הנחיה חדשה: אסור להשתמש במידע ממרשם האוכלוסין בלבד לאימות זהות בטלפון או ברשת
הרשות למשפט, טכנולוגיה ומידע, שהוציאה את ההנחיה, קובעת שהזדהות שכזו אינה עומדת בחובת אבטחת המידע הקבועה בחוק הגנת הפרטיות ● עו"ד יורם הכהן, ראש הרשות, אמר, כי "ההנחיה שהוצאנו היא שלב נוסף במאמץ שלנו לצמצם את הנזק שנגרם מדליפת המידע הזו" ● הרשות תחל לאכוף את ההנחיה בעוד מספר חודשים
הרשות למשפט, טכנולוגיה ומידע (רמו"ט) במשרד המשפטים פרסמה הנחיה לציבור הקובעת, כי אסור להסתמך על פרטי מידע הנמצאים במרשם האוכלוסין בלבד לצורך אימות זהותו של אדם המזדהה מרחוק ומבקש לעיין במידע אודותיו. זאת, משום שהזדהות שכזו אינה עומדת בחובת אבטחת המידע הקבועה בחוק הגנת הפרטיות. הרשות תחל לאכוף את ההנחיה בעוד מספר חודשים.
ההנחיה הוצאה מכוח סעיף 17 לחוק הגנת הפרטיות, המחייב לשמור ולאבטח מאגרי מידע. הסיבה להוצאת ההנחיה היא קיומו של אגרון – עותק חלקי ובלתי חוקי של מרשם האוכלוסין. מאגר זה, המסתובב ברשת, מכיל 9.5 מיליון רשומות על אזרחי מדינת ישראל, וכולל מידע עליהם, כמו גם על חלק מהנפטרים. המאגר כולל פרטים כגון: שם, מספר תעודת זהות, כתובת וקשרי משפחה. בעזרת מניפולציות פשוטות על המאגר ניתן לגלות קשרים והקשרים שונים בין אנשים, בהם שמות משפחה של אנשים בטרם נישאו, שמות ילדים שנושאים את שם המשפחה של רק אחד מההורים ועוד. בשל כך, ניתן לבצע באמצעות המאגר התחזות לאחרים, והרמו"ט חוששת, כי הם יוכלו לעיין במידע אודות האנשים שלהם הם מתחזים או לבצע פעולות הונאה אחרות.
ההנחיה החדשה היא משמעותית עבור כל תהליכי השירות לציבור במשק במגזרים העסקי והציבורי. זאת, כיוון שבמקרים רבים, השירותים הללו, של מוקדי שירות הלקוחות, ניתנים בטלפון או באינטרנט, והתנאי להתחלת קבלת השירות הוא תהליך של זיהוי מרחוק של המתקשר. על פי ההנחיה החדשה, אסור לעשות שימוש בפרטים, כגון: מספר תעודת זהות, כתובת ושמות בני משפחה כפרטים מזהים לצורך אימות – בטרם מתן אותו שירות טלפוני או אינטרנטי.
עו"ד יורם הכהן, ראש הרשות, אמר לאנשים ומחשבים, כי "התרענו בעבר על הנזק המשמעותי של דליפת המידע הזו, ותוצאותיה הנראות בשטח. ההנחיה שהוצאנו היא שלב נוסף במאמץ שלנו לצמצם את הנזק שנגרם". הוא הוסיף, כי "על השווקים הפרטי והציבורי להפנים את פרקטיקת אבטחת המידע המגולמת בהנחיה וליישם אותה בעת תהליכי זיהוי מרחוק. אני ממליץ לקחת הוראה זו בחשבון גם במקום שאין חשש לחשיפת מידע פרטי אלא פוטנציאל לפגיעה אחרת, למשל נזק כלכלי בלבד".
לדברי עו"ד הכהן, "אנחנו אוסרים על שירותי הלקוחות למיניהם להסתמך על נתונים, כגון: צירוף שם-תאריך לידה-כתובת, כאישור לזיהוי ואימות הדובר המזדהה בטרם מסופקים לו פרטי מידע חסויים. זאת פרקטיקת אבטחת מידע לא ראויה. אנחנו מצפים מאותם גופים שינתחו את רמת הרגישות של המידע שבידם, ועל בסיס התעדוף הזה יספקו מרחוק רק מידע שאינו רגיש".
הוא סיים באמרו, כי "אנחנו נותנים לשוק כמה חודשים להתארגן בטרם נאכוף במלוא החומרה את ההנחיה החדשה".
ניתן להוריד את ההנחיה באתר הרשות.
תגובות
(0)