האקרים סעודים, חוק ישראלי

האקרים סעודים פרסמו הלילה באינטרנט את פרטיהם האישיים ונתוני כרטיסי האשראי של מאות אלפי ישראלים. הם השיגו את הנתונים מפריצה לאתרי מסחר אלקטרוני בישראל. בין הפרטים – שמות, כתובות, מיקוד, מספרי תעודות זהות, מספרי טלפון סלולריים ומספרים נייחים וכן נתוני כרטיסי האשראי (מספר, מועד פקיעה וקוד אבטחה). "אנחנו משתמשים במידע באופן יום-יומי כדי לפתור את בעיותנו", מדווח בחדווה ההאקר 0xOmar בהודעתו ומוסיף שהם רוכשים באמצעות הפרטים שירותי VPN, אחסון בענן, תוכנה ועוד. 0xOmar קורא לאחרים לעשות כמותם ומציב יעד – פרסום פרטיהם של מיליון ישראלים, המהווים לדבריו שישית מאוכלוסית המדינה.
בעת כתיבת מאמר זה, הקבצים הללו כבר הוסרו מהרשת. עם זה מותר להניח שימצאו את מקומם במהירות באתרים חלופיים ושלאורך חודשים ארוכים המידע ייסחר בין עברייני מחשב ברחבי עולם.

מה ניתן לעשות כנגד זה?

מי שפרטיהם נבזזו אינם צריכים לדאוג יתר על המידה שמא יתחילו סכומי עתק לזלוג מחשבונותיהם. חוק כרטיסי חיוב מספק מנגנון המבטיח אותם מפני זה. תחילה הוא קובע, שלקוח אינו אחראי לכל שימוש לרעה בכרטיסו שייעשה לאחר שמסר למנפיק הכרטיס הודעה על גניבת הכרטיס, אבדנו או שימוש לרעה בו. אחריותו לנזק שנגרם לו לפני מסירת ההודעה מוגבלת גם היא לנמוך מבין שני אלה: 75 ₪ בתוספת 30 ₪ לכל יום שחלף ממועד שנודעו לו הנסיבות ועד שמסר הודעה על כך לחברת כרטיסי האשראי או סכום העסקאות שבוצע בכרטיס בפועל.

אבל יותר מזה, יש בחוק מנגנון המבטל לגמרי כל חשש ונזק מגניבת פרטי הכרטיסים: החוק מכיר ב"עסקאות במסמך חסר". אלה הן, בין השאר, עסקאות שהמסמך המעיד עליהן לא נחתם בידי הלקוח. עסקאות אינטרנט הן במובהק עסקאות במסמך חסר. החוק מורה שאם חויב לקוח לשלם את תמורתה של עסקה במסמך חסר, והודיע לחברת כרטיסי האשראי בתוך 30 ימים מיום שנמסרה לו הודעה על החיוב שהוא לא ביצע את העסקה, תחזיר לו החברה את סכום החיוב בערכו ביום החיוב.

בהתחשב בנסיבות החריגות של אירוע הפריצה ומספר הישראלים הרב שנפגעו ממנו, על חברות כרטיסי האשראי לבחון אם הן יכולות להודיע ביוזמתן לבעלי הכרטיסים שנפגעו על גניבת פרטיהם. הן יכולות לעשות זאת אם אנשי אבטחת המידע שלהן הצליחו להשיג את הקבצים שפרסמו ההאקרים הסעודיים בטרם הוסרו מהרשת. ממילא סביר להניח שכל הכרטיסים שפרטיהם נגנבו, יבוטלו (כדי למנוע את המשך השימוש בהם) וצריך יהיה להנפיק למאות אלפי אזרחים כרטיסי אשראי חדשים.

אבל הבט מעניין יותר של הדברים נוגע לחבותם האפשרית של מפעילי האתרים שנפרצו. חוק הגנת הפרטיות, התשמ"א-1981 קובע כי בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע - כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע. תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ"ו - 1986 מפרטות את החובה הכללית לאבטח את המידע שבמאגר. הן מורות כי אבטחת מידע פירושה הגנה על מידע מפני שינוי, השמדה או חשיפה במזיד או במקרה. ברור בעליל שפריצה למערכת ניהול של אתר אינטרנט וגניבת פרטי כרטיס אשראי מתוכה היא אירוע של אבטחת מידע כמשמעו בהגדרה זו. התקנות מוסיפות ומורות שמנהל מאגר אחראי לאבטחת המידע במאגר המידע שעליו הוא מופקד ובכלל זה "נקיטת אמצעי אבטחה סבירים, בהתאם לרמת רגישות המידע, שימנעו חדירה מכוונת או מקרית למערכת אל מעבר לתחומי המידע שאושרו למשתמש וכן קביעת סדרי בקרה לגילוי פגיעות בשלימות המידע ותיקון ליקויים".

כמו כמעט כל דבר הנוגע לחוק הגנת הפרטיות, תקנות אלה מיושנות מאד. הרשות למשפט, טכנולוגיה ומידע (רמו"ט) במשרד המשפטים, פרסמה לפני כשנתיים תזכיר של תקנות מעודכנות יותר. התזכיר מפרט בהרחבה את חובות האבטחה וחותר להתאים אותן לעידן האינטרנט. עם זה, נוסח התקנות טרם עודכן.

רמו"ט מאגדת בתוכה את רשם מאגרי המידע. הרשם אחראי על קיום הוראות חוק הגנת הפרטיות הנוגעות למאגרי מידע. אחת המרכזיות בהוראות אלה היא חובת אבטחת מידע. טוב יעשה הרשם אם יפתח מידית ביוזמתו בחקירת האתרים שנפרצו ומהם נגנב המידע, כדי לברר אם מילאו את חובותיהם לפי חוק. מה באפשרותו לעשות אם ימצא שלא אבטחו את המידע כנדרש? האמת שלא הרבה. אי-אבטחת מידע איננה עבירה פלילית. ועם זה, הפרת הוראות החוק והתקנות היא עוולה בנזיקין. היא פותחת פתח לתביעות אזרחיות. למרות שאין הרשם תובע בעצמו, גם בהקשר זה אין הרשם חסר אונים לגמרי: הוא ידע בעבר לפרט ברבים ממצאים נגד אחת מחברות הסלולר ולקרוא להגיש תובענה ייצוגית נגדה. קריאתו נענתה.

הבט מעניין וחשוב לא פחות של הדברים נוגע לשאלה מדוע בעלי האתרים שנפרצו לא דיווחו מיוזמתם על כך שנגנב מהם מידע כה רגיש. תשובה אפשרית אחת היא, כמובן, שלא ידעו על הפריצה עד שפורסמה ברבים. זו תשובה מטרידה לא פחות מעצם הפריצה אבל היא נוגעת לאבטחה הלקויה לכאורה באותם אתרים. תשובה אחרת היא מקוממת ועם זאת נכונה מבחינה משפטית: אין חובה לדווח על כך! בארצות-הברית, לעומת זאת, חוקקה קליפורניה חוק המחייב בעלי מאגרי מידע להודיע למושאי המידע על דליפות מהמאגר. בעקבותיה הלכו כמעט כל שאר המדינות בארצות הברית. בשנת 2007 פעלה במשרד המשפטים ועדה בראשות המשנה דאז ליועץ המשפטי לממשלה, יהושע שופמן, שבחנה את הוראות החוק הנוגעות למאגרי מידע. הוועדה המליצה לערוך רוויזיה מקפת בהוראות אלה. בין השאר המליצה הוועדה לחייב את בעלי המאגרים לתת הודעה למי שמידע אישי אודותיו דלף ובמידה שמדובר בכמות גדולה של אנשים – לפרסם הודעה לציבור. דו"ח ועדת שופמן קבע ש"ההצעה תאפשר למושאי המידע לדעת מה עלה בגורל המידע אודותיהם, ולכלכל את צעדיהם המשפטיים והצרכניים בהתאם. בנוסף, הסדר כאמור יכול להיות תמריץ לבעלי מאגרי מידע לנקוט אמצעי אבטחה סבירים, כנדרש בחוק".

דבר לא נעשה גם עם דו"ח ועדת שופמן. במאמר אחר שפרסמנו כאן לפני שבועיים, ביקרנו את משרד המשפטים על כך שאינו מאמץ את המלצות הוועדה. המאמר טען שבהצעת חוק הגנת הפרטיות (תיקון מס' 12) (סמכויות אכיפה), התשע"ב-2011 בחר משרד המשפטים בדרך קלה אך מסוכנת: את התשתית הרעועה של החוק הקיים הוא אינו מתקן, אבל על גבה הוא מבקש לתת סמכויות מרחיקות לכת של אכיפה. כל מה שנדרש הוא קבוצה של האקרים סעודים כדי להוכיח את צדקת אותה טענה.