דליפת פנקס הבוחרים: "חברת אלקטור, הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות"

בתום הליך אכיפה - הרשות להגנת הפרטיות קבעה כי חברת אלקטור ומפלגות הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות והתקנות מכוחו.

ערוץ 7 , י"ד בשבט תשפ"א

דליפת פנקס הבוחרים: "חברת אלקטור, הליכוד וישראל ביתנו הפרו את חוק הגנת הפרטיות"-ערוץ 7
קלפי
צילום: יהונתן ולצר/TPS

הרשות להגנת הפרטיות במשרד המשפטים העבירה היום (רביעי) למפלגות הליכוד וישראל ביתנו ולחברת ''אלקטור'' את קביעותיה בעקבות אירוע אבטחת מידע חמור, שאירע במהלך מערכת הבחירות לכנסת ה-23, במסגרתו דלף לרשת פנקס הבוחרים ומידע אישי רגיש נוסף שהוזן לאפליקציית אלקטור.

בהודעות ההפרה שהועברו קבעה הרשות, כי חברת אלקטור וכן מפלגות הליכוד וישראל ביתנו אשר קיבלו שירותים טכנולוגיים מחברת אלקטור, הפרו את הוראות חוק הגנת הפרטיות והתקנות מכוחו.

ממצאי הליך האכיפה שקיימה הרשות חשפו הפרות של החוק, לרבות ליקויים רבים וחמורים באבטחת המידע במערכות המידע של חברת אלקטור, וכן בהתנהלותה כמחזיקה של מידע אישי רגיש.

אירוע אבטחת המידע החמור התרחש ביום 8 בפברואר 2020, במערכות המידע של חברת אלקטור תוכנה, אשר סיפקה למפלגות הליכוד וישראל ביתנו שירותים טכנולוגיים לניהול מערכת הבחירות באמצעות אפליקציה ייעודית שפיתחה.

כחלק מאירוע זה התאפשרה גישה למערכות המידע של אלקטור ודלף לרשת קובץ המכיל מידע מפנקס הבוחרים לכנסת ה-23 אודות כ-6.5 מיליון בעלי זכות הבחירה בישראל. בהתאם לזאת, נחשף מידע אישי אודות בעלי זכות הבחירה, כמו גם כתובתם, מקום הצבעתם ועוד.

בנוסף, נחשף מידע אישי רגיש אודות הבוחרים, אשר הוזן על ידי גורמים שונים כחלק מהשימוש באפליקציה, וכלל בין היתר מספרי טלפון, כתובות דוא"ל, מידע אודות מצבו האישי והרפואי של אדם המעוניין בהסעה אל הקלפי, לעיתים תוך פירוט מגבלותיו הרפואיות ומידע על היותו של אדם "תומך" או "לא תומך" במפלגה.

בעקבות מידע שהגיע לרשות אודות אירוע אבטחת המידע, נקטה הרשות באופן מידי בפעולות לעצירת הדלף, ופתחה בבדיקת נסיבות האירוע במסגרת הליך פיקוח. כפועל יוצא מפעילותה, הופסקה דליפת המידע ונבחנו הסיבות להתרחשותה, לרבות התחקות אחר ליקויים באבטחת המידע והפרות הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע), שלכאורה בוצעו. כבר בשלביו הראשונים של ההליך נחשפו ליקויי אבטחת מידע חמורים אותם הנחתה הרשות לתקן.

בדיקות נוספות שביצעה הרשות העלו כי גם לאחר תיקון הליקויים הראשוני שבוצע על ידי אלקטור, עדיין ניתן היה לחדור למערכות המידע שלה ולהגיע אל פנקסי הבוחרים ואל מידע אישי המצוי במערכת. לפיכך, הנחתה הרשות את החברה להפסיק לאלתר את השימוש במערכת עד לתיקון ליקויי האבטחה. עקב כך, השימוש במערכת הופסק והופעל מחדש לצורך מבדקי חדירות. רק לאחר מספר ימים, לאחר שהרשות וידאה כי החברה טיפלה בליקויים, עלתה המערכת שוב לאוויר.

