פנייה ליו"ר ועדת הבחירות: לאסור שימוש המפלגות באפליקציות לניהול בחירות

על רקע פרצת האבטחה באפליקציית אלקטור, בה משתמשות חלק מהמפלגות, המכון הישראלי לדמוקרטיה הגיש חוות-דעת לוועדת הבחירות • "איסוף המידע והצלבתו פוגע בחוק הגנת הפרטיות, מאיים על הזכות לבחור ולהיבחר ופותח כר נרחב לזיופים ולדליפות מידע"

קלפיות במרכז לוגיסטי של ועדת הבחירות/  צילום: רויטרס, Ammar Awad
קלפיות במרכז לוגיסטי של ועדת הבחירות/ צילום: רויטרס, Ammar Awad

המכון הישראלי לדמוקרטיה גיבש חוות-דעת לפיה יש "לאסור שימוש באפליקציות לניהול בחירות עד להסדרת הנושא". חוות-הדעת הוגשה ליו"ר ועדת הבחירות המרכזית השופט ניל הנדל על רקע פרצות שהתגלו באפליקציית ניהול והמרצת בוחרים בה עושות שימוש מפלגת הליכוד ומפלגות נוספות. לפי דיווח ב"כלכליסט", גם כמה ימים לאחר שהתגלתה הפרצה הראשונה, האפליקציה לא הייתה מוגנת, והתגלו בה שתי פרצות נוספות.

 השופט ניל הנדל/ צילום:אוריה תדמור
  השופט ניל הנדל/ צילום:אוריה תדמור

אפליקציית אלקטור היא אפליקציה שנועדה לאפשר למטות המפלגות לנהל את קשריהן עם המצביעים, כפי שאנשי מכירות מנהלים את קשרי הלקוחות שלהם באמצעות תוכנות CRM. המידע מגיע לאפליקציה מפנקס הבוחרים שמקבלת המפלגה כאשר פעילי המפלגות יכולים להוסיף עליו שכבות מידע נוספות, כמו אינדיקציות לגביי כוונות ההצבעה של בעל זכות ההצבעה. ביום הבחירות האפליקציה מאפשרת למשקיפים לעדכן אותה עם מידע על מצביעים שמימשו את זכותם. כך יכולים המטות לבצע חיתוכי מידע שיאפשרו להם לשלוח הודעות או לבצע שיחות טלפון לבוחרים פוטנציאליים.

בחוות-דעת שנכתבה על ידי ד"ר תהילה אלטשולר-שוורץ ועו"ד רחל ארידור-הרשקוביץ הן מתייחסות לא רק לאספקטים של אבטחת מידע אלא על גם לעצם המהות של האפליקציה והמטרות שלשמן היא נועדה. השתיים מתריעות כי הצירוף של אגירת והצלבת מידע רגיש על הבוחרים, לנוכח תרבות של רשלנות בשמירה על מידע "פוגע בחוק הגנת הפרטיות, מאיים על הזכות לבחור ולהיבחר ופותח כר נרחב לזיופים ולדליפות מידע".
בעיקר, מצביעות השתיים על פרט המידע הרגיש ביותר שמוצמד במערכת לשמם של מצביעים - דעותיהם הפוליטיות ומידת תמיכתו במפלגה, ש"נכללת במאגר המידע שמוחזק באפליקציות ומהווה בסיס לתעדוף תהליכי הלחץ והשכנוע ביום הבחירות".

"עמדה פוליטית של אדם היא מידע אישי"

"אין מחלוקת בנוגע לכך שעמדתו הפוליטית של אדם היא מידע אישי רגיש. אבל לא פחות מזה, גם בחירתו שלא לבוא להצביע היא מידע רגיש", טוענות אלטשולר-שוורץ וארידור-הרשקוביץ' ומפרטות מה המשמעות בקיומם של מאגרי מידע שכאלה לאזרח, אפילו אם האזרח רק נמנע מלהצביע: "בעולם שבו המידע פתוח קיים חשש להפעלת לחץ על הבוחר על ידי אנשים בדרגות קרבה והשפעה שונות עליו, למשל במקום עבודתו או על ידי בני משפחתו ושכניו".

אלטשולר-שוורץ ורחל ארידור-הרשקוביץ מציגות דוגמאות נוספות: "ניתן לחשוב על מצב שבו הודעות שקריות מגיעות באופן מכוון אל בוחרים ספציפיים. למשל, הודעה לפיה במצוות הרבנים יש להוסיף את האותיות בס"ד על פתק הקלפי, שתישלח למי שידוע שהיא שומרת מצוות", או "הודעה המיועדת למי שאינו תומך המפלגה לפיה בקלפי המסוימת שאליה הוא משתייך - התורים ארוכים".

החוקרות ממליצות ש"לאור העובדה כי רשויות הגנת הפרטיות ברחבי העולם החלו לבחון מקרוב את השימוש באפליקציות ופועלות לגיבוש כללים בעניין זה, נדרשת הקפאת כלי איסוף המידע שמציעות אפליקציות אלה, עד לגיבוש כללים מספקים על-ידי חקיקה, על ידי ועדת הבחירות או על ידי הרשות להגנת הפרטיות".

"כולם משחקים את משחק ה'כאילו'"

ריבוי מקרים של פרצות אבטחה מעלה את השאלה אם לא נדרשת היערכות שונה לחלוטין בכל הקשור להגנת הפרטיות במאגרי מידע על האזרחים? הפגיעות של פנקס הבוחרים ידועה לרשויות מזה שנים רבות. דוח של הרשות להגנת הפרטיות התריע כבר ב-2011 על כל התופעות שאנו עדים להן כיום: "האופן בו מופץ הפנקס, טכנולוגית ונוהלית, אינו מצמצם את הפגיעה האפשרית בפרטיות ואת הצורך לעמוד בדרישות חוק הבחירות והתקנות מכוחו. לדוגמה, לאור הקלות בה ניתן להעתיק את הפנקס מהתקליטור, יש לבחון את אופן הפצת המידע בדרך זו ולבחון יכולות טכנולוגיות הקיימות להפצת מידע באופן אשר יקשה על שימוש בו מעבר למטרה לשמה נמסר".

לדברי עו"ד לימור שמרלינג מגזניק, בכירה לשעבר ברשות להגנת הפרטיות, הפתרון הוא טכנולוגי: "יש לייצר עבור המפלגות פלטפורמה שתאפשר מדרג שימוש, שתאפשר למפלגות גישה למידע באופן מאובטח עם ניטור לגבי מי עושה מה, למי המידע נמסר ואפילו אוסר על העברה לגורמים מסוימים או מגביל את הגישה לאחרים".

גם בעז דולב, לשעבר בכיר במערך התקשוב הממשלתי, הצביע בשיחה עם "גלובס" על אזלת היד של הגופים הממשלתיים בטיפול באירועי אבטחת מידע. לדברי דולב, "זה הכל עניין של השקעה כספית ואכיפה. אם בעל מאגר שדלף היה יושב במעצר, הבא אחריו כבר לא היה נוהג אותו דבר".

דולב מציין כי הבעיה לא נמצא בחקיקה עצמה, אלא במוטיבציה לפעולה. "כל הסמכויות קיימות, יש את חוק המחשבים וחוק הגנת הפרטיות, רק כולם אצלנו משחקים את משחק ה'כאילו', ואף אחד לא סוגר את המעגל עד הסוף. לא ייתכן שמאגרי הנתונים של מדינת ישראל ישוכפלו לכל דורש, זה חייב להיפסק". לדברי דולב, שהיה אחראי על פרויקטי ממשל זמין ותהיל"ה במשרד האוצר וכיום משמש מנכ"ל חברת הסייבר קליר סקיי, במצב הנוכחי, להמשיך לתת למפלגות את המידע המלא "זה כמו לתת אותו בידיעה ברורה שזה כרגע דולף. אין למפלגות שום מערך שמסוגל לאבטח את המידע". 

באלקטור מכחישים, אך חוקרים חוששים מפרצות נוספות

צור ימין, מנכ"ל ובעלים של חברת אלקטור, דוחה את הטענות על פרצות אבטחה באפליקציית ניהול הבוחרים. לפי טענה אחת, אותר מידע רגיש בקוד המקור של האתר. לפי טענה נוספת, קוד המקור של מערכות האתר פורסם ברשת. לדברי ימין, "הקוד שטוענים שעלה הוא קוד בן עשרה חודשים, שפורסם באתר גיטהאב כמבחן בית לעובד שטרם התקבל לחברה. אם יש מתכנת שטוען שזה הקוד של המערכות הוא מוזמן להוריד ולהפעיל אותו.

לבקשת "גלובס" ביצעו חוקרי חברת האבטחה צ'ק פוינט, אייל איטקין ואיתי כהן, בדיקה של הקוד באתר אלקטור ולדבריהם, ניתן לראות שחורי האבטחה שדווחו היו שם בעבר ועתה תוקנו. החוקרים ציינו כי הרושם הכללי מאיכות הקוד הוא שאם תבוצע בדיקת חדירות נוספות סביר שיימצאו בו חורי אבטחה נוספים. חוקרי צ'ק פוינט לא בחנו את קוד המערכת שפורסם באתר גיטהאב בשל הזמן הקצר, אך ציינו כי גם העלאת קוד ישן של המערכת הוא פעולה מסוכנת משום שניתן להסיק ממנו מסקנות על אופן פעולת המערכת.

על כך הגיב ימין: "מוזמנים לעשות בדיקת חדירות, כמו שכל העולם מנסה כבר שבוע ללא הצלחה לרבות גורמים מקצועיים. אם יתפרסם שהם אמרו את זה ללא הוכחה שיצפו לתביעת דיבה. מדובר בשרת טסטים של החברה שבכל מקרה אין עליו מידע רגיש. הגורמים הרלוונטיים מכירים זאת כבר שבוע והחברה עובדת בשיתוף פעולה ובשקיפות מלאה מולם. עם מפתחות אלו לא ניתן לעשות כלום. לעיניים לא מקצועיות - זה כמו שיהיה לי את השם משתמש לחשבון הג'ימייל שלכם (מה שקיים ברגע ששלחתם למישהו מייל) אבל ללא סיסמה".

באשר לקוד שעלה לגיטהאב, טען ימין כי מדובר ב"מבחן של עובד טרם התקבל (כמו מיליונים שקיימים שם) לחברה ואין בו קשר למערכת פרודקשן כלל וכלל. מדובר בניסיון להשחיר ולרסק את שם החברה עם מידע לא מבוסס שמגיע מחוסר הבנה ולו בשביל ליצור באז תקשורתי על לא מאומה. מדובר על קוד בן 10 חודשים כפי שניתן לראות, טרם העובד (מפתח אפליקציה) התקבל לחברה ובמהלך מבחן שנדרש בשביל להתקבל אליה אשר עלה לחשבונו הפרטי. כשהתקבל, תהליך הפיתוח התחיל מחדש. "המומחים" מטעם מוזמנים להריץ את הקוד הנ"ל ולראות זאת. ובכל מקרה הוא נמחק ולו בשביל מראית עין וניסיונות השחרה מסוג זה". 

*** גילוי מלא: תהילה אלטשולר-שוורץ חיברה את הקוד האתי של "גלובס"