הטוב, הרע והמעקב
בסוף השבוע פורסם בטק-קראנץ', כי חוקר האבטחה בוב דיאצ'נקו גילה באינטרנט את אחת ממערכות מעקב המגעים של NSO, בלא הגנה ובלא סיסמה, כך שכל אחד יכול לגשת אליה ● NSO: "פיתחנו בהצלחה מערכת חדשנית וייחודית לטובת מקבלי ההחלטות הממשלתיים, מבלי לפגוע בפרטיות... כל הספקולציות על המערכת אינן נכונות"
מדינות רבות נעזרות באפליקציות מעקב כדי להבין את התפשטות נגיף הקורונה. בעוד שרוב הממשלות נוטות לכיוון של אפליקציות ממוקדות פרטיות, המשתמשות באותות של Bluetooth כדי ליצור פרופיל אנונימי על מקום הימצאו של אדם – הרי שישנן מדינות אחרות, וישראל בהן, המשתמשות בנתוני מיקום וטלפון סלולרי כדי לעקוב אחר התפשטות הנגיף.
נפתלי בנט, שר הביטחון, ביקש להפעיל בארץ כלי, שאותו כינה "קורונומטר" – תוכנה שתוזן בנתוני איכון סלולרי שבידי המדינה, לטובת ניטור מגעי קורונה. בנט סירב לחשוף את שם החברה שעומדת מאחוריו, ורפאלה גויכמן בדה-מרקר חשפה כי מדובר ב-NSO הישראלית.
חברת הסייבר ההתקפי הישראלית NSO פיתחה מוצר, המטפל בביג דטה ומנתח אותו ויכול לנטר תנועה של אנשים ומגעים של אנשים – וזאת כדי לעזור בצמצום המגיפה. מוצר הניתוח אינו חדש בחברה, אך הותאם לדרישות הייחודיות של הקורונה: ניטור אחורה של 14 ימים לתנועת אדם, ומגע של יותר מ-15 דקות עם הזולת.
NSO החלה במרס לעבוד על המערכת, שקיבלה את הכינוי פלמינג, על שמו של סר אלכסנדר פלמינג, המדען הסקוטי מגלה הפניצילין. היה מי שתהה בציניות, שמא המערכת היא על שם איאן פלמינג, מחבר סדרת ספרי ג'יימס בונד. המערכת נועדה לעבד נתונים מאומתים על בדיקות קורונה מרשויות הבריאות ונתוני מיקום טלפוני מספקיות הסלולר – כדי לזהות אנשים שעלולים להיחשף לאדם עם הנגיף. כך, כל מי שהתקרב לאדם המאובחן כחולה קורונה – יקבל על כך הודעה.
בסוף השבוע פורסם בטק-קראנץ', כי חוקר האבטחה בוב דיאצ'נקו גילה באינטרנט את אחת ממערכות מעקב המגעים של NSO, בלא הגנה ובלא סיסמה, כך שכל אחד יכול לגשת אליה. בסיס הנתונים הלא מאובטח התארח בשרת של AWS בפרנקפורט. המאגר הכיל שישה שבועות של נתוני איכון ממרץ-אפריל, כמו גם מועדים ומיקומים של "מטרה" (שם קוד לאדם), שאולי באה במגע עם נשא קורונה פוטנציאלי, ומה היה אורך המפגש. הנתונים היו על ישראל, רואנדה, אבו-דאבי, איחוד האמירויות וערב הסעודית.
לאחר שהחוקר פנה לחברה, NSO השביתה את המערכת. דיאצ'נקו אמר, כי הוא מאמין שבסיס הנתונים הכיל נתוני דמה. NSO מסרה לאתר הטכנולוגי, כי המערכת נועדה רק להדגים את הטכנולוגיה שלה והכחישה שהיא נחשפה בגלל בעיית אבטחה.
אורן גנץ, דירקטור בקבוצת NSO, אמר לאתר הטכנולוגי, כי "פיתחנו בהצלחה מערכת חדשנית וייחודית לטובת מקבלי ההחלטות הממשלתיים, מבלי לפגוע בפרטיות. המערכת הודגמה ברחבי העולם בשקיפות רבה לארגוני מדיה ולכמאה מדינות. כל הספקולציות על המערכת אינן נכונות".
ג'ון סקוט-ריילטון, חוקר בכיר בארגון זכויות האדם Citizen Lab שבאוניברסיטת טורונטו, אמר, כי "כל בסיס נתונים המאחסן נתוני איכון הוא בחזקת סיכון לפרטיות".
במרץ ערך המכון הישראלי לדמוקרטיה דיון על טכנולוגיה, בינה מלאכותית ופרטיות, על רקע השימוש שעושה הממשלה במערכות מעקב אחר אזרחים. פרופ' קרין נהון, נשיאת איגוד האינטרנט הישראלי וחוקרת מידע וביג דטה, חזרה על דברים שאמרה כמה ימים קודם לכן בוועדת החוץ והביטחון של הכנסת. בין השאר, היא אמרה, כי "מהניסיון שלי כמדענית מידע, שמבצעת ניתוחים בביג דטה, אין דבר כזה מאגר מידע בטוח. כאשר יש מאגר מידע, ישתמשו בו לאט לאט גם אנשים שלא הוסמכו לכך וגופים שפתאום יחליטו שזה חשוב. המאגר והמידע שיש בו – ידלפו".
ד"ר תהילה אלטשולר שוורץ, חוקרת בכירה מהמכון הישראלי לדמוקרטיה, אמרה לטק-קראנץ', כי "מעקב אחר מגע מבוסס-מיקום הוא פגיעה אדירה בפרטיות. זה אומר שלא יהיו לך שום סודות. אינך יכול לקיים פגישות אם אתה עיתונאי, ואינך יכול ללכת למקומות שבהם אנשים רוצים לדעת היכן אתה נמצא".
מ-NSO נמסר בתגובה, כי ""החברה הצליחה לפתח במהירות חסרת תקדים מערכת אנליטית ייחודית לשימוש אזרחי על ידי מקבלי ההחלטות, לטובת ניהול התפשטות מגיפת הקורונה – לצד ניהול החזרת המשק לפעילות. דמו של המערכת הוצג באופן שקוף ובתפוצה כלל עולמית ליותר מ-100 מדינות ולעשרות עיתונאים בארץ ובעולם. הדמו הועלה בשקיפות מלאה לשרת ייעודי לטובת ההדגמה למדינות, לחוקרים, לעיתונאים ולכל המעוניין. הדמו מבוסס על אילוסטרציה מעורבלת של נתונים אקראיים ואינו מכיל כל מידע מזהה אישי, שממילא לא מצוי בידי החברה".
תגובות
(0)