יום חמישי, 10 בפברואר 2011

הגנת פרטיות ואבטחת מידע, לא שני צדדים של אותה המטבע.

המאמר השלישי יעסוק בנושא הגנת פרטיות ואבטחת מידע.
חשבתי שיהיה זה המאמר האחרון בסדרה זו, ובא פסק דין תקדימי של בית הדין לעבודה בעניין
מה מותר ואסור לכם לעשות במחשב של העבודה :
http://www.ynet.co.il/articles/0,7340,L-4026589,00.html
וגרם לכך שבימים הקרובים תתווסף לה רשימה רביעית בסדרה זו.

לכאורה אמירה תמוהה: הרי בחוק הגנת הפרטיות הישראלי, אבטחת מידע הינה אבן הראשה בכל הגנת הפרטיות.
במאמר זה אני מנסה להציף נושא בעייתי. טענתי היא שפעילויות מסויימות הנדרשות לשם שמירה על רמה נאותה של אבטחת מידע, עלולות לגרום (וככל הנראה מחוסר הבנה ומודעות לעניין) גורמות כיום לפגיעה בפרטיות, יתר על כן, הפגיעה נובעת מדרישות רגולטוריות אזרחיות ולא דרישות בטחוניות.

נקח לדוגמה את הדרישה הקיימת ברגולציות רבות (ישראליות ובינלאומיות) של רישום מלא של פעילויות עובדים ולקוחות במערכות המידע. כך ארגונים פיננסיים למול עובדיהם ולקוחותיהם, כך ארגונים העושים שימוש בכרטיסי אשראי במסחר אלקטורני (מסוגים שונים) למול המבצעים את פעילויות הקניה ועוד. בעידן של שימוש באמצעים ניידים (בלשון העדכנית "טלפונים חכמים", אלא שזה איננו טלפון כלל וכלל, זה מחשב לכל עניין ודבר) לפעילויות הללו, לא רק שנשמר מידע על מבצע הפעילות, אלא עלול או עשוי (תלוי בנקודת המבט) להירשם מידע על מיקומו של מבצע הפעילות בעת עשיית הפעולה (במכשירים אלה, GPS הינו מרכיב מובנה...). המצרפיות של המידע הנאגר במערכות המידע הארגוניות, שנדרש לאוספן, לשומרן ולנתחן מהסיבות הכי מוצדקות ברמה הפיננסית (מניעת הונאות, עקב גניבת זהות לדוגמה), מאפשרת מהפן השני בניית פרופילי התנהגות, איתור מיקומו של הלקוח (בניית פרופיל "התנהלות גיאוגרפית") ונתונים נוספים שהינם אישיים פרטיים. השימוש בהם נתון לגחמותיו של הארגון.
מן העבר האחד, אפילו נניח שאיסוף ושמירת כל הנתונים חיוני ונעשה תוך שימוש במיטב שיטות ואמצעי אבטחת המידע ההולכים ומשתכללים, למיטב ידיעתי, שיקולי הגנת הפרטיות הקשורים בעצם איסופם, אופני שמירתם (כולל גיבויים) ועיקר העיקרים למי הזכות לצפות בהם, אילו שימושים מותרים ואילו אסורים, מה משך שמירתם והיכן, אינם נדרשים ע"י הרגולטורים השונים, ומן הסתם אינם מחייבים באותה הרמה כפי שמחייבים שיקולי אבטחת המידע.
דוגמה נוספת הינם פערים מהותיים בידע וביכולת יישום דרישות אבטחת המידע אל מול הגנה על הפרטיות.
בעוד שהדרישה למימוש אבטחת מידע נדרשת מהארגונים, הדרישה להתמודד עם ההגנה על הפרטיות "מופלת" ברובה על הפרט. בארגונים רבים יש מנהל אבטחת מידע, מנהל טכנולוגיית המידע, וצוות מקצועי רב ומיומן (יחסית) להתמודד עם נושאי אבטחת המידע. אם חסר, אז יתכבד הארגון וירכוש שירותים מקצועיים במיקור חוץ. היכן אנשי המקצוע שתפקידם לממש הגנת פרטיות בארגונים? נדא, אין. אפס. את ההגנה על הפרטיות משאירים לאזרח עצמו. זה כל כך מגוחך שאני חושב שאין צורך להוסיף אפילו מילה אחת מהי המשמעות.
אפילו בחוק הגנת הפרטיות הישראלי הקיים המקצוען בחוק הינו: "ממונה על אבטחת המידע" ואין שום דריש למקצוען "ממונה על הגנת הפרטיות". (כאן המקום לגילוי נאות: אני אחד ממעצביו של החוק. בשנים 1994-1996, בעת היותי מנהל אבטחת המידע במשרד הבריאות, השתתפתי מטעם המשרד בישיבות וועדת החוקה חוק ומשפט והייתי זה שבמו ידיו גרם להוספת הסעיף המחייב מינוי ממונה על אבטחת המידע. בשנת 1996 זה נראה שיפור משמעותי להגנת הפרטיות. היום זה איננו המצב). הפער הזה ממש צועק לשמים.
למעשה, ככל שפתרונות אבטחת המידע מאפשרים את פריחת המסחר האלקטרוני, השימוש באמצעים ניידים אישיים וביצוע חלק משמעותי של הפעילויות הדיגיטליות "תוך כדי תנועה", כן יגבר הלחץ לוותר על הפרטיות. אנו נחזה ביותר כלים טכנולוגיים של מיקוד הפרסום מול הגולש, פיתויו לבצע Personalization מול האתר האינטרנטי, שימוש מרובה ב – Cookies וכדו', מבלי שהגולש התמים מבין בכלל את המשמעות של החדירה לפרטיותו המתלווית לכל הטכנולוגיה הזו. נכון, יש לו אפשרות "לוותר" opt out...
נדרשת רוויזיה משמעותית בהבנה שבלי אבטחת מידע אין הגנת פרטיות, אך הגנת פרטיות מחייבת הרבה יותר מאשר אבטחת מידע. בין יתר השינויים הנדרשים יש להפוך את נושא הגנת הפרטיות למקצוענות מחייבת בדומה לאבטחת מידע.

יום רביעי, 9 בפברואר 2011

הגנת פרטיות - על ציות ואי ציות לחוק במדינת ישראל

המאמר השני בסדרה יעסוק בנושא של ציות לחוק. במקרה זה, ציות לחוק הגנת הפרטיות.
במהלך כהונתי כמנהל אבטחת המידע של משרד הבריאות נשאלתי לא אחת ע"י מנהלי בתיה"ח הממשלתיים, מהן החובות שלו כמנהל מאגר המידע המרכזי של ביה"ח ובייחוד חובות שעל פניהן איננו יכול לעמוד בהן. דוגמה מובהקת הינו הסעיף הבא המגדיר את אחד מהמקרים המנויים בחוק לפגיעה בפרטיות, פרק א', סעיף 2, סעיף קטן 11:
פרסומו של ענין הנוגע לצנעת חייו האישיים של אדם, לרבות עברו המיני, או למצב בריאותו, או להתנהגותו ברשות היחיד.
ונצטמצם ל: "פרסומו של עניין הנוגע... למצב בריאותו של אדם".
בלשון פשוטה, פרסום דבר אשפוזו של אדם בבי"ח (שכן אדם בריא איננו מתאשפז, אלא רק מי שחולה) מהווה פגיעה בפרטיות. למותר לציין שבמדינתנו רוויית אירועי ריבוי נפגעים, לא ניתן היה בעבר (וספק אם גם כיום) לציית לדרישת סעיף זה בחוק, והוא איננו הסעיף היחיד הבעייתי.
ומה הייתה תשובתי למנהלי בתיה"ח? בלשון של היום היינו מכנים אותה: ניהול סיכונים כולל, אלא שאז ניסחתי זאת כך:
מדינת ישראל מינתה אותך לנהל בית חולים. בתפקיד זה עליך למלא אחר מגוון דרישות חוק, רגולציות, צווים, הנחיות מקצועיות ומינהליות. כולם נועדו להגדיר ולסייע לבית החולים למלא את ייעודו כמוסד רפואי במדינת ישראל המטפל בחולים. לא התמנית למלא אחר שורה אחת, פסקה אחת או חוק אחד. התמנית כדי שתעצב על פי נסיונך המקצועי והניהולי ובעזרת ההנהלה של המוסד את התקן שעל פיו יפעל המוסד שאתה מנהלו. עליך למצוא את האיזון הנכון המתאים לאוכלוסיה אותה אתה משרת, החולים הבאים בשעריך, בני משפחותיהם וגם מעגלים רחבים יותר, ולהנחיות הפורמליות המוטלות עליך. אין בסמכותי מטעם משרד הבריאות לומר לך לא לציית לדרישה בחוק. בסמכותך לקבוע את סדרי העדיפויות על מנת לבצע את תפקידך ולעמוד על כך לביקורת הציבורית כפי הקבועה בחוק. ובכל תנאי, עליך לפרסם את ההנחיות שעל עובדי המוסד לעבוד על פיהן, לוודא הדרכתם בעת קבלתם לעבודה ובאופן תקופתי, ועיקר העיקרים, ולגבות אותם במידה ופעלו בהתאם להנחיותיך. זוהי תמציתה של מנהיגות ניהולית.
כך נהגתי אני עצמי בתהליכי קבלת ההחלטות בתחום אחריותי במשרד הבריאות. ניהול פירושו ללמוד את התחום, לקבל החלטות ולעמוד לביקורת הרלוונטית על אותן ההחלטות.
דוגמה א': החלטתי בזמנו כי מאחר ואין הפרדה חוקית בחוק ובתקנות להגנת הפרטיות בנושא סוגי מידע רפואי לחלקיו השונים, אזי נהלי אבטחת המידע להגנת המידע הרפואי במסגרת מערכת הבריאות הממשלתית יהיו אחידים ולא יבדילו בין סוגי מידע רפואי. חושבת החברה הישראלית כי מידע בתחום בריאות הנפש רגיש יותר, תתכבד החברה הישראלית באמצעות נציגיה בכנסת לשנות את החקיקה בעניין זה.
דוגמה ב': על הפרק מימוש דרישות אבטחת מידע בבתי החולים הממשלתיים הכלליים. השנה 1997. באותה השנה יוצא לדרך פרוייקט נמ"ר. פרוייקט שמשמעותו החלפת כל מערך המיחשוב בבתי חולים אלה בתוך מספר שנים. החלטתי לא "לטרטר" את בתי החולים בשיפור המצב הקיים ולהשקיע את כל המאמצים בשילוב דרישות אבטחת המידע בפרוייקט הנמ"ר.
שתי ההחלטות נבעו מהליך של ניתוח המצב הקיים על בסיס "ניהול סיכונים כולל", הצגת ההמלצה בפני דרגי הניהול במשרד הבריאות ובפני גורמי הביקורת הרלוונטיים כדוגמת מבקרת המדינה ושכנועם. בכך הוכח כי ישנה דרך אמיתית להתנהל בטווח קצר, בינוני וארוך במערכת הממשלתית כאשר לך כמנהל אבטחת המידע יש את הידע, היכולת והכושר הניהולי להתמודד, כמו גם גיבוי ניהולי בתוך המשרד עצמו.

יום ראשון, 6 בפברואר 2011

חוק הגנת הפרטיות – מזכרונותי כמנהל אבטחת המידע במשרד הבריאות בשנים 1993-2000.

בכוונתי לכתוב מספר מאמרים העוסקים בהגנת הפרטיות ובחוק הגנת הפרטיות, בהגנת הפרטיות ובאבטחת מידע. תחילת עיסוקי בנושא החלה כאשר התחלתי את עבודתי במשרד הבריאות בספטמבר 1993 כאחראי על אבטחת המידע במשרד.
למאמר הראשון בסדרה קראתי בשם: חוק הגנת הפרטיות כ"חוק מחנך" .
בשנים 1993 ועד 2000 שימשתי כמנהל אבטחת המידע של משרד הבריאות. במסגרת זו הייתי נציג משרד הבריאות בישיבותיה של וועדת החוקה חוק ומשפט של הכנסת בדיוניה על התיקון לחוק הגנת הפרטיות, תיקון שנוסחו התקבל ב-12.3.1996 בכנסת וידוע כתיקון מס' 4 לחוק הגנת הפרטיות. זהו התיקון רחב ההיקף ביותר שבוצע בחוק מאז נחקק ועדיין הנוסח העדכני של החוק שאומנם שונה מאז 1996 מספר פעמים, איננו כולל שינויים מהותיים בכמות ובהיקף כפי שעדכון זה יצר באותה העת למול הקיים. יש לציין שבאותו המעמד תוקן רק החוק וללא תיקון מקביל בתקנות הגנת הפרטיות.
אני מודה שאינני משפטן ואת כל הידע שהיה לי בהבנת השפה המיוחדת שבה כתובים חוקים במדינת ישראל, שפה שקראתיה "עברית משפטית", קיבלתי מידיה המקצועיות של היועצת המשפטית של משרד הבריאות, עו"ד מירה היבנר-הראל ועד היום אני מודה לה בכל הזדמנות ולא אחסיר זאת גם הפעם, על הזמן שהקדישה לי והידע רחב ההיקף שהעניקה לי.
בראש וועדת החוקה חוק ומשפט באותם הימים, ימי ממשלת רבין, ולאחר הירצחו, ממשלת פרס ותקופת הפיגועים הרצחניים, עמד ח"כ לשעבר דדי צוקר ממרצ כאשר לצידו ח"כ אז והיום שר בממשלה, דן מרידור.
בדיון באחד מהסעיפים בחוק שאינם עומדים בקנה אחד עם המציאות הישראלית אמר לפתע יו"ר הוועדה, הח"כ לשעבר דדי צוקר: בהיבט זה חוק הגנת הפרטיות הוא חוק מחנך. כלומר ברור למחוקק שישנם בו סעיפים שאינם מציאותיים, אבל הם משדרים לאזרחי המדינה מגמה שעליהם ללכת לאורה, כך שברבות השנים החקיקה תיצור שינוי התנהגותי.
זו אמירה בעייתית. בחוק ישנם סעיפים שאי עמידה בהם משמעותה מאסר בפועל. האם תפקידו של חוק הוא לחנך או שתפקידו של חוק הוא להגדיר דרישות ולהעניש את פורעי החוק? חינוך אמורה להיות מלאכתם של בתי הספר לסוגיהם השונים, המורים, ההורים. חוק ובייחוד כזה שיש בו ענישה פלילית של מאסר בפועל אמור להיות בר אכיפה ואכיפתו מופעלת בפועל. נראה שבנושא "ערכים", והגנת פרטיות הינה "ערך" שלטה מגמה שאין חובה לציית אלא המחוקק מתווה כיוון, "מורה לחיים" לאי שם בעתיד, אבל ציות? ענישה? אלו מאיתנו והלאה. ואכן, חווינו שנים רבות של התעלמות מוחלטת כמעט של גורמי האכיפה למיניהם בנושא זה.
גורמי האכיפה כתבתי. ומה עם הממשלה עצמה? האם היא עצמה מלאה אחר הדרישות שחייבה אותה הרשות המחוקקת?
התחלפו ממשלות ומצאה עצמה ממשלתו הראשונה של ביבי נתניהו מחוייבת להקים את יחידת הפיקוח (סעיף 10 (ד) לחוק הגנת הפרטיות המתוקן): "שר המשפטים, באישור ועדת החוקה חוק ומשפט של הכנסת, יקים בצו, יחידת פיקוח שתפקח על מאגרי המידע, רישומם ואבטחת המידע בהם; גודלה של היחידה יותאם לצורכי הפיקוח". התיקון כאמור נחקק במרץ 1996 ונכנס לתוקף באפריל 1996.
הצו הוצא ע"י שר המשפטים לשעבר יוסף ביילין. התאריך: 15 נובמבר 1999. היה זה בממשלת ברק. למר צחי הנגבי שכיהן בממשלת נתניהו הראשונה כשר משפטים החל מנובמבר 1996 ועד לסיום כהונתה של ממשלה זו בקיץ 1999 לא היה מספיק זמן, עניין או תקציב להקים את יחידת הפיקוח.
רק בשנים האחרונות, בעקבות הקמת הרשות למשפט טכנולוגיה למידע בשנת 2006 והעומד בראשה, עו"ד יורם הכהן אנו רואים שיפור בנושא זה, אם כי עוד ארוכה הדרך לפנינו.