הפריצה לטוויטר: נקודת אור בהגנה על מידע

למרות שהפריצה שנעשתה לטוויטר בשבוע שעבר היא גדולה, החברה דווקא משמשת כנקודת אור, להראות כיצד התמריצים והעונשים שיצרה מערכת המשפט בארה"ב שיפרה את אבטחת המידע שם. ומה המצב בישראל?

עו"ד אוריה ירקוני פורסם: 07.02.13, 08:53

ביום שישי האחרון פירסמה טוויטר הודעה לכל מנוייה, ובה נכתב שהרשת החברתית איתרה גישה לא מורשית למאגרי המידע שלה – או, אם נשתמש בהגדרה הנפוצה (אך הלא-תמיד-מדויקת) למקרה זה, טוויטר דיווחה שמחשביה נפרצו. לדברי החברה, נגנבו שמות משתמש, סיסמאות, כתובת מייל ולוגים של כ-250,000 משתמשים, שאליהם נשלחה הודעה מזהה. ולמרות זאת, יש בהתנהלות של החברה לאחר מכן, נקודת אור.

 

 

רוץ לצייץ לחבר'ה

הדיווח המיידי של טוויטר לא נעשה מטוב ליבה. לאף חברה מסחרית אין אינטרס לרוץ לעיתונות ולהודיע שמאגרי המידע שלה נפרצו, תוך פגיעה במוניטין (ובערך המניה) שלה. אלא שטוויטר יודעת ששתיקה עשויה להיות יקרה הרבה יותר.

 

כאשר רובנו חושבים על אבטחת מידע, אנו חושבים על איך להקשות את הגישה למידע (למנוע 'פריצה'). אולם חלק נכבד מתורת אבטחת המידע מתייחס לצעדים שיש לנקוט במקרה שקווי ההגנה כשלו: כמובן שיש לסתום את הפירצה בהקדם, אך בנוסף על בעל המאגר הנפרץ למנוע, ככל האפשר, שימוש לרעה במידע שנגנב. הצעד הראשון והמובן מאליו הוא איפוס סיסמאות המשתמשים שנגנבו, כפי שטוויטר אכן ביצעה באופן מיידי. בנוסף, יש להודיע בהקדם האפשרי לבעליהם החוקיים של המידע (המשתמשים) כי הפרטים שלהם נמצאים בידיים זרות, לפרט מהו אותו מידע גנוב ולהנחות אותם כיצד עליהם לפעול כדי למנוע נזקים נוספים.

 

בהתאם לסטנדרט האמור, במספר רב של מדינות בארה"ב (העיקרית שבהם היא קליפורניה, מקום מושבן של מרבית ענקיות האינטרנט) בעל מאגר מידע מחויב לפי חוק לפרסם הודעה אודות דליפות מידע באופן מיידי. מנגד, כאשר בעל המאגר לא פועל כנדרש (הסתיר פרטים או המתין), הוא חשוף לתביעות ייצוגיות מצד המשתמשים - כמו במקרה של סוני, שב-2011 חיכתה ארבעה ימים בטרם גילתה למשתמשיה שרשת המשחקים שלה נפרצה, ונתבעה, בין השאר, גם על זה.

 

צילום: shutterstock
(צילום: shutterstock)

 

רק קצת, רק מעט

מההודעה עולה גם שטוויטר מקפידה על כלל אבטחת מידע נוסף, אולי החשוב מכולם, שנועד להגן על לקוחותיה: צמצם למינימום את המידע שנאסף מהמשתמש. על אף שלטוויטר (כמו לכל אתר) יש אינטרס עסקי מובהק לאסוף ולאגור מידע רב ככל האפשר על לקוחותיה, מההודעה שפורסמה עולה שטוויטר דווקא מחזיקה 'תיק' רזה על כל משתמש: רק כינוי, כתובת אי-מייל, סיסמא ולוגים אודות פעילות המשתמשים, הנחוצים לה לצורך תפעול המערכת, מן הסתם, ושרובם פומבית ממילא.

