כשהאקרים יגנבו מידע על מילואימניקים, תזכרו שצה”ל הודיע מראש שהוא לא אחראי
בסוף 2014 הכריז צה”ל על אתר מילואים חדש, שיחליף את האמצעים הישנים והמיושנים שבאמצעותם ניהל את התקשורת עם חיילי המילואים. קצין השלישות הראשי, תא”ל שלומי סנדרוסי, אמר אז לגלצ: “החל ממחר יש להם אתר מילואים שזה יהיה הבית שלהם. הבית שבו הם יוכלו לקבל את כל המידע שהם צריכים ביום יום”. אבל בצה”ל מצהירים שאם מישהו יפרוץ לבית הזה ויגנוב ממנו מידע על המילואימניקים, הצבא לא אחראי – וזאת בניגוד לחוק.
נגה כהן, מילואימניקית ובלוגרית ב”הארץ”, התבקשה באחרונה להירשם לאתר, שבו נדרשה לאשר שהיא מסכימה לתנאי השימוש, או שלא תוכל להשתמש בו. האם תנאי השימוש הם פקודה צבאית או הסכם אזרחי? בדובר צה”ל הבהירו לנו כי “תנאי השימוש באתר הינם תנאים סטנדרטיים בדומה לנהוג ביתר האתרים המקוונים. התנאים היחידים בגינם ניתן לשפוט אדם על הפרת סעיפי השימוש באתר הינם סעיפים הנוגעים לשמירה על בטחון המידע בצה”ל” (אף אדם לא נשפט על הפרתם עד כה).
בין תנאי השימוש הבחינה כהן בסעיף 3 הבעייתי: “אין משרד הבטחון ו/או צה”ל אחראים לפעילותו הרציפה והתקינה של השירות, לרבות חדירות בלתי מורשות לאתר ושימוש עשוי במידע”.
“אני מניחה שזה ברור”, היא אומרת, “אבל אני מצפה מצה”ל שקודם כל יידע להגן על הפרטים והנתונים שלי, ושאם הוא לא יודע שלא יבקש אותם “. האתר מכיל גם פירוט של מספר ימי המילואים של המילואימניקים, מידע שעלול לסייע לאוייב אם ידלוף לידיו.
החשש של כהן מדליפת פרטיה לא תאורטי – לפני שבועיים דיווחנו כאן כי איל ברק, שאינו חייל מילואים, התלונן בפני צה”ל שהוא מוצף בסמסים ממערך המילואים, קיבל הבטחה שהעניין טופל ולאחר מכן קיבל מאתר המילואים אימייל על איל ברק אחר, כן חייל מילואים, שכלל פרטים אישיים רבים עליו ועל בני משפחתו, כולל שמות, תאריכי לידה, מספרי ת”ז, מקום עבודה, פרטי איש קשר למקרה אסון ופרטי חשבון בנק. תגובת צה”ל לדליפת הפרטיות החמורה הזאת: “מדובר בתקלה טכנית המצויה בטיפול”. הפיצוי על הפרת פרטיות הוא עד 50 אלף שקל סטטוטורי, ויותר מכך אם הנפגע יכול להוכיח שנגרם לו נזק.
“זה לא כמו עסק כלכלי”, אומרת כהן. “אין לי באמת בחירה אלא להשתמש באתר. אם אני לא משתמשת באתר המילואים כל העיסוק מול משרד הקישור הוא איטי ומסורבל. אז בעצם אני מחוייבת לחשוף ולסכן את הפרטים שלי”.
הימנעות משימוש באתר לא רק מסרבלת את חיי המילואימניקים – היא מונעת מהם לקבל את זכויותיהם. “עכשיו אנחנו ממש תלויים בו, כי בצה”ל לא מוכנים לשלוח יותר בדואר אישור על השתתפות ביום מילואים, כזה שנשלח לביטוח לאומי, וחייבים להוציא מהאתר”, מספר שמעון (שם בדוי), קצין מילואים מפיקוד העורף. “בהתחלה המש”קית קישור שלחה לי צילום בוואטסאפ, הדפסתי וביטוח לאומי סירב לשלם. אחרי שהוצאתי מהאתר זה כבר אושר. המש”קית ת”ש אמרה שהם קיבלו הוראה לא לשלוח בדואר. היתה גם מסרון בעניין, לפני כחודש, מאכ”א לכל חיילי המילואים”. ואכן, לפי איגרת של ראש ענף תכנון כוח אדם מילואים, סא”ל אופיר קבילו, החל מתחילת אוגוסט “לא תתאפשר הפקת הטופס ושליחתו בדואר”.
