השב"כ זיהה אתכם בטעות כבעלי סיכון לחלות בקורונה? זו הסיבה

השב"כ מבצע מעקב אחר חולי קורונה במטרה להזהיר אנשים שבאו איתם במגע באמצעות הודעת סמס • עם זאת נראה כי המערכת לא מדייקת בזיהוי • מומחים מזהירים כי עלולים לעבור שבועות עד שהמערכות ייכנסו לפעולה מלאה ומדויקת, וכי הן ניתנות לניצול לרעה

ישראלים עם מסכות בתל אביב / צילום: Ammar Awad, רויטרס
ישראלים עם מסכות בתל אביב / צילום: Ammar Awad, רויטרס

האם האמצעים הדיגיטליים שמפעיל השב"כ בשרות משרד הבריאות מפספסים חולים מצד אחד, ומדווחים באופן שגוי על חולים לכאורה מצד שני?

המערכת שמפעיל השב"כ משמשת לצורך מעקב אחר נשאי וחולי קורונה, במטרה להזהיר אזרחים איתם באו החולים במגע.

אזרחים דיווחו היום ברשתות החברתיות על מקרים שבהם אזרחים שלא קיבלו שום הודעת סמס חשדו שהם נדרשי בידוד, אך לא קיבלו כל הודעה רשמית -זאת עד שפנו בעצמם למשרד הבריאות וקיבלו הנחיה להיכנס לבידוד. מנגד, התקבלו דיווחים על כך שאזרחים מקבלים הודעות על חובה להיכנס לבידוד ללא הצדקה, וללא מתן פרטים שיאפשרו להם לוודא כי אכן מסלולם הצטלב עם נשא קורונה.

באחד המקרים התברר כי הטעות שגרמה לזיהוי אזרח כחולה, ובעקבות כך נשלחה הודעה להכנס בידוד לכל מי שבא עמו במגע - נבעה מטעות הקלדה במעבדה שבה בוצעה הבדיקה, ושתוצאותיה השגויות הועברו בטעות לשב"כ.

"סביר מאוד שייקחו כמה ימים, ואפילו כמה שבועות, עד שהמערכת תכנס לפעולה מיטבית"

מלבד מקרה זה בו אותר מקור התקלה, דווחו כאמור מקרים שבהם אזרחים שיודעים שנחשפו לנשאים לא קיבלו הודעה כלל. גורמים בכירים בענף הסייבר מסבירים כי מדובר בתקלות סבירות, בעיקר בהפעלה ראשונית של מערכת מורכבת מסוג זה, וכי הם מניחים כי המערכת צפויה להשתפר בימים או בשבועות הקרובים.

גורם נוסף מסביר כי הטעות אפשרית בהחלט. כבר בשבוע שעבר הזהיר אותו גורם "מפני זיהוי שגוי של חייבי בידוד, למשל בשל העובדה שהמערכת המדוברת לא יודעת למדוד גובה". הגורם הסביר כי האופן שבו עובדת המערכת הוא ש"מכשיר שלא קיבל סמס או הוציא שיחה באותו רגע הוא במצב שידור נמוך, ולכן סטיית התקן שלו גבוהה ויכולה להגיע לטווח של 100-200 מטר".

עוד הסביר הגורם כי בנסיבות החירום הקיימות לא ניתן לצפות שהמערכת תדע לנקות טעויות בזיהוי: "אין כרגע, במצב חירום שנמצאים בו, יכולת להתחיל לנקות טעויות ממאגר הנתונים (data base), כמו למשל במקרה שרופא נמצא ליד חולה, וקופצת לגביו התראה. פשוט אין זמן להתעסק בזה".

מקור בכיר אחר בעולם הסייבר הסביר כי סביר מאוד שייקחו כמה ימים, ואפילו כמה שבועות, עד שהמערכת תכנס לפעולה מיטבית: "החברות הכי גדולות בעולם מונות כמה מאות אלפי עובדים, והטמעת מערכות ממוחשבות בהן עשויה להימשך אפילו חודשים. לכן סביר מאוד שייקח זמן לכייל ולבצע התאמות במערכת שמופעלת לראשונה על כ-10 מיליון מנויים.

"אוכלוסיות שונות מתנהגות באופן שונה זו מזו, ופועלות עם מערכות תמסורת אחרות, ולכן מפעילי מערכות המעקב לומדים כל הזמן את ההתנהגות שלהן. כל הזמן יש תקלות שצריך לבדוק. זו לא דרמה אם לוקח למערכת שבוע-שבועיים להגיע לפעולה אפקטיבית".

גורמים זדוניים יכולים לזייף הודעות

גם בועז דולב, מנכ"ל חברת הסייבר קלירסקיי ולשעבר ראש מערך האינטרנט הממשלתי, מתריע על חוסר הדיוק במערכת. לדבריו, "איכון סלולרי מתבצע על ידי קביעת מרחק של המכשיר הסלולרי ממספר אנטנות השידור.

"לא מדובר במרחק מדויק, בוודאי לא ברזולוציה של מטרים, ולכן סביר שיהיו טעויות באיתור". הבעיה לדברי דולב היא שחסר כרגע מנגנון לתיקון הטעויות ו"למעשה, למי שקיבל את ההודעה הזו אין בידיו אפשרות לבדוק אם נפלה טעות, וכתוצאה יורדת רמת האמינות של ההודעות".

דולב מזהיר עוד כי בשל המבנה של המערכת הטכנולוגית למשלוח הודעות סמס, "יוכלו גורמים זדוניים להתחזות ולשלוח הודעות כאלו לאנשים ולהכניס אותם לבידוד". הסיבה לכך היא טכנולוגית.

בישראל כיום, ניתן לשנות את שדה ה-'מאת' בהודעת סמס, וזוהי לדברי דולב "פירצה שקוראת לגנב, ומאפשרת זיוף של מקורות סמסים בקלות על ידי גורמים זדוניים. לכן, יש צורך לייחד הוראה מפורשת שהופכת זיוף שכזה ללא חוקי".

נוסף על כך מתריע דולב כי "אם אין מידע על מיקום ושעת החשיפה, אדם לא יוכל לערער על ההכנסה לבידוד. כך למשל, אם אדם מפעיל את הסטורית המיקומים באנדרואיד, יש לו מעקב עצמי אחר תנועותיו, ועקרונית, במידה ונפלה טעות, הוא יוכל להוכיח שלא היה במקום. אבל אם אין מידע על מיקום ושעת החשיפה, אי אפשר לערער".

לעובדה זו יש לדברי דולב חשיבות עצומה. "פעולות הממשלה בעניין המעקבים חייבות לעורר אמון, אך על מנת לעורר אמון - חייבים לתת לאזרח מקבל ההודעה אמצעים ויכולת בסיסית לוודא כי אכן היה באותו מקום וזמן, וכי ההודעה לא נשלחה אליו בטעות".

לצד הביקורת, מפרט דולב מהם לדעתו האמצעים הדרושים כדי לפתור חולשה זו של המערכת. דולב מסביר כי יש מספר משתנים שחייבים להיכנס אל תוך ההודעה: תאריך (לועזי ועברי), שעה, מיקום - הכולל עיר, אזור, כתובת ואם אפשר שם עסק, מספר חולה שהאדם היה בקרבתו.

בנוסף, הוא מציע שהממשלה תציע שירות שיאפשר לוודא אמינות הסמסים. זאת למשל באמצעות "קוד זיהוי ייחודי שדרכו ניתן יהיה להתקשר ולשמוע את הודעת הסמס בהקראה קולית מול מספר רשמי של משרד הבריאות, וכמובן טלפון להתקשרות במקרה שחלה טעות במיקום".

"פועלים לתכלית אחת בלבד - הצלת חיי אדם"

מהשב"כ נמסר בתגובה כי "הסיוע הטכנולוגי שנתבקש השב"כ לספק למשרד הבריאות נועד לתכלית אחת בלבד - הצלת חיי אדם. לטובת העניין הוקם צוות מצומצם של אנשי שירות אשר מתמחים בתחום טכנולוגי זה. צוות זה פועל במסירות ובתחושת שליחות סביב השעון על מנת לסייע במאמץ הלאומי לצמצום התפשטות הנגיף.

"במסגרת תהליך העבודה בין השב"כ למשרד הבריאות מתקיימים הליכי פיקוח ובקרה על מנת לדייק ככל שניתן את התוצרים, וזאת תוך הקפדה חסרת פשרות על צנעת הפרט. מאז תחילת הפעילות המשותפת של שב"כ ומשרד הבריאות, הועברו נתונים בקנה מידה רחב היקף של אזרחים אשר שהו ללא ידיעתם בקרבת חולים מאובחנים.

"שב"כ פועל אך ורק על בסיס הנתונים של החולים המאובחנים כפי שמועברים ממשרד הבריאות. על פי גורמי המקצוע במשרד הבריאות, יש בפעילות המשותפת תרומה משמעותית למאבק בצמצום התפשטות הנגיף ולשמירה על בריאות הציבור".