משרד המשפטים: הליכוד, ישראל ביתנו וחברת אלקטור הפרו את חוק הגנת הפרטיות

חברת אלקטור, הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות – כך קובעת הרשות להגנת הפרטיות בתום חקירה בת קרוב לשנה של אירוע דליפת פנקס הבוחרים ממערכות אלקטור, שמפתחת אפליקציית דרבון בוחרים בשם זה ושאתה עבדו שתי המפלגות במערכת הבחירות הקודמת.

לדברי הרשות, הליך האכיפה שביצעה העלה ליקויים רבים במערכות אבטחת המידע של אלקטור ובהתנהלותה. חרף זאת, הרשות טרם הטילה לסנקציות שונות על אלקטור, הליכוד וישראל ביתנו, ומסרה ל"כלכליסט" שגם אם יוטלו קנסות אלו לא יכולים להיות גבוהים יותר מ-25 אלף שקל.

"מאכזב לראות את הודעת משרד המשפטים. מאכזב, אך צפוי", אמר בתגובה ל"כלכליסט" ההאקר נעם רותם, שהיה מעורב בחשיפת דליפות המידע השונות. "המסר שעובר עכשיו לכל המפלגות, הארגונים, והחברות הישראליות הוא: אין צורך להגן על פרטיות האזרחים, לא יהיה לזה שום מחיר, ולאף אחד לא באמת אכפת".

מנגד היועץ המשפטי של התנועה לזכויות דיגיטליות, עו"ד יהונתן קלינגר, שמייצג 19 איש בתביעה נגד אלקטור על סך מיליון שקל כינה את הודעת הרשות "סופר-אמיצה", מכיוון שלדבריו היא למעשה אוסרת על מפלגות לעשות שימוש באפליקציות דרבון בוחרים.

ב-9 בפברואר חשף רן בר זיק, מתכנת בכיר בוורייזון מדיה, שספר הבוחרים שהעלה הליכוד לאפליקציית אלקטור היה זמין לכל גורם בעל ידע טכנולוגי בסיסי בעקבות כשל אבטחה חמור במערכות של האפליקציה. כשבוע לאחר מכן חשף "כלכליסט", בשיתוף פעולה עם ההאקר נעם רותם ועידו קינן מהפודקאסט "סייברסייבר", פרצת אבטחה נוספת ונפרדת, ששוב חשפה את ספר הבוחרים. כעבור כמה ימים נחשפה פרצה שלישית, הפעם באתר הליכוד ושאינה קשורה לאלקטור, ששוב חשפה את ספר הבוחרים.

בעקבות החשיפה הראשונה, שדווחה למערך הסייבר, ב-8 בפברואר פתחה הרשות להגנת הפרטיות בהליך אכיפה, שממצאיו הועברו היום למפלגות ומתפרסמים עתה. "חברת אלקטור וכן מפלגות הליכוד וישראל ביתנו אשר קיבלו שירותים טכנולוגיים מחברת אלקטור, הפרו את הוראות חוק הגנת הפרטיות והתקנות מכוחו", נכתב בהודעת הרשות. "ממצאי הליך האכיפה שקיימה הרשות חשפו הפרות של החוק, לרבות ליקויים רבים וחמורים באבטחת המידע במערכות המידע של חברת אלקטור, וכן בהתנהלותה כמחזיקה של מידע אישי רגיש".

ההאקר נעם רותם | צילום: עמית שעל

הרשות מתארת את דליפת המידע הראשונה כאירוע נקודתי שהתרחש ספציפית ב-8 בפברואר עצמו. "כחלק מאירוע זה התאפשרה גישה למערכות המידע של אלקטור ודלף לרשת קובץ המכיל מידע מפנקס הבוחרים לכנסת ה-23 אודות כ-6.5 מיליון בעלי זכות הבחירה בישראל", מסכמת הרשות את ממצאיה. "בהתאם לזאת, נחשף מידע אישי אודות בעלי זכות הבחירה, כמו גם כתובתם, מקום הצבעתם ועוד. בנוסף, נחשף מידע אישי רגיש אודות הבוחרים, אשר הוזן על ידי גורמים שונים כחלק מהשימוש באפליקציה, וכלל בין היתר מספרי טלפון, כתובות דוא"ל, מידע אודות מצבו האישי והרפואי של אדם המעוניין בהסעה אל הקלפי, לעיתים תוך פירוט מגבלותיו הרפואיות ומידע על היותו של אדם 'תומך' או 'לא תומך' במפלגה".

לדברי הרשות, כבר בשלבים הראשונים של הליך האכיפה שלה נחשפו ליקויי אבטחת מידע חמורים אותם הורתה לתקן: "בדיקות נוספות שביצעה הרשות העלו כי גם לאחר תיקון הליקויים הראשוני שבוצע על ידי אלקטור, עדיין ניתן היה לחדור למערכות המידע שלה ולהגיע אל פנקסי הבוחרים ואל מידע אישי המצוי במערכת. לפיכך, הנחתה הרשות את החברה להפסיק לאלתר את השימוש במערכת עד לתיקון ליקויי האבטחה. עקב כך, השימוש במערכת הופסק והופעל מחדש לצורך מבדקי חדירות. רק לאחר מספר ימים, לאחר שהרשות וידאה כי החברה טיפלה בליקויים, עלתה המערכת שוב לאוויר".

צור ימין, מייסד ומנכ"ל אלקטור | צילום: גדי קבלו

למפלגות עצמן יש אחריות ישירה לדליפת המידע. "לצורך שימוש בפנקס הבוחרים, המפלגות נדרשות לאבטח את המידע כנדרש על פי הוראות החוק והתקנות, כאשר האחריות לאבטחת המידע שבפנקס חלה על המפלגות כבעלות המאגר, גם ובמיוחד, במקרה בו המידע מוחזק או מעובד על ידי צד שלישי, לרבות ספקי מיקור חוץ", כתבה הרשות. האחריות לקיום הוראות החוק וחוק הבחירות מוטלת בראש וראשונה על המפלגות עצמן. המפלגות הן 'בעלי המאגר' אשר לפי החוק, עלולות לשאת באחריות פלילית או אזרחית, לפי העניין, גם להפרות שיבוצעו באפליקציה בידי ספק שירות חיצוני עבור המפלגות או מטעמן.

"יש לראות במפלגות 'בעל מאגר', ביחס לנגזרת פנקס הבוחרים שנמסרה לשימושן, ויש לראות באלקטור כ'מחזיקה' בפנקס הבוחרים מטעם המפלגות וכי אין כל אחיזה בדין לטענות שהעלו המפלגות, כי החוק והתקנות אינם חלים על פנקס הבוחרים ועל השימוש בו. חלה על המפלגות האחריות כבעלות המאגר להתנהלותה של אלקטור כמחזיקה בפנקס הבוחרים, שקיבלה מהמפלגות ולליקויי אבטחת המידע החמורים שהתגלו באפליקציה ששימשה לאחסון ולעיבוד מידע עבור המפלגות. המפלגות ואלקטור לא נקטו באמצעים מספיקים לאבטחת המידע".

אפליקציית אלקטור בכנס הליכוד בבחירות 2020 | צילום: Youtube

עוד מציינת הרשות שהליכוד וישראל ביתנו לא נקטו באמצעי פיקוח ובקרה מספקים לבחינת עמידת אלקטור בהוראות החוק, לא בחנו את סיכוני אבטחת המידע בהתקשרותן אתה, ולא קבעו את אופן יישום חובות אבטחת המידע. "לא היה די בהסתמכות המפלגות על הצהרותיה של המחזיקה במידע עבורן, באשר לעמידתה בהוראות החוק והתקנות לבדן, וכי על המפלגות היה לנקוט פעולות מתאימות, על מנת לוודא כי אלקטור אכן מקיימת את כלל הוראות החוק הרלוונטיות", נכתב.

