תג

יום שלישי, אוקטובר 10

כשלי אבטחה וכשלי אכיפה

מאת מיכאל בירנהק

השבוע דווחו שני כשלי אבטחה של אתרים ישראליים שגרמו לחשיפת פרטיהם של מועמדים לעבודה בתעשייה האווירית ופרטים של מזמיני טיסות בארקיע. התקלות תוקנו. אבל, כמה פרטים אישיים שלנו מסתובבים שם בחוץ? הכשלים באבטחת המידע אינם רק תקלה טכנית. הם פוגעים בפרטיות שלנו.

חוק הגנת הפרטיות, התשמ"א-1981 קובע זכות לפרטיות בסעיף 1, קובע כי הפרת חובת סודיות שנקבע בדין או בהסכם היא פגיעה בפרטיות (סעיפים 2(7), 2(8)), וקובעים ששימוש בידיעה על ענייניו הפרטיים של אדם שלא למטרה שלשמה נמסרה, היא פגיעה בפרטיות (סעי 2(9), ולסיום, שפרסום מידע על עניין הנוגע לצנעת חייו האישיים של אדם גם הוא פוגע בפרטיות (סעיף 2(10)). בעל מאגר מידע (כהגדרתו בסעיף 7) אחראי לאבטחת המידע (סעיף 17), מונח שמוגדר בין היתר (סעיף 7) כהגנה על המידע מפני חשיפה. למרות בקשות של בעלי מאגרים להנחיה מפורטת החוק לא מפרט, ובצדק. קצב השינויים באבטחת המידע, אינו מאפשר הגדרה מדויקת. החוק בחר בדרך של סטנדרט עמום, ולא כלל ודאי. לבחירה כזו יש מחיר של חוסר וודאות, ויתרון של גמישות. במקרה כזה, בתי המשפט יקבעו בדיעבד מהי רמת אבטחת המידע הנדרשת, ויש להניח שהסטנדרט שייבחר יהיה של סבירות: האם האתרים נקטו אמצעים סבירים או לא? את רמת הסבירות יש לבחון לפי עדויות מומחים, אם כי במקרים מסוימים, למשל כאשר מידע על רכישות של לקוחות נגיד לכל דיכפין ברשת, ולא רק להאקרים, כי משהו השתבש. הנטל על בעל המאגר שכשל להוכיח שנקט אמצעים אבטחה סבירים ומספיקים יהיה גבוה למדיי במקרה כזה.

חוק הגנת הפרטיות מאפשר למי שנפגע לתבוע, אבל, נו, שיהיה בהצלחה. קשה לקבוע מה אם האתרים נהגו כשורה, מה הנזק שנגרם לכל נפגע, וכיצד בכלל לכמתו. בנוסף, לתביעה יש עלויות משל עצמה. התוצאה היא שכשל האבטחה גורר כשל אכיפה.

פתרון אחד כבר בדרך – הצעת חוק מצוינת של משרד המשפטים לתיקון חוק הגנת הפרטיות (שמונחת על שולחן הכנסת), שמציעה לקבוע פיצוי ללא הוכחת נזק. אבל צריך עוד. הפרת אבטחת מידע זועקת לתביעה ייצוגית: תביעות ייצוגיות מתאימות במיוחד למצב שבו יש הרבה נפגעים, אבל הנזק של כל אחד מהם קטן. התובע הייצוגי תובע בשם כולם. חוק תובענות ייצוגיות, תשס"ו-2006 מאפשר להגיש תביעה ייצוגית רק במקרים שהחוק מפרט. אחד מהם הוא בתביעה בין עסק ללקוח. זה מתאים למקרים כמו זה של ארקיע. אבל המקרה של התעשייה האווירית לא מתאים לשום חלופה בחוק הקיים. כותב שורות אלה הציע באינספור מקומות לתקן את החוק ולאפשר הגשת תביעה ייצוגית במקרה של פגיעה בפרטיות.

הנה תסריט אפשרי: Ynet מדווחים בערב על דליפת מידע. למחרת בשמונה בבוקר, חמישה עורכי דין רבים בכניסה לבית המשפט מי הראשון להגיש את התביעה הייצוגית. בשמונה וחצי, Ynet מדווחים על הגשת התביעה. בתשע, המנכ"לית מגיעה למשרד, קוראת את הידיעה, ומיד מתקשרת לאחראי אבטחת המידע בחברה: "בדוק בבקשה את אבטחת המידע אצלנו, שלא יקרה לנו מה שקרה להם". בתשע ועשרה, רמת אבטחת המידע באותו ארגון – ובכל אלה שבהם יש מאגרי מידע - תעלה בכמה דרגות. ועדה במשרד המשפטים (גילוי נאות: אני חבר בוועדה) בחנה את האפשרות להוסיף אפשרות של תביעה ייצוגית, ואמורה לפרסם את המלצותיה בחודשים הקרובים.

אמנם, התביעות הייצוגיות כמוסד משפטי שנויות במחלוקת. נדמה לי שהתסריט שתואר כאן יאפשר אכיפה מצוינת, רק מכוח ההרתעה של התביעה הייצוגית.

* גירסה מעט יותר עממית של הטקסט הזה פורסמה גם בבלוג מרושתים של Ynet, 10.10.06.

12 תגובות:

Anonymous דב כתב/ה:

הי מיכאל... לא אהבתי את הצעת החוק של פיצויים ללא צורך בהוכחת נזק - במקרה של פגיעה בפרטיות.

למה? בגלל אפקט הצינון.

נניח שיקבע פיצוי בסך 20 אלף ש"ח.

אם יתבעו אתר גדול כמו ואינט, אז בסדר הוא ישרוד את זה ובטח יש לו ביטוח מתאים.

אבל אם יתבעו אתר קטן, של אדם פרטי, כמוני, אז אצטרך לפשוט את הרגל. והרבה אנשים פשוט יפסיקו לנהל ויסגרו את אתרי האינטרנט שלהם. נהייה עדים לאפקט צינון של חופש הביטוי באינטרנט, והכל מחשש שכל כשל אבטחה יגרום לנו לאבד עשרים אלף ש"ח כפול מספר הגולשים שפרטיהם נחשפו.

אני מציע במקום זה, להיצמד לפס"ד מזרחי ולהעביר את החובה לבדוק את סידורי האבטחה של אתרי אינטרנט אל הגולשים.

חובתנו כגולשים - לבדוק בעצמנו לאיזה אתר אנו מוכנים לקחת את הסיכון ולמסור פרטים אישיים ולאיזה לא.
בשיטה זאת לא נגרם אפקט צינון של חופש הביטוי, ולפחות לפי פס"ד מזרחי - הדבר יתרום לעלייה ברמת האבטחה של כלל אתרי האינטרנט.

נ"ב - בהסתמך על פסק דין מזרחי - הרשתי לעצמי לבדוק את סידורי האבטחה של אתר האינטרנט של בית המשפט. הזדעזעתי למצוא שם כשל אבטחה שבגינו בית המשפט צריך, לשיטת הצעת החוק, לשלם פיצויים מוסכמים כמעט לכל אזרחי מדינת ישראל.

הכוונה לכשל אבטחה שגורם לחשיפת פרטיהם האישיים של כל המתדיינים בפני בית המשפט. לרבות כתובת, מספר תעודת זהות ועוד נתונים שאינם חוסים תחת עיקרון פומביות הדיון וניתן לחשוף אותם בקלות רבה באמצעות מניפולציה פשוטה של מערכת אבטחת המידע באתר בתי המשפט.

10/10/06 20:18  
Anonymous אנונימי כתב/ה:

נניח, סתם נניח שאני האקר, ולא סתם האקר, אלא האקר שחסר לו כסף - ולכן אני רוצה שתתקבל הצעת החוק הקובעת - פיצויים קבועים מראש וללא צורך בהוכחת נזק, במקרה של פגיעה בפרטיות.

בעזרת הצעת החוק החדשה, אוכל להרוויח קצת/הרבה כסף. איך? אכנס לאתר אינטרנט ואמסור את פרטי האישיים. לאחר מכן, אנחנו מניחים שאני האקר, אז אפרוץ לאותו אתר, אחשוף את פרטי האישיים ואת פרטי גולשים נוספים, ואפנה לבית המשפט כדי לקבל את ההמחאה על סך הפיצוי הקבוע מראש. אחזור על מעשי פעמיים שלוש בשנה - ואיזה כיף - לא צריך לעבוד לעולם.

11/10/06 13:38  
Anonymous אנונימי כתב/ה:

שכחתי גם נושא של חיסול עסקים מתחרים.

אם תתקבל הצעת החוק, איזה קל יהיה לחסל את המתחרים העסקיים שלנו.

הכי פשוט בעולם, נשכור שרותיו של האקר, שיחשוף ויפיץ אץ מאגר המידע של המתחרים.

מן הסתם, המתחרים יפשטו את הרגל משום שיאלצו לשלם פיצויים קבועים מראש לכל הגולשים שפרטיהם נחשפו.

11/10/06 13:47  
Anonymous סוג של אנלייזר כתב/ה:

לאנונימוס, מה שאתה מציע הוא הפרה של חוק המחשבים. בית משפט יצטרך לקבוע אם אמצעי האבטחה היו סבירים או לא, ואם צריך פעולה של האקר כדי לפרוץ לאתר, כנראה שאמצעי האבטחה היו סבירים

11/10/06 14:16  
Anonymous אנונימי כתב/ה:

לאנלייזר... אני חולק עליך.

בתי המשפט עובדים לפי שיטת התקדים המשפטי, שיטה שאינה עומדת בקצב התפתחות הטכנולוגיות הרלוונטיות.

אז... יקבע תקדים שצריך אבטחה סבירה ככה וככה, יעברו השנים, הטכנולוגיות ישתכללו, והתקדים המשפטי יישאר בעינו - וימשיך להתבסס על טכנולוגיה מיושנת.

לא נראה לי שנוכל כל שנה שנתיים, על פי קצב התפתחות הטכנולוגיה, לפנות לבית המשפט בבקשה שיקבע מחדש את רמת האבטחה הסבירה של אתר אינטרנט.

11/10/06 14:24  
Anonymous דב כתב/ה:

לסוג של אנלייזר... תודה רבה, דבריך עוזרים לי להמחיש את אפקט הצינון שדברתי עליו לעי"ל.

לשיטתך בית המשפט יקבע את רמת האבטחה הנדרשת מאתר אינטרנט, כדי שלא יהיה חשוף לתביעות בגין פגיעה בפרטיות.

רק לצורך המחשה - נניח שבית המשפט יקבע רמת אבטחה שעלותה מאה דולר, או עשר דולר, או דולר אחד - זה לא משנה - המשמעות היא שזה לא יהיה יותר חינם להפעיל אתר אינטרנט.

הבלוג הזה לדוגמה, הוא אתר אינטרנט המופעל חינם, והוא אוסף פרטים, אישיים יותר או פחות, על הגולשים בו. מה יקרה אם בית המשפט יקבע שאתר זה צריך רמת אבטחה שעלותה מאה דולר?! סביר להניח שהאתר יסגר - כמה חבל, אבל האוניברסיטה לא תוציא על האתר הזה אפילו דולר אחד. במחשבה שנייה - אולי היום כן, אחרי שניתן לראות מה הבלוג הזה שווה, אבל בטח ובטח שאם ההוצאה הכספית הייתה נדרשת בראשית הדרך - בלוג המרצים למשפטים לא היה עולה לאויר .

המסקנה היא שאם תתקבל הצעת החוק, ואם בתי המשפט יקבעו את רמת האבטחה הנדרשת מאתר אינטרנט... אז... למי שיש כסף לאבטחה... סבבה... הוא ימשיך להפעיל את אתר האינטרנט ויהנה מחופש הביטוי שלו. הוא גם יוכל לנסות להתפרנס באמצעות אתר האינטרנט שלו - כלומר יש פה גם אלמנט של חופש העיסוק.

אבל... למי שאין כסף לאבטחה... בעסה... הוא יהיה חשוף לתביעות, לתעלולים של אנונימוס, ולחיסול על ידי מתחרים עסקיים - ולכן יעדיף שלא להקים את אתרי האינטרנט שחשב עליהם, או לסגור את האתרים שהוא כבר מפעיל.

בגדול... יהיו אתרי אינטרנט שיסגרו, יהיו אתרים שבכלל לא יפתחו - יהיו פחות אתרים באינטרנט - וזהו אפקט הצינון של חופש הביטוי שאני מדבר עליו... אבל, כפי שניתן לראות לעיל, יהיה גם אפקט צינון של חופש העיסוק.

יוצא שלדעתי... עדיף שנוותר על הצעת החוק הנ"ל. או שלפחות נחכה עד שקודם ינסו את זה שנתיים/שלוש במדינה אחרת.

15/10/06 00:48  
Anonymous ניצן כתב/ה:

נדמה לי שיש פה איזה אי-דיוק. תקנו אותי אם אני טועה..

ההסדרים שיוצרת ההצעה לתיקון החוק לא נוגעים בכלל לאתרים קטנים, "בוטיקיים", אלא לאתרים של תאגידים גדולים, שעובדים עם מאגרי מידע, שיש לו פוטנציאל לדלוף ולהוות ,אגב כך, פגיעה בפרטיות.
לא הרי אתר של בנק מסחרי, חיפוש עבודה או קניות מקוונות כהרי פורום הפונה לחובבי אדריכלות גותית, בניית דגמי מטוסים ממלחמת העולם השנייה או כזה העוסק בספרות יפה בישראל. אתר קטן לא מחזיק במספרי תעודת הזהות, כתובת המגורים המדויקת, פרטי כרטיס האשראי שלנו, או פרטים רגישים דומים.
אם למי מאיתנו יש אתר-מחמד שלא מכיל פרטים רגישים כאלו, אין ממה לחשוש, כי הפגיעה בפרטיות, אם תהיה כזו [בדומה למקרה בורוכוב], היא מינורית, כזו שהאחריות למניעתה מוטלת על כתפי הגולשים. לשון אחר; כל עוד אתה לא מנהל מאגר מידע [לפי ההסדרים הקבועים בעניין מאגרי מידע בחוק הגנת הפרטיות], אין ממה לחשוש מתביעות. המנגנון הזה נועד למנוע נזקים עתידיים ולתקן אותם במקרה בו כבר נגרמו כאלו לפלוני מצד גוף המנהל מאגר מידע מקוון.
אני רק תוהה לגבי ההסדר של תביעה ייצוגית. "תוהה", מכיוון שאני לא יודע אם אתר, גדול ככל שיהא, יכול לשאת בנטל של תביעה כזו. כל עוד המדובר בפרטים בודדים, ייתכן וזה נסבל, אולי רק "מדגדג". זאת ועוד; בל נשכח, רמת אבטחה גבוהה עולה המון כסף. זה חייב להתגלגל, לפחות חלקית, על הגולשים. יכול להיות שיש פה פגיעה ביעילות ו/או הרתעת-יתר? לי אין תשובה לכך, אבל אולי יש מי שיודע להביא פה דוגמה ו/או הסבר שיניחו את דעתי בעניין.
מיכאל, מהם ההסדרים הקיימים בעניין בחו"ל?

15/10/06 18:12  
Blogger מיכאל בירנהק כתב/ה:

לניצן ודב,

באירופה יש הגנה חזקה על מידע שבמאגרי מידע, לפחות על הנייר. בארה"ב, כל הקטיגוריה של פרטיות במידע חלשה יותר, אבל יש שם הסדר מעניין במדינות רבות, של חובת פרסום: אם מאגר מידע נפרץ/דלך מידע, בעל המאגר מחויב, בנסיבות מסוימות, לפרסם הודעה לציבור על הדליפה. זה נועד להרתעה.

באשר לנקודה האחרת שגם דוב העלה בגירסה מעט שונה - אם חברה לא יכולה לשמור על הפרטיות, וזה יגרום לה נזק כספי גדול, אז אדרבה, שלא תפעל. אבטחה עולה כסף, ואין ספק שהוא יגולגל על הלקוחות, אבל הם לפחות יקבלו תמורה לכספם. כמה כסף? איני רואה מניעה להחיל עקרונות כללים של דיני הנזיקין בדבר מונע הנזק הזול וכו'. ומי שלא מסוגל לכבות שריפות, שלא ישחק עם גפרורים!

15/10/06 18:27  
Anonymous דב כתב/ה:

לניצן... אני חושב שאתה טועה, אבל לא מן הנמנע שאני טועה.

בכל אופן... נניח שידלוף מהקאונטר של הבלוג הזה מידע שיחשוף את זהותך האמיתית - זוהי פגיעה בפרטיות ולפי הצעת החוק החדשה הבלוג הזה יאלץ לשלם לך 50 אלף ש"ח.

למה פגיעה בפרטיות? כי המקרה הנ"ל יפול תחת הגדרת מידע רגיש,
בסעיף 7.2.1 של חוק הגנת הפרטיות, ופרטיותך תיפגע משום שכולנו נוכל ללמוד מי אתה באמת, ונוכל לקשר בין מי שאתה באמת ובין הדעות והאמונות שהבעת בבלוג זה.

אני מתאר לעצמי שתרגיש שפרטיותך נפגעה במקרה המתואר לעיל, ולו רק מן הטעם שהקפדת שלא לחשוף את עצמך הפרטי בשם מלא, ובקשת לנתק בין האני הפרטי והדעות והאמונות שהבעת.

גם אני, כתבתי בבלוג הזה כמה דברים נוספים שלא תחת שמי, אלא תחת שם אנונימי. למה עשיתי את זה - כי לא רציתי שהדברים שכתבתי יתקשרו באופן אישי אלי. אם זהותי תיחשף ככותב אותם דברים, לבטח ארגיש שפרטיותי נפגעה.

יוצא איפה, שבניגוד לדבריך, לא רק אתרים של תאגידים גדולים יהיו חשופים לתביעה בגין פגיעה בפרטיות, אלא גם אתרים קטנים כמו הבלוג הזה.

בכל מקרה, האמור לעיל הוא דעתי האישית בלבד, ואני גם מבין מהתגובה של מיכאל שאני בדעת מיעוט.

15/10/06 19:36  
Anonymous ניצן כתב/ה:

לדב
הצעת החוק מנסה להתמודד עם עניינים קצת יותר רציניים, או ככה אני מבין את זה.
נניח וישנה פגיעה בפרטיות [נאמר, פרסמתי פה משהו כאנונימי ועקב תקלה זה עלה תחת שם המשתמש שלי]. מה כבר ייחשף לעין כל? האי מייל שלי? "מערך האמונות" שלי? בחייך. פגיעה שאין בה ממש לא מקימה זכות לתביעה [ס' 6 לחוק]. קדחת ישלמו לי. אולי אם הייתי משלם כדי לקחת חלק בדיונים השונים בבלוג היתה קמה זכות כזו, כשהפגיעה ממשית, כמובן. לא זה המקרה.
בוורסיה דומה למה שנכתב פה כבר, אם כי בכיוון ההפוך, זה של הגולשים: אתה לא רוצה להתעורר עם פרעושים? אל תלך לישון עם כלבים!

16/10/06 03:33  
Anonymous דב כתב/ה:

לניצן...

אמרת שפגיעה שאין בה ממש לא מקימה זכות לתביעה. האומנם? חשבתי שדי בזה שיש פגיעה קטנה כגדולה, כדי שתזכה בפיצוי - ללא צורך שתוכיח את מידת הנזק שנגרם כתוצאה מהפגיעה.

חוץ מזה, פגיעה בפרטיות היא עניין סובייקטיבי, יכול להיות שבנסיבות מסויימות אתה לא תרגיש נפגע, ואחר ירגיש נפגע מאוד.

אבל... ימים יגידו, אני באמת מקווה שאתה צודק ואני טועה.

16/10/06 19:17  
Anonymous ניצן כתב/ה:

הסכת ושמע, דב [ויסלח לי האמפטי דאמפטי על השימוש הבעייתי במילים]; זה לא הכי עקיב כשאתה טוען לדבר והיפוכו. אני סברתי, שאתה יוצא כנגד "אפקט הצינון" וטוען בעד הטלת האחריות להגנה על הפרטיות על כתפי הגולשים.

לעניין פיצוי ללא הוכחת נזק: אינטואיטיבית [והרי זה די והותר בתשעים ותשעה אחוזים מהמקרים], אין טעם לפצות אדם על נזק שהוסב לו אך אין בנזק ממש. הלא יהא זה בלתי-אפשרי לפצות על כל דבר קטן שיש עימו פגיעה, גם אם הדין נוטה לטובת הנפגע. בנוסף, הליכים משפטיים הם הליכים יקרים וארוכים ולא על כל פיפס מגיעים לאולם בית המשפט ויוצרים עוד עומס ועלויות במערכת כל כך פקוקה.
עכשיו הסבר טכני יותר: בדיוק כשם שבדין הפלילי מצוי סייג זוטי הדברים [ס' 34 יז. לחוה"ע -לא יורשע פלוני בעבירה שעבר, מטעמים שעיקרם קלות הערך החברתי שנפגע, לענייננו], קיים סייג ה"מעשה של מה בכך" בדיני הנזיקין [ס' 4 לפקנ"ז. תסתכל על היחס בין ס' 3 ו- 4, אולי זה יקל על העניין]. למעשה, אם תשים לב, ס' 4 לחוק הגנת הפרטיות מכפיף עוולה אזרחית של פגיעה בפרטיות להוראות הפקנ"ז וס' 6 כותרתו זהה לזו של רעהו בפקנ"ז.

17/10/06 19:12  

הוסף רשומת תגובה

שימו לב! פרסום תגובה הינו על אחריות הכותב/ת בלבד. מערכת הבלוג אינה עורכת ו/או מבקרת את התכנים לפני פרסומם. אנא הפעילו ריסון עצמי והיזהרו מפני הוצאת לשון הרע או כל הפרת חוק אחרת.  

חזרה לעמוד הבית >>