Intellect or Insanity

תמיר כהן כתב השבוע על שיחתו עם עו"ד ערן פרזנטי, המייצג מספר בעלי זכויות יוצרים. פרזנטי הביע את חששו כי בעקבות סגירת אתר MegaUpload יווצר אתר חדש, וכדבריו "אין לי ספק שתוך זמן קצר ייוולד המגה-מגה אפלואד". וובכן, פרזנטי ככל הנראה צודק. אם יש מסקנה אחת שלומדים מהיסטוריית שיתופי הקבצים היא שלא משנה מה, כאשר סוגרים שירות שיתוף אחד, שירות אחר קם ולוקח את הבכורה. זה החל כאשר שירות נאפסטר נסגר בתחילת שנות ה2000, מה שהוביל לביזור יתר באמצעות פרוטוקול eMule, אשר בתורו חווה התקפות משפטיות על שרתים, רק שהטבע המבוזר לא הרשה להם להסגר לחלוטין (ואף בארץ יצאו נגד האתרים שסיפקו קישורי eMule, תוך רמיזה שירדפו גולשים).

ירידת קרנו של פרוטוקול eMule הביאה בעיקר לעליה בשימוש בBittorrent, פרוטוקול מבוזר שמאפשר שרידות גבוהה בעיקר כיוון שאין לו מרכז שליטה אחד, ולא דרוש שרת מרכזי לניהולו. אלא, שלמרות הפופולריות העולמית לה זוכה הפרוטוקול, דומה שבמקביל עלו אתרי "שיתוף", המאפשרים אחסון של קבצים בצורה זמינה להורדה. אתרי MegaUpload וחבריהם עבדו כך: כל אחד יכול לשתף קובץ, והאתר עצמו אדיש לזהות הקובץ. על מנת לזכות בחסינות מתביעות זכויות יוצרים, הסתמכו האתרים על ההגנה בסעיף 512 לחוק זכויות היוצרים האמריקאי ועעל פסיקות כגון UMG v. Veoh. ככלל, כל עוד הורידו האתרים כל קובץ אשר התקבלה תלונה לגביו, הוחזקו כחסינים (גם בארץ פסק בית המשפט הלכה דומה בת"א 567-08-09 א.ל.י.ס. אגודה להגנת יצירות סינמטוגרפיות (1993) בע"מ ואח' נ' רוטר.נט בע"מ ואח').

אלא, שנפילתו של אתר MegaUpload תסמן רק את עלייתם של אתרי שיתוף קבצים מסוג אחר, כאלה שיכולים לעמוד בפני הFBI ושאר ארגונים שמעוניינים להפילם; כבר היום לא יהיה זה קשה לאמץ את הטוב מפרוטוקולי שיתוף הקבצים לתוך שירותי שיתוף אינטרנטיים, ולספק לגולשים את הטוב משני העולמות. באמצעות לא יותר מכמה שעות תכנות ניתן יהיה לייצר פרוטוקול שיעביר את אתר MegaUpload למערכת מבוזרת, בה כל גולש תורם כמה גיגהבייטים מהכונן הקשיח שלו וחלק מחיבור האינטרנט שלו, אך מחזיק את המידע בצורה מוצפנת. חברת LaCie הצרפתית, בלי ידיעתה, מספקת כבר שירות כזה תחת השם Wuala.

אם התקנתי את Wuala על המחשב שלי, והחלטתי לשתף קובץ, אני מקבל קישור ציבורי שאני יכול לשלוח לחברים. במקביל, הקובץ מאוחסן על מחשביהם של משתמשי Wuala אחרים כדי לגבות אותו, וזאת מבלי שלמשתמשים יש גישה לקובץ.

עכשיו, בניגוד למערכות כמו MegaUpload, לחברת LaCie אפילו אין את הידיעה או היכולת להסיר את הקבצים שלי, כיוון שהם מוצפנים ומוגנים מקריאה שלה. הדרך היחידה בה הם יכולים להסיר את הקבצים שלי היא ככל הנראה לסגור את השירות.

כלומר, אם מספיק אנשים יעברו להשתמש בשירות כזה, מבוזר, מוצפן ומוגן, שלא משתמש באחסון מרכזי, תקום לארגוני זכויות היוצרים בעיה: אם עד עכשיו היו להם אויבים עם פנים, עם שם, עם יכולת להתבע, הם יעברו לעולם שבו אין כאלה, עולם בו כל מה שהם יוכלו לעשות זה לשבת ולראות את הקבצים שלהם משותפים מרחוק.

הפתרון תמיד אינו לנסות להוריד את אותם אתרים או להלחם בשיתוף. שיתוף הוא תכונה אנושית שכולנו מכירים; הפתרון הוא לייצר מודלים עסקיים אחרים. גולשים מוכנים לשלם כסף על תכנים איכותיים וזמינים בצורה מהירה; פרויקטים כמו iTunes הוכיחו את זה, וזו גם התוצאה של מחקר שערכתי יחד עם דר' נמרוד קוזלובסקי ואחרים לפני כשנתיים (Kozlovski, Klinger, Davidi, Yarkoni, "Fair Use in Israel", inside: A2K for Consumers: Reports of Campaigns and Reports 2008-2010).

עצוב לגלות שמה שיגרם כתוצאה מנסיון של ארגוני זכויות יוצרים להגן על זכויותיהם הוא פגיעה יותר חמורה. במקום לשתף פעולה עם הזרם, במקום לתת לטכנולוגיה להתקדם, הם בוחרים להמשיך להלחם מלחמה אבודה.

[פורסם במקור ב'הארץ']

0.
נתחיל בשורה התחתונה, עד שהוספתי את עצמי אמש, לא ראיתי את שמי ברשימה השחורה של פעילי השמאל שלוקטו על ידי ארגוני ישראקמפוס ואם תרצו, וחבל שכך. הרשימות, שמכילות ככל הנראה 10 אחוזים מחברי הסגל האקדמי באוניברסיטאות שאינם חושבים בצורה זהה לאם-תרצו וחבריהם מארות בדיוק את סוג הפנקסנות שאנחנו צריכים להתמודד עמו היום, כאשר אנו מנסים להציג את דעותינו.

1.
אז כן, איני נרדף בשל דעותי; לא עדיין, מדי פעם יש כאלה שעוקצים אותי, מטרטרים אותי וגורמים לי לעשות דברים כדי שאוכל להמשיך להביע אותן. כל מיני סידורים בירוקרטיים, אבל לא משהו נוראי. מנגד, יש כאלה שכבר כן נחקרים בגלל דעותיהם; אבל כן, זה נראה כמו מלחמה כוללת נגד האופוזיציה. הבעיה ביצירת רשימות שחורות כגון זו, אגב, היא בדיוק הסכנה במה שיקרה בשלב הבא.

2.
השלב הבא ביצירה של רשימות שחורות הוא שימוש בהן, ולא רק קטלוג שלהן. מה שקורה כשמתחילים להשתמש ברשימות הוא כפול: קודם כל, רשימות יכולות לעבוד לתועלת שני הצדדים: רשימת המוצרים מההתנחלויות (שהיום על פי חוק אסור להחרים) אבל גם אותה רשימה יכולה להיות רשימה של עסקים שמעסיקים ערבים וראויים להחרמה או לא ראויים. כך, עצם ההופעה ברשימת השמאל יכולה להיות תג כבוד, תג שמראה שעשית די על מנת לעצבן את הימין ולגרום לו להתחיל לחשוב על לשנות עצמו.

3.
הבעיה תתחיל כשישתמשו ברשימות לפגיעה באחרים; זה קרה כאשר מתפרסמת רשימה של קציני צה"ל ומתחילים בפעולה נגדם, וזה יכול להיות כאשר עשבים שוטים כאלה או אחרים ישתמשו ברשימה למטרות רעות. עצם האגירה ברשימה שחורה יוצרת את הסכנה. מה יקרה כאשר יעמדו עשרות מפגינים מחוץ לביתו של אדם, רק כיוון שהוא ברשימה, או מה יקרה כאשר הוא לא יתקבל לעבודה בגלל השתייכותו הפוליטית?

4.
אין לי בעיה עם רשימות לכשעצמן. רשימות הן דרך נהדרת לסדר מידע; הבעיה היא שכשמתחילים אותנו בתור מידע, ולא בתור בני אדם, הבעיה היא כשמסכנים אותנו כבני אדם בגלל השתייכות פוליטית, או תובעים לעצור את הקידום שלנו.

[פורסם במקור בעבודה שחורה]

לא כל כך נעים לראות אתר סגור; זה במיוחד נכון כאשר מדובר על אתר MegaUpload שנסגר בסוף השבוע האחרון על ידי הרשויות הפדראליות בארצות הברית לאחר חשד להפרת זכויות יוצרים שבוצעו על ידי האתר עצמו, וחשוב לזכור את זה: האתר עצמו, שכן החוק בארצות הברית אומר בצורה די ברורה שאתרי אינטרנט לא יהיו אחראים לתוכן הגולשים אם הם הפעילו מדיניות של הודעה והסרה (ראו את סעיף 512 לחוק זכויות היוצרים האמריקאי 00-55902 UMG v. Veoh), או כאשר מדובר על סגירת אתרים בישראל ללא צו שיפוטי.

אבל לעיתים סגירה של אתרים היא משהו הכרחי (ותודה לחץ על ההפניות); בשבוע שעבר הוציאה הרשות למשפט וטכנולוגיה צו לסגירה של מספר אתרים אשר התראחו בשרת אשר ככל הנראה לא שמר על נהלי אבטחת המידע והיה מעורב בפרשת ההאקרים הסעודים האחרונה. אחד המכתבים ששלחה הרשות מצא עצמו, ככל הנראה, לאינטרנט (ביחד עם תגובת החברה המעורבת) ועולה השאלה מה בדיוק הסיבה לסגירת האתרים.

כאמור, הרשות מפרטת באותו מכתב כי ככל הנראה המידע שאוסחן על אותה ספקית אירוח דלף בפרשה, וכי בכך יש חשד להפרה של חובות אבטחת המידע שקיימות על בעל כל מאגר מידע (ובתוך זה גם בעל מאגר מידע שמפעיל אתר אינטרנט). החוק בעניין הזה די סתמי. סעיף 17 לחוק הגנת הפרטיות קובע כי "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע". החוק עצמו לא מגדיר מהי אבטחה, לא קובע את הסטנדרטים, לא דורש הצפנה ולא אומר שום דבר בעצם לגבי אבטחה.

אבל, רשם מאגרי המידע פרסם מספר הנחיות שמגדירות את הדרך לאבטחת מידע, ובכלל זה הנחיה על אבטחת מידע במיקור חוץ. ההנחיה חלה על מי שלא מנהל בעצמו את מאגר המידע שלו (נניח, אתרי אינטרנט שמחזיקים את מסד הנתונים שלהם אצל ספק האירוח), אבל חושב לזכור שהפרשנות שלה מאפשרת לנו להבין מהי מידת הסבירות של אבטחת המידע.

אבל קודם כל, מהו מאגר מידע? סעיף 7 לחוק הגנת הפרטיות מגדיר מאגר כ"אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב"; המילה "ממוחש" קריטית כאן כיוון שהכלל הוא שהוראות מאגרי המידע לא חלות על מאגרי נייר. מידע, לצורך המאגר מוגדר כ"נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו" ומידע רגיש מוגדר כ""נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו" או "מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש".

כלומר, די בכך שמאגר המידע מכיל מידע על מצב כלכלי של אדם או על צנעת אישותו (נניח, מידע על מהם המוצרים שאדם קנה) או מעמדו האישי (נניח, האם הוא נשוי), או אפילו על אישיותו (מיהם החברים שלו) כדי שהוא יוגדר כמאגר מידע בחוק. מאגר כזה, על פי סעיף 8 לחוק הגנת הפרטיות, חייב ברישום אם מתקיימים אחד מהתנאים הבאים: הוא מכיל מידע על יותר מ10,000 אנשים, או שהוא מכיל מידע רגיש (וכמעט כל מאגר הוא כזה), הוא מכיל מידע על אנשים שלא נמסר על ידם, מטעמם או בהסכמתם (נניח, אם מדובר במנוע חיפוש או מאגר נתונים עסקיים), הוא של גוף ציבורי או הוא משמש לדיוור ישיר. בפועל, כמעט כל מאגר חייב ברישום אבל אף מאגר לא נרשם.

לאחר הרישום, והתחלת פעילות המאגר, יש לאבטח את המאגר. אבל כיצד הרשות למשפט, טכנולוגיה ומידע מפרשת את החובה הזו? אם נתרשם מהמכתבים האחרונים, היא רואה את הפרשנות של הוראות מיקור החוץ כקריטריונים לדרך בה צריך לאבטח.  סעיף 3.1.4 להנחיות דן בחובות אבטחת המידע וקובע קודם כל שעל מנהל המאגר להחזיק מסמך אבטחה מחייב. כאשר מדובר על שימוש פנימי, ולא על מדיניות חוץ, המסמך לא צריך להיות שונה ממדיניות הפרטיות, שהיא המסמך שמסביר למי שהמידע מוחזק עליו מה השימושים שנעשים במידע ומהם פריטי המידע שמוחזקים עליו (ובכך מקיימים את חובת היידוע בסעיף 11 לחוק) וכן לאבטח את המידע לפי טיוטאת תקנות אבטחת מידע.

תקנה 2 קובעת כי בעל מאגר יוציא מסמך מחייב שיבהיר (1) מהם פרטי המידע שנשמרים במאגר; (2) מהם המטרות לשימוש במאגר; (3) יפרט האם מידע מהמאגר יוצא מחוץ לגבולות המדינה; (4) האם מחזיק מאגר המידע מעבד את המידע; (5) הסיכונים לפגיעה בשלמות המידע, בחשיפתו של המידע וכיצד הוא מתכנן להתמודד איתם.

לצורך הדוגמא, נדבר על חנות אלקטרונית שמוכרת מוצרי מזון לבעלי חיים; אותה חנות שומרת לא רק את פרטי הקשר של הלקוח אלא גם את רשימת ההזמנות הקודמות שלו. היא מתארחת בשרת שנמצא בארצות הברית וספק התשלומים שלה נמצא בישראל. אותה חברה צריכה להודיע למשתמשיה במדיניות פרטיות על המידע שהיא שומרת, וגם לפרט להם שהמידע מאוחסן בשרת בארצות הברית ועובר לספק התשלומים. היא עוד אמורה לפרט למשתמשיה כי במקרה של דליפה או פריצה, המידע שיחשף הוא אמצעי התשלום שלהם (אם היא שומרת אותם), פרטי הקשר שלהם ואף הרכישות האחרונות.

תקנה 3 קובעת כי על כל בעל מאגר מידע למנות "ממונה על אבטחת מידע" שצריך להיות עצמאי ותלוי רק בבעל המאגר. הממונה אמור להיות גם מי שמקבל תלונות אבל גם מי שמבצע את הבדיקות, ולכן כדי להמנע מניגוד עניינים, ראוי שהממונה לא יהיה מפתח האתר, אלא אדם עצמאי.

הממונה צריך לכתוב נהלי אבטחה (תקנה 4), אשר כוללים את רמת אבטחת המאגר, תיאור של רכיבי המערכת וקביעת הרשאות הגישה (לדוגמא, למנוע מכל אדם שעובד בחנות לראות את היסטורית הרכישות). במאגרים שחלה עליהם רמת אבטחה בינונית ומעלה (מאגרים שמשמשים לדיוור ישיר (רמה בינונית) או שמוגדרים ברמת אבטחה גבוהה (מאגרים גנטיים, מאגרים שמכילים מידע כלכלי, מאגרים שמכילים מידע על דעות פוליטיות, נטיות מיניות או מעשים מיניים, עבר פלילי, נתוני תקשורת (שיחות או ביקור באתרי אינטרנט), מידע ביומטרי)) יש עוד לדאוג שההנחיות יכללו הוראות על רמת האבטחה הפיסית (כלומר הגישה הפיסית לשרת), אבטחת התקשורת והאחסון, גיבויים ושחזורים ובדיקות תקופתיות.

כלומר, נהלי האבטחה לא רק שצריכים להיות מקיפים, אלא במאגרים רגישים יותר (ברמה הבינונית והגבוהה) צריכים לטפל גם באבטחה הפיסית של השרת (לא כל שרת באחסון משותף בסדר) ולבדוק שאין זליגת מידע בין האחסון הזה למאגרים אחרים.

תקנה 5 קובעת כי יש לערוך סקר סיכונים במאגרים ברמה בינונית ונמעלה; כלומר, על בעל המאגר לבדוק את מערכות החומרה ורכיבי התקשורת, לבדוק את ההתקנים הניידים בהם נעשה שימוש ואת מערכות התוכנה שמנהלות את המאגר (נניח, תוכנת הניהול). אבל הוא גם חייב לבחון את התוכנות המשמשות לתקשורת מחוץ למאגר ואת הרכיבים האחרים הדרושים להפעלת המאגר. במאגרים שאינם ברמה בינונית, יש רק לערוך פירוט של הרכיבים, ואין ממש חובה לבחון אותם.

תקנה 6 היא בעצם לב הפרשנות של חובת אבטחת המידע. כלשונה "אחראי המערכות יבטיח כי המערכות המפורטות בתקנה 5(א) יישמרו במקום מוגן, המונע חדירה אליו וכניסה בלי הרשאה והתואם את אופי פעילות המאגר ורגישות המידע בו"; שימו לב, למרות שיש חובה להגן על המאגר מגישה לא מורשית, אין חובה להצפין מידע ובמיוחד אין חובה להצפין מידע בצורה חד-כיווניית (כלומר, להצפין מידע כמו ססמאות, כך שאם המאגר ידלוף אלה לא יוכלו לשמש אנשים אחרים אינה חלק מהחובות כאן); במאגרים ברמה בינונית ומעלה יש גם צורך לתעד את הגישה למאגר. לדעתי האישית, וכדי להקטין את הנזקים האפשריים, עדיף להצפין מידע קודם כל ואם אין צורך במידע אלא רק לאימות שלו (נניח, במספרי תעודת זהות, כתובות דואר אלקטרוני שמשמשות לגישה לאתר או ססמאות) יש להשתמש בהצפנה חד-כיוונית.

תקנה 7 קובעת כי העובדים יודרכו בנוגע למידע הרגיש ונהלי אבטחת המידע, יחתמו על הוראות סודיות ויעברו הדרכות תקופתיות במאגרים ברמה בינונית ומעלה. תקנה 8 ממשיכה כיוון זה וקובעת כי הגישה תעשה רק על ידי עובדים שמורשים לכך (כלומר, עדיף ססמא לכל עובד ולא ססמאת מאסטר או גישה פתוחה למאגר); במאגרים ברמה בינונית ומעלה יש לדאוג לשאף עובד לא תהיה גישה למאגר במלואו אלא אם הדבר חיוני, וכי ביצוע פעולות חיוניות יהיה בשליטה של יותר מעובד אחד.

תקנה 9 ממשיכה את חובות התיעוד והניהול וקובעת כי הפעילות תבוצע רק על ידי עובדים מורשים וכי במאגרים ברמה בינונית או גבוהה יקבעו גם נהלים לגבי אורך הססמאות, החלפתן וכדומה. כמו כן, יש לדאוג כי עובדים שסיימו את עבודתם לא יוכלו להמשיך לגשת למאגר הרגיש.

תקנה 10 קובעת כי במאגרים ברמה בינונית ומעלה יש לערוך תיעוד של הגישה למאגר ושל נסיונות גישה שנכשלו, לשמור את המידע על הגישה לפחות לשנתיים וליידע את העובדים על העניין. תיעוד מסוג זה יכול לסייע בגילוי של שימוש לרעה במאגרי מידע בשירות המדינה (כמו בעשמ 3275/07 שמואל ציילר נ' נציבות שירות המדינה בו עובד במחלקת מיסוי מקרקעין הורשע בשליפת מידע שלא כדין) שכן מערכות ניהול ותיעוד גישה קודם כל ירתיעו את המשתמשים משימוש לרעה אבל גם ישמשו כדרך לגלות את דליפת המידע מאוחר יותר.

תקנה 11 מחייבת את אחראי האבטחה לנהל תיעוד של אירועי אבטחה ובמאגרים ברמה בינונית או גבוהה אף לקבוע נהלים לטיפול באירועי אבטחה.

תקנה 12 קובעת, בקצרה, כי העברה של מידע מחוץ למאגר על התקנים ניידים תעשה רק באופן שמונע שימוש לרעה בהם (כאן דווקא הצפנה נחשבת אמצעי סביר). תקנה זו נובעת, בין היתר, מכך שחדשות לבקרים שומעים אנו על כך שמאגרים שמכילים מידע רפואי נמצאים בזכרונות ניידים שנשכחים במקומות מסוימים, במאגרים ברמה גבוהה או בינונית יש גם לתעד את ההתקנים שנעשה בהם שימוש ולראות היכן נמצא כל אחד מהם, כמו גם להוציא אותם רק באישור של אחראי האבטחה.

תקנה 13 דורשת להפריד, באופן סביר, בין מערכות המידע הרגילות לבין מערכות מחשוב אחרות וכי מאגר המידע לא יחובר לרשת בלי מערכת המונעת גישה בלתי מורשית.

תקנה 14 דנה במיקור החוץ; לכך, כאמור, כבר פרסמה הרשות הנחיות. כשאנחנו מדברים על עולם של מערכות אחסון בענן, שירותי צד ג' שנותנים את ניהול מאגר המידע ועוד, ההנחיות יכולות להיות חשובות יותר ופי כמה. טיוטאת התקנות מדברת על בדיקת נחיצות ההתקשרות במיקור חוץ, כלומר ההנחה היא שאם ניתן לבצע את ניהול המאגר ברמה הפנימית, עדיף לעשות כן על להוציא את ניהול המאגר לגורם חיצוני. לי אישית יש הסתייגויות מהנושא, כי כאשר מדובר בניהול של מאגר מידע רגיש יחסית, עדיף שהוא ינוהל על ידי חברה שמודעת לסיכונים ויודעת לנהל מאגרים נוספים על חנות קטנה שאין לה את הידע. מנגד, מרגע שיותר מדי מידע נצבר במאגר מסוים, הוא הופך להיות יעד לתקיפה (כך היה במתקפת ההאקרים האחרונה, כאשר פרצו לאתר השכן שהתארח ודרכו גנבו, כנראה, את נתוני האשראי של כולם).

תקנה 15 קובעת כי מידע שאינו נחוץ ימחק. לדוגמא, אין צורך לשמור את פרטי כרטיס האשראי לאחר ביצוע החיוב, ולכן יש למחוק אותם. כמו כן, כל מידע שנמחק ימחק בצורה שאינה מאפשרת שחזור שלו, לא סתם באמצעות שליחתו לסל המחזור אלא על ידי השמדה של המידע. סביר להניח שהכוונה היא לכך שקודם כל במקום המידע יכתב מידע ריק וחסר משמעות, ורק לאחר מכן ימחק המידע, וכן שכל המידע הלא נחוץ יוסר מגיבויים קודמים. חשוב לזכור שאי עמידה בהוראה זו אינה שונה מפגיעה באבטחת המידע בכלל.

תקנה 16 קובעת כי במאגרים במידת אבטחה בינונית ומעלה יערכו גם בדיקות תקופתיות לבדיקת אבטחת המידע. גם אם אתם לא כאלה, אז כדאי להסתכל על שירותים כמו Kyplex או 6Scan שעורכים בדיקות תקופתיות לאבטחת המידע באתר שלכם, ובודקים אם תיקנתם את עדכוני האבטחה האחרונים.

תקנה 17 דנה בסוגיית הגיבויים, וקובעת שבמאגרים ברמת אבטחה בינונית ומעלה יערכו גיבויים לפחות אחת לשבוע (אני בכל מקרה ממליץ לגבות את המידע תמיד) וכן נהלי התאוששות לפתיחת הגיבויים. במאגרים שמוגדרים ברמת אבטחה גבוהה יש צורך שהגיבוי יהיה אף מחוץ למקום הרגיל של הארגון (כלומר, DRP: אפשרות להתאוששות במקרה אסון).

התקנות עצמן מראות שינוי מהפכני, ואני מקווה שיאומצו, גם אם הן חמורות מאוד. הבעיה עם התקנות היא המסובכות שלהן; לא מדובר בהנחיות קצרות לאבטחה ופרוטוקול אבטחה שיכול לאפשר ייצור של בדיקות אוטומטיות, אלא הן תקנות שמיצרות שוק לאנשי אבטחה. דרישות אלה עשויות להטיל עלויות כלכליות על עסקים קטנים שיהוו חסמים מכניסה לאינטרנט ולסחר אלקטרוני, ומכך צריך להזהר.

בסופו של דבר, מלחמות ההאקרים הישראלים בעוכרי ישראל רק יפגעו בנו, ולא מדובר על יותר מאשר נערי גבעות עם מקלדת.

בשבועות האחרונים, בעיקר בעקבות פעולתו של ההאקר 0xOmar ששחרר לאוויר העולם עשרות אלפי פרטים של אזרחים ישראלים, ובכלל זה פרטי כרטיסי אשראי, והכל ממניעים אידיאולוגיים אנטי-ציוניים, החלו פעולות תג-מחיר משני הצדדים שפגעו רק באזרחים. אחרי מספר פרסומים של פרטי אשראי ומידע אישי נוסף של אזרחים ישראלים שגרמו לנזק בלתי הפיך, ויחד עם מרשם האוכלוסין שדלף לאינטרנט ככל הנראה גרועים לא פחות מדליפתו של המאגר הביומטרי בעצמו, החל הצד הישראלי לנקום.

בתחילה התאגדה קבוצת האקרים פרו-ישראלית, שעל פי פרסומיה ניסתה לעבוד בצורה אתית ורק להראות על פגיעות במערכות אבטחת מידע של הצד השני; אלא, שמשהו קרה. אחד ההאקרים, ככל הנראה בלי ידיעת חבריו לקבוצה, החל לפרסם מידע אישי של אזרחים סעודים, ירדנים ופלשתינאים, והכל מתוך אידאולוגית תג מחיר. לדבריו, "אני יודע שהם חפים מפשע (מעט מתוכם), אבל ערבים הם ערבים". כלומר, פגיעה באזרחים חפים מפשע היא אמצעי להחזיר לצד השני.

אותה קבוצה, כחבורה של פורעים שלוקחים את החוק לידיים ביצעה לא מעט בשבועות האחרונים, החל מפרסום כתובות מייל של סעודים ועד פרסום של "עומר כהן" של פרטי כרטיסי אשראי וכתובות דואר. זו לא הפעם הראשונה שישראלים מתנהגים כמו הערס המצוי: היו כבר פריצות שנועדו לקדם את שחרור גלעד שליט ואפילו נקמה ב2005 על השחתת אתרים ישראלים שעלתה בהשחתה של אתרים טורקים, אבל זו פעם ראשונה שהנפגעים הם אזרחים חפים מפשע, ולא אתרי ממשלה, אתרים תומכי טרור או ארגוני האקרים אחרים.

אלא, שלא רק שפעילותו של אותו האקר, הגם שנעשית ממניעים אידיאולוגיים, אינה בדיוק חוקית ולא עומדת בקנה אחד עם חוק המחשבים, אלא שפעילותיו לא שונות מבחינה חוקית מההאקרים האנטי-ישראלים, וזאת מסיבה אחת: החוק היבש לא נרטב אף פעם.

האם יכול אותו נער גבעות עם מקלדת לקום ולהתגאות במעשיו כאשר סגן שר החוץ של ישראל, דני איילון, קורא למעשים אלה פעילות טרור? האם אין שוני בין פעילותו של ההאקר והדלפת המידע האישי של סעודים, שיכולים אפילו להיות פרו-ישראלים ואנטי-מוסלמים, שכל פשעם היה לרכוש באתר קניות סעודי, לבין פעולה זהה נגד ישראלים? לא.

[פורסם במקור בגרסא ערוכה בחורימבה רשת]

0.
אם אכן תתקבל הצעת חוק איסור השימוש בסמלים וכינויים נאצים, התשע"ב-2011 לספר החוקים, ובכנסת הנוכחית הדבר באמת אפשרי. בנימה אישית, עצוב לי שחבר הכנסת איתן כבל, שזוכה אצלי להערכה רבה בעקבות הפעילות הדמוקרטית והסוציאליסטית שלו, חתום גם הוא על הצעת החוק הזו. להזכירכם, על גרסא קיצונית יותר של הצעת החוק, שנדונה בכנסת בשנת 2008 היו חתומים גם שלי יחימוביץ' ואבשלום (אבו) וילן. כבר לפני ארבע שנים כתבתי על הצעת החוק הזו כי "הבעיה, באיסור גורף על ביטוי, היא כמובן בהשלכות הרוחביות שלו; חלק מאיתנו מעוניינים להשתמש בסמלים נאצים על מנת ללמד על השואה, חלק אחר מעוניין להשתמש בהם כדי לקדם מסיבות רייב בכל מקרה, לא משנה איך תסתכלו על זה, שטנה היא לאו דווקא מטרה, לעיתים היא אמצעי".

1.
מאז 2008 ועד היום דברים רבים השתנו; הכנסת שנתה את פניה והפכה להיות מחוקק מגביל ומצר. במקום לדבר על הגנה על הציבור וחינוך כדי שזוועות השואה לא ישובו, ועדת השרים לענייני חקיקה מתייחסת להשתקת הביטוי בלי לדון בהשלכותיו ובסיבותיו; אף שר לא קם לשאול ולתהות מה גורם לקבוצות שלמות להשתמש בסמלי השואה ולהשוות קבוצות אחרות לנאצים. האם מדובר בכך שישראל מאשרת בחוק את ריכוז המסתננים מאפריקה במחנות מעצר ללא משפט לשלוש שנים או בכך שקבוצות באוכלוסיה מסרבות למכור לאתיופים בטענה ש'הם מסריחים'? יכול מאוד להיות שגם השימוש של קבוצות חרדיות בטלאי הצהוב החריד את המחוקק, אבל לכך תמיד יש שאלה: מדוע?

2.
ומגיע המחוקק ואומר לנו על מה מותר ועל מה אסור לנו למחות, כיצד אנו יכולים לכתוב את הסאטירה שלנו ופוסל אגב אורחא את המערכון של 'ארץ נהדרת' שקורא "היי ליברמן", בעצם, מדובר בחקיקה שלא רק אוסרת על ביטוי, אלא כבר מעצבת את המחשבה. כפי שג'ורג' אורוול כתב ב1984: "פשע מחשבתי אינו גורר עונש מוות; הוא-הוא המוות עצמו – משום שכל ביטוי עצמי החורג מרצון השלטון, חייב להימחק יחד עם מי שחטא בו".

3.
כבר בעניין בג"צ 7192/08 המטה להצלת העם והארץ נ' הרשות השניה עלו טענות לגבי הגבלת חירות הביטוי; באותו המקרה, בית המשפט העליון אישר לרשות השניה למנוע ממתנגדי ההתנתקות להשתמש במילה "עקירה" כאשר באו לתאר את תהליך ההתנתקות מגוש קטיף, וזאת בהתחשב בהוראות הקשורות לפרסומות פוליטיות. אבל, בעוד שבעניין המטה להצלת העם והארץ דובר על מסר מסחרי, כאן מדובר על הביטוי הפוליטי או הסאטירי, מהביטויים הרגישים ביותר.

4.
הביטוי הפוליטי הוא אבי חופש הביטוי. "על ביטויים פוליטיים חלים במידה הרבה ביותר כל הרציונאלים לחופש הביטוי. על-כן, בדרך כלל, אין להגביל ביטוי פוליטי אך בשל פגיעתו ברגשות. הגבלה כזאת עלולה לפגוע באושיות הדמוקרטיה" (בג"צ 606/93 קידום יזמות ומו"לות (1981) בע"מ נ' רשות השידור). יפה אמר בית המשפט העליון בפרשה אחרת, כאשר הבהיר שמנגד זכותו של אדם להתבטא בצורה שאינה נעימה, עומדת זכותו של האחר להתעלם: "יש להישמר מפני "הגנת-יתר מנהלית" על הבריות, מפני מידע, במיוחד כאשר המדובר בביטוי פוליטי. כל אדם מפתח עבור עצמו מנגנונים לסינון המידע המוצע לו. לוחות המודעות הם חלק מאותו זרם אינפורמטיבי המוצע לו לאדם, ואם דעתו אינה נוחה הימנו – יסב ראשו וייפן. אל מול הזכות שלא להיחשף למידע באופן אקראי וכפוי, עומדות זכויות אחרות, ובהן זכותו של המתבטא לומר את אשר בפיו ולהעביר את מסריו לציבור רחב, ולא פחות חשובה – זכותו של כל אדם להחליט עבור עצמו אילו ביטויים יפים בעיניו, ואילו ראויים להתעלמות או אף לגינוי." (בג"צ 6226/01 מאיר אינדור נ' עיריית ירושלים).

5.
כן, לכולנו קשה לשמוע את המילה 'נאצי', קשה לנו עם השוואה של מקרים לשואה, אבל לא רק: קשה לנו גם עם השוואה לפאשיזם או לתנועות אחרות. אלא, שבלי אותה השוואה, בלי חירות הביטוי והשיח החופשי, לישראל לא יהיה מקום במדינות שמכבדות את אזרחיהן. תנו לאזרחים לטעות, להזנות את השואה ואולי לשכנע, אחד לאחד, מדוע באמת אדם אחר דומה לנאצי.

[פורסם במקור בעבודה שחורה]

לא הרבה קולטים את זה, אבל המאבק על דמותו של בית המשפט העליון שמתרחש בחודשים האחרונים אינו [רק] פרסונאלי בין מנחות מנוגדים בלשכת עורכי הדין,  אינה [רק] פרסונאלית לבחירה של שופט כזה או אחר, אינו [רק] פרסונאלי על מינוי של שופט כזה או אחר לנשיא בית המשפט העליון, וגם אינו על היכולת של הכנסת לערוך שימוע לשופטי בית המשפט העליון, או אפילו מאבק על היכולת של בית המשפט העליון לבטל חוקים של הכנסת, למרות שכך זה נראה. חלק ניכר מהמאבק הוא על פסק דין שניתן בשנת 1995 על ידי מי שהיה אז המשנה לנשיא בית המשפט העליון, אהרן ברק בפסק הדין בנושא אפרופים (עא 4628/93 מדינת ישראל נ' אפרופים שיכון ויזום).

אפרופים הוא חריג משפטי, ואני מציע שתקראו את הערך בויקיפדיה לפני שתמשיכו לקרוא את הפוסט. באמת בגדול, כי אפרופים הוא פסק דין ארוך ומסובך: החלטתו של ברק לגבי אפרופים היא שצריך לקרוא את ההסכם ביחד עם הנסיבות שהובילו אליו ואת הכוונה של הצדדים, ולא תמיד את מה שהובא על הכתב.

הבעיה עם אפרופים היא כמובן חוסר הודאות המשפטית: איך אני, כצד להסכם, אדע לכשאגיע לבית המשפט מה השופט יחשוב שהיתה הכוונה שלי  ושל הצד השני. פסק הדין שניתן לפני מספק ימים בעניין הום סנטר (תא 23081-12-11 דלק נדל"ן – נכסים מניבים בע"מ ואח' נ' הום סנטר (עשה זאת‬ ‫בעצמ) בע"מ‬) הוא בדיוק כזה. בקצרה: בשנת 1995 חתמו  הצדדים על הסכם שכירות בקניון בו דלק נדל"ן השכירה להום סנטר שטח לפתיחת חנות עד לשנת 2013. לקראת סוף שנת 2011 החליטה הום סנטר לסגור את החנות (אבל לא לסיים את את השכירות, כלומר להשאיר את החנות ריקה) ולהעביר אותה למקום אחר. דלק נדל"ן פנתה לבית המשפט וביקשה שזה יתן לה צו שיכריח את הום סנטר להשאיר את  החנות פתוחה ולמכור במרכז המסחרי, בניגוד לרצונה.

הדרך בה הלך בית המשפט כאן, כאשר נתן צו זמני  מסוג כזה, היא עקלקלה מעט לדעתי. בית המשפט הסתמך, בין היתר על  הלכת אפרופים, ופסק כי "‫בסופו של‬ דבר התכלית הפרשנית של חוזה היא לרדת לאומד דעתם של הצדדים ולממש את רצונם‬ המשותף. יש לבחון את לשון הסכם בין הצדדים, בד בבד עם בחינת הנסיבות החיצוניות של‬  ‫חתימת ההסכם בכדי ללמוד על אומד דעת הצדדים. תכלית ההסכם היא זו העומדת במרכז‬ ‫ההליך הפרשני‬".

בית המשפט הסביר כי לפרשנותו ולדעתו, הצדדים לא רק התכוונו שהום סנטר תשכור את השטח, אלא גם שהיא התחייבה להפעיל בו חנות. אותה התחייבות, כמובן, אינה בהכרח באה במילים המפורשות.

הבעיה עם החלטה כזו אינה רק בחוסר הודאות שמתברר כשקוראים את הלכת אפרופים, הבעיה היא שכרגע אף אחד אינו יכול לדעת מה מצבו הודאי. האם אני, כשאני חותם על הסכם שכירות לדירה, לא יכול לשכור אותה ולהותיר אותה ריקה? האם נאסר עליי לרכוש נכס ולא להשתמש בו? פסק הדין הזה הוא דוגמא קיצונית לא כי פירש בצורה מרחיקה, אלא כי הוא הכריח עסק להפתח ולהמשיך להוציא סכומים אקטיבית (ולא רק להמנע מלעשות פעולה).

אכן, התשתית העובדתית שהוצגה בבית המשפט מראה שכנראה הום סנטר לא היו מלאכים, ושכנראה הם לא ממש היו תמי לב. אבל ההכרחה של החזקת סניף פנוי, משום מה, נראית לי כצעד דראסטי מדי. מצד שני, אני בטוח שלשני הצדדים אין מחסור בכסף והם ישמחו לערער על ההחלטה לבית המשפט המחוזי ואז לעליון, אז נוכל לצפות להזדמנות שבית המשפט העליון החדש יוכל להתפנות לפרשנות חדשה להלכת אפרופים.

אתמול הוציאו ראשי המאגר הביומטרי הודעה לעיתונות בה הם מבהירים מדוע המאגר הביומטרי הוא לא אתר קופונים, ואין שום סיכוי בחיים שהוא יפרץ. אני מסכים איתם רק בחצי מהאמירה: המאגר הביומטרי הוא לא אתר קופונים. מעבר לכך שהנסיון של גון קמני, ראש המאגר הביומטרי, בתור הממונה על אבטחת מידע בלאומי קארד היה אמור להרגיע אותנו שהוא, כממונה על אבטחה, בדק, בחן ושמר על כך שאתרי קופונים אשר סלקו את כרטיסי האשראי של לאומי קארד עומדים בתקני אבטחה, ואם הוא לא עשה זאת, מה הוא יעשה עם טביעות האצבע שלנו, עולות כמה תהיות בנוגע לשאלת ההשוואה בין המאגר הביומטרי לאתר קופונים. לצורך הנוחיות בלבד, הנה ההשוואה שלי:

באתר קופונים יש שלושה-ארבעה אנשים עם גישה למאגר המידע, במאגר הביומטרי מדובר על כל שוטר במדינת ישראל וכל עובד של משרד הפנים. כזכור, למאגר הביומטרי תהיה גישה לכל שוטר, לכל עובד של משרד הפנים, לעשרות עובדי הרשות הביומטרית, לשב"כ ולמוסד ולמי יודע מי עוד.

באתר קופונים יש רק את כרטיסי האשראי שלנו, שאפשר להחליף, במאגר הביומטרי יהיו צילומי הפנים שלנו וטביעת אצבע; לא משהו שאפשר להחליף. כן, השאלה היא מה עדיף שידלוף? טביעת האצבע שלנו וצילום הפנים שלנו, שאי אפשר להחליף אם הם הולכים לאיבוד באינטרנט, או את כרטיס האשראי, שמבוטח על פי חוק כרטיסי חיוב?

באתר קופונים יש תקנים בינלאומיים לאבטחת מידע שחייבים לעמוד בהם, כללי אבטחת המידע של המאגר הביומטרי חסויים ואסור לדבר עליו. כן; אתר קופונים הדליף מידע. האתר לא ממש שמר על הבטחון שלנו, אבל איך אפשר לדעת את זה? חברות האשראי אמורות לפקח על עמידה בתקני PCI, סטנדרט בינלאומי ומקצועי שפתוח להערות הציבור. לעומת זאת, חוק המאגר הביומטרי קובע שכללי אבטחת המידע של המאגר יהיו חסויים ולאף אחד לא תהיה האפשרות לצפות בהם.

באתר קופונים אתה לא חייב להרשם, למאגר הביומטרי אתה חייב לתת את טביעת האצבע שלך. נכון, לפעממים העסקאות באתרי הקופונים כל כך משגעות שאתה חייב לרשום עצמך לאתר, כי אף אחד לא  יכול לוותר על צימר מפנק בצפון הארץ במחיר כזה, אבל בניגוד למבצעים  האטרקטיביים, למאגר הביומטרי אתה חייב להרשם,  ואתה לא מקבל צימר בצפון, כמובן.

לאתר קופונים אתה יכול להרשם עם פרטים מזויפים וכרטיס אשראי חד-פעמי,  או לשלם בPayPal, במאגר הביומטרי לא. כן; אף אחד לא  מכריח אותך לתת לאתר הקופונים  את השם האמיתי שלך ואת תעודת הזהות שלך, במיוחד אם אתה משלם עם PayPal או עם כרטיס אשראי חד פעמי שקנית בדואר. אבל במאגר הביומטרי אתה קצת תצטרך את זה; אתה תהיה חייב  לתת את הפרטים  האמיתיים שלך, ולרשום "ישראל ישראלי"  לא תמיד אפשרי.

אז עכשיו, אחרי שהמרגיע הלאומי אמר את שאמר, אני באמת הרבה יותר רגוע. המאגר  הביומטרי לא ידלוף כי הוא מאובטח ברמה 11, בדיוק כמו שחשבו מפעילי אתר הקופונים, ובדיוק כמו שחשבו כל אחד מהמנהלים של מאגרי מידע שדלפו.

לפני כחצי שנה כתב הבלוגר יוסי גורביץ פוסט בבלוג שלו בו הוא חוזר מדברים אותם אמר עשור קודם. לדבריו "אני מתנגד לאלימות ולכל פתרון בדרכי אלימות"; הפוסט של גורביץ המשיך ואמר כי "יש, כמובן, מצבים שבהם אלימות היא נדרשת ומוצדקת, כמו התנגדות לפלישה או כיבוש. אך יש להגביל אותה לאנשים המבצעים תפקידי לחימה או נושאים נשק". כעת, מסתבר, שאותו ביטוי בו גורביץ הביע את דעתו הוא נושא חקירה של משטרת ישראל. לפחות לפי פוסט שפרסם גורביץ בסוף השבוע האחרון, הוא מנוע מלדבר על הנושא ונדרש לשמור על השתיקה על ידי משטרת ישראל (וכנראה שזו לא הפעם היחידה שיבקשו את תגובתו של גורביץ, לצערנו).

המחשבה כאילו ביטוי כל כך עדין, בו גורביץ מביע את דעתו, עשוי להוות "הסתה לאלימות" כדבריו של גורביץ. איני מנסה לסנגר על גורביץ או לפרש משפטית את האמור, אבל קריאה של המשפט בכללותו אינה גורמת לי להיות מוסת לאלימות, וגם איני מבין כנגד מי עלי להיות מוסת. חשוב לזכור, עבירות ההסתה הן מסוג העבירות שנדיר להעמיד עליהן לדין. סעיף 144ד2 לחוק העונשין,  אותו סעיף "הסתה לאלימות או לטרור" הוא מהסעיפים החמורים בחוק העונשין, אך גם דורש את הסכמת היועץ המשפטי לממשלה, בכתב, להגשת כתב האישום.

מוזר מאוד, שבימים בהם היועץ המשפטי לממשלה נדרש להחליט האם להגיש כתבי אישום על הסתה לגזענות כאשר רבנים קראו לא להשכיר דירות לערבים, אותו יועץ משפטי שהחליט לא לפתוח בהליכים נגד הרב שלום דב וולפא שאמר כי "אם הם באים לתת מכות, צריך לתת להם בחזרה מכות" על חיילים שמפנים התנחלויות, דווקא עכשיו, כשגורביץ אומר שהאלימות צריכה להיות מוגבלת לאנשים המבצעים תפקידי לחימה או נושאי נשק (התבטאות, אגב, שאני מבין בצורה אחרת ככל הנראה מאיך שהיא נאמרה: כאילו, היחידים שמוסמכים להפעיל אלימות הם נושאי הנשק או הלוחמים), החליטו משום מה לחקור אותו.

הבעיה כאן היא העקרון: חופש הביטוי דורש כי הפרסום יבחן בצורה זהירה. בית המשפט העליון עמד כבר על כך ואמר כי "על פי לשונו של סעיף 144ד2, העבירה של הסתה לאלימות או לטרור מותנית בכך שהפרסום על פי תוכנו ונסיבותיו יביא בהסתברות של אפשרות ממשית לעשיית מעשה אלימות. שני חידושים אפוא בסעיף: נדרש קשר בין הפרסום לתוצאה בכוח, אך זאת על פי המבחן של אפשרות ממשית. לא מעבר לכך אך גם לא פחות מכך" (רעפ 2533/10 מדינת ישראל נ' מיכאל בן-חורין).

אני בספק אם אחד מקוראיו של גורביץ ראה את הפוסט ואמר לעצמו "הא, עכשיו, לכשקראתי את דעתו של גורביץ על מתי הוא חושב שמותר להפעיל אלימות, אוסט ואלך לי להפעיל אלימות". אני בספק לא רק כי גורביץ אינו מקור הלכתי (בניגוד לאחרים שמסיתים לאלימות) אלא בעיקר כי הוא מפרסם את דעתו, ותו לא.

החקירה של בלוגרים על הבעת דעותיהם, שאינן אלימות ואינן קוראות לאלימות, רק כדי להרתיע אותם מלפעול במישור הציבור, מלפרסם דעות אשר אינן מקובלות במרכז המפה הפוליטית וימינה (או שמאלה) ושאינן כוללות מעשים אלימים היא לא רק פוליטית, אלא גם מסוכנת לחירות הביטוי מימין ומשמאל. אכן, אם גורביץ היה קורא לקחת לום ולבצע 'תג מחיר' במתנחלים היה מקום לחקרו. אבל על ההתבטאות הזו? ספק רב.

[פורסם במקור בעבודה שחורה]

לפני כשנה וחצי נפרץ אחד האתרים הגדולים בישראל ועשרות אלפי שמות משתמש וססמאות נגנבו ופורסמו על ידי האקרים טורקים. ארז וולף שחשף את הפרשה הביא לשינוי תודעתי קטן, אך זמני. לאחר הדליפה, פנתה הבלוגרית שרון גפן למשרד המשפטים על מנת שאלה יחקרו את הדליפה, ומשרד המשפטים ענה כי לשיטתו כל עוד לא מדובר על מידע רגיש (כלכלי, בריאותי וכו') הרי שאין בכך עבירה משרד המשפטים הסביר מאוחר יותר לYnet כי הוא מקדם חקיקה וחקירה יותר מקיפים.

אלא, ששנה וחצי עברה וגילינו שלא רק שלא נעשה דבר, אלא שלא מעט מספרי כרטיסי אשראי דלפו לרשת בעקבות פעולה של האקרים. נכון לעתה, לא ברור האם מאחורי הפעולה עומד ארגון 'אנונימוס' או כל גורם אחר; מה שכן ברור הוא שמצפיה בקבצי המקור (כאן אפשר לראות חלק מהם אבל כאן נכון לשעות הבוקר המוקדמות היו גם קבצים מלאים זמינים להורדה) אפשר לראות שאותה תרבות 'סמוך' במערכות אבטח מידע היא שגרמה לנזקים.

אכן, לפני כמעט שנה הקים בנימין נתניהו, ראש ממשלתנו, צוות מיוחד שילחם בהאקרים ויגן על ישראל מטרור וירטואלי. איפה היה השב"כ האינטרנט כדי לסכל את פיגוע הסייבר הזה? וובכן, במקום לחנך, לאבטח ולספק לארגונים ישראלים העוסקים במסחר אלקטרוני כלים לחזק את האבטחה שלהם, העדיף נתניהו להמשיך בשיטת נתניהו ליחסי ציבור ולהתקד בהסברה בינלאומית ולא בהשחתה של אתרים ממשלתיים על ידי קראקרים זוטרים. כאמור, במקום להתעסק רק במאגרים ממשלתיים, אותו צוות שאמור לאבטח את המדינה היה צריך לשמור על אבטחה אמיתית ולחזק את העסקים הישראלים.

אלא, שאם באמת פרטי האשראי שלכם דלפו, ואצל עידו קינן מוצגת דרך למצוא זאת, אז השאלה מי אחראי (כמבן, חוץ מההאקר); התשובה אמורה להיות פשוטה: אם אתר אינטרנט התרשל בשמירה על המיע הפרטי שלכם ונגרם לכם נזק כתוצאה מכך, אז יכול שתהיה לו אחריות. בניגוד לפריצה שהיתה לפני שנה וחצי, אבל, לא כל כך ודאי שההתרשלות היתה באתר האינטרנט הספציפי אלא נראה שהבעיה היא משהו שיכול להיותקשור לספק הסליקה.

בכל מקרה, מעניין לראות מה תהיה תשובת משרד המשפטים הפעם לשאלה האם יש לפתוח בחקירה.

השאלה שצריכה להשאל במצב כזה ההיא מה עושים כדי למנוע ממקרים כאלה להשנות. התשובה ברורה: דליפות קורות, תמד יהיו כאלה. העניין הוא שצריך לדעת לנהל אותן. אם אתה בונה מאגר מידע, אל תשמור יותר מידע ממה שאתה צריך, ואם אתה מחזיק מידע רגיש, תבהיר ללקוחות שלך מה אתה עושה איתו ואיך אתה מטפל בו. אחרת, ברור לך שיום אחד המידע ידלוף ותמצא את עצמך נתבע.

0.
תכירו את חברת גמיוס; גם אם לא שמעתם עליה עד היום, גם אם אתם לא רוצים ללחוץ על הלינק, רוב הסיכויים שחברת גמיוס מחזיקה קובץ על המחשב שלכם שנשתל בעת שביקרתם באחד מאתרי האינטרנט הישראלים. חברת גמיוס מפעילה עבור ועדת המדרוג באינטרנט מערכת מדידה אשר מאפשרת לה לבחון את התנהגות הגולשים באתרים. לצורך הבחינה, חברת גמיוס הפעילה מערכת מדידה פשוטה: בפעם הראשונה שביקרתם באתר שמשתייך לקבוצת "ועדת המדרוג" נשתל קובץ על המחשב שלכם וגמיוס קיבלה על כך הודעה. בכל פעם שביקרתם באתר אחר, או צפיתם בעמודי אינטרנט באחד מהאתרים, גמיוס קיבלה הודעה שוב שמכילה את "מספר העוגיה" שלכם, ורשמה זאת.

1.
על הבעיות והסכנות בעוגיות צד ג' כבר לא צריך להכביר. אכן, ועם כל הבעייתיות שיש בגוף שמביא לשיתוף פעולה בין מתחרים בתחום אתרי האינטרנט יש צורך במדידה אובייקטיבית כדי שקהל המפרסמים וקהל הצרכנים ידעו בדיוק מה החשיפה שכל מפרסם מקבל ומהי ההשפעה. אלא, שלצורך פעולה כזו אין צורך לפגוע בפרטיות של כולנו (טוב, אני קצת מרמה: אני חוסם את גמיוס, וגם אתם יכולים אם תרצו); בעצם, מה שקרה כאן הוא כזה: יש כמה דרכים למדוד תעבורה, אבל מה שהוחלט כאן, שמובא מאינטרס עסקי של בעלי האתרים ושל המפרסמים (אבל לא של הגולשים) הוא לייצר מודל שיאפשר לזהות את משתמש הקצה עם מספר מסוים, ואחר כך לדעת בדיוק מהם העמודים שהוא צפה בהם, כמה זמן הוא צפה בכל עמוד ולהצליב את המידע בין אתרים. הבחירה בארכיטקטורה שלא לוקחת את הפרטיות שלכם בחשבון היא לא מקרית, היא משקפת את העובדה שאתם פשוט לא צד להסדר הזה.

2.
דוגמא מצוינת ואנקדוטלית לכך שפשוט לא איכפת לאתרים ולמפרסמים מהפרטיות שלכם אפשר למצוא מהדיווח של Ynet על כך שהוא האתר המוביל בקרב מבוגרים; כן, כשגמיוס עקבה אחריכם לא ממש התבקשתם למלא פרטים מזהים על עצמכם כמו גיל והכנסה, נכון? אז מה קרה. רק קריאה של הדוח המלא של ועדת המדרוג (ותודה ליואב יצחק על כך שהוא האתר היחיד שבאמת מביא את המידע המלא ולא רק דיווח) מבהירה שהמידע לגבי הפילוג הדמוגרפי הובא באמצעות סקר. את תוצאות הסקר, כמובן, תמיד ניתן להצליב עם המספר המזהה של העוגיה על המחשב, אבל זה לא העיקר. האם מישהו מבין עורכי הסקר, שכמובן אפשר את מתן התשובות, טרח להגיד לקטינים שיבקשו את הסכמת ההורים לפני שהם ממלאים מידע? ברור שלא, כי בישראל של שנת 2011 למפרסמים יש חסינות בחוק והם אוהבים לאסוף מידע על קטינים. אז כן, גם במקרה הזה: ילדים מילאו סקר, מפרסמים מוכרים על סמך הסקר הזה מידע התנהגותי, וההורים לא צד ממש.

3.
אבל זו הדוגמא והאנקדוטה. השאלה היא מדוע הארכיטקטורה של ועדת המדרוג לא נבנתה בצורה שמכבדת את הפרטיות של הגולשים. לדוגמא: מדוע לא השתמשו במערכת שאינה מאפשרת העברת מידע בין אתרים או זיהוי של המשתמש באמצעות עוגיה (ואני מציע לקרוא את מדיניות הפרטיות של Gemius ולהבין כמה היא עמומה, וכאן אפשר לקרוא איך מדיניות פרטיות צריכה להיות כתובה). עוד שאלה שצריכה לעלות היא מדוע כאשר אתר שחבר בועדת המדרוג נטען הוא לא מציג לנו את השאלה "אנחנו עוקבים אחרייך לצורך מדרוג האינטרנט הישראלי, האם אתה מוכן לשמור על המחשב שלך קובץ שיזהה אותך?"; בעצם, ברור לנו למה שאלה כזו לא נשאלה.

4.
אז כן, מבחינת הגבלים עסקיים הממונה בחן, ראה, יצר קרטל קטן (וכדאי לקרוא את הפוסט של אורי ברייטמן על האתרים שלא נסקרים) ואפשר העברה של מידע לגבי התנהגות השוק. מה הבעיה כאן? וובכן, שאנחנו, הסחורה, לא ממש נשאלנו אם רוצים לסחור בנו. רק שיהיה ברור: באמצעות הטכנולוגיה של גמיוס אפשר, אבל לא בהכרח עושים זאת, לזהות אותך ברמה הפרסונאלית אם יש לך חשבון מזוהה באחד מהאתרים של ועדת המדרוג. כלומר: די בכך שיהיה לך חשבון דואר!וואלה! כדי לומר "בעל עוגיה 1234 הוא בעל החשבון 1234 בדואר וואלה והוא גם קרא את הכתבות בערוץ Ynet יחסים". זה לא מפחיד, זה פשוט אפשרי.

5.
אבל זה לא מעניין אף אחד בישראל; כל האתרים עסוקים בלדבר מי יותר גדול וכמה השוק הזה מתאושש. אף אחד לא מנסה לדבר על הפרטיות שלכם, כי חס וחלילה שמי מהאתרים הגדולים יסביר לכם איך פתאום כל המידע המעניין הזה הגיע לידיהם.