חוזרים למבקר המדינה 7: המדינה אוספת עלינו מידע – אבל לא שומרת עליו 

כשהמדינה מפרטת בפנינו את החטאים שלה בשגרה, רובנו מתעלמים. אז לכבוד חג הפסח שקוף מנפנפים בחמץ של ישראל: בכל יום נפרק נושא אחד מדו"ח מבקר המדינה, בשפה פשוטה. והפעם: הזלזול בתקנות אבטחת מידע מתגלה – מידע על 2 מיליוני תלמידי בית ספר ועל חולים ב-90% מהמרפאות נותר חשוף ופרוץ

| דניאל תהילה זיסמן |

רוצה את מיטב הכתבות והתחקירים של שקוף ישירות לתיבה? פה נרשמים לניוזלטר.

מי שלא טומן את ראשו בחול, יודע היטב שאחד הנכסים הכי גדולים במאה ה-21 הוא מאגרי מידע ונתונים אישיים. החל משוק הפרסומות ברשת, שהפך מותאם אישית למשתמשים, ועד גניבות נתונים בין מעצמות – כולם מחפשים להגדיל את האוצר הזה, בדרכים חוקיות יותר או פחות.

בימים אלה הסוגיה עומדת למבחן קיצוני במיוחד, עם התפשטות נגיף הקורונה בישראל ובעולם. הצורך בבניית "מסלול חולה", כפי שהוצג בידי משרד הבריאות, הוביל לשימוש במערכת המכונה "הכלי" שמסתבר שנמצאת ברשות השב"כ כבר שנים ארוכות. "הכלי" משמש בדרך כלל לצורכי טרור וריגול והוא מכיל מידע על כלל האוכלוסייה בישראל, אודות המיקום שלנו, מי נכח בקרבתנו, יעדי השיחות שביצענו ופרטי הגלישה באינטרנט. 

הרציונל ברור, אך עם זאת, נשאלת השאלה: מה יהיה גורל המידע שנאסף עלינו? איזה שימוש יעשה במידע, והאם יאובטח כראוי? דו"ח מבקר המדינה שפורסם טרם המשבר ועוסק בטיפול המדינה במאגרי מידע רגישים מסוג זה צריך להדליק נורה אדומה אצל כולנו.

הפרטיות שלנו בידיים של המדינה

הזכות לפרטיות האדם עוגנה בחוק "כבוד האדם וחירותו" עוד בשנות ה-90. מימוש הזכות בפועל תלוי בנורמות חברתיות ובטכנולוגיה מתפתחת, אך לצד זה, קיים קונצנזוס בדבר החיסיון שמגיע לנו על פעולות בסביבה הפרטית ועל המידע האישי שלנו – דוגמת מידע רפואי, תוכן שיחות ותכתובות.

במאי 2018 הועברו בחקיקה תקנות אבטחת מידע אשר מטרתן להגן על פרטיות האוכלוסייה בישראל. כחלק מהתקנות, נקבע שהמדינה תפקח על גופים ציבוריים ועל שרשרת האבטחה. את התקנות העבירה ועדת המדע והטכנולוגיה של הכנסת בראשות ח"כ אורי מקלב, שפעלה בעקבות רגולציה דומה שנכנסה לתוקף זה מכבר באירופה (GDPR). פרשת "קיימברידג' אנליטיקה" שהתפוצצה סמוך למועד תרמה גם היא לקידום הליך החקיקה.

לקריאת כתבות נוספות בסדרת הפסח "חוזרים למבקר המדינה":

כמה ימים לאחר אישור התקנות נחשף כי למעלה מ-1,500 עובדים חיצוניים מחזיקים בגישה למאגר המידע "מרכבה" של משרד האוצר. המאגר אמון על ניהול המשאבים של המדינה כולה; ניהול הכספים, מכירות, משאבי אנוש ועוד.

במטרה למנוע פרשות דומות בעתיד, תקנות אבטחת המידע תקפות על כל ארגון המנהל מאגרי מידע בתחום הציבורי והפרטי ומחולקות לשלוש רמות אבטחה (בסיסית, בינונית וגבוהה), בהתאם לסיכונים להם הארגון חשוף. לדוגמה, רמת אבטחה גבוהה תהיה רלוונטית לארגון המחזיק במידע אודות 100 אלף אנשים ויותר או כאשר מספר בעלי ההרשאה למידע עולה על 100. 

עוד במסגרת התקנות: פירוט מטרת איסוף המידע, השימוש בו, סוג המידע, האם נעשה שימוש במאגר על ידי גורמים חיצוניים, חובת דיווח על אירועי אבטחה וכן אבטחה פיזית וסביבתית המוגנת בסיסמה. 

מבקר המדינה בדק האם התקנות נאכפות והתמקד במשרד הבריאות, משרד החינוך והרשות להגנת הפרטיות. לגופים אלו מאגרי מידע גדולים, בעלי אופי רגיש והם מוגדרים ברמת אבטחה גבוהה על פי התקנות. ממצאי הביקורת לא משאירים מקום לספק: גופים ממשלתיים בישראל לא דואגים שהמידע האישי שלנו לא ידלוף לבעלי אינטרסים.

אפשר לחטט בפרטים האישיים של 2 מיליון תלמידים 

נתחיל מהקודקוד, הגוף המפקח על מאגרי המידע – "הרשות להגנת הפרטיות" במשרד המשפטים, ובראשה רשם מאגרי המידע. המבקר מצא כי הרשות לא מעורבת מספיק בדיונים והחלטות הממשלה בנושא הגנת הפרטיות ולא פועלת להוצאת הנחיות רלוונטיות, על אף ששוק מאגרי המידע הולך וגדל. 

