מה לימדה אותנו שנת 2020 על הגנת הפרטיות

בקצרה

שנת 2020 הייתה שנה מטורפת בכל קנה מידה ובכל תחום בחיים. הדבר לא פסח כמובן גם על עולם הגנת הפרטיות. לכבוד יום הגנת הפרטיות הבינלאומי החל ב-28 בינואר, ריכזתי עבורכם מספר סוגיות ומגמות מרכזיות שתפסו מקום בשיח הפרטי, העסקי והלאומי בשנה האחרונה, תוך דיון על משמעויותיהן והאופן בו ישפיעו עלינו גם בשנים הקרובות. 

 

כוח להמונים

לא פעם אני שומע אנשים האומרים: "מי אנחנו האזרחים הקטנים אל מול תאגידי הענק הבינלאומיים? הפרטיות שלנו נלקחה מאתנו ואין דרך חזרה". ציון דרך משמעותי בהפרחת התיאוריה הזו הינו סיפור המקרה של מדיניות הפרטיות של WhatsApp  שכיכב בכותרות אך לאחרונה.

WhatsApp שנרכשה ב-2014 על ידי פייסבוק, הודיעה בתחילת החודש כי היא מתכוונת להעביר אליה מידע פרטי של המשתמשים. לא מדובר על תוכן השיחות עצמן, שכן הן מוצפנות, אלא במידע על השיחות – עם מי דיברנו, מתי, איפה היינו וכדומה. החברה הודיע שמי שהדבר לא מוצא חן בעניו ולא ייתן הסכמתו לתנאי השימוש החדשים, לא יוכל להשתמש ביישום.

אך במקום להיכנע לגזרה החדשה, נהרו המוני משתמשים ליישומים מתחרים, כגון טלגרם וסיגנל, ופייסבוק מצדה נסוגה לאחור באמרה שלא תחל את המדיניות כעת, אלא רק במאי 2021.

זהו ניצחון במערכה, עדיין לא בקרב, אבל זהו ניצחון גדול. אם אתם מאמינים במשהו – השמיעו את קולכם!

ניצול הרע כדי לעשות רע

השנה האחרונה התאפיינה באווירה של חוסר וודאות,  פחד, חרדות בריאותיות, כלכליות ונפשיות אשר היוו כר פעולה פורה לחורשי רעה. נחשפנו השנה למגמה בולטת של ניצול "ההיסטריה הציבורית" לפגיעה בפרטיות שלנו באמצעות פיתיונות לגלישה באתרים המתחזים לאתרי רפואה, התייחסות להודעות שמגיעות לכאורה מגופי בריאות לגיטימיים, שיתופי מידע שבימים כתיקונם היינו חושבים פעמיים אם לשתפו ועוד. אמצעים אלה ואחרים שימשו נתיב כניסה ישיר עבור אותם גורמים עוינים להדבקה בווירוסים וירטואליים ולחדירה למערכות הפרטיות שלנו ולאלה של הארגונים בהם אנחנו עובדים.

זה לא נגמר רק בהתקפות דרך הרשת. רעה חולה נוספת שהתגברה בתקופה זו, הייתה תופעת ה "וישינג" ((Vishing – שיחות טלפון שעובדות על אותו עיקרון – ניצול המצב כדי לדלות נתונים פרטיים שלנו ו/או של הארגון בו אנו עובדים.

כל מה שנדרש במקרים שכאלה, הוא לעצור רגע ולשאול את עצמנו על מהימנות הפנייה, האם אנו בטוחים כי מי שיצר אתנו קשר הוא הגוף האמתי והאם הסיפור שלו "עושה שכל". אל תתביישו לטרוק את הטלפון.

הגנה יעילה מתחילה מהפרטים הקטנים

בשנה האחרונה התרחשו מספר לא מבוטל של אירועים בהם כמות אדירה של מידע פרטי נחשפה בשל טעויות תפעוליות בסיסיות. הדבר בא לידי ביטוי במיוחד בסביבת הענן, שקצב המעבר אליו גדל באופן אקספוננציאלי בשנה זו.

