פרצה חוקית מאפשרת לגלות ברשת מהי העמדה הפוליטית של הסובבים אתכם

פירצה חוקית לגמרי, מאפשרת לכל אדם לגלות בקלות יחסית מהי עמדתו הפוליטית של אדם אחר באמצעות רשת האינטרנט. אמיתי דן מסביר כיצד

הפוסט נכתב על ידי אמיתי דן.

תמונה: flickr, cc-by, kevin dooley

נניח והייתם חלק מגוף הדורש מכם ליצור מערכת שתגן על מאגר מידע, אך בו בזמן ליצור מנגנון גלוי שיפקיר את אותו מאגר מידע באופן שעובר על החוק – ברמה פלילית, האם הייתם מסרבים?

המצב של אנשי המחשוב במפלגות הרבה יותר מסובך…

באופן מסורתי מקובל להתייחס לפרצות אבטחת מידע ככאלו המתרחשות עקב כשלים בתוכנה בקוד או בשיטות העבודה, לעתים דווקא חוקים ותקנות האוסרים משהו מסוים יגרמו לטריגר שיביא לשימוש בלתי חוקי בשיטה שלא הייתה מוכרת עד כה כבעייתית מבחינה משפטית. במחקר שערכתי עולה שמתרחשים מצבים שבהם דווקא חקיקה ותקנות, אם בתצורה של חוק יחיד ואם בהתנגשות בין חוקים ,היא זו שתגרום להיווצרות הכשל, ולכן בחינה של חוקים תקנות ותקנונים שונים תביא לא פעם לאיתור פרצות אבטחה שיטתיות.

בתקציר זה בחרתי להדגים את תוצאות המחקר על שיטת הבחירות במדינת ישראל, וברמה מדוייקת יותר על היערכות המפלגות לבחירות אלו.

אדגיש שהדבר לא נובע מתוך רצון לביקורת ישירה על הממסד אלא מתוך כוונה להפנות את תשומת הלב לכך שיש לבדוק מה המשמעות באספקט הדיגיטלי של החוקים והתקנות בזמן בנייתם, לפני הכנסתם לתוקף ולאחר החלתם לאור שינויים בלתי צפויים. מאחר שלפעמים גם מסמכי מכרזים מעידים על פרצות פוטנציאליות, אפשר אף להכליל ולומר שכשכותבים מסמך אפיון משפטי כדאי להתייעץ עם אנשי אבטחת מידע, אחרת מבין המילים תקפוץ פרצת האבטחה הבאה.

מאמר זה איננו טוען שכל המפלגות שותפות לבעיה, אך כל מפלגה שניתן לוודא בה שייכות של מתפקד על ידי שאילתה מבוססת תעודת זהות בלבד מהווה טריגר לבעיות העולות ממחקר זה. הפתרון איננו יכול להיות נקודתי בלבד, קרי תיקון הגישה למאגר מידע ספציפי אלא הנחיות מסודרות שיסדירו את פעילות המפלגות ואת אלו שמושפעים מהכשלים כיום.

מאגר אגרון-רקע כללי

תקציר זה מביא בחשבון שכיום נמצאים ברחבי האינטרנט ואצל אנשים רבים מאגרי מידע אשר נגנבו ממשרד הפנים ולפיהם ניתן לדעת פרטים רבים על אזרחים ובהם את מספרי תעודת הזהות שלהם. לאחר שנים רבות שבהם אחת הגרסאות המאוחרות שכונתה "מאגר אגרון" הסתובבה בשוק, נערכה חקירה של הרשות למדע וטכנולוגיה במשרד המשפטים ואף הוגשו כתבי אישום, ולאחרונה היו מספר הרשעות בנושא.

בעבר התייחסתי לפרצות אפשריות שיכולות לנצל מאגרים בלתי חוקיים כגון אגרון, וזאת במקביל למאגרים חוקיים כגון שירות ההודעות הבורסאיות המספק פרטים אישיים על בכירים ואנשים הקשורים לבורסה. שם לדוגמא, ללא כל צורך בביצוע פעולה בלתי חוקית, ניתן לגשת לנתונים אישיים על מצבת הבכירים בחברה, וכך כאשר מתמנה בכיר ניתן לא פעם לקבל את פרטיו כמו מקום מגורים, תעודת זהות, תאריך לידה וכו'.

ניהול גישה לספר הבוחרים של כלל אזרחי ישראל בבחירות לכנסת

עקב מחקר זה הסתבר לי שגם במאה ה-21 בלתי ניתן לחייב אנשים להשתמש באינטרנט או להחזיק אימייל. בניגוד למערכת אינטרנטית רגילה שבה ניתן לדרוש סיסמא אמיתית, ולעבוד לפי הנחיות שונות, במערכות בחירות מותר לרוב המוחלט של אזרחי ישראל בגיל המתאים להצביע.

מציאות זו גורמת לכך שכל מי שמעוניין לקחת חלק בבחירות יכול לגשת לפנקס הבוחרים ולבדוק היכן הוא מצביע והינו זכאי לבצע זאת במסגרת החוק, עקב כך יש מערכות לבדיקת מקום הצבעה באינטרנט, ולעיתים גם בטלפון. כפי שאני מבין מאחר שלאנשים רבים כגון חרדים אין גישה מרצון או מאילוץ לאינטרנט המערכות לאימות המשתמש פשוטות ביותר ומבוססות על תעודת זהות בלבד, תעודה ולא סיסמא. בנוסף, ניהול סיסמאות של כלל האזרחים לצורך גישה לפנקס הבוחרים הינו פרוייקט יקר שהמצב הנוכחי מועדף על פניו.
יתכן שזוהי הנצחה של שיטה ותו לא.

כאשר בוחנים את המערכת הלאומית לבדיקת מיקום קלפי, אנו רואים שבעצם ניתן להשתמש בממשקים השונים שלה ולבדוק אזור משוער של מקום המגורים של המצביע במשרד הפנים, וזאת מאחר שכל שנדרש הוא מספר תעודת זהות.

יש לציין שיש יכולת לבקש גריעה מהמערכת המבוססת על רשת אינטרנט, אבל ברירת המחדל היא חשיפה ובכל מקרה בלתי ניתן לגרוע לחלוטין. עצם הידיעה שניתן לברר היכן אדם מסוים עלול להגיע לבחור בקלפי ספציפית יכולה לספק לנו יכולת לאתר אדם שלא הצלחנו להשיג בדרך אחרת, לדוגמא לצרכים משפטיים. בכל הנוגע לדעה הפוליטית, אין כאן בעיה.

עיון בספר הבוחרים של מפלגות -בחירות מקדימות

כאשר נבחן את הנושא תוך התמקדות במפלגות נבין שיש בעיה מסוג אחר, הדעה הפוליטית נחשפת. אותה שיטת עבודה שמאפשרת לנו בדיקה של ספר בוחרים של כלל אזרחי המדינה לקראת בחירות לכנסת על פי תעודת זהות בלבד, מיושמת גם כאן ולכן מתאפשר לנו כגורם זר לברר האם אדם מסוים או הרבה אנשים התפקדו למפלגה מסוימת.

ניתן גם לשאוב את מאגר המתפקדים כולו, תוך שימוש במאגר כגון אגרון כמאגר נתונים גולמי. כפועל יוצא נוכל גם לטעון שאדם מסוים הינו בעל דעה פוליטית מסוימת, וזאת גם אם ההתפקדות שלו הינה עקב לחצים של ארגון עובדים או ממניעים אחרים.

עקב כך קבוצות כמו עובדי מדינה בכירים וזוטרים, חיילים וקצינים, ולחלופין עיתונאים ואנשים שעצם עבודתם דורשת חוסר ביטוי בפומבי של דעות פוליטיות, כולם עלולים להיפגע בצורה זו או אחרת מחשיפת הדעות הפוליטיות שלהם. בנוסף, גם האזרח הרגיל שאיננו שייך לקבוצות אלו לא תמיד ירצה להביע את דעתו הפוליטית בפומבי. כל זאת מבלי לדבר על הבעיות החוקיות שבנושא.

כך זה קורה, על ידי הזנה של מספר תעודת זהות לצורך קבלת תשובה מי התפקד למפלגה מסוימת ומי לא (לרוב לצורך בדיקת זכאות להצבעה בבחירות מקדימות) אנו נקבל תשובה אשר מוקרנת על המסך שמאשרת או שוללת את קיומנו במאגר. באתרי מפלגת העבודה, מפלגת קדימה, מפלגת הליכוד דרך אתר מתווך בלתי מפלגתי המשוייך לכאורה למטה הלאומי בליכוד, מפלגת מרצ באמצעות ממשק טלפוני הכולל SMS שיחה או פקס, וכדוגמא לשיטתיות גם מערכת של ההסתדרות.

בכל אלו יש או הייתה אינדיקציה לגבי שיוך של תעודת זהות ספציפית למאגרי מידע מפלגתיים, וחשוב לציין לא מדובר פה בפירצת אבטחה אלא בממשק מובנה של האתרים או הממשקים. עקב כך מלבד הדוגמא של ההסתדרות אנו נוכל בקלות לדעת מהי הדעה הפוליטית של מתפקד ספציפי, ואם נבחר נוכל להריץ את כל מאגר תעודת הזהות שנגנב וכך לדעת מיהם כלל המתפקדים במפלגה, בנוסף יש לבחון את הנושא מתוך הבנה שניתן גם לדעת כך מי לא התפקד למפלגה מסוימת.

עורך הדין יונתן קלינגר אשר התמודד לאחרונה במסגרת הבחירות הפנימיות במפלגת העבודה, הציף בהצלחה את המודעות לזליגת פנקסי בוחרים ובמקביל הרשות למדע וטכנולוגיה (רמו"ט) במשרד המשפטים פרסמה לאחרונה מזכר שעוסק בנושא של ניהול מאגרי המידע שמקבלות המפלגות ממשרד הפנים.

כפי שאני מוצא במקרה של ניהול של ממשקי ניהול המתפקדים של מפלגות רבות, לא נדרשת כל הדלפה של דיסקים הכוללים מאגרי בוחרים, הכול נגיש. שימו לב שאין אפילו CAPTCHA על מנת למזער נזקים…

חשיפת דעה פוליטית – הבעיה וההשלכות הראשוניות

בעוד שבעבר הרחוק ספרי הבוחרים השונים של המתפקדים למפלגות לא היו מתפרסמים דרך האינטרנט, כיום ניתנת למצביע היכולת לבדוק את זכאותו לבחור בבחירות המקדימות למפלגה ,או את מיקום הקלפי במפלגות לאחר הזנת תעודת זהות, דבר הנובע ככל הנראה מתיקון מס' 5 תשנ"ו-1996 לחוק המפלגות.

ג. מפלגה תקיים רישום של חבריה, לרבות חברי המפלגה בסניפיה; הרישום יכלול את מספר הזהות של כל חבר ויהווה ראיה לכאורה לחברות במפלגה, חשוב להבין שלעתים החוסר בהנחיה כיצד לזהות בוחרים מביאה ללאקונה (חוסר) בחוק שהיא זו שגורמת בעקיפין להיווצרות בעיות אבטחת מידע, ומכשול שגורם לגופים ופרטים כמו מפלגות או עובדי מדינה לעבור על תקנונים או חוקים אחרים. לא הוגדר שלא לזהות על פי תעודת זהות, כן הוגדר שהבחירות יהיו חשאיות והמפלגות חויבו לשמור על מאגרי המידע.

בנוסף יש להבחין במילים הבאות הלקוחות מאתר רשם המפלגות במשרד המשפטים: "מפלגה חייבת לקיים רישום של חבריה על פי האמור בסעיף 20(ג) לחוק המפלגות, הרישום יכלול את מספר הזהות של כל חבר ויהווה ראיה לכאורה לחברות במפלגה. (ההשלכות- זיהוי על פי תעודת זהות, א"ד).

מאגר חברי מפלגה הינו בגדר "מידע רגיש" כהגדרתו בחוק הגנת הפרטיות, התשמ"א 1981 (להלן – חוק הגנת הפרטיות) וכפוף לפיכך לחובות ולאיסורים מכוח חוק זה. ככלל, אין לעשות במאגר החברים שימוש כלשהו מלבד המתחייב לשם ניהולה של המפלגה. מובן, כי העברת המידע בדבר חברות במפלגה לכל גורם אחר, הינה אסורה ומהווה עבירה על חוק הגנת הפרטיות. (ההשלכות-קונפליקט בין חובה לשמור נתונים לחובה לשמור עליהם מזה שאיננו מתפקד, א"ד).

בנסיבות מסוימות יהיה השימוש במידע עבירה של פגיעה בפרטיות שדינה חמש שנות מאסר, לפי סעיף 5 לחוק הגנת הפרטיות או עבירה של שימוש במאגר מידע שלא למטרה לשמה הוקם שדינה שנת מאסר, לפי סעיף 31א לחוק האמור". (ההשלכות – עבירה אפשרית על חוק פלילי במקרה של חוסר שמירה או שימוש אסור במאגר המתפקדים, א"ד)

עצם היכולת לגשת למאגר המתפקדים ללא כל הרשאות מאפשרת לבצע עבירות נוספות, כגון השפעה על מתפקדים תוך מתן טובות הנאה או הצעה או שוחד כדי שאדם מסוים יצביע או ימנע מלהצביע בבחירות המקדימות.

כפי שניתן לראות ההנחיות שניתנות בנושא ניהול המאגרים מחייבות ניהול של מאגרי המתפקדים למפלגות על ידי שימוש בתעודות זהות, מחייבות לשמור עליהם, מגדירות אותם כמידע רגיש שמחייב שמירה ומטילות סנקציות פליליות כאשר הדברים לא מתבצעים או כאשר המידע דולף. לכאורה זיהוי באינטרנט על פי תעודת זהות מהווה ייעול של הליכי בדיקת זכאות לבחור בהתאם לחוק, ולכן כיום המצב הוא שהמפלגות הנוהגות כך פועלות בצורה שהבוחר ידע שהבקשה שלו התקבלה,או עבר זמן הצינון המינימלי מאז שהתפקד ושכעת הוא רשאי לבחור את נבחריו במפלגה.

כפי שציינתי המחוקק לא הגדיר את הדרכים המדויקות לעיון בספרי הבוחרים, ולכן הדבר פותח פתח הפוגע כיום בעיקרון החשאיות, בפרטיות וגורם לשרשרת של עברות וכשלים מסוגים שונים המשפיעים על כלל המעורבים באופן ישיר או עקיף.

הרשות למדע וטכנולוגיה במשרד המשפטים פרסמה הנחיה האוסרת לזהות אנשים על פי נתונים הנמצאים במאגר אגרון, ללא מזהה נוסף והנחתה שמי שייתן גישה למידע מרחוק באמצעים שבהם הזנת תעודת זהות בלבד, רשם המאגרים יראה אותו כמי שעבר על חוק הגנת הפרטיות. לכן, המצב כיום הוא שיש מפלגות העוברות לכאורה על תקנות רמו"ט ולכן חוק הגנת הפרטיות בעוד שהן מנסות לפעול על פי חוק המפלגות, ולאפשר בירור זכות הצבעה על פי תעודת זהות…

אם לסכם את המצב עד כה, נוצר מצב כולל שעל ידי שימוש בשיטת עבודה אסורה של גישה למאגרי מידע מרחוק על ידי תעודת זהות המהווה עבירה על תקנות הרשות למדע וטכנולוגיה במשרד המשפטים, נוצר מצב שבו פרטי המתפקדים חשופים במספר מפלגות. חשיפה זו נגרמת עקב כך שאין הגנה על מאגרי המתפקדים (עבירה על הוראות רשם המפלגות שעלולה להוות עבירה פלילית) ולכן גם ניתן לפגוע בפרטיות המתפקדים דבר היכול להוות עבירה פלילית נוספת. השאלה שנותר לשאול האם כאן זה נגמר ומי עוד עלול להיפגע?

עיון בספר הבוחרים של מפלגות – ההשלכות על עובדי מדינה חיילים וקצינים

את חלק זה של המאמר בחרתי לפתוח בציטוט ותצלום מסך הנלקח מהאתר של שלי יחימוביץ' במפלגת העבודה ,כפי שהזכרתי בתחילת המאמר אני טוען שיש כאן בעיה כללית וכאן רואים עוד דוגמא להשלכות שלה.

הדוגמא של שלי יחמוביץ' איננה דוגמא יחידה אך היא נבחרה כדוגמא להמחשת הטעות הנפוצה כיום.

"חיילים, קצינים, עובדי מדינה – מותר לכם להתפקד!" זכות ההתארגנות הפוליטית היא זכות יסוד אזרחית. כך אומר החוק: חוק המפלגות,סעיף 20, א.'

"אזרח ישראל כשמלאו לו ‎17 שנים והוא תושב הארץ, המקיים את התנאים שנקבעו בתקנון לחברות במפלגה, רשאי להיות חבר במפלגה, ובלבד שאינו חבר במפלגה אחרת."
הרבה חיילים וקצינים וגם הרבה עובדי מדינה – רופאים, מורים, עובדי משרד החוץ, משרד המשפטים ועוד – שואלים כל הזמן במטה שלנו אם מותר להם להתפקד. התשובה היא חד משמעית: כן.

מעבר לתשובה הפורמליסטית, אני מאמינה שלהתפקד למפלגה זו זכות דמוקרטית חשובה. אם פעם בארבע שנים אנחנו הולכים לקלפי לממש את חובתנו וזכותנו כאזרחים לבחור במפלגה שאנחנו מאמינים בדרכה, הרי שבהתפקדות אנחנו מכפילים את כוחנו, ויכולים גם לקבוע מי יהיה יו"ר המפלגה ומי יהיו חברי הכנסת שלה, משום שההתפקדות מאפשרת לנו להשתתף בפריימריז – הבחירות המקדימות.

בקיצור, נשארו תשעה ימים למפקד – ממשו את הזכות שלכם, התפקדו, וכך תוכלו לבחור בי לראשות מפלגת העבודה. גם מי שהתפקד למפלגה אחרת יכול להתפקד בשבילי – אבל במקביל הוא צריך להודיע למפלגה הקודמת שהוא מפסיק את חברותו. אנחנו נעזור לכם בתהליך – התקשרו למטה, 072-222200 פתוח בין עשר בבוקר עד עשר בערב בימים א-ה.

חיילים וקצינים:

הנה הפניה לפקודות מטכ"ל הרלוונטיות, המתירות במפורש לחיילים (סעיף 6) הצבעה בפריימריז. (סעיף 6)

עובדי מדינה:

הנה הפניה לתקציר של התקשיר שמתיר במפורש לעובדי מדינה הצבעה בפריימריז: (עמוד 30, המשפט האחרון בסעיף ו. שלכם, שלי"

כעת לניתוח חוזר של הדברים כביטוי לטעות הנפוצה כיום ביחס לנושא:

כפי שכבר ראינו המאגר של מפלגת העבודה כדוגמא שיטתית אך לא בודדה חשוף ואיננו מוגן, לאור זאת יש להמשיך ולהבין שמי שנמצא בו חשוף אף הוא ולכן אסור לחיילים וקצינים להתפקד למפלגות בעלות ממשק שהוא (כולל טלפוני) אשר מאפשר על ידי אספקת תעודת זהות בלבד לקבל מידע על מצב החברות במפלגה, וזאת על פי פקודות מטכ"ל.

בירור פשוט של תעודות זהות של חייל או קצין שהתפקד יחשפו אותו ולכן הם אסורים לפחות באופן ספציפי למפלגות המספקות מידע על ההשתייכות למפלגה על ידי נתינת תעודת זהות בלבד באופן טלפוני אינטרנטי או אחר. חייל יוכל להצביע בבחירות מקדימות (פריימריז) בתנאי שתהיינה אלו בחירות חשאיות המונעות כל אפשרות לזהות את השתייכותו הפוליטית של החייל."

ובמקום אחר: חייל יוכל להצביע בבחירות מקדימות (כמשמעותן בסעיף 17 לחוק המפלגות, התשנ"ב- 1992), ובלבד שהמפלגה, במסגרתה מתקיימות הבחירות האלה, קבעה דרך הצבעה, המונעת כל אפשרות לזהות את השתייכותו הפוליטית של החייל והמבטיחה חשאיות וסודיות גם בכל הנוגע לעצם השתתפותו בבחירות האלה:

כעת נמשיך לעובדי מדינה: גברת שלי יחימוביץ מפנה בדבריה לתקשי"ר ואכן בנוגע לעובדים בכירים נכתבו שם הדברים הבאים:

פרק שני:

סעיף ו: "חל איסור על עובד בכיר להיות חבר ב"גוף בוחר" של מפלגה, דהיינו גוף שתפקידו או אחד מתפקידיו לבחור מועמדים לכנסת או לכהונת ראש הממשלה או שר בממשלה, או לכל תפקיד ברשות מקומי, בהסתדרות הציונית העולמית או בסוכנות היהודית לארץ ישראל, למעט בחירות ישירות שבהן משתתפים כלל החברים של המפלגה".

לפי סעיף זה נראה שמי שכתב את התקשי"ר אכן התיר לעובדים בכירים להשתתף בבחירות ישירות למפלגות יחד עם כלל חברי המפלגה, ואולם כאשר ממשיכים לקרוא את התקשי"ר מופיעים שני סעיפים לאחר מכן המשפטים הבאים:

"חל איסור על עובד בכיר לארגן אסיפה פומבית בעלת אופי מדיני, לשבת בשולחן הנשיאות של אסיפה כזו או לשאת בה נאום. אופייה של אסיפה – אם הינה בעלת אופי מדיני או לא – אינו נקבע לפי זהותו של הגוף המארגן, אלא לפי הנושא העומד לדיון. כך למשל, יכול כנס של בעלי מקצוע מסוים להיות כנס מקצועי אם נדונים בו רק ענייני מקצוע ויכול להיות כנס בעל אופי מדיני אם נדונים בו עניינים מדיניים. בהקשר זה התעוררה השאלה, מה דין אסיפה הנערכת על-ידי מפלגה שאליה הוזמן עובד מדינה להרצות על נושאים הנמצאים בתחום תפקידו ואחריותו. יש להדגיש כי האיסור נועד למנוע את האפשרות שייווצר רושם בציבור של הזדהות או זיקה של עובד מדינה עם מפלגה מסוימת, לפיכך אסור לעובד להרצות באספות פומביות של מפלגות גם אם הנושא, עליו הוא מרצה, אינו פוליטי בכל מקרה אסור לו לשבת בשולחן הנשיאות של אסיפה בעלת אופי מפלגתי או מדיני."

כפי שניתן לראות מעיון בסעיף זה ,מטרת התקשי"ר בהקשר זה של המפלגות היא למנוע מצב שבו יהיה ניתן לזהות ולשייך דעה פוליטית או השתייכות מפלגתית לעובדי מדינה בכירים. התקשי"ר בעצם מתיר לעובדי מדינה בכירים לעשות משהו שהוא מתנגד לו באופן עקרוני. אי לכך, גם אם על פניו יש היתר הרי שדברי התקשי"ר מעידים על כך שלא הייתה מודעות לבעיה העולה ממחקר זה בקרב מי שכתב את התקשי"ר ובכל אופן המצב כיום דורש שינוי הנחיות.

ראיה לכך ניתן לראות כבר בתחילת הפרק בתקשי"ר העוסק בשמירה על טוהר המידות: "עובד המדינה הינו משרת הציבור ונאמנו. במילוי תפקידו עליו לפעול על-פי שיקולים ענייניים וממלכתיים בלבד ואל לו להיראות כעושה דברה הפוליטי של מפלגה כלשהי. גם אם לפני מינויו למשרה היה העובד מזוהה עם מפלגה או תנועה פוליטית או פעיל בשירותיה, הרי משנתמנה לתפקיד בשירות המדינה, עליו לפעול כאמור על-פי שיקולים מקצועיים וענייניים ובנאמנות כלפי החלטות הממשלה המכהנת באותה עת, ללא קשר או זיקה להשקפותיו האישיות. כלל זה חל על כל עובדי המדינה, אך מטבע הדברים על העובדים הבכירים או כאלה הממלאים תפקידים רגישים להקפיד על כך הקפדה יתרה."

כך ניתן שוב לראות שהעיקרון הוא להתרחק מזיהוי פוליטי, האשליה היא שבזמן בחירות ישירות למפלגות יחד עם כלל חברי המפלגה אין זיהוי של העובד, אך ברור כעת שלא כך הדבר.

על ידי הקשה פשוטה של תעודות זהות השייכות לעובדי מדינה בכירים, ולחלופין במקרים מסוימים התקשרות טלפונית למחלקות הרלוונטיות במפלגות,שליחת SMS או פקס, ניתן יהיה לדעת האם עובדי מדינה מסוימים התפקדו למפלגות,ולהיכן באם עשו זאת.

כדי להעמיק את הפרדוקס כדאי לקרוא את המשפט הבא הנלקח מהנחיות נציבות המדינה לקראת הבחירות הקרובות":

ד. בחירות מקדימות (פריימריז)

1. בחירות מקדימות (פריימריז) בחירות ישירות בהן רשאים להשתתף כל החברים הרשומים של מפלגה או גוף מדיני לבחירת המועמד לכהונת ראש הממשלה ו/או לבחירת רשימת המועמדים לכנסת מטעם אותה מפלגה.."

2. הצבעה בבחירות מקדימות (פריימריז) עובד המדינה, תהא דרגתו אשר תהא, רשאי להצביע בבחירות מקדימות (פריימריז) כאמור לעיל."

ושוב ניתן לראות שיש אישור ברור להשתתף בבחירות, אך מנגד יש התנגשות של הדבר עם האיסור לחשוף את הדעה הפוליטית, מניעה של זיהוי עובדי מדינה עם מפלגות וזאת בהתאם למצב הנוכחי שבו ניתן לזהות את השתייכותם בקלות.

הסיכום של חלק זה מביא אותנו למסקנה שבניגוד להמלצת שלי יחימוביץ' לחיילים יש פקודה האוסרת עליהם להתפקד לכל מפלגה שאיננה שומרת על פרטיהם, איסור זה הינו איסור מפורש המעוגן בפקודות צבאיות. בכל הנוגע לעובדי מדינה, אכן יש היתר להשתתף בפריימריז של מפלגות, אך מנגד יש אזכור מפורש האוסר על עובדים בכירים ובאופן כללי גם על זוטרים לבצע פעולות הגורמות לזיהוי הפוליטי שלהם. המצב בפועל הוא שיש זיהוי, ולכן לדעתי יש לשנות את הנהלים בכל הנודע לעובדי מדינה ולאסור עליהם להתפקד למפלגות.

על כל עובד מדינה או קצין לבחון את הדברים כעת ולבדוק האם המצב כיום שווה את הסיכון שדעותיו הפוליטיות יחשפו,באם אכן התפקד למפלגה מסויימת וכל זאת בהשלכה על הנהלי התקשי"ר והפקודות ומבלי לבחון את האפקט הסביבתי של חשיפת דעותיו בקרב הציבור. שינוי זה בתפיסה הינו דרסטי אך נובע מפרצת אבטחת מידע ולכן הוא מעניין. אם נבחן את ההשלכות המשמעתיות של התבטאויות פוליטיות אסורות של עובדי המדינה# ביחס לדין המשמעתי שבא בעקבותיהם.

לסיכום

קיים כיום מצב שבו מאגרי מידע רגישים חשופים לחלוטין, המשך עצימת עיניים מקצועית וציבורית לא יעזרו כאן. ברור שיש כאן אילוצים שנוצרו עקב כך שיש אוכלוסיות ללא אימייל, שלפעמים רק דרך טלפון יכולות לברר את זכות הצבעתן, ולעיתים על ידי גלישה חד פעמית באינטרנט,שימוש בטלפון בלבד לא יעזור כל עוד פרט המידע היחיד שידרש הוא מספר תעודת זהות.

המדינה עצמה על גופיה השונים כנראה לא מבינה את ההשלכות של המצב, ורק בצבא ניתן לראות רמיזות שאולי יש מפלגות שמפקירות נתונים. נוצר מצב שאוכלוסיות רגישות כמו עובדי מדינה וחיילים מתפקדות למפלגות, וזאת למרות שיש מפלגות אשר מציגות את ספר הבוחרים בצורה שהופכת אותו לגלוי ושקוף (דליית מידע על פי תעודת זהות), לאור זאת אין חשאיות ובעצם אסור לאותן אוכלוסיות להתפקד על פי הנחיות המדינה, או הצבא.

המדינה חוקקה את חוק המפלגות, אשר ככל הנראה גרם למפלגות עם סיוע של חוק הבחירות לגופים ציבוריים לפתח ממשקי אינטרנט שבהם מתבצע זיהוי על פי תעודת הזהות של הבוחר אשר מוצמדת לנתוניו במפלגה בהתאם לחוק, וזאת באופן שמתנגש עם חוק הגנת הפרטיות ותקנות חדשות של הרשות למדע וטכנולוגיה המסדירות את נושא הזיהוי של אזרחים בעקבות דליפת מאגרי מידע של אזרחי ישראל.

לסיטואציה מעניינת זו נכנסו גם הנחיות התקשי"ר לגבי התפקדות עובדי מדינה אשר הינן דואליות בעצמן ופקודות הצבא באופן ברור יותר אך ללא הנחיות ספציפיות נכון למצב כיום באופן שפותח פתח לפרשנויות משפטיות מוטעות. במקרה של עובדי המדינה יש היתר מפורש לעשות משהו שנכתב שאסור לעשותו באותו מסמך ואילו במקרה של פקודות הצבא מסתבר שעל החייל או הקצין לבדוק האם מאגר המתפקדים מוגן בצורה שלא ניתן יהיה לזהות שהוא התפקד, דבר שלכלעצמו מהווה בעיה מאחר שאין ברשות חיילים יכולות אלו.

לא רק שהחיילים ועובדי המדינה בבעיה העלולה להשפיע על מקום העבודה שלהם,ועל תפיסת הציבור אותם כאנשים השייכים למוסדות המדינה, פרצת אבטחת המידע שנוצרה כאן גוררת את עובדי המדינה החיילים המפלגות והמדינה עצמה למצב שבו יש מפלגות שעוברות על חוקים שדינם פליליים.

אנשי אגף המחשב או הדומים לו בהתאם למפלגה נדרשים להקים מערכת שעוברת על תקנות וחוקים, ובו בזמן לשמור על המאגר. מי במפלגות עובר על החוק זאת שאלה אחרת.

יש להבין שמאחר ואין הגדרה מדוייקת של נהלי זיהוי מתפקדים,החלה כאן שיטת עבודה לקויה ובלתי חוקית אשר יש לעוצרה מוקדם.

לדעתי,הסיכויים גבוהים שכבר כיום יש מי שמבצע שימוש אסור בשיטות העבודה המוזכרות כאן המאפשרות דליית נתוני מתפקדים ,ואולם מאחר וגם העברת הנתונים הינה בלתי חוקית, עם ענישה העלולה לגרום מאסר, הדבר עלול להיות מנוצל באופן סמוי למטרות שונות כגון שימוש עיתונאי או הדלפה לפני מינוי למשרה ציבורית, כנגד קציני צבא ולמטרות אחרות.

פתרון אפשרי

לדעתי יש להקים גוף מסודר רב תחומי שיסדיר את המצב. לא נוכל לחייב הזדהות מאובטחת רגילה כי חיוב כל מתפקד לדוגמא להחזיק פלאפון שבו יקבל קוד אימות לזיהוי כפול יחד עם תעודת הזהות הינו בלתי אפשרי. גם ניהול מאגר סיסמאות של כלל האזרחים הינו פיתרון בעייתי ולכן השאיפה היא למצוא פתרונות פשוטים שיאפשרו זיהוי גם דרך טלפון, וגם דרך האינטרנט.

אחד מהפתרונות שניתן לאמץ הינו השימוש בפרטי תעודת הזהות עצמה וזאת יחד עם מספר הזהות. לכל אחד מאתנו יש תעודת זהות עם תאריך הנפקה, תאריך שיכול להוות אמצעי זיהוי אחיד במערכות המפלגות בנוסף לתעודות זהות. דוגמא להטמעה של מערכת דומה ניתן לראות בממשק Ipost של חברת דואר ישראל:

מבט אישי

במאמר זה מודגם כיצד חוקים תקנות וסיטואציות דינמיות (גנבת מאגרי מידע) גרמו לכך שאזרחים, חיילים ועובדי מדינה עוברים על פקודות צבאיות חוקים ותקנות מאחר שהם פועלים על פי חוקים אחרים או פשוט עקב חוסר ידע, לעתים הדבר נובע מלאקונה בחוק ובהוראות אחרות בצורה שמביאה להחרפת המצב.

לדעתי יש צורך באנשי אבטחת מידע שיחוו את דעתם על חוקים תקנות מכרזים ומלל משפטי שהמשמעות של החוסר בהם הינה לעיתים פלילית. לפעמים הדבר נובע מחוסר הבנה בסיסית של המצב בשטח לעומת דברי המחוקק או המשפטן בהתאם להקשר. אישית אני מודע למצב זה ולכן עיון בחוקים הביאו אותי גם בעבר לאתר נקודות תורפה בעולם אבטחת המידע אשר נוצרו עקב הלאקונה במלל המשפטי והוואקום שנוצר עקב חוסר הבנה או ההתנגשות בין החוקים הגורמת לכשלים בשיטות שלמות.

מצב זה מביא לכך שניתן ללא כל צורך במבדקי חדירות להגיע למסקנה שיש אתר אינטרנט בעל פרצת אבטחה הגורמת בו בזמן לבעליו לעבור על חוק אזרחי או פלילי, על המשתמשים באתר לעבור על חוקים אחרים (תקנות/פקודות) עם השלכות אפשריות על עתידם המקצועי ולי לגלות עולם חדש של פרצות אבטחת מידע שאין מודעות מספקת אליהן, אשר מאפשרות לאזרח חוקר או האקר לתבוע את בעלי האתר על תביעת רשלנות יחד עם תביעת פיצויים ייצוגית ותלונה שמשמעותה עלולה להיות מאסר.

המעבר ממצב של להיות תחת העין הבוחנת של אנשי המשפט למבט חודרני לתוך החקיקה מאפשרת תובנות רבות ומרעננות. במקרה של המפלגות מדובר בשיטת עבודה גורפת שלא החלה בבחירות האחרונות ולא תסתיים עד שלא נאמר את דעתנו עליה כאנשים המתעסקים בסוגיות של אבטחת מידע.

הפוסט פורסם לראשונה בגיליון ה-38 של מגזין Digital Whisper מינואר 2013.

Digital Whisper

Digital Whisper הוא מגזין חודשי שמפורסם במטרה לספק לקורא הישראלי תוכן מקצועי בעברית עם דגש על נושאים כגון אבטחת מידע והאקניג, Reverse Engineering, סטגנוגרפיה, קריפטוגרפיה, קריפטו-אנליזה, חקר וניתוח קוד זדוני, פיתוח Rootkits וניתוח מנגנוני Anti-Reversing.

הגב

2 Comments on "פרצה חוקית מאפשרת לגלות ברשת מהי העמדה הפוליטית של הסובבים אתכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
נחום דוניצה
Guest

ויש גם את השיטה הבאה: אפליקציה שעושה בשבילך את העבודה, בלי לעבור על החוק, בלי לרכוש ואו להכנס למאגרי מידע גנובים. רק להציץ בפייסבוק. בלי לחץ: בינתיים, כנראה, לא עובד בעברית…
http://mashable.com/2012/11/03/facebook-friends-politics/

אליהו
Guest

האמת שאני נתקל בבקשות רבות מארגונים פוליטיים, הדרישה הבסיסית שלי הצליבו את תאריך הלידה עם מספר הזיהוי
דבר נוסף קלטו את הפרטים למערכת אבל תנו למשתמש להזין את הפרטים …תנו אופציה לדיווח על גניבת זהות בקליק
קצת מחשבה והרבה מהבעיות כאן לא היו קורות

wpDiscuz

תגיות לכתבה: