הבחירות בפתח, חיסיון המידע שלנו במתח
עונת הבחירות חושפת את הבעייתיות של איסוף מידע פרטי בידי ארגונים. אך לא רק הרשימות אוספות מידע עלינו, גם חברות מסחריות ואפילו עמותות - אך מה עם חיסיון המידע שלנו?
עם זאת, חובה עלינו הן כאנשים פרטיים והן כמנהלי חברות עסקיות
מטבע הדברים המידע אודות הבוחרים רשום במאגרי מידע וכאן נשאלות שתי שאלות: האם חיסיון המידע נשמר בהתאם לתקינה? והאם כל המעורבים בכך מודעים לחובתם בנושא?
בנוגע לתקינה, הפלא ופלא. ארגונים רבים כלל אינם מודעים לחקיקה בנושא. ראשית נזכור מהו מידע אישי בהתאם להגדרה בסעיף 7 לחוק, ובכן נושאים רבים משתייכים לכאן, דוגמת: מעמד האישי (מס' ת.ז.); אישיותו של אדם (דוגמת קורות חיים); מצב בריאותו (אשפוזים, בדיקות וכו') או מצבו הכלכלי.
לכן, אם בארגונכם נאסף מידע מסוג זה, או שיש לכם מידע אודות אנשים שלא נמסר על ידיהם בהסכמתם, או שמדובר בגוף ציבורי, חובה לרשום אותו כמאגר המידע. מאגר מידע שחייב ברישום ולא נרשם מהווה עבירה פלילית שדינה שנת מאסר, זאת לפי חוק הגנת הפרטיות.
האם אתם מודעים לחוק בנושא?
כעת נעבור לשאלה האם המעורבים מודעים לחובתם? ראשית ריכזנו לקט מעניין: מפלגת מרץ רצתה לשלוח עצומה לשר האוצר. המפלגה יצרה דף אינטרנט שבו התבקשו הגולשים לרשום את כתובת המייל כולל הסיסמא, בכדי לאפשר להם להתחבר לחשבון ולשלוח מייל בשמם.
איסוף מידע במפלגות (חוק המפלגות) - מפלגה תקיים רישום של חבריה, לרבות חברי המפלגה בסניפיה; הרישום יכלול את מספר הזהות של כל חבר ויהווה ראיה לכאורה לחברות במפלגה.
פריצה למערכות - בפריימריס של הליכוד היה שימוש באתר שאפשר לגולשים לצפות בעדכון אחוזי ההצבעה בקלפיות ובפרטי אנשי הקשר בכל קלפי. אולם האקר הגיע בקלות למערכת הבקרה של האתר.
המסקנה העולה מהלקט היא שמאגרי המידע על המפלגות מכילים מידע אישי רב ולא כל הגורמים המתווכים מודעים לחשיבות הדבר.
גם אייפון אבוד הוא סכנה לבוחר
כאשר נגנב מכשיר סלולאר של יושב ראש מפלגה, דוגמת שלי יחימוביץ בשבוע שעבר. קיימת סבירות גבוהה שהמכשיר מחובר לשרתי הארגון באופן כלשהו.
כלומר גם במקרה שלה וגם במקרה של בנט שקיבל סמס עם טרויאני, המטרה היא גישה למאגרי המידע שמכילים מידע עלינו.
גישה למידע יכולה להוביל לשיבושו, לפגיעה באנשים ולגרום לפגיעה אמיתית בבחירות. זו הסיבה האמיתית מדוע על ארגונים לבצע סקרי סיכונים.
סקרים אלו ממפים את האיומים, מסייעים לבצע רישום והגנה על מאגרי המידע ודואגים לאבטח את זרימת המידע בארגון.
הכותב הינו הבעלים והמנכ"ל של חברת אבטחת המידע MADSEC Security