גלובס - עיתון העסקים של ישראלאתר נגיש

צעירות עם מסכות בת"א / צילום: Oded Balilty, AP

"אני לא רואה בעיה של פרטיות, כי היא מזמן לא קיימת. התנועות שלנו ידועות גם ככה ותהיה ידועה כל הזמן. אנשים משחקים את עצמם יפי נפש, אבל גוגל, אפל וכל האפליקציות גרמו לכך שכבר מזמן הנושא לא רלוונטי - כולם יודעים איפה אתה, ואפשר היה באותה מידה לפנות לגוגל ולא לשב"כ. אם כבר החשש שלי הוא מפני זיהוי שגוי של חייבי בידוד, בשל העובדה שהמערכת המדוברת לא יודעת למדוד גובה", כך אמר בשיחה עם "גלובס" בכיר בעולם הסייבר הישראלי.

על פי הגורם, מי שעלולים למצוא את עצמם מחויבים בבידוד שלא בצדק הם אנשים שעובדים או גרים במגדלי מגורים או משרדים - שטכנית, נמצאים באותו מיקום גיאוגרפי, אך בפועל עשויים להיות במרחק של כמה קומות זה מזה: "עלולות להיגרם סיטואציות, שבהן לפי ה-GPS אדם עבר סמוך לחולה קורונה, בעוד שלמעשה הוא לא היה באותו מקום. מה הוא יעשה אז? ייכנס לוויכוח עם החוק? אם יקרה מצב שבו אצווה להיכנס לבידוד בגלל חולה שעבר בכלל בקומה אחרת בבניין - זה לא מקובל בעליל".

כדי להבין כיצד עלולה להיווצר סיטואציה שכזו, הסביר הגורם את האופן שבו תפעל המערכת ש"תאכן" את מכשירי הטלפון של האזרחים: "לשב"כ יש ממשק עם כל חברת סלולר שבו משתמשים רק בצו בית משפט, בין אם לאיתור עבריינים אן למניעת טרור. לעומת זאת, בסיטואציה הנוכחית האישור ניתן באופן גורף על כל המדינה, כך שייאסף תיעוד על תנועות האזרחים. המידע יוכנס למערכת ביג דאטה שלהם, והם יחזיקו בו עד שיגיע צורך לאתר את כל מי שבא במגע עם חולה קורונה".

אותו גורם הסביר שמשרד הבריאות יעביר את הפרטים על החולה לשב"כ, והשב"כ יחזיר לו בחזרה את המסלול שהאדם עשה ב-14 הימים האחרונים, במטרה להצליבו עם המסלולים של אזרחים אחרים. משרד הבריאות יקבל בחזרה רשימה של כל האנשים הללו שדרכם הצטלבה עם החולה. לאחר שהמידע יוצלב עם הדאטה בייס של החברות הסלולריות - יקבלו אותם אזרחים שעברו סמוך לחולה סמס, שמבקש מהם להיכנס לבידוד. עם המידע שיתקבל יוכלו הרשויות גם לעקוב ולוודא שהבידוד אכן קורה.

מעקב לא גורף

הגורם ביקש להרגיע ואמר כי היכולות שיופעלו אינן עמוקות וגורפות, כמו יכולות החדירה לטלפונים והמעקב שמציעות חברות סייבר התקפי, כמו NSO. לדבריו, יכולת כזו לעקוב אחר מספר גדול של אזרחים קיימת רק לסוכנות לביטחון לאומי של ארה"ב (NSA), שנהנית גם מהעובדה שהשרתים של חברות כמו גוגל ופייסבוק נמצאים בארה"ב עצמה.

"אני חושב שבמקרה של המאבק של ישראל בקורונה, מדובר רק על איכון סלולרי של מיקום והצטלבות - לא קריאה של הודעות או מידע על גלישה. לא מה אמרת ולא מה כתבת. אין משמעות לכל הדאטה הזה בסיטואציה של קורונה. זה לא מעניין אף אחד", אמר הגורם.

הסיכון שכן קיים במידת מה לפרטיות, לדברי הגורם, נובע מהעובדה שהמידע יישמר עוד 60 יום לאחר שייעשה בו שימוש. הגורם ציין כי בקרוב יחול "OpIsrael" - יום מתקפות הסייבר השנתי על אתרים בישראל. הגורם הביע חשש שהשנה משרד הבריאות יהיה קורבן פופולרי למתקפות מסוג זה. "משרד הבריאות על הכוונת", אומר הגורם, "כפי שמשרדי הבריאות של ארה"ב וצ'כיה ספגו מתקפות לאחרונה".

הגורם הזהיר כי אין סיכוי שמשרד הבריאות יצליח לשמור על המידע הזה, כפי שהשב"כ יכול. הדבר גם לא ניתן לתיקון, משום שמדובר באמצעי הגנה שלוקח שנים לבנות, לא יום או יומיים או אפילו חודש. "אם לא שומרים את המידע הזה במחשב מבודד בכספת, הפחד הוא שהוא ידלוף", אמר.

חיזוק לאמון כלפי יכולת השב"כ לשמור מידע בצורה בטוחה, הביע גם פרופ' יובל שני, סגן נשיא למחקר במכון הישראלי לדמוקרטיה .

הרחבת סמכות השב"כ

לדברי פרופ' שני, "לשב"כ יש מסורת ארוכה של איסוף מידע רב על הרבה מאוד אנשים, גם אזרחים ישראלים וגם פלסטינים וגם אזרחי מדינות שלישיות. הם אוספים גם דאטה וגם מטא-דאטה והוא שומר את החומרים אצלו, אבל לפחות שם אין מסורת של דליפות. יש כמובן מקרי הדלפה, כמו אדוארד סנודן שהדליף מידע של ה-NSA, אך לא ידוע לי על מקרים כאלה בשב"כ".

לדבריו, "המטריד בצד של השב"כ הוא לא סוגיות אבטחת מידע, אלא הרחבת סמכותו מגזרה צרה ושל מקרים ביטחוניים להכנסה פוטנציאלית של כל תושבי מדינת ישראל לתחום סמכותו של השב"כ".

התקנות אמנם מציינות כי מטרת המעקב היא צרה, וייאסף מידע ויעשה בו שימוש רק לצורך הגשמת המטרה של אזהרת אזרחים מפני סכנת הדבקות בקורונה, אך לדבריו שני ההחלטה איזה מידע נדרש נשארה פתוחה.

"אין שום דבר בתקנות שמונע שימוש נרחב וברגע שנותנים סמכות רחבה, יכול להיעשות בה שימוש רחב. לכן ערובות של פיקוח הן חשובות למיתון לחצים כדי למתן גורמים במערכת שייקחו את זה לכיוונים מופרזים".

גם, גורם ממשלתי בכיר לשעבר, המשמש כיום בכיר בעולם הסייבר, מתח ביקורת קשה על המהלך - במישור הציבורי. לדבריו, המערכת שמתכוונים להשתמש בה "מאוד רלוונטית", אך הוא מוטרד מהאופן שבו הכריז עליה ראש הממשלה בנימין נתניהו. "לא יעלה על הדעת שראש הממשלה יזרוק משהו על אמצעים דיגיטליים, ואז ייעלם וישאיר את השאלה פתוחה. לא יעלה על הדעת שאין דיון בוועדת המשנה לשירותים חשאיים או שהדבר יעבור בהצבעה טלפונית בלילה מבלי לספק הסברים ברורים לתקשורת".

ראש הממשלה, אומר הגורם, "היה צריך לפרט גם מה אמור לקרות עם המידע ואיפה הוא יישמר. אנחנו לא יכולים רק להסתמך על חוסנו הליברלי והדמוקרטי של ראש השירות הנוכחי. מה יקרה אם ראש השירות לא יהיה בעל תפיסה ליברלית של זכויות אדם?", שאל.

יותר מידע, יותר דליפות

ממשלת ישראל אינה היחידה שמפעילה אמצעי מעקב על אזרחים. סמנכ"ל המידע בממשלת הונג קונג אמר השבוע במסיבת עיתונאים, כי "האנשים שצריכים לשהות בבידוד אינם פושעים, ואנו מסכימים שיש לכבד את פרטיותם", בעודו מציג צמיד מעקב אלקטרוני שנועד לשמש לפיקוח על השוהים בבידוד.

הצמיד מתחבר לטלפון הנייד באופן אלחוטי, ומדווח למשרד הבריאות אם הצמיד מתרחק יותר מ-30 מטר מהטלפון הנייד של הלובש אותו, או אם הוא נשבר. המכשיר לא כולל GPS ולא יכול לעקוב אחרי מיקומו המדויק של לובשו.

בסין, מערך המעקב הממשלתי במדינה משמש לעקוב אחרי אלפי אנשים החשודים כנשאי הווירוס, ואף נעזרת בתאגידים פרטיים כמו Baidu לצורך ניטור תנועה בתחבורה ציבורית, ובוטים שמבצעים שיחות אוטומטיות, ובאמצעות טכנולוגיות זיהוי קולי עונים על שאלות ומספקים עצות והנחיות לציבור המבודדים.

בנוסף, רובוטים החליפו רבים מעובדי הניקיון במדינה, במקומות בהם סיכון ההדבקות הוא גבוה, למשל בבתי חולים, זאת לפי דיווח של אתר החדשות SCMP.

אך איסוף המידע והשימוש באמצעים טכנולוגיים לצורך ניהול המשבר הרפואי הביאו גם לדליפות. לפי דיווח של "הניו יורק טיימס", תושבים ברחבי סין מדווחים על מקרים של דליפת מידע רפואי רגיש מאז שנכנסו האמצעים הטכנולוגיים לשימוש במגפת הקורונה. הם מדווחים על חשיפה של מידע לאזרחים ועל הטרדות מצד זרים, שהמידע הזה הגיע לידיהם.

מה התקנות אומרות וכיצד זה יעבוד

● משרד הבריאות יאתר חולים בקורונה או חשודים בכך שהם חולים
● משרד הבריאות יעביר בקשת סיוע לשב"כ לגבי חולה ספציפי
● השב"כ יאסוף מידע על מיקום של אנשים - 14 ימים לאחור
● איזה מידע? התקנות אוסרות איסוף של תוכן שיחות. כל מידע אחר - מותר
● השב"כ יצליב את מיקום החולים עם אנשים ששהיו במגע ונמצאים בסיכון
●השב"כ יעביר למשרד הבריאות את המידע הנדרש לאזהרה
● מי קובע איזה מידע נדרש? משרד הבריאות, לפי ראות עיניו
● משרד הבריאות יזהיר את הציבור או את האנשים הספציפיים שנמצאים בסכנה
● משרד הבריאות רשאי לשמור את המידע ל-60 יום מעת פקיעת תוקף התקנות
● התקנות בתוקף ל-14 יום