"זו זכות יסוד של כל אחד מאיתנו להגן על המידע שלו"

"לפני כשנה נערכה בדיקה ברשות המסים שחשפה שלמעלה מ-50 עובדים, חלקם בכירים, ביצעו שאילתות לא מורשות. זו מדינה קטנה וכל אחד רוצה לברר משהו על השכן שלו, וזה עלול לשמש לסחיטות או לקבלת לקבל טובות הנאה", כך אמרה ח"כ תמר זנדברג, יוזמת הדיון בישיבת ועדת המדע והטכנולוגיה של הכנסת שנערכה אתמול (ג').

לדבריה, "נושא הפרטיות של האזרחים הולך ותופס מקום – זכות יסוד של כל אחד מאיתנו להגן על המידע שלנו, כולל כזה שאנחנו נותנים באופן וולנטרי לשימוש מסוים. האחריות היא על מי שמאגר המידע נמצא בידיו".

"לגופי הממשלה יש מידע רב מאוד ורגיש ביותר על אזרחים. במקרה שנחשף היה מדובר על עובדים בכירים שהיית מצפה שישתמשו בסמכות הרחבה שלהם על מנת שתהיה להם תמונה כוללת ושיקול דעת רחב".

האם מישהו באמת ומפקח?

יו"ר ועדת המדע, ח"כ אורי מקלב, אמר כי "בכל משרדי הממשלה פועלים מאגרי מידע, וגם אם בחלק מהמקרים הדברים נעשים על פי דין – קיים באופן מעשי שימוש ומסחר במידע לצרכים מסחריים וכלכליים".

רק בשבוע שעבר, אמר, "דיברנו על נתינת מידע על חולים כרוניים סיעודיים שהולכים להשתחרר. היה גם מקרה של שימוש ברשימת ניצולי שואה על ידי מפלגה בכנסת (יש עתיד). כיצד נדע האם עובדים שיש להם הרשאה להיכנס למאגרי המידע שולפים רק את המידע לו הם זקוקים? האם הכללים מותאמים להתפתחויות והאם מישהו באמת ומפקח"?

ח"כ אורי מקלב, יו"ר ועדת המדע והטכנולוגיה. צילום: מתוך ויקיפדיה

לדברי עו"ד לימור שמרלינג מגזניק, מנהלת תחום ממשל ברמו"ט, "שימוש במידע לצרכים לא נכונים זו עבירה פלילית. כל גוף ציבורי חייב במינוי ממונה אבטחת מידע. מותר להשתמש במידע רק לטובת השירות לאזרחים. יש אפשרות להעביר מידע בין גופים ציבוריים אחרי אישור, כדי לאפשר הקלה של השירות".

"במאי, הכנסת אימצה יוזמה של הממשלה – תקנות אבטחת מידע חדשות תחת חוק הגנות הפרטיות, ושם כבר יש חובות יותר מפורטות ומעודכנות מה צריך לעשות כל גוף שמחזיק מידע אישי", אמרה שמרלינג מגזניק.

"לכל ארגון יש נוהל כתוב מה מותר לעשות ומה אסור. הארגון צריך להעביר הדרכות. צריכה להיות פעילות זיהוי ואימות גישות למידע כך שנוכל לדעת שלרשומה ניגש עובד מסוים וניתן לבדוק האם הוא היה רשאי לגשת למידע או לא. אפשר לראות אם יש פעילות חריגה, למשל אם עובד מוציא כמות מידע לא פרופורציונלית יכולים לזהות את זה".

חובה לעשות סקרי סיכונים

"יש גם חובה לעשות בדיקות מהימנות לעובדים, בעיקר לעובדים בכירים, אבל גם על כל העובדים שיש להם נגישות למידע. יש חובה לעשות סקרי סיכונים פעם ב-18 חודש".

לדברי עו"ד שמרלינג-מגזני, החובה לדווח על שימוש בצורה לא כשורה במאגרי מידע לאגף מאגרי מידע ברמו"ט, תיכנס לתוקף במאי 2018.

רפאל פרנקו, ראש אגף בכיר לאסדרה והכשרה ברשות הלאומית להגנת הסייבר, משרד ראש הממשלה. צילום: ניב קנטור

רפאל פרנקו, ראש אגף בכיר ברשות הלאומית להגנת הסייבר, אמר כי "כל ארגון במדינה, שהוא רשות מדינה קריטית חייב להעביר בדיקת מהימנות לעובדים שלו".

"כל השאר – כל מי שלא מוגדר כארגון תמ"ק עדיין – לא ניתן להטיל עליו סיווג בטחוני לפי הוראות שירות המדינה, ולכן בוחרים בכמה מעגלי אבטחה, החל משלבי קליטתו במחלקת משאבי האנוש, זיהוי כניסה להוצאת מידע רגיש, אבטחת כניסה כפולה כדי שלא יהיה ניתן להיכנס לבצע שאילתות כאשר העובד יצא מהחדר, וכן הפרדת הרשאות לפי התחומים שלהם הוסמך העובד".

לדבריו אורן בן שבת, מנהל אגף בכיר חירום בטחון למידע וסייבר ברשות המסים, "הייתי בין צוות החוקרים באירוע שח"כ זנדברג תיארה. נושא השמירה על המידע ברשות המסים מורכב מכמה רבדים".

"הרובד הראשון הוא כמובן הרובד המשפטי, כל המסגרת החוקית – חוק הגנת הפרטיות, חוק המחשבים וחוקי המסים שמטילים סודיות על שימוש במידע, התקשי"ר וכמובן מתחת לכל זה נוהלי עבודה שנובעים ממדיניות אבטחת מידע של רשות המסים, וכל אלה מוטמעים דרך סדרה שלמה של כלים בשלושה רבדים: רובד טכנולוגי, רובד נוהלי ורובד אכיפתי – טיפול באירוע".

שאילתות על ישויות שאסור היה לבצע

"הבקרה העלתה מבחינתנו כמות לא קטנה של עובדים שנכנסו בתוך המסגרת המותרת להם לצורך העבודה לישויות וביצעו שאילתות על ישויות שאסור היה להם לבצע", אמר בן שבת.

"באותה עת טרם הטמענו מערכת מובנית טכנולוגית. היינו בתהליך הטמעה של מערכת ניטור ובקרה, כאשר הבקרה עוד לא פעלה. הבקרה העלתה שאכן היו פעולות שאנחנו אוסרים לבצע. כל עובד עובר הדרכה גם בכתוב וגם פרונטלית לפחות אחת לשנה ושם מודגש בין היתר שהשימוש במאגרי המידע נעשה לצרכי עבודה בלבד. כל אלו שפעלו לא כמו שצריך – נחקרו."

עידו תלמי, מנהל הגנת המידע והאבטחה על פרטיות ברשות האוכלוסין, אמר כי רשות האוכלוסין מבצעת את הפעילות להגנת הפרטיות במעגלי אבטחה.

"מאז כניסתי לתפקיד ב-2013 חקרתי מקרים של שליפת מידע שלא לצורך. מתוך כ-12 מקרים, שלושה הסתיימו בעמידה לדין משמעתי, ועובדת אחת נאלצה לעבור למשרד ממשלתי אחר".

"לכל עובד יש פרופיל. כשעובד מגיע לארגון הוא מקבל פרופיל של התפקיד שמתאים לו ואם הוא צריך מידע נוסף מעבר לתפקידו, יש פניה של המנהל שלו לקבלת מידע נוסף".

עו"ד יהונתן קלינגר, היועץ המשפטי של התנועה לזכויות דיגיטליות. צילום: גלעד אילוז

עו"ד יהונתן קלינגר, היועץ המשפטי של התנועה לזכויות דיגיטליות, אמר כי "שליפת מידע לא מורשה על ידי  עובדי מדינה היא העבירה השניה בתפוצתה אחרי דיווח לא נכון על נוכחות. הטיפול צריך להיות ברמת הקונפיגורציה.

כשהמדינה מחזיקה כל כך הרבה מידע, עליה לדאוג לטכנולוגיה. לסמוך על העובדים זה יפה עד שהם נתפסים. לשמוע על 12 אנשים ברשות המסים שנתפסו, וקיבלו נזיפות ואחת עברה משרד  – אלו עבירות פליליות".