|
ספירת הקולות בבחירות לכנסת ה-23 [צילום: אוליביה פיטוסי, פלאש 90]
|
|
|
|
|
קיימים ליקויים באופן בו המפלגות המשמעותיות עושות שימוש במידע הרגיש שנמצא ברשותן. כך קובעת (יום ד', 30.9.20) הרשות להגנת הפרטיות במשרד המשפטים, אשר ערכה בדיקת רוחב ב-19 מפלגות (שהרכיבו שמונה רשימות) שהתמודדו בבחירות לכנסת ה-23. "נמצאו פערים משמעותיים בין האופן בו המפלגות מיישמות את החוק, התקנות והנחיות הרשם, והאופן בו הן פועלות להגנה על אבטחת המידע ופרטיות נושאי המידע", אומרת הרשות.
המפלגות מחזיקות מאגרי מידע רגישים במיוחד, הכוללים מידע על-אודות דעותיו הפוליטיות של אדם. השילוב של מידע בדרגת רגישות גבוהה וכמות משמעותית של רשומות מידע בבעלות המפלגות, מחייב את המפלגות לעמוד בסטנדרטים מחמירים של אבטחת מידע, אומרת הרשות. מדובר במאגרים של תומכים, מתנדבים, עובדים וחברים - אשר ברור מעצם יצירתם שהם מלמדים על הדעות הפוליטיות של הכלולים בהם.
ברוב המפלגות נמצאו ליקויים באבטחת המידע ואי-עמידה בתקנות המחייבות אותן. בין הליקויים: היעדרם של מסמכי הגדרת מאגר, אי-ביצוען של מבדקי חדירות וסקרי סיכונים תקופתיים, נהלי אבטחת מידע חלקיים או לא מספקים, ליקויים בנושא ניהול הרשאות הגישה למאגרים (העדר תהליכים נאותים לניהול ההרשאות או העדר הפרדת תפקידים ומתן הרשאות). ברוב המפלגות לא קיים מנהל אבטחה של מאגר המידע. מערך ההרשאות מנוהל ומתופעל פעמים רבות בידי מנהלי המאגר או "מנהלים אזורים" או "מנהלי מסעות", המעניקים הרשאות למאגרי המידע ולמערכות
המידע של המפלגות מבלי לבצע הערכה להיקף ההרשאה הניתן ביחס לדרישת התפקיד.
המפלגות גם אינן מדריכות כיאות, בנושא אבטחת המידע, את מאות העובדים שהן מגייסות בתקופת הבחירות. ההדרכות מתקיימות בטלפון, ללא נהלים מסודרים וללא תיעוד בדבר ביצוען. הן בוצעו בניגוד לתקנות, ללא יחס ישיר לרגישות המידע ולהיקף ההרשאות, בין השאר מפני שלא הועברו בידי אנשי מקצוע, אלא מי שבפועל מדריך את העובדים החדשים הם מנהלי המטות או פעילי המפלגה, החסרים ידע והבנה בתחום.
רוב מפלגות רוכשות מאגרי מידע לצורכי טיוב נתונים, עריכת סקרים, שיווק וכו'. הן מתקשרות עם גורמים המציעים להם מידע אישי על אנשים, וזאת מבלי לוודא שמקורות המידע חוקיים. ליקוי מרכזי הוא העדר בחינה מספקת של סיכוני אבטחת המידע הכרוכים בהתקשרות עם ספקי מיקור חוץ, לא נבחנות חלופות ולא מוגדרים נוהלי סיכונים מסודרים. חלק מספקי החוץ עימם התקשרו המפלגות נמצאו ככאלה אשר אינם מיומנים די הצורך בתחום אבטחת המידע. רוב המפלגות לא עמדו בדרישות החוק והתקנות בבצען התקשרות עם ספקים אלה: הן אינן בוחנות את איכות ניהול אבטחת המידע ואופן תפעול מאגרי המידע ולא מבצעות פעולות פיקוח כנדרש.
הרשות אינה מפרטת את הליקויים שנמצאו בכל מפלגה, אלא רק אומרת ש"העבירה לכל אחת מהמפלגות את ממצאיה ואת הנחיותיה והמלצותיה לתיקון הליקויים הספציפיים אשר נמצאו במסגרת פיקוח הרוחב ביחס לאותה מפלגה". היא גם הנחתה את המפלגות לנקוט בשורה של פעולות רוחביות כדי להבטיח את עמידתן בהוראות החוק. מהודעת הרשות עולה, כי היא לא נקטה אמצעי אכיפה כלשהן כלפי המפלגות.