בהתאם לקביעת הרשות, מרגע גזירתו של מאגר מרשם האוכלוסין לשם יצירתם של עותקי פנקס הבוחרים, כל אחת מן המפלגות הופכת ל"בעל מאגר" בעותק הפנקס הנמסר לה, ובהתאם חלות עליה כל החובות הקבועות בחוק ובתקנות, לרבות במקרה בו המידע מוחזק או מעובד על ידי צד שלישי, לרבות ספקי מיקור חוץ.

בנוסף, לגבי עצם השימוש באפליקציית אלקטור, הרשות הדגישה, כפי שכבר הבהירה בהנחיות קודמות שפרסמה, כי חל איסור על שימוש במידע אישי, במקרים בהם לא ניתנה לגביו הסכמה תקפה ומספקת של האדם עליו המידע נאסף, או מבלי שהוסברו לו מטרות השימושים בו ולמי יימסר. איסור זה, כפי שהבהירה הרשות, חל גם על איסוף ושימוש במידע ביישומים או במאגרי המידע של המפלגות.

קביעותיה הסופיות של הרשות התבססו על כלל ממצאי הליך האכיפה, לאחר שנשקלו כל טיעוני אלקטור והמפלגות שהועברו לרשות בכתב, ולאחר קיום הליכי שימוע. ההליך בוצע בליווי מחלקת הסייבר בפרקליטות המדינה.

הרשות מפנה למסמך הדגשים שהעבירה לאחרונה לכלל המפלגות והסיעות המתמודדות לכנסת ה-24, (אשר מפורסם גם לציבור הרחב לראשונה כעת). מסמך זה מפרט את מכלול מגבלות השימוש בפנקס הבוחרים ואת האחריות המוטלת על המפלגות בקבלת שירותים שונים מספקים חיצוניים בעת השימוש באפליקציות ובפלטפורמות לניהול הקשר עם הבוחרים.

המסמך מתבסס, בין השאר, על תובנות שעלו מהליכי האכיפה בתחום, לרבות פיקוח הרוחב שבוצע בקרב כלל המפלגות לבחירות לכנסת ה-23. מסמך זה גם מפרט את ההמלצות לעניין אמצעי האבטחה הבסיסיים בהן על המפלגות לנקוט בעת שימוש באפליקציית בחירות או בהסתייעות בספקי מיקור חוץ לצורך ניהול קמפיין.

עיקר קביעותיה של הרשות:

העובדה שבשנים האחרונות הקשר עם הבוחר מתקיים בעיקר באמצעות אמצעים דיגיטליים ומדיה חברתית, גרמה ליצירת סיכונים רבים וחמורים, שלא התקיימו בעבר, ובדיוק בשל כך ולאור דרכי ההתקשרות הנרחבים עם הבוחר בעידן הנוכחי, הוראות הדין קובעות, שכל מי שמקבל לידיו את פנקס הבוחרים לצורך התמודדות בבחירות ויצירת קשר עם הבוחר, נדרש לגלות זהירות יתרה בכל הנוגע לשימוש בו ולעמוד באופן מלא בהוראות החוק והתקנות.

לצורך שימוש בפנקס הבוחרים, המפלגות נדרשות לאבטח את המידע כנדרש על פי הוראות החוק והתקנות, כאשר האחריות לאבטחת המידע שבפנקס חלה על המפלגות כבעלות המאגר, גם ובמיוחד, במקרה בו המידע מוחזק או מעובד על ידי צד שלישי, לרבות ספקי מיקור חוץ. במסמך שפרסמה הרשות להגנת הפרטיות, שהופץ לכלל המפלגות שהתמודדו לכנסת ה-23, בכל הנוגע למגבלות השימוש במידע מפנקס הבוחרים טרם מערכת הבחירות, התריעה הרשות מפורשות כי "האחריות לקיום הוראות החוק וחוק הבחירות מוטלת בראש וראשונה על המפלגות עצמן. המפלגות הן 'בעלי המאגר' אשר לפי החוק, עלולות לשאת באחריות פלילית או אזרחית, לפי העניין, גם להפרות שיבוצעו באפליקציה בידי ספק שירות חיצוני עבור המפלגות או מטעמן."