ויש גם עניין חוקי. “בחוק הגנת הפרטיות יש חובה על מנהל מאגר מידע לאבטח את המידע במאגר”, מסביר עו”ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות. “למרות שברוב הסכמי השימוש האזרחיים תמצאו סעיפים שמחריגים את החובה הזו בצורה כזו או אחרת, יש להבדיל בין מאגר מידע ציבורי המנוהל על פי דין (קרי: המאגר של מערך המילואים) לבין מאגר פרטי (לדוגמא, הניוזלטר של עידו קינן). חוק הגנת הפרטיות מחייב גם את צה”ל וגם גופים ציבוריים לאבטח את המידע, ואלו אינם יכולים להחריג את הסעיף הזה באמצעות סעיף בהסכם, שכן מדובר על הסכם שנחתם בין רשות שלטונית לבין אזרח, כחלק מהביצוע של התפקיד השלטוני שלה. כשם שלא הגיוני שדוור של רשות הדואר יחתים אותך על הסכם שהוא לא אחראי לאספת החבילות שלך (כי יש סעיף בחוק שמחייב אותו להעביר אותן אליך), כך גם החרגת האחריות כאן אינה סבירה. אני רק רוצה לקוות שבעקבות הפניה שלך צה”ל רענן את הנהלים שלו ותיקן את ההסכמים”.
דובר צה”ל מסר בתגובה:
אתר המילואים מיועד להביא לידיעת משרתי המילואים מידע אודות זכויותיהם וחובותיהם, ומשמש חלופה עדכנית להעברת מידע באמצעות הדואר או הטלפון. צה״ל משקיע משאבים רבים על מנת להבטיח את פעילותו הרציפה והתקינה של האתר ואת אבטחת המידע הנוגע למשרתי המילואים המשתמשים בו, הנשמר בהתאם להוראות החוק. עם זאת ומטבע הדברים, תקלה או כניסה בלתי מורשת למאגרי המידע עלולות להתרחש. תנאי השימוש באתר מיועדים לשקף זאת. נוסח התנאים יבחן מחדש בימים הקרובים.
מתפרסם בגירסה שונה באתר “הארץ”, 8.9.2016, ”מוסף הארץ”, 9.9.2016
תגובות
9 תגובות לפוסט “כשהאקרים יגנבו מידע על מילואימניקים, תזכרו שצה”ל הודיע מראש שהוא לא אחראי”
פרסום תגובה
עליך להתחבר כדי להגיב.
זה אחד, ולכן חוק הגנת הפרטיות לא מחייב את “צה”ל”.
שתיים, המאגר של המשתמשים באתר הוא לא מאגר המילואינימקים.
שלוש, מי אמר לכם שהמאגר לא מאובטח?
1) שדה “אתר” הוא לא תחילת שדה התגובה, זה אחד. אם צה”ל הוא לא אישיות משפטית, באיזה כובע הוא מחתים משתמשים באתרו על תקנון שימוש? מלבד זאת, בתקנון מי שמתנער מהאחריות על גניבת מידע על משתמשים הם “משרד הבטחון ו/או צה”ל”. משרד הבטחון הוא לבטח אישיות משפטית.
2) מאגר המשתמשים באתר הוא כן מאגר המילואימניקים, גם אם לא מאגר *כל* המילואימניקים.
3) מי שאמר שהמאגר לא מאובטח הוא צה”ל עצמו, שמזהיר בתקנון השימוש שהוא לא אחרי ל”חדירות בלתי מורשות לאתר ושימוש עשוי במידע”. חדירות בלתי מורשות ושימוש במידע לא יכולות להתרחש באתר מאובטח. מלבד זאת, כל אתר, גם המאובטח ביותר, חשוף להתקפות ולפריצה. הדיון פה הוא לא אם האתר מאובטח או לא, אלא מי אחראי לאבטחה ולנזקים שייגרמו במידה שיימצאו פירצות באבטחה הזאת. לפי החוק – צה”ל/משרד הבטחון, גם אם הם מתנערים מכך ב”תקנון שימוש”.
ומה קורה כשלאורך זמן חייל המילואים מתחמק מלהירשם לאתר?
בסוף מתקשרת קצינת הקישור ומבקשת לעדכן פרטים (וזאת על אף ששום פרט לא השתנה ואין שום סיבה לעדכן).
איך מעדכנים פרטים?
“דרך האתר”.
ואם אני לא רשום לאתר?
“אין בעיה, הנה אני רושמת אותך. הסיסמה שלך היא xy1234”
ככה הצבא רושם בכוח אנשים לאתר.
עכשיו אני מבין שקצינת הקישור גם אישרה בשמי את התקנון!
אין גבול לחוצפה ולזלזול במשרתי המילואים.
se7en, צור קשר באימייל.
אתם לא מבינים את גודל הבעיה….
האתר כבר מכיל את כל המידע על כל המילואימניקים, כולל אלו שלא נרשמו והסכימו לתנאי האתר (קל להבין את זה, כי אם אתה נרשם כבר יש שם את כל המידע עליך מיידית).
זאת אומרת שאם מישהו פורץ לאתר (ואין כזה דבר אתר לא פריץ, ההפך, ככל שאתר מכיל מידע יותר מעניין ככה רוב הסיכויים שבסוף הוא יפרץ) הוא יכול להשיג מידע שיכול לשמש:
א. פלסטינים לתביעות בבית הדין בהאג.
ב. לגזור את רשימת המילואימניקים שעובדים עם מערכת הביטחון (כי רשום באתר את כל הפרטיים האישיים שלכם, כולל חשבון בנק מלא ומקום עבודה).
ג. לשמש לניסיונות PISHING, עם המון מידע אישי לשלל גורמים עבריינים.
מדובר פה בפירצה שקורצת לעבריין הכי גדולה שהיתה מאז כניסת המדינה לעידן הדיגיטלי, בכי לדורות !!!
שכחתי לציין, האתר מכיל על כל מילואימניק לפחות את כל המידע שאתה חותם עליו כל פעם שאתה מגיע למילואים, בין היתר:
מצב משפחתי.
כתובות.
מספרי טלפון.
כל בני משפחה (כולל ת”ז)
פרטי חשבון בנק.
למי לפנות במקרה אסון.
מקום עבודה.
ועוד….
—-
לצערי גם כל מי שעושה מילואים (כפי שנכתב בכתבה) למעשה נכפה עליו להשתמש באתר, אחרת יש הלנת שכר.
אני ביצעתי מילואים, נגמר החודש, וכמובן שלא רציתי להירשם לאתר (למרות שהמידע שם, גם אני חושב שהתנאי שימוש שערורייתיים וגם הייתי שמח שהמידע פשוט לא יהיה שם למי שלא רוצה להשתמש בו). המעסיק לא מוכן לשלם לי בלי הטופס אישור מילואים (3010), והקצינת קישור לא מוכנה להנפיק את האישור יותר (כפי שרשום באיגרת שצירפתם בכתבה, גם אסור להם לבצע זאת יותר).
ועוד דבר מציק… בכל אתר לפני שאתה עושה משהו בד”כ יש בקצה למטה דברים כמו “מדיניות שימוש”, “מדיניות פרטיות” וכו’
אם תיכנסו לאתר תראו שהאופציה היחידה היא להירשם או להיכנס, באף מקום לפני הכניסה (וגם אחרי) אין את המסמכים הללו.
[…] מערכות הפעלה, סלולריים ודפדפנים הם משתמשים. עוד בנושא: אם פרצנים יגנבו את המידע שלכם, תזכרו שצה”ל מראש הסיר … צה”ל שלח מידע אישי על מילואימניק לאיש בעל שם זהה […]
ושום דבר לא השתנה.
היום דיברתי עם קצינת מילואים שניסתה לרשום אותי באתר בכוח (ולאשר את התקנון), תוך איום שזו פקודה להרשם, ואם אני לא נרשם, אז אני סרבן פקודה.