתר אינטרנט, המחזיק מידע אישי של המשתמשים בו.
במקרה של פלטפורמת "אטרף", נטען כי רבים מן הפרטים שנדלו במתקפת הסייבר נשמרו לא מוצפנים. כמו כן, היו גם קולות שהושמעו טרם הפריצה, שהעלו נורות אדומות. דובר על כך שהטכנולוגיה שלהם מיושנת ושניתן לפרוץ את המידע בקלות, ולא נעשה עם כך דבר.
תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 קובעות שורה של חובות על בעל מאגר מידע, לשם אבטחת המידע במאגר שברשותו. בין החובות ישנה החובה במינוי ממונה על אבטחת המידע במאגר וחובות הנוגעת להכנת נוהלי אבטחת מידע במאגר, מיפוי מערכות המאגר וביצוע סקר סיכונים.
מן הראוי לצפות מכל מחזיק במאגר מידע המכיל מידע אישי, שיעמוד בסטנדרטים ראויים לשם שמירה על פרטיות נושאי המידע. זאת על מנת ליצור אמון בקרב נושאי המידע, שאכן נשמרת הפרטיות שלהם. מקרה כמו בעניין "אטרף" מציף את החשיבות האדירה שישנה להגנה על הפרטיות במידע ולתקנות הגנת הפרטיות אשר מבקשים להבטיחה.
אנו ערים ליוזמות נוספות ליצירת סטנדרטים חדשים בתחום ההגנה על המידע האישי. לדוגמא, למערך הסייבר הלאומי תוכנית מיוחדת להענקת "תו חוסן" לחברות אחסון אתרים אשר יעמדו בסטנדרטים של הגנה מפני פריצות סייבר. חברות שיצטרפו לתכנית ויעמדו בסטנדרטים אשר מציב המערך יצמצמו את הסיכוי להיפגע ממתקפת סייבר. תוכניות כאלו עשוית לתרום לאמון של נושאי המידע באתרים וחברות העושים שימוש במידע אישי.
מדינת ישראל משקיעה משאבים רבים בהקמה ופיתוח של מערך סייבר שמטרתו להגן על האזרחים. אולם, בסדרי העדיפויות של המדינה רוב המשקל ניתן לגופים הגדולים והחשובים כמו הבנקים ובתי החולים, ולתשתיות כמו חברות החשמל והמים. לכן כיום ישנה חשיבות עליונה להעלאת המודעות האישית וחינוך לשמירה על הפרטיות והשימושים במידע. הרשות להגנת הפרטיות מפרסמת ומנגישה מידע והמלצות באשר לשמירה על הפרטיות בעידן המידע. בין ההמלצות הנפוצות שמפרסמת הרשות להגנת הפרטיות:
- לבחון את הגדרות הפרטיות ברשתות
- לשים לב למידע המפורט במדיניות הפרטיות
- להמעיט במתן פרטים אישיים שלא לצורך
- לעדכן תוכנות ואפליקציות – המתקנות פרצות אבטחה שנתגלו בתוכנה
- למחוק חשבנות המכילים מידע אישי ואינם נמצאים עוד בשימוש
- לברר את זהות הגוף המפעיל את האתר ודרכי ההתקשרות עימו
