בשנים האחרונות אנו עדים לעלייה בכמות פריצות האבטחה, בתחכום שלהן ובהשפעתן על אזרחים מן השורה, ונראה שאף מדינה ואף ארגון אינם חסינים. לאחרונה אנו עדים לאירוע נוסף וחסר תקדים בהיקפו, ברגישות המידע שנגנב ובהשפעתו על אזרחי המדינה - מתקפת כופר על מאגרי המידע של חברת CyberServe, לרבות דלף מידע משירות ההיכרויות "אטרף".
מאגרי המידע של "אטרף", וכן מאגרים נוספים שנפגעו באירוע, הם בעלי רגישות גבוהה, והם כוללים מידע שחשיפתו מהווה פגיעה חמורה ובלתי הפיכה בפרטיות המשתמשים ועשויה להיות קריטית למצב הנפשי ולחיי המשפחה והעבודה של משתמשים אלו. כעת, לאחר שלפחות חלק מהמידע כבר זמין לציבור, הרשות להגנת הפרטיות פתחה בחקירה, אסרה על החברה להעלות את האתר חזרה לאוויר, דרשה מהחברה להודיע באופן אישי לכל מי שהמידע על אודותיו דלף ומפרסמת המלצות לציבור הנפגע לנקוט אמצעי זהירות. אולם שעה ש-"הסוסים כבר ברחו מהאורווה", אין באמצעים אלו כדי לרפא את הפגיעה שנגרמה ולמנוע אירועים עתידיים.
כפי שכבר נכתב רבות, חוק הגנת הפרטיות הוא חוק מיושן שנחקק לפני כ-40 שנה ואינו מתאים לחברה מבוססת טכנולוגיות המידע בה אנו חיים. החוק משתרך הרבה מאחורי השינויים הרגולטוריים שחלו בעולם בתחום זה והוא אינו מעניק לרשות להגנת הפרטיות כלי אכיפה אפקטיביים שיגרמו להתרעה מספקת שתוודא הגנה ראויה על המידע האישי של כולנו. גם ההצעה האחרונה לתיקון החוק, שאושרה לאחרונה בוועדת השרים לענייני חקיקה, אינה מטפלת בצורה מספקת בשורש הבעיה, ואם היה עוד ספק, כעת ברור שעל הכנסת לפעול באופן מיידי לתיקון כולל של חוק הגנת הפרטיות.
משזהו מצב הדברים ותיקון לחוק לצערנו לא נראה באופק, ראוי כי אירוע האבטחה ב-"אטרף" ישמש כקריאת השכמה לא רק לרגולטורים אלא גם לגופים המסחריים שמחזיקים מידע אישי עלינו. מעבר לכך שעל כל ארגון שמחזיק במידע אישי לפעול באופן מיידי להגברת רמת האבטחה, להפיק לקחים מהאירוע ולהיערך לפעול במהירות בקרות אירוע אבטחה, על ארגונים גם לאמץ בעצמם מסגרת עבודה וולונטרית ומקיפה להגנה על פרטיות המשתמשים בשירותיהם. מאימוץ מסגרת שכזו ירוויחו כל הצדדים המעורבים – לא רק המשתמשים שיזכו להגנה על פרטיותם ובתחושת ביטחון גבוהה יותר משימוש בשירותים דיגיטליים, אלא גם לארגונים עצמם אשר יחסכו את נזק המוניטין העצום שעשוי להיגרם להם בעקבות אירוע אבטחה.
לעמדתנו, ראוי שמסגרת וולונטרית כאמור תתבסס על העקרונות הקבועים בתקנות האיחוד האירופי להגנה על מידע אישי (ה-GDPR) - ללא ספק הרגולציה המתקדמת בעולם להגנה על מידע, אשר תבטיח, בין היתר, את מחויבותם של ארגונים לאחריות, אבטחת מידע, שקיפות, הגינות, פיקוח ובקרה על נותני שירותים שמעבדים עבורם מידע, צמצום המידע הנאסף והגבלת השימוש בו. קביעת ה-GDPR כתקן וולונטרי לחברות ישראליות המעבדות מידע אישי, גם אם הן אינם כפופות לדין זה באופן ישיר, תהווה צעד בכיוון הנכון.
התוצאות של אירוע האבטחה במאגרי "אטרף" הן בין הקשות שנראו בישראל וצפוי כי תמשיך להיות עלייה בכמות אירועי האבטחה שנחווה. לצערנו, נוכחנו לדעת שהגנה על הפרטיות במרחב האינטרנט היא בגדר דיני נפשות, והדבר רק מדגיש את החשיבות שקיימת בשיתוף בין רגולטורים וארגונים במציאת פתרונות להגנה על פרטיות אזרחי המדינה. אנו מקווים שלכל הפחות התוצאות החמורות של אירוע זה ישמשו כקריאת השכמה לכל העוסקים בתחום שיפעלו בהקדם על מנת לשנות את המצב האבסורדי שקיים היום.
מאת עו"ד אלה טבת, שותפה ומנהלת את מחלקת קניין רוחני ופרטיות במשרד עו"ד גרוס ושות' ועו"ד רועי לאור, עו"ד במחלקה