מה ישתנה בנוגע לפרטיות שלנו?

כבכל שנה, גם לפני כשבוע וחצי שאלנו בליל הסדר מה נשתנה הלילה הזה מכל הלילות. היום, אחרי החופשה (למי שהייתה) ועם החזרה לשגרה, זה הזמן לשאול מה צפוי לנו בחודשים הקרובים הבאים עלינו לטובה בכל מה שקשור להגנה על הנכס הכי יקר שלנו – הפרטיות.

המהלך המרכזי, שישפיע על חברות ואנשים רבים בעולם, הוא תקנות הגנת הפרטיות החדשות של האיחוד האירופי, ה-GDPR, שייכנסו לתוקף ב-25 במאי. הן מסמנות מהפך של ממש בשמירה על הפרטיות, שבצדו גם מנופים חזקים. המהלך נוגע במישרין לאזרחי אירופה, אבל יכולות להיות לו השלכות גם למי שיש לו אזרחות של מדינות שנמצאות ביבשות אחרות.

התקנות הללו חלות על כל ארגון שיש לו מערכות מידע ובסיסי נתונים שמכילים מידע אישי על אזרחים אירופיים – לא משנה באיזה נושא, באיזה הקשר והאם הארגון ממוקם באירופה או במקום אחר בעולם. הוא הדין גם לגבי חברות שמפתחות פתרונות טכנולוגיים שבעזרתם יכולים ארגונים לאגור מידע.

בישראל, מעבר לרלוונטיות של התקנות האירופיות, ייכנסו לתוקף ב-8 במאי תקנות של הרשות להגנת הפרטיות במשרד המשפטים. הרשות אינה קושרת באופן ישיר בין התקנות שלה לבין ה-GDPR, אבל הקשר ברור.

התקנות הישראליות עוסקות בהרחבה בדרכים להדק עוד יותר את ההגנה על הפרטיות אצל כל מי שמחזיק במידע עלינו, ובמיוחד הן נועדו למנוע זליגת מידע – מחלה קשה שאזרחי ישראל סובלים ממנה כבר שנים ולא נמצא עדיין החיסון האולטימטיבי שימנע אותה. אלה תקנות שמוסיפות עוד שכבת הגנה על הפרטיות שלנו ומחייבות את הארגונים לשקיפות מלאה על כל פעילות חריגה, כולל במאגרי המידע הרגישים של המגזרים הפיננסי והבריאותי.

ההיערכות לקראת יישום התקנות הישראליות והאירופיות נמצאת על סדר היום של הנהלות ארגונים, מנמ"רים, מנהלי אבטחת מידע, רשויות רגולטוריות ויועצים משפטיים. במגזרים מסוימים האורות דלקו כל הלילה עוד לפני חופשת החג וככל שהמועד מתקרב – הלחץ גובר. מרכז השלטון המקומי כבר פנה לשרת המשפטים, איילת שקד, בבקשה לדחות את יישום התקנות בשנתיים, כי אין סיכוי שהרשויות המקומיות תעמודנה בדרישות, כי הן לא מסוגלות לממש את היבטי כוח האדם שכלולים בתקנות.

כנס Infosec השנתי של אנשים ומחשבים יעסוק בנושא הגנת הפרטיות ובתקנות החדשות, והוא ייערך ב-7 במאי – יום לפני שהתקנות הישראליות ייכנסו לתוקף ו-18 ימים לפני מועד תחולתן של התקנות האירופיות.

האם הענקיות חוזרות בתשובה?

ה-GDPR והתקנות של הרשות להגנת הפרטיות שלנו ייבחנו קודם כל ביכולת שלהן להתמודד עם ענקיות הטכנולוגיה, כגון פייסבוק (Facebook), ששרויה בימים אלה בעיצומו של משבר דליפת המידע על עשרות מיליוני משתמשים ברשת החברתית שלה לקיימברידג' אנליטיקה. כלומר, המשבר עוסק בדיוק בנושא זה.

