מידע פרטי עלינו מהביטוח הלאומי נגיש לחברה שעובדיה עשו בו שימוש לרעה

בניין המוסד לביטוח לאומי בירושלים. צילום: יעוז (נחלת הכלל)

מאגר המידע של המוסד לביטוח לאומי נגיש לעובדי חברת טלאול, שמפעילה את מוקד השירות המופרט של המוסד. עובדים של טלאול נתפסו מנצלים לרעה את הגישה הזאת ומוציאים מידע ממאגר הנתונים של בט”ל תוך עבירה על הכללים ועל החוק, נתפסו ופוטרו, כך אומרים רשמית ולציטוט במוסד לביטוח לאומי.

בט”ל ופייסבוק מחזיקים המון מידע פרטי, אישי ורגיש על אזרחי ישראל. מידע כזה, אם ידלוף, עלול לפגוע באותם אזרחים. גורמים מסחריים ישמחו לקבל את המידע הזה ולהשתמש בו לייעל את מאמצי השיווק שלהם לאותם אנשים. חוקרים פרטיים ועיתונאים ישמחו לשים את היד על המידע הזה ולבנות באמצעותו פרופילים על מושאי תחקיר. עבריינים ישמחו לקבל עותק מהמידע ולסחוט באמצעותו אנשים. חלק מהשימושים הללו עלולים להיות בלתי חוקיים, אבל קשה להוכיח מאיפה המידע דלף, ובלתי אפשרי להעלים אותו מרגע שהוא מסתובב בין אנשים, כפי שיודע כל מי שפרטים עליו נמצאים במרשם האוכלוסין, שממשיך להסתובב גם אחרי שהאנשים שהעתיקו ומכרו אותו הורשעו בכך.

ההבדל המהותי בין שני הגופים עתירי המידע הנ”ל הוא שפייסבוק היא חברה מסחרית, שאוספת מידע שאנחנו מספקים לה מבחירה (גם אם לא תמיד מודעת), שמטרתה המוצהרת היא מסחרית, ושאנחנו יכולים לעזוב אותה בכל רגע ולעבור למתחרים. בט”ל, לעומתה, הוא גוף ממלכתי שאוסף את המידע על פי חוק, אנחנו לא יכולים לסרב לספקו, ואין לנו דרך לעזוב אותו. אבל מה קורה כשהביטוח הלאומי מעביר את המידע הזה לחברה פרטית?

זו לא שאלה תאורטית. מוקד השירות של בט”ל הוא אחד מהשירותים הממשלתיים שהופרטו והועברו לידי חברה פרטית, כאמור. כאשר מתקשרים למוקד השירות ומגיעים בניתוב השיחות לאפשרות לקבל מידע אישי, המוקד משמיע הודעה מוקלטת שלפיה “מוקד זה מופעל עבור המוסד לביטוח לאומי באמצעות חברת שירות. קבלת מידע אישי על ידי נציג שירות מותנית בהסכמתכם”.

מדובר בגילוי נאות מבורך, אבל חלקי. ראשית, זהותה של חברת השירות לא מפורסמת. נציגי החברה גם לא מציגים את עצמם ככאלו, וממילא לא מציגים את זהות החברה, אלא אם המתקשר מבקש זאת במפורש, כפי שהיה בשיחה שלי עם המוקד


(הערה: מסיבות טכניות, ההקלטה מורכבת משתי שיחות נפרדות שנעשו למוקד הבט”ל)

שלום, רציתי לוודא – היתה הודעה שאני צריך לאשר להעביר את המידע אליכם, שאתם חברה פרטית ולא ביטוח לאומי, זה נכון?
“אנחנו מוקד חיצוני של ביטוח לאומי, כן”.

ואיזו חברה זאת?
“מה החברה? זה מוקד שקשור ל..”

כן, אבל אני שואל באיזו חברה מדובר. איזו חברה זו?
“טלאול”.

הבעיה השניה בגילוי הנאות החלקי היא הניסוח האנמי – “קבלת מידע אישי על ידי נציג שירות מותנית בהסכמתכם”. מי שלא מתמצא בנושא עלול לפספס את המשמעות של ההסכמה שהוא מתבקש לתת – הסכמה שעובד של חברה פרטית-מסחרית יוכל לגשת לפרטים אישיים ורגישים עליו.

בטלאול לא מוכנים להתייחס למורכבות של הסיפור, ומסתפקים בתשובה פורמליסטית. סמנכ”ל הכספים של טלאול, רמי ערוסי, מסר בתגובה: “על מנת לקבל תגובה עליך לפנות ישירות אל המוסד לביטוח לאומי. טלאול הינה ספק השירות ופועלת בהתאם להנחיות המוסד לביטוח לאומי”.

בתגובתו מאשר דובר המוסד לביטוח לאומי, חיים פיטוסי, את החששות. הוא מספר על שימוש לרעה שעשו עובדי טלאול במידע, ועל נהלי אבטחת מידע שצריכים להדאיג את מי שפרטיותו יקרה לו:

מאגר המידע של הביטוח הלאומי הוא מהגדולים ומהרגישים במדינה, ואנו פועלים לפי כללי אבטחת המידע מהמחמירים ביותר. חברת טלאול אינה מחזיקה בעותק של מאגר המידע ומעבר לכך, לעובדי טלאול אין גישה לחדר התקשורת במוקד, אשר מפוקח על ידי עובדי הביטוח הלאומי. כמו כן, אנו מחייבים את הפונים למוקד להקיש מספר תעודת זהות במהלך ניתוב השיחה, זאת על מנת להקטין ככל האפשר את החשיפה של נציגים לזהויות של אנשים שלא פנו. נכון, לנציגי השירות אכן ישנה אפשרות טכנית לעיין בזהויות של אנשים שלא פנו למוקד, אבל לצורך כך הביטוח הלאומי מנהל בקרה ופיקוח הדוקים על שאילתות החיפוש של הנציגים. הנציגים אינם רשאים לעיין אפילו במספרי הזהות של עצמם. נציגי שירות שחרגו מכללים אלה פוטרו באופן מידי, זהו נושא שאנו מתייחסים אליו בכובד ראש. נכון להיום השיחות אינן מוקלטות, אך דבר זה אינו רלוונטי לאבטחת המידע. כל פרטי הזהות המוזנים במהלך ניתוב השיחה ושאילתות החיפוש במוקד נשמרים ומפוקחים.

בדברי הדובר מופיעה פירצת אבטחה בולטת במנגנון הפיקוח. לדבריו, לנציגי טלאול מותר לגשת רק למידע שנוגע לתעודת הזהות שהמתקשר חייב להקליד. אם ייגשו למידע של אנשים אחרים, כפי שכמה עובדים אכן עשו, הם עלולים להיתפס. אלא שהמתקשר לבט”ל יכול להקיש איזה מספר תעודת זהות שהוא רוצה, ואיש לא בודק אם הוא אכן הבעלים שלה. כך שאם עובד טלאול רוצה לחטט בפרטים של אדם מסוים בלי שטלאול ובט”ל יבחינו בכך, הוא רק צריך לארגן שמישהו יתקשר למוקד בט”ל ויקיש את תעודת הזהות של אותו אדם.


התפרסם בגירסה שונה במדור “תוצרת הארץ ב”מוסף הארץ”, 30.1.2015


תגובות

תגובה אחת לפוסט “מידע פרטי עלינו מהביטוח הלאומי נגיש לחברה שעובדיה עשו בו שימוש לרעה”

  1. פגיעה במידע בשירות מיקור חוץ | CISO בלוג אבטחת מידע on 6 במרץ, 2015 23:23

    […] אחד שפורסם לאחרונה בחדר 404 ובאתרים אחרים, נוגע לתפעול מוקד שירות של ביטוח לאומי […]

פרסום תגובה