אופס. בטקסס פוגעים בפרטיות

רשויות ציבוריות בטקסס חשפו, בטעות, מאגר מידע אישי של כ-3.5 מיליון טקסנים. אחרי שנה בו המידע היה זמין לכולם, הם אפילו הבחינו בזה

במדינת טקסס שבארצות הברית חשפו, בטעות, מאגר מידע שהכיל את המידע האישי של כ-3.5 מיליון תושבי טקסס. המידע שנחשף כלל את השמות המלאים, כתובות ו-Social Security Numbers. מדובר במקרה מעט משונה, שכן המידע היה זמין, בטעות, ברשת, והתגלה רק כשנה לאחר שהחל להיות זמין.

פרטי המקרה

המידע שנחשף היה המידע האישי של גמלאי מערכת ההוראה בטקסס, ומערכות גמלאים נוספות, ונועד לשמש לצורכי אימות של כל גורמי הממשל בטקסס.

עבור חלק מהאנשים, כנראה שהחשיפה גדולה יותר מגילוי ה-Social Security Number שלהם, שכן ידוע שנחשף מידע הכולל את תאריכי הלידה שלהם ומספרי רישיון הנהיגה.

בציטוט שמופיע בעיתון היוסטון-כרוניקל, מצוטטים אנשי המשרד שממנו נחשף המידע כי אינם מודעים בשלב זה לכל שימוש לרעה במידע שחשף, בטעות, משרדם. זאת אמירה תמוהה, משום שזה קשה ביותר, אם בכלל אפשרי, להתחקות אחרי חשיפת מידע שכזו בעקבות מקרה של גניבת זהות או שימוש לרעה במידע לצורך מטרות כלכליות או מטרות אחרות אפשריות.

ככל הנראה, חלק מהבעייתיות שגרמה לחשיפת המידע היתה העברתו בין רשויות ציבוריות בתוך טקסס, מאחת לשניה, מבלי שמי מבין הרשויות נוקטת באמצעי הצפנה, ולו הפשוטים ביותר, כדי להגן על האנשים שאת המידע שלהם הם מאחסנים ושומרים.

הסכנה בחשיפת המידע

בין הסכנות המיידיות לכל אותם אנשים שפרטיהם האישיים נחשפו, נמצאת גניבת זהות (Identity Theft), אחד מהפשעים היותר נפוצים בארצות הברית. גניבת זהות היא כאשר אדם מתחזה לאדם אחר ומבצע בשמו פעולות או עסקאות שונות. אותו גנב זהות יכול לקחת את הפרטים שיש לו על אדם מסוים, ולרכוש בשמו מוצרים ושירותים. בנוסף, תחת תנאים מסוימים, הוא יכול גם לבצע בשמו עסקאות כלכליות, לחתום על הלוואות, לשנות את הסטטוס של נכסיו הרשומים במרשמים רשמיים שונים, ועוד. הרשימה היא אינסופית, וכפופה בעיקר לדימיון של הגנב היצירתי וליכולותיו הנלוות.

בארצות הברית, ה-Social Security Number הוא אחד מפרטי המידע האישיים החשובים ביותר, וזהותו אינו נחשפת או נדרשת לעסקאות ביום-יום, אלא בעיקר לעסקאות הגדולות ובמקרים בהם צריך לוודא את האדם שיושב מולך. באמצעות המידע הרב שנחשף, ייתכן וגורמים בעלי אמצעים, כגון ארגוני פשע, יוכלו לזייף תעודות ומסמכים רשמיים ולשים עליהם את הפרטים האישיים של אותם אנשים מהמאגר בטקסס, כולל את ה-Social Security Number שלהם. שילוב של שם נכון ו-Social Security Number מתאים, לצד תמונה של גנב, עשוי לאפשר להם להגיע למקומות פיזיים, כמו למשל מוסדות בנקאיים, ולבצע פעולות בתור אותו אדם שאליו הם מתחזים. האדם שאת פרטיו גנבו עשוי לגלות רק בשלב מאוחר יותר (או מאוחר מידי) כי זהותו נגנבה, וכי הגנבים ביצעו פעולות או פשעים תוך כדי הזדהות עם הפרטים שלו.

מה אנחנו יכולים ללמוד מהמקרה

ישנם כמה דברים מיידים שצריך ללמוד מהמקרה, ובין הראשונים הוא שכאשר חייבים להעביר כמות מידע רצינית שכזו, ומידע רגיש בדרגה שכזו, חייבים לנקוט באמצעי זהירות מינימליים, שהם הסטנדרט ההתנהגותי שמצופה ממחזיקי המידע הללו. אם יש דבר אחד שהם היו צריכים לעשות, זה להצפין את המידע. ברמה השניה, עולה בכלל הסוגיה של מדוע העבירו בין הרשויות את המידע דרך שרתי המחשבים ולא בצורה אחרת, ומדוע נדרשה בכלל העברה של כמות מידע כה גדולה.

ברמה הבאה, עולה השאלה כיצד במשך כשנה לא עלו על זה שהמידע יושב במקום הזמין לציבור, בצורה לא מוצפנת. מגופים ציבוריים המקבלים לידיהם את המידע האישי של האזרחים, האזרחים מצפים כי הם ישמרו על המידע מכל משמר. האם העובדה שלקח שנה לגלות את המידע שנחשף מעידה כי במשך שנה לא נערכה ביקורת אבטחת מידע, אפילו ביקורת עצמית-פנימית להתנהלות עם מאגרי המידע שבשליטת הגופים הציבוריים?

Avatar

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

2 תגובות על "אופס. בטקסס פוגעים בפרטיות"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
עמית
Guest

ללמוד מהמקרה? אצלנו?? זה לא אצלנו שהסכימו ממש עכשיו לא להצפין את המאגר הביולוגי שייצר השר שיטרית (אחרי שהצליח להעביר אותו בהבטחה שיהיה מאובטח כראוי)?
מי שמופתע שיקום. קודם מעבירים פה חוקים בכל מחיר, ומשקרים כל שקר כדי להעביר אותם ומבטיחים הרים וגבעות, ואז עושים “תיקונים” .

עמוס
Guest

בישראל זה יותר גרוע – המקבילה ל-SSN הוא מספר הזהות ואותו יש על כל צ’ק או מכתב רשמי (בנק, חשבונות).

wpDiscuz

תגיות לכתבה: