המאמר השלישי יעסוק בנושא הגנת פרטיות ואבטחת מידע.
חשבתי שיהיה זה המאמר האחרון בסדרה זו, ובא פסק דין תקדימי של בית הדין לעבודה בעניין
מה מותר ואסור לכם לעשות במחשב של העבודה :
http://www.ynet.co.il/articles/0,7340,L-4026589,00.html
חשבתי שיהיה זה המאמר האחרון בסדרה זו, ובא פסק דין תקדימי של בית הדין לעבודה בעניין
מה מותר ואסור לכם לעשות במחשב של העבודה :
http://www.ynet.co.il/articles/0,7340,L-4026589,00.html
וגרם לכך שבימים הקרובים תתווסף לה רשימה רביעית בסדרה זו.
לכאורה אמירה תמוהה: הרי בחוק הגנת הפרטיות הישראלי, אבטחת מידע הינה אבן הראשה בכל הגנת הפרטיות.
במאמר זה אני מנסה להציף נושא בעייתי. טענתי היא שפעילויות מסויימות הנדרשות לשם שמירה על רמה נאותה של אבטחת מידע, עלולות לגרום (וככל הנראה מחוסר הבנה ומודעות לעניין) גורמות כיום לפגיעה בפרטיות, יתר על כן, הפגיעה נובעת מדרישות רגולטוריות אזרחיות ולא דרישות בטחוניות.
נקח לדוגמה את הדרישה הקיימת ברגולציות רבות (ישראליות ובינלאומיות) של רישום מלא של פעילויות עובדים ולקוחות במערכות המידע. כך ארגונים פיננסיים למול עובדיהם ולקוחותיהם, כך ארגונים העושים שימוש בכרטיסי אשראי במסחר אלקטורני (מסוגים שונים) למול המבצעים את פעילויות הקניה ועוד. בעידן של שימוש באמצעים ניידים (בלשון העדכנית "טלפונים חכמים", אלא שזה איננו טלפון כלל וכלל, זה מחשב לכל עניין ודבר) לפעילויות הללו, לא רק שנשמר מידע על מבצע הפעילות, אלא עלול או עשוי (תלוי בנקודת המבט) להירשם מידע על מיקומו של מבצע הפעילות בעת עשיית הפעולה (במכשירים אלה, GPS הינו מרכיב מובנה...). המצרפיות של המידע הנאגר במערכות המידע הארגוניות, שנדרש לאוספן, לשומרן ולנתחן מהסיבות הכי מוצדקות ברמה הפיננסית (מניעת הונאות, עקב גניבת זהות לדוגמה), מאפשרת מהפן השני בניית פרופילי התנהגות, איתור מיקומו של הלקוח (בניית פרופיל "התנהלות גיאוגרפית") ונתונים נוספים שהינם אישיים פרטיים. השימוש בהם נתון לגחמותיו של הארגון.
מן העבר האחד, אפילו נניח שאיסוף ושמירת כל הנתונים חיוני ונעשה תוך שימוש במיטב שיטות ואמצעי אבטחת המידע ההולכים ומשתכללים, למיטב ידיעתי, שיקולי הגנת הפרטיות הקשורים בעצם איסופם, אופני שמירתם (כולל גיבויים) ועיקר העיקרים למי הזכות לצפות בהם, אילו שימושים מותרים ואילו אסורים, מה משך שמירתם והיכן, אינם נדרשים ע"י הרגולטורים השונים, ומן הסתם אינם מחייבים באותה הרמה כפי שמחייבים שיקולי אבטחת המידע.
דוגמה נוספת הינם פערים מהותיים בידע וביכולת יישום דרישות אבטחת המידע אל מול הגנה על הפרטיות.
בעוד שהדרישה למימוש אבטחת מידע נדרשת מהארגונים, הדרישה להתמודד עם ההגנה על הפרטיות "מופלת" ברובה על הפרט. בארגונים רבים יש מנהל אבטחת מידע, מנהל טכנולוגיית המידע, וצוות מקצועי רב ומיומן (יחסית) להתמודד עם נושאי אבטחת המידע. אם חסר, אז יתכבד הארגון וירכוש שירותים מקצועיים במיקור חוץ. היכן אנשי המקצוע שתפקידם לממש הגנת פרטיות בארגונים? נדא, אין. אפס. את ההגנה על הפרטיות משאירים לאזרח עצמו. זה כל כך מגוחך שאני חושב שאין צורך להוסיף אפילו מילה אחת מהי המשמעות.
אפילו בחוק הגנת הפרטיות הישראלי הקיים המקצוען בחוק הינו: "ממונה על אבטחת המידע" ואין שום דריש למקצוען "ממונה על הגנת הפרטיות". (כאן המקום לגילוי נאות: אני אחד ממעצביו של החוק. בשנים 1994-1996, בעת היותי מנהל אבטחת המידע במשרד הבריאות, השתתפתי מטעם המשרד בישיבות וועדת החוקה חוק ומשפט והייתי זה שבמו ידיו גרם להוספת הסעיף המחייב מינוי ממונה על אבטחת המידע. בשנת 1996 זה נראה שיפור משמעותי להגנת הפרטיות. היום זה איננו המצב). הפער הזה ממש צועק לשמים.
למעשה, ככל שפתרונות אבטחת המידע מאפשרים את פריחת המסחר האלקטרוני, השימוש באמצעים ניידים אישיים וביצוע חלק משמעותי של הפעילויות הדיגיטליות "תוך כדי תנועה", כן יגבר הלחץ לוותר על הפרטיות. אנו נחזה ביותר כלים טכנולוגיים של מיקוד הפרסום מול הגולש, פיתויו לבצע Personalization מול האתר האינטרנטי, שימוש מרובה ב – Cookies וכדו', מבלי שהגולש התמים מבין בכלל את המשמעות של החדירה לפרטיותו המתלווית לכל הטכנולוגיה הזו. נכון, יש לו אפשרות "לוותר" opt out...
נדרשת רוויזיה משמעותית בהבנה שבלי אבטחת מידע אין הגנת פרטיות, אך הגנת פרטיות מחייבת הרבה יותר מאשר אבטחת מידע. בין יתר השינויים הנדרשים יש להפוך את נושא הגנת הפרטיות למקצוענות מחייבת בדומה לאבטחת מידע.