אין אולי מידע רגיש יותר לאזרח, מאשר תיקו הרפואי המכיל את כל פרטי הטיפולים והניתוחים שעבר. לכן היה מזעזע במיוחד לקרוא על החשד לפיו עובדים סוציאליים, אחים ואחיות בבתי חולים, עובדי קופת-חולים, מנהלים וסוכנים בחברות שירותי סיעוד וטלרפואה וסוחרים במידע, פעלו במשותף להוצאת מידע רפואי רגיש ממאגרי המידע של בתי חולים ואחת מקופות החולים, לטובת מסחורו לחברות סיעוד ושירותי הטלרפואה, כדי שאלה יוכלו לבצע שיווק ממוקד למטופלים.
יותר מכל עולה השאלה, במקרים כאלו, איך קרה שמתחת לאפם של מנהלי המידע באותם בתי חולים וקופת החולים, הצליחו עובדים להוציא מידע רגיש כל-כך, מבלי שאיש ישים לכך לב בזמן אמת? יותר מכך, מה עושים כל הגופים האלה כדי לשמור על המידע שלנו ועל פי איזה מדד נבחנת פעילות זו?
בישראל של היום, עם כל איומי הסייבר הגדולים, נבחנים איומי הסייבר על בסיס חקיקה ישנה מ-1981, שעודכנה לאחרונה לפני 10 שנים בדיוק. בחקיקה הזו יש הצהרה כללית על החובה לשמור על המידע, אך אין פרוט מדויק של מה מוטל על גופים, כדי לקיים את חובת אבטחת המידע וההגנה מפני פריצות למאגרי המידע, הן חיצוניות והן כאלו פנימיות של עובדי המערכת עצמה.
במציאות שבה מידע רב מצוי במאגרי מידע במערכות המחשב של גופים שונים, אין ספק שראוי שתהא תקינה ברורה שקובעת מה יש בדיוק לעשות, כדי לשמור על המידע. כשמעלים את הטענה הזו בפני גורמי שלטון שונים, עולה כנגד כך הטענה, שהנה המאגרים של צה"ל וגופי הביטחון לא נפרצו מעולם, משמע שמי שרוצה להגן על המידע שלו, מוצא את הדרך הנכונה לכך והוא לא צריך שהמדינה תבוא ותקבע לו תקנים בנושא.
אין ספק שקשה להסכים עם טענה כזו, המנפנפת בהצלחה של גופי הביטחון לשמור על המידע. מול ההצלחה של גופים אלה אפשר להזכיר את הדליפה ההרסנית של מאגר רישום האוכלוסין, לפני שנים אחדות, וגם עתה במקרה הנוכחי, מדובר בבתי חולים, גופים שמצויים בחלקם בבעלות המדינה. כדי שהאזרחים יהיו רגועים שהמידע שלהם מוגן, צריך לצאת מאווירת ה"סמוך", במקרה הזה על הגופים עצמם, ולהורות במדויק מה צריך לעשות ארגון, כדי לשמור על המידע שלו.
יש להטיל על הגופים השונים הוראות ברורות גם ביחס לדרך התנהגות העובדים בארגון כדי למנוע מצב, כפי שקרה עתה בבתי החולים, שעובדים יהיו אלו שידליפו את המידע. לצורך כך יש לאכוף קיומם של נהלי אבטחה ברורים בארגון ולחייב באכיפה משמעותית שלהם, תוך הרתעה ברורה של העובדים מפני אפשרות גניבת המידע. הרתעה כזו תושג, מקום בו ארגון אכן יאכוף את נהלי האבטחה, יפטר עובדים שסחרו ואף ידווח עליהם לרשויות שעוסקות בכך.
מי שמנסה לדאוג לנו היא הרשות למשפט טכנולוגיה במשרד המשפטים (רמו"ט), אשר מאז 2010 ממתינה טיוטת תקנות לאבטחת מידע, שהוציאה הרשות, לאישור שר המשפטים והכנסת. התקנות האלה מציעות להטיל חובה לדווח לרשות על אירועי מתקפות סייבר חמורים אצל הארגונים השונים, אשר במסגרתם נפרץ או נחשף מאגר מידע המכיל מידע אישי, כולל פריצה שנעשתה על-ידי עובדי הארגון עצמו. בהמשך לכך קובעות התקנות את סמכותה של רמו"ט לחייב את בעל מאגר המידע הרלבנטי להודיע למושאי המידע על אירוע הפריצה שארע.
נוסף על כן, התקנות החדשות מבקשות לקבוע ולהכין מראש, נהלים סדורים פנים-ארגוניים, אשר יפרטו את נהלי ואת יכולות הארגון להתמודדות עם אירועי אבטחת מידע שונים, וכן יבהירו במסגרת זו את חובותיהם ואחריותם של מורשי הגישה השונים למידע שבארגון. בנוסף לכך קובעת טיוטת התקנות שורה ארוכה של פעולות שעל ארגון לנקוט לצורך הסדרת נושא אבטחת המידע במסגרתו.
שרת המשפטים איילת שקד הייתה השרה הראשונה שראתה לנכון לקדם את הטיוטה ועתה ממתינים לאישורה על-ידי ועדת חוקה חוק ומשפט של הכנסת, שהייתה אמורה לדון בכך ב-15 לנובמבר 2015, אך בינתיים הדיון בה בוטל. לוועדת חוקה, כנראה, לא בוער להביא לכך שהמידע שלנו, יהיה יותר מאובטח. המחוקק, כך עושה רושם, נרדם שוב במשימת השמירה על המידע האישי של אזרחי המדינה.