אם מעצמות העל יחליטו להתקיף את הארגון שלכם, הן עלולות להצליח לחדור אליו גם אם השקעתם רבות באבטחתו. אבל חשוב להבין שרוב רובן של התקיפות מתחילות בשגיאות תפעוליות שאינן מטופלות. חלק ניכר מהן קשורות להגנה בסיסית של שירותים בענן.

דוגמא מהימים האחרונים: חברת ניהול הנתונים הסינית SocialArks מגדירה את עצמה כ "חברת ניהול מדיה חברתית חוצת גבולות הפותרת את הבעיות של בניית מותג, שיווק וניהול לקוחות". החברה הפכה לאחרונה למטרה של פשיעת סייבר כאשר דלפו פרטים אישיים וציבוריים של למעלה מ-214 מיליון משתמשי פלטפורמות מדיה חברתית, כולל משתמשי פייסבוק, אינסטגרם ולינקדאין, ביניהם ידוענים. החברה עושה שימוש בשרת Elastic Search לניתוח ושמירת הנתונים. שרת זה נחשף לאינטרנט ללא כל אבטחה, הצפנה או סיסמאות. הכל פתוח. כל נתוני המשתמשים שהיו באותו שרת נשלפו, כולל מספרי טלפון, כתובות דוא"ל, פוסטים ותמונות פרטיות, ובנוסף הצלבת נתונים מפרופילים ברשתות נוספות ומידע אחר שאינו ציבורי, אודות המשתמשים.

בענן, כמו גם בכל מערכת מידע אחרת, חשוב להבין את מנגנוני האבטחה ולעשות בהם שימוש נכון. זה כולל, בין היתר, שימוש בהזדהות חזקה (למשל סיסמה וקוד בטלפון), הצפנה של המידע והגבלת הגישה למידע למורשים בלבד.

איזון עדין - פרטיות מול טובת הציבור

במהלך השנה החולפת עלו לא מעט לבטים, בארץ ובעולם לגבי השאלה עד כמה נכון לוותר על הפרטיות על מנת לשמור על הציבור. יתרה מזאת - כיצד ניתן לוודא שהוויתור על הפרטיות לא יהפוך להיות מובן מאליו ויעשה בו שימוש למטרות שאינן ממוקדות רק במטרה זו?

סוגיה מהותית בהקשר זה מתחברת לחקירות האפידמיולוגיות והכלים המיוחדים בהם נעשה שימוש במדינת ישראל.  הדיון באיזון בין יעילות כלים אלה אל מול הפגיעה המובנית בפרטיות מלווה אותנו לאורך כל הדרך. תוך כדי הדיון על נושא זה, שמענו רעיונות כגון "אם כבר יש לנו את המידע על האזרחים, בואו ננצל אותו למטרות נוספות" – למשל, לטובת חקירות של משטרת ישראל.

לא אביע כאן דעה נחרצת, רק אומר שברגע שגולשים במדרון חלקלק, קשה מאוד לחזור לדרך המלך.

לסיכום:

על מנת להמשיך לחיות במרחב הדיגיטלי תוך הגנה על הפרטיות שלנו בבית, בעבודה ובמדינה, אני מציע  להתייחס לנקודות הבאות:

  1. אל תגידו שאין לכם השפעה על הגנת המידע הפרטי שלכם. לכל אחד ואחת מאתנו יש את הכוח להשפיע בנושא, גם על תאגידי הענק הגדולים בעולם.
     
  2. מומלץ תמיד ובכל מצב, רגיש ככל שיהיה,  לחשוב היטב לפני חשיפת המידע הפרטי שלנו.
     
  3. לפני שאתם עושים שימוש או מציעים שירות המבוסס על מערכת מידע, וודאו כי אתם מיישמים כראוי את מנגנוני הגנת הפרטיות המוצעים על ידי מערכת זו.
     
  4. אני קורא למקבלי ההחלטות ברמה הלאומית לפעול בשיקול דעת בעת שהם אוספים מידע אישי על האזרחים ולוודא שאיסוף המידע מתבצע רק על בסיס צורך חיוני.

 

שנת פרטיות מוצלחת,

גלעד.