דעה: מדינת ישראל תחת מתקפת פגיעה בפרטיות חסרת תקדים והאזרחים חסרי אונים  

בנוסף, הרשות אסרה על החברה להעלות את האתר חזרה לאוויר ולא תאפשר העלאתו עד להודעה חדשה.

הרשות גם דרשה מהחברה להודיע באופן אישי לכל מי שהמידע על אודותיו דלף או קיימת אפשרות שדלף, מהם הנתונים שדלפו ומהן הפעולות המומלצות מצידו, וזאת על מנת לאפשר לציבור הנפגע לנקוט אמצעי זהירות מתאימים ולהקטין את הנזק שעשוי להיגרם לפרטיותו.

הרשות להגנת הפרטיות פועלת לצמצם את הפגיעה בציבור, ומשתפת פעולה עם מערך הסייבר הלאומי ועם פרקליטות המדינה.

הרשות להגנת הפרטיות מזהירה ומדגישה כי כל שימוש במידע אישי שדלף מאתר כזה או אחר, ללא הסכמת נושא המידע, הוא עבירה פלילית לפי חוק הגנת הפרטיות.

מעבר לכך, עצם ההורדה והשימוש בקובץ שפורסם על ידי התוקפים ברשת מהווה שימוש בידיעה על ענייניו הפרטיים של אדם שלא למטרה לשמה נמסרה, וככזו יכולה לעלות כדי עבירה פלילית, אשר העונש המירבי עליה הוא חמש שנות מאסר.

הרשות פועלת בתיאום עם מחלקת הסייבר בפרקליטות המדינה אשר פעלה להוצאת צו שיפוטי המורה לספקיות האינטרנט להסיר כל מידע שדלף מהחברה, לחסום גישה לכל אתר הכולל את המידע האישי המודלף ולסנן תוצאות חיפוש שמובילות למידע זה.

כפי שהתריעה הרשות בעבר, אירועי אבטחת מידע חמורים והדלפת מאגרים, הן על ידי גורמים עבריינים והן על רקע בטחוני, הן מגיפה עולמית וצפויים להמשיך ואף לגבור

חובת ההגנה על מידע רגיש מוטלת על הגורמים המחזיקים בו, בהתאם לתקנות אבטחת מידע.

להערכת הרשות להגנת הפרטיות, ישנם גופים רבים במשק המחזיקים מידע רגיש ואינם מאבטחים אותו כראוי. על כל גוף שמחזיק במידע רגיש לפעול באופן מיידי להגברת רמת האבטחה ולהיערך לאפשרות כי גם הוא יותקף ע"י גורם עוין, ולא להניח ש"לנו זה לא יקרה".

בנוסף, הרשות שבה וקוראת לקידומם הדחוף של תיקוני החקיקה שגובשו בנושא, אשר יובילו לשיפור המשמעותי הנדרש בתחום הגנת המידע האישי בישראל, לרבות הענקת סמכויות אכיפה מנהליות משמעותיות לרשות להגנת הפרטיות, כמקובל בעולם.

הדבר הכרחי למען הגנה על הציבור, מניעת אירועי דלף עתידיים, וכן ליצירת הרתעה בקרב בעלי אתרים, מאגרים ואפליקציות המחזיקים מידע רגיש להקפיד על עמידה בדרישות אבטחת המידע כנדרש בחוק, ולא להתרשל בהגנה על המידע של הציבור.

לכל אדם שקיימת אפשרות כי פרטיו דלפו, ממליצה הרשות להגנת הפרטיות לנקוט משנה זהירות בכל הקשור להתנהלות השוטפת במרחב הדיגיטאלי.

הרשות להגנת הפרטיות מפרסמת המלצות לציבור לגבי פעולות שניתן לנקוט לשם צמצום פוטנציאל הנזק במקרים של דליפת פרטים אישיים מאתר אינטרנט:

1. ודאו כי אינכם משתמשים באותו צירוף של שם משתמש וסיסמה עימם אתם מזדהים לשירות שנפרץ, באתרים או בשירותים מקוונים נוספים. חשוב מאוד להשתמש בסיסמה שונה בכל שירות, ומומלץ כי השינוי בסיסמה לא יהיה בנאלי (כלומר, לא די בשינוי כגון MyPass1 או MyPass! במקום MyPass). מומלץ לנהל את הסיסמאות בתוכנה ייעודית לניהול סיסמאות (כגון מחולל סיסמאות) אשר מצפינה את הסיסמה, ובכל מקרה להתאים סיסמא ייעודית לכל שירות (כך לדוגמה, לאתר GOV ניתן להתאים סיסמה ייעודית MyPass_GOV_@). כמובן שאין לשמור סיסמאות באופן גלוי בסביבת המחשב או בטלפון הנייד.

2. בכל מקרה בו עולה חשש לדלף מידע כלשהו, יש לשנות מיד את הסיסמה בשירות שנפרץ, ולהפעיל אימות דו שלבי להגברת האבטחה על חשבון המשתמש שלכם, אם השרות מאפשר זאת. בנוסף, קיימים שירותים הבוחנים אם הסיסמאות השמורות אצלם נחשפו, כך לדוגמה אם עושים שימוש במנהל הסיסמאות של גוגל בדפדפן כרום, עמוד בדיקות האבטחה בחשבון הגוגל שלכם (https://myaccount.google.com/security-checkup) יציין בפניכם רשימה של מאגרים שונים ברשת אשר נתוניהם נפרצו, ועלולים לכלול צירוף של שם המשתמש והסיסמה מתוך אחד החשבונות שלכם.

3. יש להתייחס בחשדנות מוגברת לכל פניה יזומה בדוא"ל, בהודעת טקסט ואף לשיחת טלפון. ודאו שאכן יש קשר בין הפניה היזומה אליכם לבין השירות המוכר לכם.

4. בעת קבלת דואר אלקטרוני בדקו היטב את כתובת הדוא"ל של השולח והפעילו שיקול דעת – האם אתם מכירים את השולח? האם כבר קיבלתם בעבר דוא"ל מכתובת זו?

5. שימו לב לדואר אלקטרוני הכולל ביטויים לא שגרתיים - שגיאות כתיב וניסוח שאינו קולח, כדי לזהות ניסיונות הונאה.

6. לעולם אל תמסרו פרטים אישיים כגון סיסמה, מספר כרטיס אשראי או קוד אישי לבקשת הפונה, בפרט אם התבקשתם בשיחה לספק קוד זיהוי (OTP) אותו קיבלתם מנותן השירות.

7. היו זהירים מדואר אלקטרוני הדוחק בכם לביצוע פעולות מיידיות או ניסיונות ליצירת מצב של לחץ ודחיפוּת - זו טכניקה מוכרת המיועדת להוביל אתכם לפעול תחת לחץ ולבצע פעולה שתשרת את מטרות התוקף.

8. כמו כן, היזהרו מהודעות המכילות הבטחות או הצעות שמבטיחות זכייה כלשהי או הנחה גדולה.

9. אם נשלח אליכם קישור המציע לכם לבצע פעולה כלשהי באתר המוכר לכם, גשו לאתר באמצעות הקלדת כתובת האתר בדפדפן ולא דרך הקישור המצורף. היו חשדניים כלפי קבצים מצורפים ואל תמהרו לפתוח אותם - פתחו רק כאשר הנכם בטוחים לגבי לגיטימיות המקור או כתובת הדוא"ל של השולח. אם אינכם בטוחים לגבי מהימנות התכתובת - צרו קשר עם השולח באמצעי תקשורת אחר (למשל בשיחת טלפון).

נראה שכל המעורבים בכל שרשרת המחדלים הולכים לקבל תביעות בסכומים מטורפים כשכל אחד מהם זורק את האחריות על גורם אחר.

להערכתי:

אין סיכוי שהאתר "אטרף" ישרוד אחרי הפרשה הזאת והוא צפוי להיסגר לצמיתות תוך כדי כך שהחברה עצמה תספוג תביעות ייצוגיות ופרטיות מאינספור משתמשים שפרטיהם דלפו - כמו כן מכיוון שהאתר "אטרף" שימוש כפלטפורמה לרכישת כרטיסי כניסה להרבה מאוד מקומות בילוי גדולים - אותם מקומות בילוי ספגו כבר עתה הפסדים רציניים מאוד כתוצאה מכך שהאתר לא פעיל מאז יום הפריצה וגם הם צפויים להגיש תביעות כנגד "אטרף" על ההפסדים שאותם הם ספגו.

באתר "אטרף" עצמו, מנסים להפיל את כל האשמה על חברת הפיתוח והאחסון של האתר שלהם, חברת סייבר-סרב - ואין ספק שאותה חברת פיתוח אתרים גם היא לא תשרוד את הפרשה ובנוסף גם תחטוף בוודאות תביעות ענק מהרבה מאוד גורמים. בנוסף "מערך הסייבר הלאומי" הודיע שהוא הזהיר בחודשים האחרונים את החברה הזאת שהשרתים שלהם פגיעים לפריצה - אבל הם ככל הנראה לא פעלו לסגירת הפרצות .

הן "אטרף" והן חברת סייבר-סרב מנסים להסיט את האש לכיוון של "זוהי מתקפת טרור איראנית ולכן הרבה לא יכולנו לעשות".. אולי זה נכון שמדובר בקבוצת האקרים איראנית אשר הפעילה "מתקפת טרור סייברית" (רק אולי..) , אבל בכל מקרה זה לא מפחית במהומה את האחריות שלהם למידע המשתמשים שלא הוצפן ולא אובטח ואפילו לא באמצעים הבסיסיים ביותר

אותה חברת פיתוח אתרים סייבר-סרב מפילים את האשמה על חברת נטוויז'ן - בטענה שמכל האתרים שהם פתחו ומאחסנים - רק בשרתים שבבעלות חברת נטוויז'ן נפרצו - ובחברת נטוויז'ן טוענים שחברת סייבר-סרב ארחה את האתרים שלה במסלול שהוא לא כולל אבטחה מידע מתקדמת כפי שהם מציעים בתשלום (טענה שמין הסתם תתברר בבית משפט)

בקיצור - כל אחד מפיל את האשמה על מישהו אחר

אבל נראה שבעקבות כל הפרשה החמורה הזאת וכל המתקפות על חברות ישראליות גדולות מאוד בחודשים האחרונים - תעלה את השאלה שהיא אולי הכי חשובה: מה תפקידו של "מערך הסייבר הלאומי" בכל הסיפור הזה - כאשר התברר שחוץ מלתת התרעות לחברות ישראלית שחשופות לפרצות אבטחה, (כולל לדבריהם אתר "אטרף" וחברת האחסון שלהם שאליהם שלחו מספר הודעות בחודשים האחרונים על ליקויי אבטחה חמורים) - אך למעשה, הם לא ווידאו שאותם חברות אכן תקנו בפועל אותם פירצות אבטחה וגם אם הם בדקו וגילו שאכן אותם חברות לא תיקנו את הפרצות הללו, הם לא הפעילו עליהם שום סנקציות וקנסות על כך שהם התעלמו מהאזהרות וההתרעות של אותו "מערך הסייבר הלאומי" - כך שמתברר שזהו "גוף בלי שיניים.."

לדעתי תהיה חשיבה מחדש ויתחילו להעניק ל"מערך הסייבר הלאומי" הרבה יותר סמכויות לטפל באתרים שמחזיקים בתוכם מאגרי מידע רגישים ואשר הם לא מאובטחים ברמה מספקת, ובטח שייתנו להם סמכויות מעשיות להפעיל סנקציות וקנסות כבדים על חברות שיתעלמו מהאזהרות שלהם - כולל השבתת אתרים כאלו עד אשר הם ייתקנו את פרצות האבטחה

אבל בהקשר הפרטי לא מטריד אותה שאזרחים נפגעים.

היא לא מעסיקה את עצמה בלאתר איך להגן על האזרח הקטן.

היא לא יוזמת ולא נערכת. ולא דואגת לאחר מעשה לבעיה אלא רק אם מכריחים אותה לעשות זאת.

ואני יודע שעכשיו כולם יקפצו ויגידו שאומנם מועברים אליהם נתונים רפואיים של אזרחי המדינה - אבל הם "אנונימיים" - והתשובה על כך היא שיש אין ספור מומחי אבטחת מידע ועיבוד נתונים שטוענים ובצדק שעל ידי שימוש בהצלבת נתונים בצורה בבסיסית ביותר שניתן להעלות על הדעת ניתן לשייך כל רשומה רפואית שעוברת "לפייזר" לפרטים האדם שעומד מאחוריהם (כלומר שמזהה את השם האמיתי והמלא של האדם + ת"ז + מקום מגורים וכו')

ואם אתם עוד לא הפנמתם - לא מדובר כאן רק על העברת נתונים סופר בסיסיים כגון "גיל, סוג חיסון והיד המחוסנת".. אלא על כל התיקים הרפואיים שלכם ועל כל ההיסטוריה הרפואית שלכם ושל בני משפחתכם, כלומר בין הנתונים הכי פרטיים ואינטימיים שיש לכם בחיים האלה.

ד"א: אני לא בטוח שרבים שמו לב, אבל אתם בעצם אשרתם את העברת המידע הזה (ברוב המקרים בלא שהייתם בכלל מודעים לכך) - וזאת בין הייתר כאשר אתם מבקשים להנפיק תעודת "תו ירוק" / "תעודת מתחסן" - אז בטח שמתם לב שיש תיבת סימון שאותה עליכם לסמן על-מנת לקבל את התעודה ושם רשום משפט לכאורה תמים:

=/=/=/=/=/

"אישור להשתמש במידע שלי מקופת החולים"

=/=/==/=/=/

אבל אם תלחצו על המשפט הזה יפתחו לכם חלון נוסף ובו "האותיות הקטנות" הבאות:

סימון ה"אישור", מהווה את הסכמתי לאשר למשרד הבריאות לעשות שימוש בפרטי הקשר האישיים שמסרתי לקופת החולים בה אני חבר, לצורך אימות זהותי מול הפרטים שמילאתי באתר זה, ומשלוח סיסמה חד פעמית. כדי שאימות הזיהוי יעבוד, על הפרטים שמסרתי באתר להיות זהים לפרטי הזיהוי שמסרתי לקופת החולים. במתן "אישור" תתאפשר לאתר זה גישה לרישום החיסונים ונתוני ההחלמה ולתוצאת בדיקת הקורונה שביצעתי או אבצע. אני מסכים לכל האמור ביחס לכל מי שהזיהוי שלו בקופה (ילדים), נעשה על בסיס מספר הטלפון שלי.

=/=/=/=/=/=/

ולכל התמימים שחושבים שזה נעשה אך ורק לצורך אימות הנתונים מיידי וזאת על מנת לקבל את התעודה, אז תחשבו שוב, כי זאת תמימות גדולה להאמין שזאת הסיבה היחידה שנועד האישור הזה שלכם שאתם נותנים והחשיבה שלא יעשה בזה שימוש נוסף, כי למעשה מדובר כאן על נתינת אישור למשרד הבריאות לגשת אל התיקים הרפואיים שלכם ושל ילדיכם כפי שהם נמצאים בקופות החולים שלכם ושבהמשך הם גם יגיעו לחברת "פייזר"

* ואני חושב שגם לא רבים מודעים למלחמת העולם שניהלו במשך שנים רבות קופות החולים כנגד משרד הבריאות - כשקופות החולים התעקשו לאורך השנים שלא לתת למשרד הבריאות גישה לתיקים הרפואיים של הלקוחות שלהם - אז עכשיו מאז שהקורונה פרצה, הבעיה הזאת נפטרה וכעת למשרד הבריאות יש גישה מלאה לכל התיקים הרפואיים שלכם

ואני גם מניח שלא רבים יודעים שלכל אזרח במדינה יש מספר מזהה ייחודי במאגר של משרד הבריאות, דבר המאפשר להם הצלבת ואגירת כל המידע הרפואי שלכם עם הרשומות במאגרים של משרד הבריאות

ולגבי מה באמת עובר לחברת "פייזר" כבר נכתב רבות, ובין היתר - ציטוט מכתבה בכלכליסט:

=/=/=/=/=/=/

"... במסגרת המהפכה בטכנולוגיות עיבוד הנתונים, חומר הגלם היקר והמשמעותי הוא מידע איכותי ואמין, ובעולם הרפואה החדש בעל המידע הוא בעל הדעה והמאה, כי זהו הבסיס לפיתוח טכנולוגיות ותרופות חדשות. לא בכדי אחד הגורמים הבכירים ביותר במערכת קופות החולים אמר ל"כלכליסט" כי "אם פייזר תקבל את המידע הרפואי של ישראל תמורת חיסונים - ובחסות החיסונים - היא שיחקה אותה לגמרי. זה שווה מיליארדים". נציין כי פייזר, שיש לה נציגים בישראל לאורך שנים, מכירה היטב את תחום הבריאות המקומי.

בהקשר זה, גורם בכיר לשעבר במערכת הבריאות, מגדיר את מאגר המידע הרפואי של ישראל כך: "מדובר בנכס אסטרטגי לאומי ייחודי. אין עוד כזה בעולם", הוא קובע בשיחה עם "כלכליסט". הסיבות לכך מרובות: מדינה קטנה וסגורה יחסית, עם מגוון אתני וגילאי רחב אך בעיקר מנוהל על ידי ארבע סוכנויות (קופות חולים) שאוגרות את כל המידע הרפואי של כל אזרח ואזרח באמצעות מערכות יעילות, איכותיות וזמינות. עד כמה שזה יישמע מוזר עבור האוזן הישראלית, אין לדבר הכל כך שגור עבורנו אח ורע בעולם".

אותו גורם הגדיר את מעבר המידע המשמעותי הזה לחברה אחרת כ"שערוריה", והציב את התנאי החשוב ביותר בניהול הסוגיה הזו — שקיפות. "אני לא יודע מה נתנו או מה יתנו, אך ברור שחייבת להיות כאן שקיפות מלאה. ברור שמה שיש לישראל זה מידע ייחודי. לפייזר יש הרבה סיבות מדוע לבחור בישראל ולבקש את המידע. נתחיל בזה שאפשר לסמן מדינה שלמה ולהיווכח שהחיסון שלה סיים את המגפה והחזיר את הכלכלה למסלול. ולא סתם מדינה. מדינה מערבית עם מערכת בריאות הכי טובה בעולם".

שני גורמים בכירים במערכת הבריאות, שטוענים כי הם מכירים את פרטי ההסכם עם פייזר, מבהירים כי האפשרות להעביר תיקים רפואיים שלמים לחברת התרופות היא אופציה "מטורפת".."

..אם מדובר במידע גולמי יותר, שכולל פרטים נוספים על המחוסן ומידע רפואי עליו כגון מחלות רקע - זה כבר סיפור אחר וייתכן כי פייזר חתמה מול מדינת ישראל על עסקת חייה כי המידע הזה אכן שווה הרבה מאוד כסף.

כבר עתה מתנהל ויכוח בין הקופות למשרד בהקשר של העברת מידע אחר אשר קשור להפקת הדרכון הירוק. אותו מסמך המעיד על כך שהאזרח התחסן ושיאפשר לו כניסה למקומות ציבוריים רבים. בקופות חוששים כי המתכונת בה בחר המשרד לתפעל את הדרכון הירוק - באמצעות אפליקציה - מאפשרת מעקב אחרי אזרחים בדומה לאפלקציית מגן ישראל שנכשלה בדיוק באותה סיבה. חלק מהקופות כבר פנו לייעוץ המשפטי שלהן כדי לאמוד ולבדוק את ההשלכות של תביעות עתידיות נגד הקופות במידה ואכן יהיו כאלה.

המומחים חלוקים: מי יפקח על שקיפות ופרטיות המידע בישראל?

רכיב מרכזי בעסקה עם פייזר הוא המידע הסטטיסטי שישראל התחייבה להעביר לחברה בתמורה לחיסונים. מערכת הבריאות בישראל, בניגוד למערכת הבריאות בארה"ב ובמדינות אחרות, נחשבת למתקדמת בכל הנוגע למחשוב וניהול התיק הרפואי של האזרחים. זאת, הודות לקופות חולים שמשמשות כספק שירותי הבריאות המרכזי או הבלעדי של לקוחותיהן, ומנהלות בצורה מרוכזת את ההיסטוריה הרפואית שלהם. מדובר במאגר שבמדינות כמו ארה"ב, שם המערכת מבוזרת הרבה יותר, יכולים רק לקנא בו.

בעבור פייזר מידע זה הוא קריטי, שכן הוא מאפשר לעקוב לאורך זמן אחר התגובה של אוכלוסייה גדולה לחיסונים, ולפלח את הנתונים בהתאם למשתנים שונים באופן שלא ניתן לעשות עם מידע ממדינות אחרות. פילוחים אלו יכולים לגלות מידע חדש על היעילות של החיסונים בקבוצות אוכלוסייה שונות בהתאם למשתנים כמו גיל, מוצא, מצב רפואי ואפילו מעמד כלכלי.

ואולם, העברת המידע המדובר לחברה פרטית מעוררת סוגיות רבות בכל הנוגע לפרטיות האזרחים. הסוגיה הראשונה היא השקיפות סביב המהלך. "מי ימסור מידע - המדינה או הקופות? איזה מידע? מה זה 'סטטיסטי'?", כתב בטוויטר פרופ' מיכאל בירנהק מהפקולטה למשפטים באוניברסיטת תל־אביב וממומחי הפרטיות המובילים בישראל. "שקיפות קריטית, מטעמי חופש מידע וכדי לחזק את האמון הרעוע במדינה".

בירנהק הדגיש גם את חשיבות שמירת פרטיות המידע: "ברמה האישית, אנחנו לא רצים לספר לשכן על כל בעיה רפואית, זה נתפס כמידע אינטימי ואישי. ברמה החברתית, פרטיות המידע הרפואי חשובה כדי ליצור אמון בינינו לבין רופאינו והמערכת בכלל. בלי אמון, נתבייש, נסתיר מידע. בנוסף, משנצבר מידע, יש חשש שמישהו ישתמש בו לרעה: עובד בשרשרת שידליף מידע, האקרים משועממים או מדינת אויב; מפרסמים, חברות ביטוח וגם מעסיקים ישמחו לדעת מידע כזה".

המידע אמור לעבור אנונימיזציה, או התממה, הליך שבמסגרתו מוסר ממנו המידע המזהה. אבל לדברי בירנהק, גם הליך זה אינו מושלם. "אם ידווחו רק על מספר החיסונים, התפלגות גילאים ותופעות לוואי, אין בעיה. אבל, ככל שיימסר יותר מידע (גיל, מחלות רקע), יהיה קל יותר לגורם מעוניין לבצע זיהוי מחדש. מידע רפואי מותמם עם מידע אוכלוסין כללי מאפשר זיהוי מחדש די בקלות", הוא הסביר.."

לקריאת כל הכתבה המאוד מעניינת הזאת:

https://www.calcalist.co.il/local/articles/0,7340,L-3886752,00.html

=/=/=/=/=/=/

ואפשר להרחיב עוד ועוד על אובדן הפרטיות של כל אזרחי ישראל בעקבות ההסכם הבלעדי של ישראל/פייזר (ועל כל אותם המחקרים הרבים שקופות החולים וצוות הקורונה ורופאי הציבור עושים בייחד עם מדעני "פייזר" ומפרסמים אותם בכתבי עת מקצועיים - כשכתוב שם במפורש שלכל החתומים על המחקרים הללו יש גישה מלאה למאגרי המידע הרלוונטיים למחקרים הללו - ובלא מעט מהמחקרים המרכזיים שייצאו - בסעיף של "הצהרת ניגודי עיניינים" רואים שיש בין כותבי המחקרים עובדים מטעם "פייזר" וגם כאלו שמצהירים במפורש שהם בעלי מניות ובעלי אופציות של חברת "פייזר")

אז הנקודה כאן היא, שבעוד שאנו מנהלים דיונים על הפריצות של האקרים לבתי חולים ומכוני מחקר ושבה פרטים רפואיים אישיים שלנו נחשפים ועד כמה זה חמור (וזה באמת חמור) - במקביל ומבלי שרוב תושבי המדינה מודעים לכך - המידע הרפואי שלנו זורם כל העת לחברת התרופות "פייזר" וברור לכל בר דעת שזה ישמש אותם לעוד שנים רבות ביותר - וגם אין כל ערובה שהמידע הזה לא יגלוש מהחברה המסחרית "פייזר" לגופים רבים נוספים שישלמו הון תועפות על מנת לשים את ידם ולו על חלקיק מהמאגרים שיש ל"פייזר" על תושבי מדינת ישראל.

אז סתם נקודה למחשבה בכל הדיון הזה..