מאת: יעל לרנר
אחרי שנים ארוכות בהן נאסף מידע אישי באופן אגרסיבי, נכנסו לפני כשנה לתוקף תקנות הפרטיות של האיחוד האירופי. על מנת להבין לעומק נושאים כמו פרטיות ברשת, תקנות הפרטיות ואיך בכמה צעדים פשוטים אנחנו יכולים לשמור על הפרטיות שלנו, שוחחנו עם רם לוי, מנכ"ל ומייסד קונפידס ומומחה בינ"ל לסייבר ואבטחת מידע.
רם, תוכל להגדיר מהי בדיוק פרטיות ברשת?
לפני שאנחנו שואלים מהי פרטיות ברשת, נגדיר מהי פרטיות. זו שאלה חשובה, שהתשובה עליה תביא אותנו למקום שאנחנו רוצים להגיע אליו. פרטיות היא היכולת לשהות במרחב פרטי, שנמצא בשליטה מלאה שלנו, שלא ברשות הרבים. למשל: הבית זה המרחב הפרטי שלנו. אם אנחנו מנסים להשליך את המונח הזה על מה שקורה באינטרנט זה בעייתי, כי חלק מהעסקה שלנו עם חברות האינטרנט היא שאנחנו מקבלים דברים בחינם, בתמורה לכך שאנחנו מספקים על עצמנו מידע שמאפשר לחברות הללו להרוויח כסף. יש כאן יחסי 'תן וקח'. כדי לשפר את חיינו עם דברים כמו צפייה ישירה, אפליקציות היכרויות, דואר אלקטרוני, פרסומות המותאמות לצרכים שלנו ועוד, ויתרנו מהר מדי על דברים אחרים, אותם אנחנו מכנים כפרטיים.
למה זה בעייתי?
לא היינו ערים לכמות האינפורמציה שמסרנו ושאנחנו עדיין מוסרים, כי אף אחד לא שאל מה ולמה. במשך 20 שנה, אנחנו מספקים מידע שאנחנו לא מודעים אליו. אנחנו גם לא יודעים מה מסרנו, למי ובעיקר, מה עושים עם המידע הזה, כי אותנו לא חייבו לשאול ואת החברות לא חייבו לומר. כאן מתחילה את הבעיה. בשלב מסוים הגיעו אנשים מסוימים והתעוררו.
למה התעוררו?
כי היה פריצות אבטחה והמידע החל להסתובב. אין חברה שלא ניתן לפרוץ אליה, אבל יש חברות שמקשות על כך יותר. רוב המוטיבציה של הפורצים היא כסף. מדובר גם בפשיעה שלא מצריכה מאמץ פיזי או הגעה למיקום מסוים, אלא יכולה להתבצע מכל מקום בעולם. הפשיעה הדיגיטלית עברה לפני מספר חודשים את מספרי הפשיעה הקונבנציונאלית.
מהי בדיוק פשיעה דיגיטלית והאם היא עלתה בזמן הקורונה?
בפשיעה דיגיטלית גונבים אינפורמציה ממקום אחד ומוכרים לאחר, למשל הונאות באינטרנט. בזמן הקורונה הפשיעה הדיגיטלית עלתה מאוד, כי הפחד והבורות הם מנועים שבהם התוקפים עושים שימוש והפחד מניע הרבה בני אדם ללחוץ על לינק. בארצות הברית למשל, גרמו לאנשים להוריד תמורת 75 סנט אפליקציה שתודיע ללקוח אם יש בקרבתו חולה קורונה. הונאה נוספת הייתה התראות מזויפות מטעם ארגון הבריאות העולמית כביכול על התפשטות המגפה. המשתמשים הורידו את הלינק ואז השתלטו להם על המחשב וביקשו כופר. צריך להבין שאין גבול ליצירתיות של התוקפים ברשת. הם אפילו תוקפים בתי חולים ומבקשים כופר, כמו במקרים שהתרחשו בצ'כיה, ארצות הברית ומקומות נוספים.
תוכל להסביר על הרגולציה החדשה להגנה על מידע אישי של האיחוד האירופי?
חוק הגנת הפרטיות ואבטחת המידע של האיחוד האירופי נכנס לתוקף ב-25.5.2018. החוק נועד להגן על אזרחי האיחוד האירופי מפני פגיעה אפשרית בפרטיותם דרך נתוניהם האישיים. הרגולציה החדשה להגנה על מידע אישי של משתמשים באינטרנט נקראת GDPR - General Data Protection Regulation. מדובר בתקנות מקיפות של האיחוד האירופי, שסימנו תג מחיר גבוה על הפגיעה בפרטיותם של יותר מ-700 מיליון אזרחי היבשת. מטרתן העיקרית של התקנות היא להגן על מידע אישי בעידן הדיגיטלי ולהציב רף גבוה של ענישה למי שיפר אותן. בין היתר, עוסקות התקנות בחיזוק זכויות הגולשים על המידע האישי שלהם, שנאסף על ידי חברות שונות, באחריות של חברות להגן על המידע הזה מפני דליפה ובהצבת הפרטיות במרכז השירות שהן מעניקות לגולשים.
מדוע נוצר הצורך בחוק שכזה?
בתקופה בה יותר ויותר מידע אישי נמסר, ונשמר על גבי מגוון מקורות אחסון דוגמת שרתי הענן, הפרות של תקנות הפרטיות הפכו לשכיחות יותר ויותר ונעשות באופן יומיומי. אירופה שמה כמטרה את נושא הגנת הפרטיות ואבטחת המידע, מקשיחה את עמדתה האיתנה ולא מקלה ראש עם העוברים על התקנות. דרך האכיפה מתבצעת באמצעות הטלת קנסות כבדים כנגד המפרים את תקנות הפרטיות. הרגולציה נועדה בעיקר לאפשר לכל תושב באיחוד האירופי שליטה מרבית על הפרטים שנשמרו אודותיו בחברות פרטיות, ציבוריות וגופים עסקיים וממשלתיים, זאת באמצעות החלת כללים משפטיים בני אכיפה על אותם גופים. הרגולציה אינה דורשת ממדינות האיחוד לחוקק חקיקה ספציפית נוספת, שכן היא חלה באופן ישיר ומחייב על המדינות החברות.
עברנו להיות חברה דיגיטלית מבוססת ידע, חברה שתלויה במחשבים וזו תופעה שתלך ותתחזק בשנים הקרובות, כי היתרונות עולים על החסרונות, אבל אנחנו צריכים לארגן מחדש לארגן את הזכויות והחירויות של נושאי המידע, כדי לאפשר כלכלה חדשה, מבוססת ידע ומידע.
לתושבים באירופה יש זכויות: הזכות לדעת מה אוספים עליהם, חופש המידע, תנועה וכדומה. השימוש במרחב הדיגיטלי צריך לעבור התאמה כדי להגן על הזכויות הקיימות והחדשות ולכן האיחוד הגדיר רשימה של זכויות וחובות על מי שמעבד מידע ואוסף מידע וזכויות של נושאי המידע, ועיגן את הקשר באמצעות חוקי הרגולציה.
למשל: הזכות לדעת איזה מידע אוספים עליך, הזכות לדעת מה עושים עם המידע, הזכות להישכח במקרים מסוימים. חשוב להבין שהרגולציה לא מתעסקת רק בפרטיות, אלא מסתכלת על העולם הדיגיטלי באופן רחב ועל קיום הזכויות הדיגיטליות בעולם הזה. אם למשל פרצו למחשבי בית החולים ומשתלטים עליהם, נוצרת פגיעה בזכויות נוספות מלבד פרטיות - זכות האזרח לקבל מידע או זכות הפרת פרטיות חולה.
עוד יתרון: עד עכשיו אספו עליכם מידע, אבל למי המידע הזה שייך? הוא שייך לבעל המידע ואת הזכות הזו כדאי להגדיר ולשמור. על הגוף שאוסף את המידע לספק אותו לבעליו, לציין מה אוספים, לתקן מידע וכן הלאה. לדוגמא, חברת התעופה לופטהנזה אספה עלי מידע לאחר שטסתי בה מספר פעמים. היום אני יכולה להתקשר ללופטהנזה, לבקש את המידע ולקבל אותו תוך 30-60 ימי עסקים.
איך בכוונת האיחוד לאכוף את התקנות ומה לגבי ישראל?
ישראל אינה נמנית על מדינות האיחוד האירופי, אולם התקנות יחייבו כל חברה שמחזיקה במידע של נתינים אירופאים, גם חברות ישראליות. מי שלא יעמוד בתקנות צפוי לקנס של עד 4 אחוזים מהמחזור שלו או 20 מיליון דולר.
לסיכום, איך נוכל לשמור על פרטיות ברשת בבית שלנו, במחשבים ובטלפונים?
קודם כל, יש להבין שלצד הדברים הטובים בסייבר יש איומים. זה כמו בית, שצריך לנקות אותו.
היגיינה דיגיטלית מונעת 99 אחוז מהבעיות של גניבה מחשבונות ואפשר לעשות זאת בכמה צעדים פשוטים:
1. לדאוג שהמחשב יהיה מעודכן, כי מחשב לא מעודכן זה מחשב פרוץ. בכל שבוע יוצאים עדכוני גרסה ולכן המחשב נשאר פרוץ.
2. תעשו ריסטראט במחשב אחת לשבוע, כי רוב העדכונים דורשים זאת ואם זה לא קורה, הגרסה לא תעודכן כראוי. קצת כמו לטאטא את הבית בלי לשטוף אותו.
3. שטפנו את הבית, אבל עדיין יכולים להגיע חרקים: להתקין תוכנת אנטי וירוס או תכנת הגנה שתגן על הבית. זה עולה כ-100-200 שקלים לשנה, וזה עושה כל כך הרבה. התוכנה מזהה איומים ומחסנת את המחשב מפני פגיעה אפשרית.
4. לא להתעלם מהתראות, לשנות את הסיסמאות ולהשתמש בסיסמאות כפולות. כך קשה יותר לתוקפים להגיע לחשבונות אישיים.
5. להפעיל שיקול דעת: אם אפליקציה לפנס ביקשה את פרטי המיקום שלך, יש להפעיל שיקול דעת וכמובן לא לאשר זאת.
רם לוי, מנכ"ל ומייסד קונפידס ומומחה בינ"ל לסייבר ואבטחת מידע, מרצה על סייבר וחשיבות אבטחת המידע בארגונים.