 

כלומר, טוויטר מסתפקת במינימום ההכרחי, ונמנעת מלבקש מהמשתמשים ולאגור מידע נוסף, שדווקא עשוי להכניס לה כסף (ע"ע גוגל או פייסבוק). הסיבה היא, שוב, הדין בתחום מאגרי המידע. פרטי המידע שטוויטר אוספת כמעט ואינם יכולים לגרום לפגיעה בפרטיות או לשמש (למעט הסיסמאות, כפי שנראה בהמשך) לצרכים אחרים מחוץ לרשת של טוויטר. צמצום הנזק מקטין את הסיכון שבתביעה ייצוגית בגין דליפות. בנוסף, טוויטר נדרשת לאבטחת מידע פחותה ביחס למאגרים של מידע רגיש, ובכך היא חוסכת כסף. כלומר, טוויטר מעדיפה לוותר על נכסי מידע כדי להקטין עלויות שנובעות מאחריות משפטית.

 

הצפן מידע רגיש

החריג העיקרי הוא הסיסמאות, אשר עשויות לשמש לצורך חדירה לשירותים אחרים. משתמשים לא-מודעים נוטים לבחור סיסמאות זהות לשירותים שונים, ובכך לאפשר למי שפורץ לחשבון שלהם באתר אחד, לגשת לחשבונות שלהם באתרים אחרים. ב-2010 ניצלו כמה האקרים טורקים את הפירצה האנושית הזאת, ולאחר שחדרו לאתר ישראלי, השתמשו בסיסמאות שגנבו ממנו כדי לחדור לכאלף חשבונות אימייל ולזרוע הרס רב.

 

אלא שגם על עניין זה טוויטר חשבה, ובשל רגישותן, נשמרו הסיסמאות כשהן מוצפנות. אמנם, ניתן לשבור את ההצפנה, אבל פרק הזמן שהדבר ייקח, מאפשר למשתמשים להתגונן כראוי ולהחליף את הסיסמאות שלהם. כלומר, שוב ניתן לראות כיצד החיוב המשפטי לאמץ סטנדרט אבטחת מידע מקובל – והפעם, הצפן מידע רגיש – מגן על המשתמשי הרשת. בנוסף, טוויטר הודיעה על כוונתה להחיל זיהוי דו-שלבי (כמו זה הנהוג היום בפייסבוק וג'ימייל), שבו משתמש נדרש להיכנס לשירות ממכשיר חדש באמצעות קוד זיהוי שנשלח לסלולרי. באופן זה, הסיכון שבדליפת סיסמאות קטן עוד יותר.

 

נראה שטוויטר פעלה כדין, ועל כן, אפילו שמאגר המידע שלה נפרץ, המשתמשים שלה יחסית מוגנים וכתוצאה, היא לא צפויה לשאת בעלויות משמעותיות בגין פעילות פלילית שכוונה כנגדה. כך נראית מערכת משפטית שפועלת נכון, ולראיה, עבר שבוע וטרם הוגשה תביעה ייצוגית כנגד החברה - זהו פרק זמן ארוך בשיטת 'כל הקודם זוכה'.

  

צריך לחשוש בישראל?

בישראל, ההלכות הנוגעות לחובות אבטחת מאגרי מידע עמומות הרבה יותר (ניירות הרשות למשפט וטכנולוגיה מהווים את הפרסומים הרשמיים המקיפים ביותר בנושא), ואין ולו פסק דין אחד העוסק בנושא במסגרת תביעות ייצוגיות. נראה שלכאורה, המשתמשים בישראל צריכים לחשוש, כיוון שהנורמות שהובילו את טוויטר להגן על המידע של המשתמשים שלה באמצעות מערכת של תמריצים ועונשים, אינן מוגדרות בישראל.

 

אלא שאין מקום לפניקה: ראשית, כיוון שחלק ניכר הפעילות האינטרנטית של הישראלים מתבצעת באתרים כמו גוגל ופייסבוק שחייבים לעמוד בהוראות הדין בארה"ב ובאירופה. ושנית, כיוון שהנורמות הסבירות שתוארו נגזרות מתוך החוק הישראלי הכללי (חוק הגנת הפרטיות ודיני הנזיקין), וניתן להניח שבתי המשפט בישראל, שעל פי רוב מגלים בקיאות בנוגע למה שקורה ברשת, לא יפקירו את בטחון המידע של הציבור לכשיידרשו לנושא.