אין חובה לדווח על מאגר מידע שנפרץ. מדוע?

בזמן שהכנסת והתקשורת מצקצקים על חוק הלאום ומתווכחים האם יורד גשם בחוץ, נאלם בתקשורת השיח האחר, על דחיית הצעת חוק נוספת. הצעת החוק של אורי מקלב, משה גפני ויעקב אשר לחובת דיווח על פריצה למאגרי מידע נדחתה על ידי ועדת שרים לענייני חקיקה. הצעת החוק פשוטה מאוד, וראוי לשים לה את תשומת הלב: כיום, אם חברה מסוימת, כגון לאומי קארד, מחזיקה מידע על אנשים, היא מחויבת בהנחיות מסוימות (נניח, הנחיות לשימוש במיקור חוץ במאגרי מידע), היא מחויבת במערך של בדיקות סבירות וגיבויים למידע, אבל היא אינה מחויבת לדווח לציבור כאשר מאגר המידע שלה נפרץ ומידע נגזל.

cc-by-sa Juan J. Martínez

בעצם, מה שקורה היום הוא שרוב הפריצות למאגרי מידע לא מדווחות, והקרבן האמיתי, זה שמוחזק עליו את המידע, כלל לא יודע שהמידע דלף ונעלם עד שהוא מגלה אותו ברשת או עד שנעשה שימוש לרעה במידע. הצעת החוק של אורי מקלב באה לטפל בבעיה ולחייב את בעלי המאגר לדווח למי שהמידע עליו שמור (בעל המידע) על הפריצה בתוך זמן סביר. בקליפורניה יש חקיקה דומה מאוד, והצעת חוק פדראלית נמצאת בצינורות. אבל, בסופו של דבר: האזרח הקטן לא יודע מתי דלף המידע.

מדוע כל כך חשוב לדעת שהמידע דלף לפני שעושים בו שימוש לרעה? ובכן, התשובה פשוטה. אם פרצו למאגר המידע של לאומי קארד, ולאחר הפריצה דיווחו לכל האזרחים, הרי שכולם יכולים לבטל את כרטיס האשראי ולמנוע מראש שימוש לרעה בכרטיס האשראי. אם פרצו לאתר המכיל מידע רפואי שלי, אני אוכל להתחיל לחפש את המידע בגוגל ולנסות לאתר מהם האתרים שמחזיקים אותו, כדי לשלוח בקשות משפטיות להסיר את המידע. אם מדובר בתמונות עירום שלי, או בחומרים שאני לא רוצה שיסתובבו, אוכל לפנות לבית המשפט לקבל צווי מניעה.

את כל זה אני לא אוכל לעשות לאחר שהמידע כבר מסתובב בצורה היסטרית ברשת וכולם משתפים אותו.

לכן, חשוב מאוד לקדם הצעת חוק כזו. הסיבה לדחיית הצעת החוק הזו לא תוודע לעולם (הצבעות בועדת שרים לענייני חקיקה חסויות), אבל מה שאפשר להניח היא שכיוון שמפלגת יהדות התורה נמצאת באופוזיציה, הרי שהצעת החוק תדחה אוטומטית. הפתרון (התיאורטי) היה להוסיף חותם ממפלגת השלטון. אכן, זה לא פתרון ענייני וראוי. משה גפני, יו"ר ועדת המדע והטכנולוגיה בכנסת, הוא אחד מתומכי הפרטיות הטובים ביותר במושב הזה, ואם הוא חתום על הצעת החוק, והוא מי שיקדם את הצעת החוק, אז ראוי היה לגייס את התמיכה.

אז איך כן אפשר לקדם את חובת היידוע? יש עוד שתי דרכים קטנות. הראשונה היא באמצעות רמו"ט, הרשות למשפט, טכנולוגיה ומידע. רמו"ט יכולים להוציא הנחיה לגבי חובת יידוע, כפי שהוצע בתקנה 11 להצעת תקנות הגנת הפרטיות (אבטחת מידע) שטרם הגיעו לועדה. גם שם, בהצעת התקנות, מדובר על חובת יידוע חסרה ורק במאגרים מסוג מסוים.

הדרך השניה היא באמצעות דרישה אקטיבית. אותם אזרחים, שבכל מקרה לא איכפת להם מהפרטיות שלהם, יתחילו לדרוש זאת מבעלי המידע. אולי באמצעות שוק משוכלל נוכל להגיע לשם.

9 תגובות ל-“אין חובה לדווח על מאגר מידע שנפרץ. מדוע?

  1. תודה על הפוסט יונתן . אני רק תוהה , יש מצב שחברות דנן נפרצות , נשמעות בטיעון , שפרסום יזיק לחקירה מיידית ומתנהלת לאיתור העבריינים וצמצום נזקים ? אולי זוהי הסיבה ?

    אגב , הצבעות חסויות בועדת שרים לעינייני חקיקה , זה סרט שהם רואים !! זה שהם מחשיבים זאת כך , לא אומר שבפועל , משפטית , כך הדבר , או חוקי הדבר . אם ענין הוא חסוי , המחוקק קובע , או מעניק אפשרות הקביעה , תוך עמידה ביעדי סבירות מתבקשים !! זו לא החלטת ממשלה שרירותית הקובעת זאת !! ואם יש עינינים חסויים בהחלטת ממשלה או ועדה דנן , זה לא מסוג הדברים !! אתה יכול לעיין בסעיף 35 לחוק יסוד הממשלה בנוגע לענין , שם רק על פי צו של הממשלה , ובעינינים סודיים ייתכן הדבר . זה לא יכול להיות גורף לכל החלטה של ועדת השרים לעיניני חקיקה , ובכלל , אפשר לטעון שעל פי דין נדרש הפרסום . תודה

  2. סניף ישראלי של חברה גדולה עם סניפים רבים בארץ ובחו"ל פישל כשבחר לעבוד עם חברה צד-שלישי לא מקצועית בארץ ועקב כך פרטים אישיים של מאות מלקוחותיו נחשפו. באג מטופש שחשף פרטים אישיים של לקוחות ישראלים (לא פרטי כרטיס אשראי, לא מספרי ת"ז ולא סיסמאות, אבל כן שמות מלאים, תאריכי לידה מלאים, כתובות דוא"ל, כתובות מגורים, מספרי טלפון וכד').
    דיווחתי לחברה הגדולה על התקלה באמצעות שליחת הודעה. הדיווח שלי נעשה בשעות הערב והשארתי פרטי יצירת קשר איתי. במהלך הערב משירות הלקוחות שלהם שלחו לי הודעה מזלזלת ולא מקצועית אבל התעקשתי לדבר עם איש טכני. למחרת בבוקר יצר איתי קשר איש מקצוע (לא איש מכירות או תמיכת לקוחות) שביקש יותר פרטים, הבין את חומרת הבעיה, הודה לי והבטיח שיפתור את הבעיה בהקדם האפשרי. ביקשתי שיחזור אליי עם מסקנות.
    כשעה לאחר שיחת הטלפון חזר אליי הנציג ודיווח לי שהם הפסיקו לאלתר את עבודתם עם החברה הלא מקצועית ולא יעבדו איתם יותר בעתיד וכמו כן שהם הורידו לחלוטין את התוכנה שנכתבה עבורם ע"י החברה הלא מקצועית (ובכך, למעשה, פתרו את בעיית זליגת הנתונים). בדקתי ואכן זה המצב.
    אז מבחינתם העניין פתור, אבל יש עכשיו מאות לקוחות שלהם שפרטיהם אולי כבר נחשפו (הפרצה היתה קיימת להערכתי לפחות שבועיים לפני שעליתי עליה ומאז הדיווח שלי ועד לפתרון היה לילה שלם שבו הבעיה היתה קיימת ללא טיפול). כששאלתי אם הם מתכוונים לדווח ללקוחות שפרטיהם נחשפו על כך (לא לכלל הלקוחות, אלא רק לאלו שפרטיהם נחשפו) הנציג אמר לי שמדובר באחוז זניח של לקוחות שפרטיהם דלפו (ואכן מאות הלקוחות האלו מהווים פחות מעשירית האחוז מכלל הלקוחות של החברה). הנציג לא יכול היה להגיד לי אם אני היחיד שנחשף למידע או שהיו עוד אחרים שנחשפו אליו, אבל אמר לי שלאחר הערכת מצב הם החליטו שלא לדווח ללקוחות על הפירצה או על כך שזלגו נתונים.

  3. דיווח של פריצה למאג מידע הוא דיווח מאוד מביך עבור חברות והן לא מעוניינות לפרסם את דבר הפריצה. לכן, אם חוק כזה יהיה קיים, לחברה יהיה אינטרס לא לדעת על דבר הפריצה כדי להמנע מהפרסום.

  4. תודה על התגובה יונתן . לא מבין , לא יידעו ממילא ? הרי האתר נפרץ , ומידע זלג , סביר להניח שמי שעשה זאת , אם הוא לא האקר אידיאולוגי , יעשה במידע שימוש מאטריילי . ברורות הפדיחות , אבל בכל זאת , קצת מוקשה בעיני הדבר . תודה

  5. למה אין לך אפשרות חיפוש בבלוג? זה בסיסי ממש, ועכשיו אני רוצה למצוא פוסט מסויים שלך ואין לי איך לחפש :(

  6. לשקר כלשהוא : אם לא מצאת גם בגוגל , זרוק לי אסוציאטיבית , ואמצא לך הפוסט ( אם יונתן לפני כן , לא ידאג לכך ) תודה

  7. שגיא – למזלך לא שלחו לך את יחידת להב הביתה לביקור פתע בשש בבוקר + חיפוש+ עיקול כל מה שנחשב כמחשב + בילוי בחדר חקירות יום שלם בכפייה

    הרבה פעמים הם עשו את זה לאנשים שדיווחו על באגים

  8. שקר כלשהו – נראה שהחיפוש לא מופיע בתבנית עיצוב, אבל כן עובד אם ניגשים אליו ישירות.

    אתה יכול לבצע חיפוש על ידי כניסה ישירה לכתובת הבאה:

    https://2jk.org/praxis/?s=SEARCH-TERM

    (תחליף SEARCH-TERM במילות החיפוש)

  9. הממ, נראה שעכשיו כן מופיע טופס חיפוש בסיידבר. יכולתי להשבע שלפני רגע לא ראיתי את זה… יכול להיות שבדיוק עכשיו יהונתן הוסיף? או שאני סתם עיוור?

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *