משחקים מסוכנים

השבועות האחרונים סוערים למדי. שערורייה רודפת מחדל, ואלה מואפלים במהרה על ידי הבאים בתור. בתוך כל אלה התבלט בימים האחרונים סיפור הפריצה הגדולה לרשת המשחקים של סוני (Sony), כאשר אלמונים חדרו לרשת פלייסטיישן (PSN) ולאתר המוזיקה של החברה, QRIOCITY. העבריינים השיגו בדרך זו פרטים אישיים של הגולשים, המונים כ-77 מיליון.

סוני הודיעה ביום ב', כי יממה קודם לאירוע האמור התחוללה פריצה נוספת למאגרי הלקוחות של חטיבת משחקים אחרת – כאלה שמופעלים ישירות במחשבים אישיים. באותו המקרה נגנבו פרטיהם של 25 מיליון לקוחות "בלבד". מדובר אמנם ביחידות ארגוניות שונות, אולם הנתונים היו מאוחסנים, כנראה, באותה חוות שרתים. חשיפת נתוניהם של כ-100 מיליון גולשים (!) מהווה שיא מפוקפק חדש, שגם הוא בוודאי יישבר, במוקדם או במאוחר.

בניגוד להיקף הפגיעה, עומקה טרם נודע סופית. ברור כבר כעת, כי פרטים אישיים כגון כתובות דואר אלקטרוני, שמות משתמשים וסיסמאות עשו את דרכם לידי אנשי הזדון. לא מן הנמנע שגם פרטי כרטיסי האשראי של הגיימרים נפלו לידיהם, מה שעלול להזיק עוד יותר. בכל מקרה, האתר שותק למשך כשבועיים ורק בימים הקרובים עשוי לחזור לתפקד בהדרגה, כשהוא מצויד במנגנוני הגנה משופרים לכאורה.
הנזקים הישירים והעקיפים עלולים להרקיע לשיאים שטרם נודעו. תגובת הגולשים הנפגעים עלולה לחרוץ גורלן של הכנסות בהיקפים של מיליארדים. גם הפיצויים, ובעיקר אלה שיכפו על סוני רשויות חוק שונות, עלולים לנסוק. ועדה בקונגרס האמריקני, כמו גם ועדת הסחר הפדרלית של ארצות הברית ונציב המידע של בריטניה, הם רק חלוצי המתערבים בפרשה. שתי תביעות ייצוגיות זריזות שהוגשו בקליפורניה ושתיים בישראל הן רמז בלבד למה שעלול להתרחש.

יש המבקרים את סוני על כך שנדרשו לה כמה ימים להודות בגודל הבעיה. החברה מצידה הסבירה, כי בראשית הדרך היא לא ידעה על עומק החדירה. היא השביתה את האתר, אך מיד כשלמדה שנלקחו גם פרטים אישיים, היא עדכנה את כולם. בכל מקרה, ביום א' הבהירו בכירי סוני שהם נוטלים אחריות למקרה, הבטיחו פיצוי כלשהו ללקוחות והתנצלו. התנהגותם שונה מזו של אפל (Apple), שלה הקדשתי את הטור בשבוע שעבר.

אחריות החברות לסדרת האימים

יש בהחלט מכנה משותף בין מופעי סדרת האימים המגוונת שחווינו בימים האחרונים: איסוף נתוני מיקום בטלפונים של אפל, העברת מידע שנאסף במערכות ההפעלה הטלפוניות שלה ושל גוגל (Google), שיבושים בתפקוד שירותי הענן של אמזון (Amazon) למשך ימים, השבתת מערכת הדואר האלקטרוני של יאהו! (!Yahoo) למשך כמה שעות והפריצה שבה עוסק הטור השבוע. בכל המקרים רלוונטי לדבר על האחריות המוטלת על החברה הטכנולוגית.

משום מה, נדמה שלא לכל הגורמים הרלוונטיים נהיר, כי לחברה המספקת יש אחריות כלפי מי שמשתמש במוצריה ו/או בשירותיה. בהרבה מקרים מדובר בשירותים קריטיים או במידע רגיש, מה שמחמיר את הבעיה. כאשר מדובר בנזקים שחברה אחת גורמת לרעותה, במעשיה או במחדליה, סביר להניח שהעניינים ייושבו בין הצדדים בדרך של הבנה הדדית או תוך הסתייעות במערכות החוק.

אולם הבעיה הרבה יותר סבוכה כאשר מצד אחד ניצבת חברה רב-לאומית ענקית והצד הנפגע הוא האזרח הקטן. במיוחד כשמדובר בפגיעה בצנעת הפרט, שביטוייה הכמותיים לא בהכרח ברורים. לשם כך קיימים המחוקק ומוסדות אכיפת החוק. בישראל נחקק עוד בשנת 1981 חוק הגנת הפרטיות. כחמש שנים לאחר מכן נקבעו תקנות בנושא, שבין היתר עוסקות בהחזקת מידע ובשמירה עליו.

החוק בארץ מטיל אחריות פלילית על הבעלים, המחזיקים והמנהלים של מאגרי מידע הכוללים מידע על אנשים. האחריות נוגעת, בין היתר, להגנה על המאגרים, מתוך כוונה למנוע את הפיכת התכנים שבהם לנחלת הכלל או את הגעתם לידיים לא מורשות. על הנושא כולו מופקדת הרשות למשפט, טכנולוגיה ומדע (רמו"ט) במשרד המשפטים, שכוללת גם את רשם מאגרי המידע. מעשי ומחדלי זרוע זו כבר כיכבו בטור זה יותר מפעם אחת.

פריצות למאגרי מידע אירעו בישראל ו-ודאי יתרחשו גם בעתיד. אין סיבה שלא לחשוש מחדירה לא מורשית למאגרים רחבי היקף, כמו אלה שקיימים בכל בנק, עירייה, חברת ביטוח, בית חולים או חברת השקעות. לדעתי, אין בחוק ובתקנות, אף שהם מאפשרים להגיש כתבי אישום פליליים, תביעות כספיות וקנסות מנהליים, תשתית מספיק טובה בכדי להכריע בצורה חדה במקרה של טענות למחדלי אבטחה.

במקרה שלפנינו, סוני לא הצפינה את בסיס הנתונים שלה. לו היה הדבר מתרחש בארץ, האם ניתן היה לתבוע אותה? משרד המשפטים צייד את הזרוע האמורה באמצעים דלים. יש צורך בהנחיות ברורות, הדרכה, ביקורות ופעולות אכיפה, בכדי שהכוונות הטובות יהפכו למעשים. אחרת תמשיך מערכת זו להיות ריקה כמעט מתוכן ולא למלא את ייעודה: הגנת הפרטיות של האזרחים, שחשיבותה עולה עם פריחתה של טכנולוגית המידע.