1. אוזלת היד של המשטרה. מעבר לתפיסה המוצלחת של מחלקת החקירות של הרשות למידע, משפט וטכנולוגיה (רמו”ט) שעליה יש לפרגן, דווקא לאור זאת צריך לבקר את אוזלת היד של המשטרה, והיעדר המשאבים הנדרשים שם לחקירת עבירות מחשב. בדיון שנערך בכנסת על גניבת מרשם האוכלוסין, אמר נציג המשטרה: “”קבלנו רשימה מאוד מאוד גדולה. גם כאשר צומצמה הרשימה לרשימה של 20 גופים, אנחנו מדברים על 20 גופים כאשר אנחנו, כחקירה פלילית, צריכים להצביע על אדם אחד…אני לא אתייחס פה לשם של אף גוף, רק אומר שאין שום אינדיקציה וודאית שאכן בוצעה דליפה מגוף מסויים, מה שאומר שגם לגבי אותו גוף יש עשרות ומאות של משתמשים… אי אפשר למקד את זה לא לאדם ולא לקבוצת אנשים מסויימת שהדליפה את המאגר”.
אי אפשר? אז זהו, שאפשר. הכל שאלה של משאבי חקירה ורצון למצות אותה ולהגיע לחקר האמת. אבל במשטרה, לא אוהבים להתאמץ. עדיף לסגור את התיק, חשוב ככל שיהיה, תחת “ע.ל.נ.” – “עבריין לא נודע”, כפי שנסגרה החקירה של מפיץ המאגר שממש חרץ לשון למשטרה ולרשויות החוק. בהקשר זה, אציין גם את המשאבים המוגבלים מאוד של מפלג עבירות מחשב. נכון לשנת 2008, המלצה להגדיל את המפלג ב-200 תקנים, ולהפכו למחלקה, טרם יושמה. (אני אשמח להתבדות בעניין הזה).
2. שימוש לרעה בידי מורשי גישה – זו אולי הרעה החולה, ונקודת התורפה הכי איומה של כל מאגר מידע שהוא. לא פריצה, לא האקרים, לא השתלשלות עם חבלים מהתקרה א-לה “משימה בלתי אפשרית”. שימוש לרעה בידי אנשים שביומיום, מורשים לגשת למאגר מידע ולפרטים השמורים בו בתוקף עבודתם. ראינו את זה בדליפת נתונים משירותי בריאות כללית שנגנבו בידי עובד, ראינו את זה אצל קצין משטרה שסיפק פלטי סלולרי לא חוקיים לשופטת, ראינו את זה גם במקרה הנוכחי – עובד במאגרי המידע של משרד העבודה והרווחה, התקין את המאגר אצל חבר, ומשם זה התחיל להתגלגל והסתיים בתוכנת אגרון 2006 שזמינה לכל דכפין ברשת.
מה אפשר לעשות? הרבה. דבר ראשון, ממשלת ישראל צריכה לעשות חשיבה מחדש על כל ההעסקה הנרחבת של עובדי קבלן בתפקידים בעלי גישה למידע רגיש. שנית, בדיקות הרקע והסיווג הבטחוני – צריכים להיות נוקשים יותר ולכלול בדיקות פסיכולוגיות למועמדים בניסיון לאתר נטיות וסיכוי לשימוש עתידי לרעה בסמכות. שלישית, בקרה ומידור. כפי שהסביר לי היום במסיבת העיתונאים, עו”ד יורם הכהן, ראש רמו”ט, הרעיון הוא “פרטיות מהשורש”. המערכות צריכות להיות מעוצבות כך, שלא יהיה “ג’ינג’י אחד עם המפתחות”, ושיהיה צורך באישורי גישה של יותר מבנאדם אחד כדי לגשת למידע. כמו שעושים עם טילים גרעינים, שני מפתחות, אצל שני גורמים שונים, צריכים להסתובב בו זמנית. וזה מוביל אותנו לבעיה של המאגר הביומטרי.
3. האם ייתפס מדליף המאגר הביומטרי? – ארבע שנים אחרי שהתרענו אהוד קינן ואנוכי ב-ynet כי המאגר עדיין זמין לכל דכפין ושנתיים אחרי ד”וח חמור של מבקר המדינה, נתפסו גונב המאגר ומפיציו. אני מאוד מקווה שעוד שמונה או תשע שנים לא נוזמן למסיבת עיתונאים דומה – הפעם כדי לספר בגאווה שנתפס מי שגנב את מאגר טביעות האצבע ותמונות הפנים של תושבי ישראל, להלן המאגר הביומטרי.
כעורך ערוץ המחשבים ב-ynet, אני והעושים במלאכה עשינו מאמץ גדול מאוד להסביר לציבור למה המאגר הביומטרי הוא רעיון רע. לדעה הזו שותפים כל בכירי האקדמיה שעוסקים באבטחת מידע. ובכל זאת, טען שטרית כי “טובי המומחים” עבדו על אבטחת המאגר. זהו, ככל הנראה, שקר. שוחחנו בשעתו עם כמה גורמים בולטים וידועים בישראל בתחום אבטחת המידע – והם אמרו כי איש ממשרד הפנים לא פנה אליהם. יתר על כן, המשרד מעולם לא טרח לציין מי הם אותם “טובי המומחים”. וזה מדאיג.
כי כנראה, לא טובי המומחים, כפי שטוען שטרית, עבדו על אבטחת המאגר, אלא חבורת אומרי הן. יתר על כן, גורמים מקצועיים שביקרו את הקמת המאגר, כמו יורם הכהן בעצמו, שאחראי לפי חוק לשמירה ולפיקוח עליו – הורחקו מביצוע התהליך. ביום שתמונת הפנים שלכם תגיע לידיים הלא נכונות, אל תגידו – “לא ידעתי” ו”סמכתי על הממשלה”.
כל הגורמים הקשורים בנושא, בריצה המטורפת שלהם להקמת המאגר הבלתי אחראי הזה, שלא קיים באף מדינה מתוקנת, מעידים על חפיפניקיות ואוזלת יד בטיפול באבטחה של המאגר המיועד. אל תתנו להם אצבע, אלא אם זו אצבע משולשת. המאגר, שעומד להיות אבן מאבני היסוד של מדינת מעקב, לדעתי, צריך להיות אחד הנושאים המרכזיים של המחאה החברתית. לא פחות. כי יבוא היום שלא תוכלו להפגין מבלי שהאח הגדול יצלם ויזהה אתכם, בזכות המאגר.
4. הנקודה החרדית – נקודה שלרוב התעלמו ממנה הכתבים המשפטיים שדיווחו על התפיסה, היא דווקא מעניינת. מרבית האנשים שקשורים לאגרון ולגניבת מרשם האוכלוסין, הם חרדים, ולא בכדי. בביתו של אחד מהחשודים, נמצא גם פנקס האימוץ של מחוזות תל-אביב וירושלים, מסמך רגיש מאין כמוהו כשלעצמו (מכיל רישום של ילדים מאומצים, הוריהם הביולוגיים והוריהם המאמצים). ככל הנראה, אחת המטרות של השימוש במאגר בקרב העדה החרדית, היא בדיקות אילן יוחסין וייחוס של מיועדים לנישואין, לרבות שאלת יהדותם. מקביל הדבר לגירסת היי-טק של רשימות היוחסין שפעם נוהלו בקהילות אלו.
בהקשר הזה, אגב, ובאותה הצלחה של אי חוקיות ושימוש לרעה במידע ללא רשות, אם תהיתם איך חברה X או Y יודעת עליכם דבר מה כדי למכור לכם את מוצריה – האגרון הוא התשובה. אני מקווה שגם עם המשתמשים המסחריים הלא מורשים (לצד חוקרים פרטיים), ימוצה הדין בחומרה.
מזעזע. אפילו לפני כל ההשלכות מסביב, רק הנושא של אבטחת המידע בפני עצמו שולל את היתכנות המאגר.
[…] עוד חיבור בנושא: זה שדלף, וזה שידלוף: מאגר מחשבות […]