לפני כחודשיים נרשם יהונתן קלינגר, עו"ד המתמחה בדיני קניין רוחני ואינטרנט, לשירות השכרת הרכב המתומחר לפי שעה, car2go. כמי שמתמצא באבטחת מידע, הדליקה אצלו נורה אדומה העובדה כי שם המשתמש והסיסמה המונפקים ללקוח חדש הם זהים, ומורכבים ממספר תעודת הזהות שלו.
"עד שהלקוח ישנה את הסיסמה בעצמו הם יישארו זהים, ורוב האנשים לא משנים אותם כלל. זוהי פרצה באבטחה והיא נעשית מבורות", אומר קלינגר, שהתריע על הבעיה בפני החברה, שלה כ-5,000 לקוחות רשומים. יונתן גדיש, מנכ"ל car2go, מסביר בתגובה כי "ההרשמה לשירות שלנו מתנהלת או ברישום עצמי באתר האינטרנט - במקרה זה בוחר הלקוח את הסיסמה בעצמו; או ברישום במשרדי החברה - ובמקרה זה אכן מונפקים ללקוח שם משתמש וסיסמה ראשוניים, ששניהם הם מספר תעודת הזהות שלו".
לדברי גדיש, באחרונה התבצע שינוי בצורת ההרשמה. "כעת כל מי שנרשם מתבקש לעבור את תהליך הרישום מול המחשב שבמשרד, כדי לבחור סיסמה בעצמו. בנוסף, ביקשנו מצוות הפיתוח שלנו לאתר את המשתמשים שלא שינו את הסיסמה, ולבקש מהם לשנותה".
במקרה של חברת קידום, רשת לימוד הפסיכומטרי, בוצעה עבירת פרטיות שגרמה לחברה להיקנס. בפברואר קנסה רמו"ט (הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים) את החברה ב-1,000 שקל על הפרת פרטיות במסגרת פנייה בדיוור ישיר לתלמידי תיכון. קידום שלחה פניות לתלמידים ברמת גן מבלי לציין בהן את הנדרש בחוק - צירוף מספר הרישום של מאגר המידע שממנו נלקחו פרטיהם, הודעה על זכותו של מקבל הפנייה להימחק מהמאגר או ציון זהותו של בעל המאגר שבו מצוי המידע. בעל המאגר במקרה זה היא עיריית רמת גן, שאף היא נקנסה על ידי רמו"ט.
לא מודעים לסכנות
מצבם של car2go וקידום אינו יוצא דופן. כמו עסקים קטנים ובינוניים רבים אחרים, אבטחת המידע שלהם לקויה. לדברי עו"ד עמית אשכנזי, היועץ המשפטי של רמו"ט, מקורם של ליקויים מעין אלה הוא בבורות.
"עסקים קטנים צוברים מידע על עובדים ולקוחות לא תחת רגולציה משמעותית, כמו בנקים או חברות שנסחרות בבורסה, ולכן תהליכי העבודה שלהם מול הסיכונים הם אינטואיטיביים ותלויים בבעל העסק. נעשות אצלם עבירות מהותיות, ולכן אנחנו מתמקדים בהם", אומר אשכנזי.
"רוב בעלי העסקים הקטנים לא מבינים בתחום המחשוב ולכן הם מסתמכים על אנשי מחשוב. אלה לעתים מציעים להם תכונות מסוימות או מאפייני שירות שהם לא מודעים לסכנות שבהן", אומר אשכנזי. "השימוש באינטרנט ככלי שיווקי לתקשורת עם לקוחות אמנם מוזיל פעילויות עסקיות, אבל גם מייצר סיכונים".
חוק הגנת הפרטיות מ-1981 קובע הוראות וחובות החלות על בעל מאגר מידע או מנהל מאגר. אחת החובות המרכזיות היא חובת אבטחת המידע, שמטרתה צמצום החשש מפני שימוש לרעה או פגיעה במידע. "התקנות בנושא החלו בפחד מהאח הגדול, עם פיתוח המחשבים בשנות ה-80. כיום מחשבים הם נחלת כולם ובמקום 'אח גדול' אחד יש הרבה 'אחים קטנים'", אומר אשכנזי. "הרבה פעילויות במשק נופלות כיום תחת ההגדרה של מאגרי מידע, מאחר שגורמים רבים מחזיקים מחשבים עם מאגרים, בין אם מרפאה קטנה או חברה העוסקת בהיכרויות".
הסכנות שבעבודה מהבית
הסיכונים האורבים לבעלי עסקים קטנים נמצאים בכל פינה, מאחורי פעילויות שהן לעתים הכרחיות, אך נעשות ללא מחשבה מעמיקה ומהוות מקור לפרצות אבטחה קשות.
אחת הדוגמאות שמספק אשכנזי היא שיטת העבודה מרחוק. "גישה אל מחשב העסק מרחוק ללא אבטחה מספקת יכולה לגרום לזליגת מידע ממערכות העסק למערכות אחרות. אם העבודה היא על המחשב הביתי, למשל, ייתכן שגם ילדים משתמשים בו ושמותקנים עליו יישומים נוספים, שחושפים את המידע לסיכונים אליהם בעל העסק אינו ער".
אשכנזי מספר על מקרה שבו במרפאה קטנה בספרד שעסקה בהפלות הותקנה תוכנת שיתוף קבצים, המאפשרת לפתוח תיקיות שיהיו נגישות למספר משתמשים. "מישהו במרפאה בטעות הגדיר את הקובץ עם פרטי הלקוחות בתיקיה המשותפת והם דלפו", מספר אשכנזי.
קלינגר מציין גם את בעיית האינטרנט האלחוטי בהקשר זה. "עסק שמחזיק תיקים רפואיים של אנשים, יכול מתוך בורות להשאיר את הרשת האלחוטית שלו לא מאובטחת וכתוצאה מכך כל מי שעובר באזור העסק חשוף למידע".
דוגמה נוספת היא שיטת הדיוור הישיר. כאשר בעל עסק פונה ללקוחות לשם הצעת שירות, בין אם במייל ובין אם בטלפון, הוא מחויב להודיע להם מהיכן יש ברשותו את פרטיהם, ולספק אפשרות למחיקת הלקוח מרשימת הדיוור. "מגיעות אלינו תלונות רבות בעניין", אומר אשכנזי, "ויותר מכך, החוק גם מציין כי כאשר מבקשים להוסיף את פרטיו של אדם למאגר כלשהו, יש לדווח לו לאיזו מטרה נאסף המידע ולמי הוא יועבר".
מלבד מאגרי מידע שאותם אוגרים בעצמם בעלי עסקים, יש מקרים שבהם הם נדרשים לקנות מאגר מידע מוכן, כמו מאגר מרשם האוכלוסין. במקרים כאלה מציין אשכנזי כי על בעל העסק לבדוק היטב אם המאגר שהוא רוכש חוקי.
לדברי קלינגר, החורים באבטחה קרובים אלינו יותר משאנחנו חושבים, אפילו בבתי הקפה. "פעמים רבות לצורך ביצוע עסקות אשראי, בית הקפה מתחבר לאותה רשת אלחוטית שעמה הוא מספק ללקוחות גלישה חינמית. כך ניתן בקלות לפרוץ ולמצוא נתונים על כרטיסי האשראי", הוא מסביר.
"עסקים קטנים בדרך כלל לא שוכרים עובד מחשוב במשרה מלאה. הם מוצאים בן משפחה או מכר שמבינים קצת בתחום כדי שיסייע", אומר קלינגר. "גם אם הם לא זקוקים לאיש מחשוב במשרה מלאה, הם עדיין זקוקים לעובד מקצועי מתחום אבטחת המידע שיעסוק בזה". במקרה שבעלי עסקים שוכרים עובדי מחשוב, הם לרוב עובדים במיקור חוץ, מציין אשכנזי ואומר כי "במקרה זה לבעל העסק יש הרבה פחות שליטה על השירות, כי אלה לא העובדים שלו".
חובות התואמות את גודל העסק
הפתרונות לבעיות אבטחת המידע הם בדמות רגולציות ותקנות שאותן מגבשת רמו"ט בימים אלה.
ההנחיות הנוגעות לרכישת שירותי מחשוב במיקור חוץ נוסחו בנייר עמדה שהיה פתוח להערות הציבור עד 1 בדצמבר, וכללו כמה עקרונות הדורשים הסדרה בטרם הוצאת פעולות עיבוד מידע למיקור חוץ. התקנות הכלליות להגנת פרטיות במאגרי מידע פורסמו בינואר, וכעת עובדים ברמו"ט על גרסה עדכנית שתוגש לאישור משרד המשפטים. ברמו"ט מגבשים גם המלצות לגבי השימוש באינטרנט, שמיועדות להתפרסם עד סוף 2010.
בתקנות הכלליות נקבע כי על כל בעל עסק שיש ברשותו מאגר מידע לנסח מסמך המגדיר את המידע שברשותו ואת הסיכונים הקשורים אליו. כיום יוזמת רמו"ט כי עריכת המסמך יהיה חובה על בעלי העסקים והיא תוכל לאכוף זאת באמצעות ביקורת בבית העסק.
כמו כן, בתקנות נקבע כי על בעל עסק למנות נושא משרה שאבטחת מידע היא חלק מתפקידו והוא האחראי על התחום בעסק, ועליו לקבוע נהלים בתחום אבטחת המידע עבור העסק. "המטרה שלנו היא לדאוג שהסיכונים לא יהיו גדולים וזאת מבלי לפגוע בפעילות העסקים", אומר אשכנזי. "לכן התקנות בנויות באופן מודולרי - ככל שהעסק ומאגר המידע שברשותו גדולים יותר, כך גדלות חובותיו".
"היום החשש הוא כבר לא מאח גדול אחד, אלא מהרבה אחים קטנים"
עדיה פיטרמן
2.12.2010 / 9:02