עיון בפסקי דין מהשנים האחרונות מגלה שצה"ל לא לבד. עובדים במס הכנסה, משרד הפנים ואפילו שוטרים הורשעו בהוצאה בלתי חוקית של מידע ממאגרים ציבוריים והעברתו לידיים פרטיות, בדרך כלל כנגד קבלת תמורה כספית. אחד מהאירועים הבולטים של השנים האחרונות הוא גניבתו של מאגר מרשם האוכלוסין על-ידי עובדי קבלן שעבדו במשרד הרווחה, אשר גנבו את המאגר והעלו אותו לרשת תחת השם "מאגר אגרון".

מחקרים שנעשו בעבר מגלים, כי יותר מ-80 אחוז מהמידע שלנו דולף החוצה מארגונים על-ידי עובדים של הארגון עצמו. בגופים ציבוריים המצב, לפעמים, גרוע עוד יותר. אין ספק שהמסקנה הינה שגופים כאלה לא יכולים עוד לסמוך על נאמנותם המוחלטת של עובדיהם, ועליהם לפתח דרכים לפקח ולשמור טוב יותר על המידע שיש ברשותם על ציבור האזרחים. יש כלים לכך אפילו בחוק. השאלה היא אם עושים בהם שימוש נכון.

אוזלת היד של רשויות השלטון מעוררת דאגה, במיוחד אל מול ריבוי המאגרים שהממשלה על כל שלוחותיה מקימה בשנים האחרונות. בחודש אוקטובר הקרוב יכנס לתוקף חוק נתוני אשראי החדש, אשר מכוחו יוקם בבנק ישראל מאגר של כל האזרחים עם פרוט כל ההלוואות והאשראי שקיבלו מהבנקים והגופים האחרים במשק שנותנים אשראי. קדם לו מאגר שמרכז את כל מוצרי הביטוח של אזרחי ישראל שהוקם לפני כשנה על-ידי אגף שוק ההון באוצר ("הר ביטוח") וכמובן שעוד זכורים המאגר הביומטרי של משרד הפנים, מאגר נתוני התקשורת במשטרה ומאגרים רבים נוספים.

תופעת ריבוי המאגרים ידועה ככזו המאתגרת את הזכות לפרטיות. ריכוז מידע רב בידי השלטון מאפשר לו לפתח פרופיל על האזרח ולהפוך להיות אח גדול של ממש, בדיוק כמו בחזון האפוקליפטי של ג'ורג' אוואל. ריכוז כזה גם מאתגר, כי כאשר מרכזים מידע רב, הגורמים שרוצים נתח ממנו רק מתרבים. לאור ריכוזיות המידע הרב המצוי בידי גורמי השלטון, האחריות שלהם לשמירה עליו גדולה עוד יותר.

כאשר התקבלו תקנות אבטחת המידע החדשות, אשר נכסו לתוקף בחודש מאי האחרון, עלה לדיון גם נושא כוח האדם. בהמשך לכך נקבע בתקנות כי בעל מאגר מידע לא ייתן לעובד הרשאת גישה למידע האישי המצוי אצלו, אלא אם נקט ב"אמצעים סבירים", כלשון התקנות, על מנת לוודא שאין חשש שבעל ההרשאה אינו מתאים לכך. מהם אותם אמצעים סבירים? מה יחשב כמספק? התקנות אינן מפרשות. אך אין ספק שלכל הפחות יש להעביר את העובדים מבחן מהימנות, יש לערוך להם הדרכות תקופתיות ולהחתים אותם על התחייבות לשמירה על סודיות ואבטחת המידע, דרישות שעולות במפורש מהתקנות, אשר אף סנקציה פלילית בצידן.

השאלה אם בדופי הממשלה מקיימים את התקנות שמשרד המשפטים יזם? האם עורכים שם מיון עובדים ראוי? האם מעבירים עובדים מבחני מהימנות? מעבירים אותם הדרכות מתאימות? מסבירים להם שהדלפת מידע היא עבירה פלילית שעונש מאסר של חמש שנים בצידה? כנראה שלא, שאחרת לא היינו עדים לתופעה רחבה כל כך של דליפת מידע מרשויות השלטון השונות.

אם רשויות השלטון לא יודעות לשמור על המידע, יהיה קשה מאוד לבוא אחר כך בטענות לגופים פרטיים שאוספים מידע רב על האזרחים. ראוי, לכן, שתהא יד מכוונת בנושא שתדאג לכך שהשלטון ישמור על המידע המצוי אצלו, כמו גם גורם שיאכוף את התקנות החדשות במשרדי הממשלה.

מי שאמון על האכיפה בתחום היא הרשות להגנת הפרטיות במשרד המשפטים. אלא שמדובר בגוף קטן יחסית, עם משאבים מוגבלים. לכן יש להקצות לרשות להגנת הפרטיות משאבים מיוחדים לכך, כדי שתוכל לוודא שגם רשויות השלטון עושות את כל מה שדרוש כדי לשמור על המידע שלנו, לפני שנמצא את כל המידע שלנו חשוף ברשת.

הפוסט אבטחת מידע בניהול כוח אדם: מי ישמור על השומרים? הופיע ראשון בדן חי ברשת