״הרשות להגנת הפרטיות קבעה כי משרד התחבורה הפר את הוראות חוק הגנת הפרטיות ותקנותיו״, נכתב בהודעה חריגה שפורסמה ביום שני באתר משרד המשפטים. ההפרה מתייחסת לפרצת אבטחת מידע שאפשרה לישיבות חרדיות לגלות מי מהתלמידים מחזיק ברישיון נהיגה, באמצעות התחזות אליהם. אלא שנראה שעצם העבירה על החוק לא הטרידה את אנשי משרד התחבורה, שכן בסוף אותה הודעה לא שגרתית, ציינה הרשות כי משרד התחבורה התעלם מהטענות שהועלו בהליך הפיקוח, ולא הגיב למכתב ההפרה.
הבדיקה של רשות הגנת הפרטיות החלה בעקבות תלונות רבות שהתקבלו בה לאחרונה על שימוש לרעה במוקד השירות ואתר האינטרנט של משרד התחבורה מצד ישיבות חרדיות.
שיטת הפעולה של הישיבות כללה פנייה למוקד השירות של משרד התחבורה או לאתר האינטרנט להפקת עותק של הרישיון, תוך הזדהות כתלמיד הישיבה, ללא הסכמתו, באמצעות מסירת מספר תעודת הזהות שלו ושנת לידתו. פרטים אלה התקבלו מהתלמיד במעמד הרישום לצורך הצטרפות לישיבה.
אחת המסקנות שעלו מהליך הפיקוח שערכה הרשות היא שמנגנון ההזדהות הקיים במערכות המחשוב של משרד התחבורה אינו עומד בהוראות החוק ותקנות הגנת הפרטיות, שדורשות מנגנון אימות זהות הפונה. כתוצאה מכך, באמצעות פרטים בסיסיים בלבד יכלו הישיבות לחשוף תלמידים בעלי רישיון נהיגה – ופגעו במסלול חייהם.
מבדיקת הרשות עולה כי מסירת מידע מסוג זה, ללא הסכמת האדם שהמידע שייך לו, מהווה ״פגיעה מובהקת בפרטיות". מכתב ההפרה נשלח בחודש שעבר מטעם הרשות למשרד התחבורה, ובו הובהר כי מדובר במידע המוגן לפי חוק הגנת הפרטיות, ומהווה לכל הפחות "ידיעה על ענייניו הפרטיים של אדם". על פי הרשות, ״משרד התחבורה הפר את חובתו כגוף ציבורי, שלא למסור מידע על אדם, מתוך מאגר מידע ציבורי למי שאינו נושא המידע וללא הסכמתו".
משרד התחבורה התעלם
החריג בהודעת הרשות הוא ההתעלמות המופגנת של משרד התחבורה מהפנייה של הגוף שנועד לפקח עליו. ״יושב גורם ממשלתי ולא מקשיב לגורם אחר שאמור לפקח עליו. זה דומה למצב שבו היו ליקויי בניה במשרד ממשלתי, ויגיע הגורם שמפקח על מבנים וידרוש תיקון של המבנה, והמשרד הממשלתי פשוט יתעלם״, מסביר עו"ד יונתן קלינגר, מומחה לפרטיות ומדיניות הגנת הפרטיות.
הבעיה העיקרית שנחשפת בהודעה הזו, היא לא רק שהפרצה קיימת ואפילו לא המקרה המצער של פגיעה בתלמידי הישיבות, אלא שמשרד התחבורה מסרב לשתף פעולה עם הרשות להגנת הפרטיות.
״פרצת האבטחה מדגימה את הבעיה האמיתית שיש לנו בישראל: למשרדי הממשלה אין תמריץ לשמור על המידע שלנו. הם מעדיפים, בדרך כלל, שימושיות על פרטיות. זה אומר שכאשר יש מקרה שבו צריך לעגל פינות, הם מעדיפים להימנע מדרישות של זיהוי חזק שקיימת לדוגמא במערכת ההזדהות הממשלתית (שבה יש הצלבה של לפחות שני אמצעי זיהוי נוספים, מלבד שם משתמש וסיסמא, למשל תעודת זהות וספרות אחרונות בכרטיס האשראי, ד"ז), ומספקים מידע על סמך פרטי מידע חלקיים״, מסביר קלינגר.
עו"ד קלינגר: "פרצת האבטחה מדגימה את הבעיה האמיתית שיש לנו בישראל: למשרדי הממשלה אין תמריץ לשמור על המידע שלנו"
״במקרה שלנו הפרצה אפשרה לשלוף את המידע בצורה לא חוקית", ממשיך קלינגר. "כאשר הידיעה שאדם מסוים מחזיק ברישיון נהיגה מביאה לסנקציות חברתיות – זה מסוכן. באוכלוסיה החילונית אין סטיגמה שלילית לרישיון נהיגה, אז נקביל את זה למצב שבו באמצעות מספר זהות בלבד אפשר היה לדעת האם אדם מסוים קיבל טיפול פסיכולוגי״.
אבטחה פרוצה
פרצות אבטחת מידע עלולות להיות הרסניות יותר מאי פעם ולחשוף פרטים אישיים של משתמשים לכל דורש. כך למשל, ב-2022 התגלתה פרצת אבטחה באתר מפלגת ש"ס שכללה מידע רגיש על יותר ממיליון מצביעים. ב-2020 התגלתה פרצת אבטחה באתר המוסד לביטוח לאומי שכללה גישה לחשבונות בנק, ב-2018 האקר מקומי מצא פרצת אבטחה בשורת אתרים ממשלתיים, בהם משרד הביטחון, משרד האוצר, משרד החקלאות, משרד החינוך, בית המשפט העליון ואתרי השב"כ, רכבת ישראל ובית החולים איכילוב, שהתבססו על מערכת שאינה מותאמת לאבטחה מול גורמים חיצוניים.
בדצמבר פרסם מבקר המדינה דוח שנתי בנושא סייבר ומערכות מידע, בו אחד המגזרים המבוקרים היה מגזר התחבורה. "ישראל לא מספיק ערוכה לאיומי סייבר במגזר התחבורה", הייתה מסקנת העל של הדוח, שהתמקד בעיקר בכך שמשרד התחבורה הוא גם הגוף המפקח על איומי הסייבר של גופי ותשתיות תחבורה הכפופים לו. לא נבדקה למשל, עמידותו של המשרד עצמו לאיומים מסוג זה. ואולם איום סייבר הוא מונח מעט גדול על חולשת האבטחה שנתגלתה במשרד התחבורה.
רוב פרצות האבטחה שהתגלו בגופים הממשלתיים נבעו מחולשות שמקורן בטעות, אך לעיתים מדובר גם ברשלנות ממש. לשם כך הרשות להגנת הפרטיות קמה כגוף מפקח שנועד להבטיח את ביטחון המידע של אזרחי ישראל.
אלא שסמכויות האכיפה הנתונות בידי הרשות להגנת הפרטיות כיום אינן מהוות איום ממשי על גופים המפוקחים, ובוודאי שלא על משרדי ממשלה. כתב אישום נגד הממשלה על הפרה של חוק רשות הפרטיות מעולם לא הוגש. האמצעי המרכזי שנתון בידי הרשות הוא קנס עד 25 אלף שקל. ״אני לא מכיר מקרה שבו הוגש כתב אישום נגד המדינה אף פעם. אם המדינה תשלם קנס, אז התשלום הוא בכל מקרה מהמדינה למדינה״, הסביר קלינגר.
בהעדר סמכויות אכיפה משמעותיות ותמריצים למשרדי הממשלה, שיימינג בהודעה באתר משרד המשפטים זה הכלי היחיד והלא יעיל שיש לגוף שאמור לפקח ולשמור על הפרטיות של אזרחי ישראל.
ממשרד התחבורה נמסר: ״במטרה למנוע ניצול לרעה של הממשק, מנכ"ל משרד התחבורה הנחה את גורמי המקצוע במשרדו להעביר את השירות המאפשר הנפקת כפל רישיון נהיגה לאזור האישי הממשלתי, המאובטח באופן קפדני, בהתאם לחוק הגנת הפרטיות. במקביל, הנחה המנכ"ל להסיר את השירות הקיים מאתר המשרד, במטרה למנוע כל אפשרות של כניסה למאגר המידע תוך התחזות לבעל הרישיון״.
באשר לשאלת המקום מדוע לא השיבו למכתב ההפרה של הרשות להגנת הפרטיות, בחרו במשרד התחבורה לא להגיב.
מהרשות להגנת הפרטיות נמסר: ״היעדר תגובה של גוף מפוקח אינו דבר שבשגרה, בוודאי לא כשמדובר במפוקח שהוא משרד ממשלתי. סמכויות האכיפה של הרשות מגוונות והיא שוקלת לעשות שימוש בכלי אכיפה נוספים העומדים לרשותה, לשם תיקון ההפרה על ידי משרד התחבורה״.
ביחס לשאלת המקום הכי חם האם ינקטו גם צעדים נגד הישיבות שהפרו את פרטיות תלמידיהם בהתחזות מסרו ברשות כי ״הליכים נגד הישיבות עצמן, בהקשר לצעדים שננקטו על ידן נגד תלמידיהן, אינם מצויים לפתחה של הרשות להגנת הפרטיות״.