לגבי הליקויים שמצאה בפעילות אלקטור כתבה הרשות שאלו כוללים: "אי קביעת נוהל אבטחת מידע ומנגנוני עבודה בהתאם לו, העדר מסמך עדכני בדבר מבנה המאגר, מתן גישה למידע שבמאגר מעבר לצורך ולהיקף הנדרש, אי מניעת אפשרות גישה בהרשאה ממספר מזדהים באותם פרטי זיהוי בו זמנית, מתן הרשאות גישה למי שאינו מורשה, קביעת סיסמאות חלשות ללא בקרה, העדר קיומו של מנגנון תיעוד אוטומטי שיאפשר בקרה על הגישה למאגר ותיעוד אירועי אבטחת מידע, אי התקנת מערכות ואמצעי הגנה מתאימים שימנעו חדירה לא מורשית, אי ביצוע סקרי סיכונים או ביקורות אבטחת מידע ועוד. אלקטור גם החזיקה בפנקסי בוחרים שונים שנמסרו לעיבודה ממערכות בחירות קודמות, על אף שנדרש ביעורם בהתאם לדין".

אביגדור ליברמן ורה"מ בנימין נתניהו | צילומים: אלכס קולומויסקי

הודעת הרשות כוללת גם קביעה בנוגע לעצם השימוש באלקטור, שלפיה יש איסור לעשות שימוש במידע אישי ללא הסכמה מספקת מצד האדם שעליו המידע נאסף, ומבלי שהוסברו לו מטרות השימוש ולמי יימסר המידע. "איסור זה", נכתב. "חל גם על איסוף ושימוש במידע ביישומים או במאגרי המידע של המפלגות".

לדברי קלינגר, משמעות אמירה זו היא שמפלגות לא יכולות להשתמש באפליקציות דרבון בוחרים דוגמת אלקטור. "הרשות קובעת שאסור להשתמש במאגרי מידע עם אפליקציות כאלו, נקודה", אמר קלינגר. "זה אומר שאם מפלגות ישתמשו באלקטור מעכשיו הן הולכות לעבור על החוק, זה מה שמאוד מעודד כאן. זה בא ביחד עם הנחיה של הרשות לגבי פנקס הבוחרים. הליכוד טען בתגובה לתביעה שהגשנו שפנקס הבוחרים הוא לא מאגר מידע. הרשות מוחצת את הטענה הזו, וקבעה שחוק מאגרי מידע חל עליו ושזה מאגר מידע כל דבר.

"בשבוע שעבר התנועה לזכויות דיגיטליות הוציאה לשר הפנים מכתב שמבקש שלא להעביר לליכוד את פמקס הבוחרים המעודכן, לאור עמדת המפלגה. זה סיפור לא ייאמן, כי אם הליכוד יטען שהוא לא מקבל את הפרשנות של הרשות להגנת הפרטיות יכול להיות שהוא לא יקבל את פנקס הבוחרים השנה. זו החלטה סופר-אמיצה של הרשות, בהתחשב באילוצים שלהם, חודש לפני הבחירות".

רותם ביקר את העדר הסנקציות מצד הרשות להגנת הפרטיות: "רק השבוע הוטל בנורווגיה קנס של אחד עשר מיליון דולר על חברת גריינדר בעקבות פגיעה בפרטיות המשתמשים. חברת אלקטור שגרמה במחדליה העצומים לפגיעה משמעותית במיליוני אזרחי ישראל יצאה ללא קנס כנראה. לא ככה מנהלים מדיניות הרואה בפרטיות ערך, ולא ככה מונעים את האלקטור הבא".

מהרשות להגנת הפרטיות נמסר ל"כלכליסט" בהקשר זה: "הרשות רשאית להטיל קנס מנהלי בגובה עשרות אלפי שקלים על המחזיק במידע בגין חלק מן ההפרות שנקבעו, קנס אשר ייקבע על ידה בהמשך. לצד זאת, הוראות חוק הגנת הפרטיות אינן מאפשרות לרשות להטיל סנקציות כספיות על רוב הפרות חובת אבטחת המידע, ובכלל זה על ההפרות שביצעו המפלגות בהליך זה. יודגש כי מזה זמן שהרשות פועלת לתיקון החוק באופן שישפר את יכולת האכיפה שלה ויאפשר לה להטיל סנקציות הולמות על הפרות שונות של חוק הגנת הפרטיות לשם שיפור ההגנה על פרטיות הציבור בישראל. תיקון החוק נמצא על שולחנה של ועדת השרים לענייני חקיקה".

בר זיק התייחס בסרקזם לממצאי הרשות. "אני שמח שלקח לרשות הפרטיות רק 11 חודשים להבין מה שלקח 5 דקות לכל מישהו עם דפדפן - כי זו היתה רמת הידע שנדרשה כדי לבצע את החדירה למערכות של אלקטור", הוא אמר.

מישראל ביתנו נמסר בתגובה: "מפלגת ישראל ביתנו רכשה שירותים טכניים מוגבלים מחברת אלקטור ולא עשתה שימוש באפליקציה הייחודית שפותחה ע״י החברה. דליפת המידע לא הייתה במפלגת ישראל ביתנו ולא בנתוניה. מידע אישי רגיש לא נאסף ע״י ישראל ביתנו ולא דלף ממנה. ישראל ביתנו סיימה לקבל שירותים מאלקטור ובעקבות ההנחיות המחדשות של הרשות להגנת הפרטיות, ננקטו צעדים מחמירים להגנת הפרטיות".

אלקטור: "טענות שווא"

מאלקטור נמסר בתגובה, באמצעות פרקליט החברה עו"ד בכור יאמין: "בתאריך 8 בפברואר 2020, הביאה הרשות להגנת הפרטיות לידיעת חברת אלקטור כי קיימת חולשת אבטחה במערכת. החולשה תוקנה באופן מיידי, ולאחר מכן דגמה רשות הסייבר הלאומית את המערכת ומסרה כי לא נמצאו בה חולשות אבטחה כלשהן. מערך הסייבר הלאומי, אף קיבל את כל הרשאות החברה לצורך בדיקת עומק, ואף הגיב לבג"ץ בעתירה שהוגשה כנגד החברה, והצהיר כי הוא מתנגד להסרת המערכת מהאוויר, זאת בשל אמצעי האבטחה המוגברים שנקטה החברה.

"להלן תגובת הרשות ומערך הסייבר הלאומי לבג"ץ בעניין זה: '...נכון למועד כתיבת שורות אלו, למיטב הבנת הרשות להגנת הפרטיות ומומחי האבטחה ממערך הסייבר הלאומי שבהם הסתייעה, אמצעי האבטחה של המערכת שופרו, ולא נמצאו, בבדיקות נוספות שבוצעו על ידי הרשות בסיוע מומחי אבטחה ממערך הסייבר הלאומי ליקויים'. עדות מערך הסייבר הלאומי, הנחשב לאחד מגופי הסייבר הטובים בעולם, מעידה על חוסנה הקיברנטי של החברה. ואכן, חברת אלקטור נמצאת כיום בחזית אבטחת המידע. ביום הבחירות לכנסת ה-23, גופים בינלאומיים רבים (לרבות ממדינות אויב) ניסו לפרוץ ולהפיל את מערכות החברה אולם ללא הצלחה, וזאת בשל חוסנה ואיכותה של המערכת.

"לגבי טענות השווא שלפיה המערכת כללה מידע רפואי: מערכת אלקטור, ככל מערכת ניהול מידע, מאפשרת הוספת הערות חופשיות, שאינן חלק מובנה מהמערכת. כלומר, אם פעיל מסוים במטה המפלגה החליט לכתוב על דעת עצמו כי מצביע מסוים נכה ויש לדאוג לו להסעה, אין זה תחת שליטתה או אחריותה של החברה. חברת אלקטור אינה מבקרת את המידע שלקוחותיה מעבים (כשם שחברת גוגל, למשל, אינה אחראית לתכנים המופצים בג'מייל או בתוכנות אחרות שבבעלותה).

"יתרה מזאת, ביזור ההרשאות במערכת אלקטור, שבו היא מאפשרת חסימת מידע לפי משתמש, בשליטת מנהל המטה המרכזי, אף שיפר את האבטחה באופן דרמטי מהנהוג בעבר, ומנעה שימוש בעותקים מודפסים ודיגיטלים שהיו מגיעים לכל דיכפין. חברת אלקטור תלמד את הממצאים ותפעל על פיהם, כפי שנהגה עד היום. אלקטור תמשיך להיות מהחברות המובילות בתחום מערכות המידע, תוך שימת דגש מיוחד על אבטחת המידע".