אבטחת מידע בטלפונים סלולריים: מקרה הקצה של חברי כנסת.

0.
הבחירות תמיד מספקים לנו אייטמים מעניינים וקצת רכילותיים, שגם מאפשרים לנתח מצבים אחרים. שני מקרים מעניינים קרו בשבוע שעבר שלא קיבלו מספיק התייחסות בתקשורת מבחינת החשיבות האמיתית שלהם: במקרה הראשון נגנב הטלפון הסלולרי של שלי יחימוביץ' * ובמקרה השני התגלה נסיון פריצה לטלפון הסלולרי של נפתלי בנט. עכשיו, שני דברים מאוד מדאיגים אותי במקרה של יחימוביץ', ודברים אחרים במקרה של בנט. לכתבה בYnet הגיבו מטעמה של יחימוביץ' כי "אובדן הסלולרי, שלושה שבועות לפני בחירות 2013, עלול לחשוף בפני מי שמצאאותו, מסרונים או אינפורמציה שהיו על המכשיר. גורמים במפלגה אמרו כי האבידה הגדולה היא בעיקר רשימת הטלפונים והזיכרונות האישיים של יחימוביץ'".

* ואני מקווה ששלי יחימוביץ' מאבטחת את המידע בסלולרי שלה בצורה יותר טובה מזו שהיא שומרת על מאגר המתפקדים במפלגה שלה, אבל זה רק אני.

1.
לצורך העניין, אקדיש רק פסקה אחת לעניין הפתרון הטכנולוגי, כי הוא לא באמת משנה. מפליא אותי שראשת מפלגה, שמחזיקה מידע רגיש מאוד שכולל בטח מסרונים מבכירים וממקורבים, לא מחזיקה על הטלפון שלה תוכנת איתור למקרה שיאבד. אם היתה בעלים גאה של מכשיר iPhone, היתה יכולה להשתמש בתכנת Find my iPhone שפותחה על ידי Apple בעצמה ומאפשרת לאתר את המכשיר; אם היתה בעלים של מכשיר Android, אז יש לא מעט אפליקציות שמאפשרות זאת אפילו אחרי שהטלפון נגנב; (מאבד את הטלפון שלו ומצליח ליצור קשר עם הגנב ולהחזיר את הטלפון תחת איומי פטיש. אבל ביננו, הבעיה האמיתית היא כיצד ראשת מפלגה לא מגבה את המכשיר; הדאגה כיצד הגב' יחימוביץ' לא מצלחה להשתמש במערכת הסנכרון לאנשי הקשר שמובנית במכשירים מדאיגה מאוד.

במקרה של בנט, העניין מדאיג בצורה אחרת מעט. נפתלי בנט הוא איש אבטחת מידע ברמ"ח איבריו. עכשיו, אני רוצה להניח שהכתבה בYnet נכונה, ונשלח לבנט מסרון המכיל קישור לתוכנה זדונית; אלא, שאם קוראים בהמשך, רואים משהו אחר מדאיג מאוד: "בדו"ח תשובה שהועבר למפלגה צויין כי שלושה טלפונים ניידים נמצאו נקיים מהאזנות סתר, אך במכשירו של היו"ר נמצאה תוכנה שעליה מתקינים תוכנת ריגול". מהי "תוכנה שעליה מתקינים תוכנת ריגול", אני לא יודע. אבל ביננו? הבעיה האמיתית היא מי הדליף את הידיעה לתקשורת, הרי לבית היהודי אין ממש אינטרס לדווח על כך שניסו (ולא הצליחו) לפרוץ לראש המפלגה, נכון?

2.
עכשיו, כשסיימנו עם העניין, עולה השאלה הבאה: גם לבנט וגם ליחימוביץ', וגם לכל אחד מאיתנו, יש מאגר מידע קטן בכיס. מדוע מאגר מידע? אם נסתכל על הוראות חוק הגנת הפרטיות, נוכל לראות ש'מאגר מידע' מוגדר כ"אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב"; עכשיו, יש חריגים להגדרה, אבל בכל מכשיר טלפון סלולרי היום יש מידע רגיש: יש מידע על שיחות בין בני אדם, יש מידע על אנשים אחרים שלא נמסר על ידם (אם חבר נותן לי טלפון של חבר שלו), ויש מידע נוסף. עכשיו, אם היה בטלפון הסלולרי שלי רק מידע שלי, לא היתה בעיה. הבעיה מתחילה כשיש לי מידע על אנשים אחרים: הטלפונים שלהם, מידע אישי שהם שלחו לי בדואר אלקטרוני או במסרונים, תמונות וכדומה.

3.
וכאן בדיוק העניין: סעיף 17 לחוק קובע כי "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע". ואז השאלה: בהנתן שתקנות אבטחת מידע טרם הפכו לרשמיות ובהנתן שהן משמשות כיום לפרשנות של החוק, האם אפשר לגזור חובת אבטחה אישית לטלפונים סלולריים? כלומר, לדרוש מבעלי טלפונים סלולריים לאבטח את הטלפונים שלהם בצורה סבירה אם הם רוצים לשמור מידע?

4.
לשיטתי, דווקא כאן הבעיה: ניתן לקבוע שאדם שלא אבטח את הסלולרי שלו הוא רשלן ועשוי להיות אחראי בפגיעה בפרטיות של אחרים במקרה שהסלולרי שלו יאבד, אבל האם צריך לקבוע חובה רגולטורית על כך? כלומר, אפשר לקבוע שמי שמחזיק מידע רגיש מעל רמה מסוימת יהיה חייב לאבטח את הטלפון ברמה סבירה שכוללת הצפנה. להתחיל בלחייב את עובדי המדינה והמגזר הציבורי באבטחת הטלפונים שלהם לצרכי עבודה (לא האישיים). אבל, כאן בדיוק העניין: האם אנחנו כמדינה רוצים להיות גננת שמחייבת כל ילד שמשתמש בטלפון סלולרי לעבור קורס באבטחת מידע?

5.
יכול להיות שכן. יכול להיות שכשם שאנו דורשים רשיון נהיגה, אנו נדרוש הדרכה כלשהיא בשימוש בסלולרי; ההדרכה יכולה לבוא גם לא בכפיה, כלומר לחייב את מערכת החינוך לדאוג לתלמידים, ואת משווקי הטלפון להדריך את הרוכשים. יכול להיות שהמדינה צריכה להחזיק מרכזי הדרכה. העניין הוא שלאף אחד באמת לא איכפת.

תגובה אחת ל-“אבטחת מידע בטלפונים סלולריים: מקרה הקצה של חברי כנסת.

  1. יש לקונה בחוק.
    חוק הכנת הפרטיות מדבר רק על מאגרי מידע שנשמרים על אמצעי אופטי או מגנטי.

    זכרון פלאש, כזה שיש גם בטלפונים ניידים, הוא לא אופטי והוא לא מגנטי.
    הוא מתח חשמלי.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *