משרד המשפטים / צילום: תמר מצפי
המידע הנמצא בתיקו הרפואי של אזרח, המכיל בין היתר את כל פרטי הטיפולים והניתוחים שעבר, הוא מידע רגיש ביותר, שלא היינו רוצים לחשוף לציבור. לכן, היה מזעזע במיוחד לקרוא על החשד שלפיו עובדים סוציאליים, אחים ואחיות בבתי חולים, עובדי קופת-חולים, מנהלים וסוכנים בחברות שירותי סיעוד וטלרפואה וסוחרים במידע, פעלו במשותף להוצאת מידע רפואי רגיש ממאגרי המידע של בתי חולים ואחת מקופות-החולים. זאת, למען מסחורו לחברות סיעוד ושירותי הטלרפואה, כדי שאלה יוכלו לבצע שיווק ממוקד למטופלים.
במקרים כאלה יותר מכל עולה השאלה, איך קרה שמתחת לאפם של מנהלי המידע באותם בתי חולים וקופת-החולים הצליחו עובדים להוציא מידע רגיש כל-כך, בלי שאיש ישים לכך לב בזמן אמת? יותר מכך, מה עושים כל הגופים האלה כדי לשמור על המידע שלנו, ועל-פי איזה מדד נבחנת פעילות זו?
בישראל של היום, עם כל איומי הסייבר הגדולים, נבחנים איומי הסייבר על בסיס חקיקה ישנה מ-1981, שעודכנה לאחרונה לפני 10 שנים. בחקיקה הזו יש הצהרה כללית על החובה לשמור על המידע, אך אין פירוט מדויק של מה מוטל על גופים כדי לקיים את חובת אבטחת המידע וההגנה מפני פריצות למאגרי המידע, הן חיצוניות והן כאלה פנימיות של עובדי המערכת עצמה.
במציאות שבה מידע רב מצוי במאגרי מידע במערכות המחשב של גופים שונים, חשוב וראוי שתהא תקינה ברורה שקובעת מה יש בדיוק לעשות כדי לשמור על המידע. כשמעלים את הטענה הזו בפני גורמי שלטון שונים, עולה כנגד הטענה כי הנה המאגרים של צה"ל וגופי הביטחון לא נפרצו מעולם. משמע, שמי שרוצה להגן על המידע שלו, מוצא את הדרך הנכונה לכך, והוא לא צריך שהמדינה תבוא ותקבע לו תקנים בנושא.
קשה להסכים עם טענה כזו, המנפנפת בהצלחה של גופי הביטחון לשמור על המידע. מול ההצלחה של גופים אלה נזכיר את הדליפה ההרסנית של מאגר רישום האוכלוסין, לפני שנים אחדות, וגם עתה במקרה הנ"ל מדובר בבתי חולים, גופים שמצויים בחלקם בבעלות המדינה.
כדי שהאזרחים יהיו שקטים ובטוחים שהמידע שלהם מוגן, צריך לצאת מאווירת ה"סמוך", כי הניסיון מעיד שלא ניתן לסמוך במרבית המקרים על הגופים עצמם, ולהורות במדויק מה צריך לעשות ארגון כדי לשמור על המידע שלו.
יש להטיל על הגופים השונים הוראות ברורות גם ביחס לדרך התנהגות העובדים בארגון, כדי למנוע מצב, כפי שקרה בבתי החולים, שעובדים ידליפו מידע. לצורך כך יש לאכוף קיומם של נוהלי אבטחה ברורים בארגון ולחייב באכיפה משמעותית שלהם, תוך הרתעה ברורה של העובדים מפני אפשרות גניבת המידע. הרתעה כזו תושג מקום שבו ארגון אכן יאכוף את נוהלי האבטחה, יפטר עובדים שסחרו ואף ידווח עליהם לרשויות שעוסקות בכך.
מי שמטפלת בנושא היא הרשות למשפט וטכנולוגיה במשרד המשפטים (רמו"ט). כבר ב-2010 הוציאה הרשות טיוטת תקנות לאבטחת מידע לאישור שר המשפטים והכנסת. התקנות מציעות להטיל חובה לדווח לרשות על אירועי מתקפות סייבר חמורים בארגונים השונים, אשר במסגרתם נפרץ או נחשף מאגר מידע המכיל מידע אישי, כולל פריצה שנעשתה על-ידי עובדי הארגון עצמו. בהמשך לכך קובעות התקנות את סמכותה של רמו"ט לחייב את בעל מאגר המידע הרלוונטי להודיע למושאי המידע על אירוע הפריצה שאירע.
נוסף על כן, התקנות החדשות מבקשות לקבוע ולהכין מראש נהלים סדורים פנים-ארגוניים, אשר יפרטו את נוהלי ואת יכולות הארגון להתמודדות עם אירועי אבטחת מידע שונים, וכן יבהירו את חובותיהם ואחריותם של מורשי הגישה השונים למידע שבארגון. טיוטת התקנות קובעת בנוסף שורה ארוכה של פעולות שעל ארגון לנקוט לצורך הסדרת נושא אבטחת המידע במסגרתו.
שרת המשפטים איילת שקד הייתה השרה הראשונה שראתה לנכון לקדם את הטיוטה, ועתה ממתינים לאישורה על-ידי ועדת חוקה חוק ומשפט של הכנסת, שהייתה אמורה לדון בכך ב-15 בנובמבר 2015. אך בינתיים הדיון בה בוטל. כנראה לוועדת חוקה לא בוער להביא לכך שהמידע שלנו יהיה יותר מאובטח.
עושה רושם שהמחוקק נרדם שוב במשימת השמירה על המידע האישי של אזרחי המדינה.
■ הכותב עומד בראש משרד עורכי הדין דן חי, המתמחה בטכנולוגיה, בתקשורת ובסייבר.