בנוסף, נמצא כי מאגרי המידע עוברים מגוף ציבורי אחד לאחר (לדוגמא ממשרד ממשלתי לרשות מקומית וכדומה) כאשר המעבר לא מדווח לרשות. חמור מכך, לעיתים מדובר ב"מאגרי על" המאופיינים ברגישות גבוהה במיוחד ועשויים לסכן את הציבור בתחום האזרחי, הביטחוני והכלכלי.

בעידן בו ילדים צורכים ומשתפים מידע ברחבי הרשת, הם חשופים לתוכן שיווקי ולסכנות כמו פדופיליה ובריונות. בשונה משאר מדינות העולם, החוק להגנת הפרטיות לא מתייחס לקטינים וזאת על אף שנעשו ניסיונות חקיקה בנושא לאורך השנים.

בביקורת שנערכה, משרד המבקר מצא כי מידע אישי של כשני מיליון תלמידים נותר חשוף. התגלה כי מידע אודות תלמידים שעברו בין מוסדות חינוך הועבר בין הגופים השונים ונעשה בו שימוש שלא כדין. 

ליקוי נוסף מעלה כי משרד החינוך לא בדק האם גופים חיצוניים איתם הוא משתף פעולה עומדים בתקנים המחמירים של אבטחת המידע. יתרה מכך, אין למשרד שליטה על מאגרי המידע והוא אינו מנהל רישומים המרכזים את כלל הגופים המחזיקים בהם. 

כחלק ממעקב ופיקוח מרחוק, בשנים האחרונות גובר תהליך הטמעת מצלמות ברחבי בתי הספר. לפי דו"ח המבקר, אין מעקב מספק על התקנה והסרה של מצלמות בין הכיתות, וחמור מכך – על השימוש בחומרים שצולמו. תמונת המצב המעורפלת במשרד החינוך לא מאפשרת בשלב זה אכיפה של תקנות אבטחת המידע.

90% מהמרפאות לא שומרות עלינו

ניתן לומר שהמידע הרגיש ביותר שנאסף אודותינו הוא המידע הרפואי. אי שמירה על סודיות במקרה של גניבה ושיבוש המידע הרפואי עלול לערער את אמון הציבור במוסד הרפואי כולו.

המבקר בחן את תקנות אבטחת המידע הנדרשות לקבלת רישיון למוסד רפואי ומצא כי 90% מהם לא עומדים בתקן. רק 150 מתוך כ-1,500 מוסדות רפואיים מאבטחים את הנתונים של החולים כמו שצריך. המשמעות היא שהמידע הרפואי שלנו עובר במוסדות ללא אבטחת מידע, בין היתר במרפאות שיניים, מרכזים גריאטריים, מכוני שיקום וגמילה ועוד. ואם לא די בכך, מידע רפואי הנמצא במערכות המקוונות של קופות החולים נגיש לכל וללא פיקוח.

ליקויים נוספים מעלים תופעה בה פרטים מזהים מובהקים (כמו תעודת זהות ושם מלא) נחשפים ומועברים בדוחות רפואיים המיועדים למחקר. ליקויים חמורים מסוג זה נמצאו בבתי החולים בהם נערכה הביקורת, כאשר הם עומדים בניגוד ברור לכללי האכיפה של משרד הבריאות. 

כלומר, הבדיקה שערך מבקר המדינה מצביעה על היעדר אכיפה של תקנות אבטחת המידע במשרד הבריאות. המשמעות חמורה ביותר: המידע הרפואי שלנו עשוי להגיע לידי גורמים שאינם מורשים לעיין בו. 

לאור ממצאי הביקורת המליץ המבקר על אכיפה אפקטיבית יותר של הרשות להגנת הפרטיות וכן מעקב ודיווח על מידע שנאגר בקרב הגופים הציבוריים. בהתאם למציאות הנוכחית ולהתפתחות הטכנולוגיה, ישנו צורך בהול לסנכרון ולהאצת הליכים בחקיקה ובפיקוח, במטרה לשמור על הזכות הבסיסית של כל אחד ואחת מאיתנו – הזכות לפרטיות.

ובאשר לקורונה? היא תחלוף, ואפשר רק לקוות שהמידע שנאסף עלינו בחסות המשבר יישמר בתנאי בידוד ארוכים מ-14 יום.

שתפו את הכתבה
1 תגובה
  1. ש
    ש אומר:

    א- אני מקווה שאתם שומרים על כתובת המייל שהייתי חייבת להכניס לשם התגובה כמו שצריך.
    ב- שאלה בסיסית ואני כן מצפה לתגובה עניינית: איך אפשר להתייחס ברצינות לכתבה שיוצאת בכותרת מפוצצת "מידע על 2 מיליון תלמידי ישראל" אך מתייחסת לביקורת שהתקיימה שנתיים קודם? באמת נראה לכם שלא נעשתה כל עבודה לשיפור מצב אבטחת המידע במשך כל הזמן הזה? אולי תבדקו?
    במקרה אני מעורבת בנושא ויודעת מבפנים- עבודה רבה וקדחתנית נעשתה במשרד החינוך והרבה מהממצאים נלקחו ברצינות, טופלו או בתהליך מתקדם של טיפול במהלך השנתיים האחרונות.
    שקוף שאתם גוף רדוד שמחפש כותרות.

    הגב

השאירו תגובה

רוצה להצטרף לדיון?
תרגישו חופשי לתרום!

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *