נצלו בנס. מדוע חברה שפגעה בפרטיות זוכה במכרז לטפל במידע רגיש?

0.
אמש מחקה הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים מאגר מידע של חברת נס טכנולוגיות. מחיקת מאגר המידע התרחשה כיוון שהמאגר התבסס על מרשם האוכלוסין שדלף בשנת 2006. עכשיו, חברת נס לא היתה מי שהוריד את המאגר בצורה לא חוקית מהאינטרנט (ככל שחברה בכלל יכולה לעשות את זה ולא אנשים פרטיים), אלא רכשה את חברת גילון, שבעבר רכשה את המאגר מחברה אחרת, בשם תכלית. בפוסט הזה אני לא רוצה לדבר על העונש הקל יחסית שקיבלה נס (רק למחוק את המאגר, בלי לשלם קנס נשמע רע) ולא על כך שהאחריות של חברה לברר אם מאגרי מידע שהיא רוכשת הינם חוקיים (במסגרת הליך due diligence) אלא על נושא אחר.

1.
נס טכנולוגיות היא חברה שצמודה מאוד לממשל. לדוגמא, היא זכתה במכרז להקמת מערכת ניהול תוכן ממשלתית, מעורבת במערכת נט-המשפט שמפעילה את בתי המשפט וגם, תאמינו או לא, זכתה לאחרונה במכרז שמאפשר את הקמת המסלקות הפנסיוניות. למי שלא מכיר או זוכר, המסלקות הפנסיוניות הן בעיה של פרטיות בעיצוב; בשביל לפתור בעיה שקיימת, של אי מודעות של אזרחים לחסכנותיהם וליכולת להתנייד בין חברות. המסלקה הפנסיונית אמורה לבצע כמה פעולות: להעביר מידע בין סוכנים ויועצים על המידע שקיים על לקוח מסוים, כדי לתת לו ייעוץ אופטימאלי, ולבצע פעילות של העברת כספים.

2.
הבעיה היא, שלפחות לפי הכתבה בדה-מרקר, "נס נבחרה במסגרת מכרז שערך האוצר וכלל פרמטרים של איכות, זמן ומחיר". משרד האוצר, שאמור להיות אמון על הכספים שלנו, לא שקלל את הנושא של אבטחת מידע. כלומר, עומדת כאן חברה, שנמצאת בתהליכים של שימוע פלילי מול משרד המשפטים על נושא של אבטחת מידע (ההודעה על המחיקה יצאה יום אחרי ההודעה על המכרז) והדבר לא נכנס בתוך תנאי המכרז.

3.
עצימת העיניים של נס, כשהיא רכשה חברה שהחזיקה מאגר שמפר את החוק, לא יכולה לעמוד כאשר מדובר בחברה שצריכה לטפל במידע הרגיש ביותר של כל אחד מאיתנו. מערכת המסלקה הפנסיונית תהיה תמנון גדול שיקבל גישה לכל הגופים שמטפלים בחסכונות פנסיונים של האזרחים; וחברה שרק לפני מספר ימים החזיקה מאגר מידע לא חוקי לא יכולה לקבל פרס של טיפול במאגר כזה. העניין הוא פשוט מאוד: אם אזרח קטן (ולא חברה גדולה) היה נתפס כמחזיק של מרשם האוכלוסין, היו עושים לו "נו נו נו" ונותנים לו קנס של אפס נקודה שבע אגורות לכל אזרח, אבל לא היו מאפשרים לו יום אחרי להתמודד על מכרז לטיפול במידע רגיש. יותר מזה, היו מבררים כיצד המידע הגיע ובוחנים אפשרות לסיים הסכמים קיימים וגישה למידע רגיש.

4.
כאשר מדובר באבטחת מידע, יש צורך להבין בדיוק מה העניין: כאשר אדם מחזיק במאגר מידע, הוא לא יכול לומר "אני לא יודע מאיפה המידע". בעל מאגר מידע ומי שמטפל בו חייבים לבדוק את המאגר, לראות מהיכן הוא. מי שלא עושה את זה, אולי לא ישלם קנס (כמו שראינו), אבל גם לא יכול להיות זכאי לפרס.

One thought on “נצלו בנס. מדוע חברה שפגעה בפרטיות זוכה במכרז לטפל במידע רגיש?

  1. תנאי הסף במכרזים אלו הם: חברה בעלת מחזור כספים מעל X וכמות עובדים מעל Y.
    ובמדינתינו הקטנה יש 2.5 חברות כאלו. ולכן אי אפשר לחסום חברה מסוימת מהשתתפות במכרז.
    כמובן שאי אפשר לשנות את הסעיף הנל כי זה באחריות משרד אחר. והבירוקרטיה ומנהלי החברות הנ״ל חוגגים.
    כל הנכתב למעלה, נכתב בכאב.

Comments are closed.