|
גישה נרחבת והעדר בקרות [צילום: גילי יערי, פלאש 90]
|
|
|
|
|
הליכוד, ישראל ביתנו וחברת אלקטור תוכנה הפרו את חוק הגנת הפרטיות והתקנות מכוחו, והדבר הוביל לדליפת מידע רגיש בפברואר אשתקד, ערב הבחירות לכנסת ה-23 - קובעת (יום ד', 27.1.21) הרשות להגנת הפרטיות. עוד נקבע, כי במערכות אבטחת המידע של אלקטור היו ליקויים רבים וחמורים, כמו גם בהתנהלותה כמחזיקה של מידע אישי רגיש.
אלקטור מתארת את פעילותה כ"יצירת פרופיל של המצביעים עם הסיכויים הגבוהים ביותר שתומכים בך", הן כדי להעביר אליהם מסרים והן כדי להניעם להצביע. היא פועלת בבחירות ארציות, מוניציפליות, מקדימות וארגוניות. על-פי הפרסום באתר שלה, היא מייחסת לעצמה הבאת 200,000 מצביעים נוספים לליכוד בבחירות הקודמות.
האירוע בפברואר שעבר גרם לכך שהתאפשרה גישה למערכות המידע של אלקטור ודלף לרשת קובץ המכיל מידע מפנקס הבוחרים ומידע נוסף על 6.5 מיליון בעלי זכות הבחירה, כולל השמות, הכתובות, מספרי טלפון, כתובות דוא"ל, מצב רפואי ואישי והאם הם תומכים או לא תומכים בליכוד ובישראל ביתנו. לדברי הרשות, בדיקתה בזמן אמת חשפה ליקויי אבטחת מידע חמורים אותם הנחתה לתקן. בדיקות נוספות העלו, כי גם לאחר תיקון הליקויים הראשוני, עדיין ניתן היה לחדור למערכות המידע של אלקטור ולהגיע אל פנקסי הבוחרים ואל מידע אישי המצוי במערכת. לפיכך, הנחתה הרשות את החברה להפסיק לאלתר את השימוש במערכת עד לתיקון ליקויי האבטחה. עקב כך, השימוש במערכת הופסק והופעל מחדש לצורך מבדקי חדירות. רק לאחר מספר ימים, לאחר שהרשות וידאה שהחברה טיפלה בליקויים, עלתה המערכת לאוויר.
הרשות מדגישה, כי גם המפלגות נושאות באחריות כאשר הן מעבירות מידע לספקים חיצוניים, ובנוסף לכך אסור להן להשתמש במידע אישי ללא קבלת רשות פרטנית מכל אזרח. היא מציינת, כי הנחיות אלו ניתנו לכל המפלגות ערב הבחירות הקודמות. הרשות דחתה את טענתן של הליכוד וישראל ביתנו, ולפיה חוק הגנת הפרטיות והתקנות על פיו אינם חלים על פנקס הבוחרים ועל השימוש בו. המפלגות ואלקטור לא נקטו אמצעים מספיקים לאבטחת המידע, היא קובעת.
בין הליקויים שמצאה הרשות במפלגות ובחברה: אי-קביעת נוהל אבטחת מידע ומנגנוני עבודה בהתאם לו, העדר מסמך עדכני בדבר מבנה המאגר, מתן גישה למידע שבמאגר מעבר לצורך ולהיקף הנדרש, אי-מניעת אפשרות גישה בו-זמנית של כמה מזדהים באותם פרטי זיהוי, מתן הרשאות גישה למי שאינו מורשה, קביעת סיסמאות חלשות ללא בקרה, העדר קיומו של מנגנון תיעוד אוטומטי שיאפשר בקרה על הגישה למאגר ותיעוד אירועי אבטחת מידע, אי-התקנת מערכות ואמצעי הגנה מתאימים שימנעו חדירה לא מורשית, אי-ביצוע סקרי סיכונים או ביקורות אבטחת מידע ועוד.
עוד קבעה הרשות, כי אלקטור החזיקה בפנקסי בוחרים ממערכות בחירות קודמות, על-אף שהייתה חייבת לבער אותם. המפלגות לא נקטו אמצעי פיקוח ובקרה מספקים לבחינת עמידתה של אלקטור בהוראות החוק והתקנות, לא בחנו את סיכוני אבטחת המידע הכרוכים בהתקשרותן איתה, לא קבעו בהסכמים עימה את אופן יישום חובות אבטחת המידע ולא נקטו אמצעי בקרה ופיקוח על עמידת החברה בהוראות ההסכם. הרשות מדגישה, כי הליכוד וישראל ביתנו לא יכלו להסתפק בהתחייבותה של אלקטור לעמוד בהוראות החוק, אלא היו חייבות לוודא בפועל שהיא עושה זאת ולפקח על פעילותה. מאחר שלא עשו זאת, הן הפרו את חוק הגנת הפרטיות.