דבר ידוע הוא שתמורת השימוש חינם ברשתות החברתיות, יש הפרה של הפרטיות שלנו, אבל רק כעת מצליחים רבים בעולם לפענח את מנגנון ההפעלה שלהן. בתמורה לשימוש ולעונג שהוא מספק לנו, ענקיות כמו פייסבוק עושות שימוש נרחב במידע האישי שלנו, שאנחנו מחויבים לאפשר להן לגשת אליו אם אנחנו רוצים להשתמש בשירותים שלהן. עד כמה יש להן חופש? כיום זה נראה בלתי מוגבל, אולם בחודשים הקרובים זה כנראה הולך להשתנות.

מארק צוקרברג, שעומד בראש פייסבוק, עסוק בתקופה האחרונה בהתנצלויות ובחישוב מסלול מחדש. החברה מבטיחה רגולציה עצמית חמורה בכל מה שקשור להגנה על המידע, לרבות מתן כלים שיאפשרו לנו, הגולשים, להחליט טוב יותר על איזה מידע אנחנו מוכנים לוותר ועל איזה לא, מבלי שחוויית השימוש שלנו תיפגע.

פרשת פייסבוק-קיימברידג' אנליטיקה מטלטלת משום שהיא עוסקת באפשרות של התערבות בבחירות – ועוד במעצמה הגדולה בעולם, ארצות הברית. הטכנולוגיה במקרה הזה מקוטלגת כמפלצת מסוכנת, שמהווה איום על כל אחד. אלא שכמו בהרבה מקרים אחרים, הטכנולוגיה יכולה לבוא כאן לעזר. למעשה, היא הדרך להילחם בתופעות הללו, ביחד עם פיקוח הדוק.

מה עם ההסברה?

הדעה הרווחת היא שמעבר לחוקים ולתקנות, יש צורך בהסברה רחבה, בהגברת המודעות אצל כל גולש וגולש, שידע שהמידע האישי שלו הוא רק שלו ושרק הוא יחליט מי יראה אותו. הדבר נכון גם לישראל, שבה רשויות החוק עוקבות מקרוב אחר הפעילות של גוגל (Google), פייסבוק וחברות אחרות. במשרד המשפטים מכינים הצעות חוק ותסריטים שונים שנועדו להגביר את הפיקוח הממשלתי על השימוש במידע של האזרחים.

עוד היבט בהקשר הזה הוא המפרסמים: המציאות החדשה לא תהיה טובה עבורם, שכן הם מתפרנסים מפרסום המבוסס על מידע מאוד רחב עלינו – למשל, מה אנחנו אוהבים ולא אוהבים, עם מי אנחנו מתחברים ומהן הדעות הפוליטיות שלנו. הם בונים על כך קמפיינים ופרסום ממוקד אישית. נראה שיש מפרסמים שיצטרכו לשנות את דרכי הפעולה שלהם, על מנת להתאים את עצמם למצב החדש.

כל אלה קשורים קשר ישיר לאיום אחר, שגם הוא נמצא כאן מזמן: הסייבר. כמעט כל תחום בחיים מאוים כיום על ידי האקרים למיניהם. בסוף השבוע שוב ניסו גורמים עוינים לבצע מתקפות על ישראל, כפי שהם עושים זאת בכל 7 באפריל, במסגרת מבצע OpIsrael#. גם השנה לא היו נזקים רבים, אבל אסור להסיק מכך שהכל בסדר ושאפשר לנוח על זרי הדפנה. כך או כך, המתקפה הזו היא מעין תרגיל חי, שארגונים נערכים אליו בכל שנה, ואם נהיה ציניים לרגע, אפשר לומר שאם הוא לא היה קיים – היו צריכים להמציא אותו.

מתעניינים בנושא? רוצים לשמוע עוד? הירשמו לכנס Infosec של אנשים ומחשבים.