חורים מדאיגים בשמירה על הפרטיות שלנו

בחודש מאי השנה פרסמה הרשות להגנת הפרטיות שבמשרד המשפטים את התקנות החדשות, המתייחסות בעיקר להגנה על מאגרי מידע בארגונים ואצל כל מי שמחזיק במידע כחוק. התקנות ראו אור באותו החודש שבו פורסמו תקנות ההגנה האירופיות GDPR, שחלות על כל מי שמחזיק בידיו מאגר נתונים של תושבי האיחוד האירופי, לרבות חברות ישראליות. אולם, הרשות הדגישה כי התקנות שפורסמו הן עצמאיות, בנפרד מה-GDPR, והן חלות על כלל אזרחי המדינה. מטרת התקנות הייתה לדרבן את הארגונים להדק את האבטחה שלהם את המידע שקיים אצלם ולחזק את ההגנה מפני סייבר.

כעת הסתיימה תקופת ההרצה ומעתה הרשות רשאית לאכוף את התקנות, שקובעות, בין היתר, שכל בעל מאגר מידע שחלה עליו חובת אבטחה ברמה כלשהי חייב להודיע לרשות תוך 24 שעות ממועד הגילוי של פרצה, ולא יאוחר מ-72 שעות, ולדווח על הצעדים שנקט. בין כניסת התקנות לתוקף במאי האחרון ועד לחודש שעבר עסקה הרשות בקידום המודעות לקיומן ולא אכפה אותן. היום (ב') היא פרסמה ממצאים מתקופת הביניים, ובהמשך היא צפויה לפרסם מידע על הפרת התקנות מצד גופים משמעותיים.

מהממצאים עולה תמונת מצב עגומה ומדאיגה. המידע האישי שלנו דולף לכל עבר, מבלי שאיש נותן על כך את הדין. כך, למשל, מתברר מנתוני הרשות שהסיבות השכיחות ביותר לאירועי אבטחה שנתגלו בארבעת החודשים האחרונים של 2018 הן תקיפות סייבר. מה שמדאיג לא פחות הוא שהסקטורים הפרוצים ביותר הם דווקא ההיי-טק, הניו-מדיה והאינטרנט, ובהמשך צועדים גופים שמותר לצפות מהם לקצת יותר אחריות: חברות הביטוח, בנקים וכרטיסי אשראי. גם הגופים הציבוריים, הרשויות המקומיות ומגזר הבריאות לא יכולים לומר לכל האנשים שבמאגרים שלהם שהם יכולים לישון בשקט.

הרשויות המקומיות הודיעו עוד לפני כניסת התקנות החדשות לתוקף כי הן לא יהיו הערכות ליישומן המלא במועד. אחת הסיבות לכך היא שהתקנות מחייבות ממונה על הפרטיות וסייבר ברשויות – דבר שלא קיים כיום. בכנס ערים חכמות של אנשים ומחשבים, שנערך במרץ האחרון, אמר מנכ"ל מרכז השלטון המקומי, שלמה דולברג, כי אמנם הרשויות עושות ככל שביכולתן, אבל התקנות הן גזירה שהן לא יכולות לעמוד בה. הסיבות הן תקציביות ורגולטוריות מול משרד הפנים, שלא משחרר תקנים למינוי מנהלים על הגנת המידע ברשויות.

הסקטור השני שנתקל בבעיות בהקשר של מילוי התקנות הוא הבנקים, עקב הדרישה של הרשות להגנת הפרטיות לשקיפות מלאה במקרים של אירועי סייבר. הנימוק של הבנקים הוא שהודעה על אירוע סייבר בבנק אחד עלולה לגרום לתגובת שרשרת עם השפעות כלל משקיות, עד כדי פגיעה ביציבות המערכת הבנקאית. זהו טיעון כמעט קבוע, שהבנקים מעלים כמעט בכל פעם שבה הם נדרשים לשקיפות. מנהלי הבנקים מתעלמים מחוסר היכולת של הציבור לדעת האם הבנק באמת שומר על הפרטיות שלו, או שהוא עושה זאת רק בערך.

חוסר מודעות מצד מקבלי ההחלטות

לאור מציאות זו, לא מפתיע לקרוא את יתר הממצאים בדו"ח: כתוצאה מהליקויים שנתגלו בתקופת המעבר, לפחות 100 אלף איש היו חשופים לפריצת המידע האישי שלהם כתוצאה מרשלנות הארגונים שמחזיקים במידע אודותיהם. נתון מדאיג עוד יותר הוא שעיקר המידע שדלף בתקופה זו היה מידע אישי – רפואי או פיננסי.

השורה התחתונה: המסקנה מדו"ח הרשות להגנת הפרטיות היא שיש חוסר מודעות מדאיגה מצד מקבלי ההחלטות בישראל בכל מה שקשור להגנה על פרטיות. אותם מנהלים האחראים על נושא זה מדברים על כך הרבה ומצהירים כי הגנה על המידע היא בראש מעיניהם, אבל המציאות מדאיגה ביותר. נראה שלרשות להגנת הפרטיות תהיה הרבה עבודה בחודשים הקרובים, וצריך לקוות שהיא לא תחוס על אף גוף או ארגון, ובמידה שהתגלתה אצלו רשלנות, שהביאה לדליפת המידע שיש לו עלינו, היא תפרסם זאת, לידיעת כולם. הגיע הזמן שמי שמחזיק במידע יחליף פאזה ויפנים שהמידע שקיים במערכות המחשוב שלו הוא שלנו ולא שלו ולכן, רק אנחנו יכולים לקבוע מה הוא יעשה עם זה, ושזכותנו לדעת האם הוא שומר על המידע היקר שלנו כפי שאנחנו מצפים.