בהודעות ההפרה ששלחה הרשות למפוקחות, קבעה הרשות כי יש לראות במפלגות "בעל מאגר", ביחס לנגזרת פנקס הבוחרים שנמסרה לשימושן, ויש לראות באלקטור כ"מחזיקה" בפנקס הבוחרים מטעם המפלגות וכי אין כל אחיזה בדין לטענות שהעלו המפלגות, כי החוק והתקנות אינם חלים על פנקס הבוחרים ועל השימוש בו.

על כן, קבעה הרשות, כי בהתאם לדין, חלה על המפלגות האחריות כבעלות המאגר להתנהלותה של אלקטור כמחזיקה בפנקס הבוחרים, שקיבלה מהמפלגות ולליקויי אבטחת המידע החמורים שהתגלו באפליקציה ששימשה לאחסון ולעיבוד מידע עבור המפלגות. עוד קבעה הרשות, כי גם אם לא ניתן להבטיח כי העולם הרשתי יהיה חסין לחלוטין מפני אירועים של דליפת מידע או פריצה בלתי מורשית למערכות, הרי שלפי החוק בעל מאגר ומחזיק מטעמו נדרשים לנקוט באמצעים מקובלים להגנה מקסימלית על המידע, וכפי שעולה מממצאי ההליך, המפלגות ואלקטור לא נקטו באמצעים מספיקים לאבטחת המידע.

בנוסף, אירוע האבטחה החמור אפשר גישה למידע שבבסיס הנתונים של אלקטור, אשר שימש את שתי המפלגות יחד וכלל את שני מאגרי המידע של שתי המפלגות (ובכלל זה את שתי הגרסאות של פנקס הבוחרים שהעבירה כל אחת מהן), ובכך נחשף מידע מבסיס הנתונים, אשר כלל מידע מתוך פנקס הבוחרים שהעבירה כל אחת מהמפלגות לאלקטור.

ההודעות על קביעת ההפרה כללו סקירה של הליקויים הרבים שיוחסו לאלקטור ולמפלגות- כל אחת בהתאם לממצאים שנמצאו לגביה. בין הליקויים הללו נכללו - אי קביעת נוהל אבטחת מידע ומנגנוני עבודה בהתאם לו, העדר מסמך עדכני בדבר מבנה המאגר, מתן גישה למידע שבמאגר מעבר לצורך ולהיקף הנדרש, אי מניעת אפשרות גישה בהרשאה ממספר מזדהים באותם פרטי זיהוי בו זמנית, מתן הרשאות גישה למי שאינו מורשה, קביעת סיסמאות חלשות ללא בקרה, העדר קיומו של מנגנון תיעוד אוטומטי שיאפשר בקרה על הגישה למאגר ותיעוד אירועי אבטחת מידע, אי התקנת מערכות ואמצעי הגנה מתאימים שימנעו חדירה לא מורשית, אי ביצוע סקרי סיכונים או ביקורות אבטחת מידע ועוד.

בנוסף, קבעה הרשות כי אלקטור גם החזיקה בפנקסי בוחרים שונים שנמסרו לעיבודה ממערכות בחירות קודמות, על אף שנדרש ביעורם בהתאם לדין.

כמו כן, נקבע שהמפלגות לא נקטו באמצעי פיקוח ובקרה מספקים בנסיבות העניין לבחינת עמידתה של אלקטור בהוראות החוק והתקנות, לא בחנו את סיכוני אבטחת המידע הכרוכים בהתקשרותן עם המחזיקה, לא קבעו בהסכמים עימה את אופן יישום החובות הרלוונטיות מתחום אבטחת מידע ואף לא נקטו באמצעי בקרה ופיקוח על עמידת החברה בהוראות ההסכם.

בהקשר זה קבעה הרשות, כי בנסיבות העניין לא היה די בהסתמכות המפלגות על הצהרותיה של המחזיקה במידע עבורן, באשר לעמידתה בהוראות החוק והתקנות לבדן, וכי על המפלגות היה לנקוט פעולות מתאימות, על מנת לוודא כי אלקטור אכן מקיימת את כלל הוראות החוק הרלוונטיות, ולנקוט באמצעי בקרה ופיקוח מתאימים על עמידתה בהוראות ההסכם עם בעל המאגר ובהוראות התקנות.

לעומת זאת, במקרה שלפנינו, כל שביצעה המפלגה היה הסתמכות על הצהרות מחזיקת המידע, לבדן, ומבלי שאף ניתנה אינדיקציה מקצועית כלשהי כאסמכתא לכך. בנסיבות העניין, ונוכח רגישות המידע, אין ספק כי פעילות המפלגה אינה עולה כדי דרישות החוק.

כמו כן, הרשות פועלת באופן שוטף, מזה שנים וגם בימים אלה, לשם קידומם של הסדרים חדשים אשר יאפשרו רמת אבטחת מידע גבוהה יותר בגישה למידע הפנקס. אולם, כל עוד לא נקבעו הסדרים חדשים כאלה, חלים דיני הפרטיות במלואם על ניהול מאגרי המידע, לרבות פנקס הבוחרים, אגב מערכת הבחירות ולצורך התמודדות בה.

מטעם עו"ד בכור יאמין, ב"כ של חברת אלקטור נמסר: "בתאריך 8 בפברואר 2020, הביאה הרשות להגנת הפרטיות לידיעת חברת אלקטור כי קיימת חולשת אבטחה במערכת. החולשה תוקנה באופן מידי, ולאחר מכן דגמה רשות הסייבר הלאומית את המערכת ומסרה כי לא נמצאו בה חולשות אבטחה כלשהן".

"מערך הסייבר הלאומי, אף קיבל את כל הרשאות החברה לצורך בדיקת עומק, ואף הגיב לבג"ץ (1311\20) בעתירה שהוגשה כנגד החברה, והצהיר כי הוא מתנגד להסרת המערכת מהאוויר, זאת בשל אמצעי האבטחה המוגברים שנקטה החברה".

"להלן תגובת הרשות ומערך הסייבר הלאומי לבג"ץ בעניין זה: 'נכון למועד כתיבת שורות אלו, למיטב הבנת הרשות להגנת הפרטיות ומומחי האבטחה ממערך הסייבר הלאומי שבהם הסתייעה, אמצעי האבטחה של המערכת שופרו, ולא נמצאו, בבדיקות נוספות שבוצעו על ידי הרשות בסיוע מומחי אבטחה ממערך הסייבר הלאומי ליקויים'".

"עדות מערך הסייבר הלאומי, הנחשב לאחד מגופי הסייבר הטובים בעולם, מעידה על חוסנה הקיברנטי של החברה. ואכן, חברת אלקטור נמצאת כיום בחזית אבטחת המידע. באותו נושא ראוי לציין כי ביום הבחירות לכנסת ה-23, גופים בינלאומיים רבים (לרבות ממדינות אויב) ניסו לפרוץ ולהפיל את מערכות החברה אולם ללא הצלחה, וזאת בשל חוסנה ואיכותה של המערכת".

"לגבי טענות השווא לפיה המערכת כללה מידע רפואי: מערכת אלקטור, ככל מערכת ניהול מידע, מאפשרת הוספת הערות חופשיות, שאינן חלק מובנה מהמערכת. כלומר, אם פעיל מסוים במטה המפלגה החליט לכתוב על דעת עצמו כי מצביע מסוים נכה ויש לדאוג לו להסעה, אין זה תחת שליטתה או אחריותה של החברה. חברת אלקטור אינה מבקרת את המידע שלקוחותיה מעבים (כשם שחברת גוגל, למשל, אינה אחראית לתכנים המופצים ב-Gmail או בתוכנות אחרות שבבעלותה)".

"יתרה מזאת, ביזור ההרשאות במערכת אלקטור, שבו היא מאפשרת חסימת מידע לפי משתמש, בשליטת מנהל המטה המרכזי, אף שיפר את האבטחה באופן דרמטי מהנהוג בעבר, ומנעה שימוש בעותקים מודפסים ודיגיטלים שהיו מגיעים לכל דיכפין. יחד עם זאת, כאמור, חברת אלקטור תלמד את הממצאים ותפעל על פיהם, כפי שנהגה עד היום. אלקטור תמשיך להיות מהחברות המובילות בתחום מערכות המידע, תוך שימת דגש מיוחד על אבטחת המידע".