"אחד מאיומי הסייבר הגדולים": משרד המשפטים בקול קורא לציבור. לראשונה: משרד המשפטים מוביל גיבוש מדיניות להתמודדות עם מתקפות כופר, ופונה לקבלת התייחסויות מן הציבור ● משרד המשפטים יצא השבוע בקול קורא לציבור הרחב, במטרה לקבל התייחסויות בנושא התמודדות עם מתקפות כופרה, לצורך גיבוש מדיניות ממשלתית להתמודדות עם התופעה. מתקפות כופרה הן תקיפות שמטרתן הדבקת מחשב (או רשת מחשבים) של הקורבן, לטובת הצפנתו או הצפנת הקבצים המאוחסנים בו. לאחר ההדבקה, דורש התוקף העברת תשלום כופר כתנאי לפתיחת ההצפנה, לרוב במטבע קריפטוגרפי. בשנים האחרונות אנו עדים למספר הולך וגדל של מתקפות כופרה, שגורמות לנזקים רבים ונרחבים, בראש ובראשונה לקורבנות המתקפות עצמם, אך גם לחברה כולה. על פי הערכות במגזר העסקי, בין 2019 ל-2020 חלה עלייה ניכרת (הכפלה ואף למעלה מכך) הן בהיקף הנפגעים ששילמו תשלומי כופר בעקבות מתקפות כופרה מקוונות, והן בסכום דמי הכופר הממוצעים ששולמו על-ידי הנפגעים. מתקפות כופרה ותשלום דמי כופר הוא אחד מאיומי הסייבר המרכזיים שפגיעתם הכלכלית היא הגדולה ביותר, וכן מדובר באחת התופעות שסובלות מתת-דיווח גבוה ביותר. הצורך להסדיר את הנושא עלה במסגרת דיוני הוועדה להתאמת המשפט לאתגרי החדשנות והאצת הטכנולוגיה במשרד המשפטים (ועדת דוידי), בראשות מנכ"ל משרד המשפטים, עו"ד ערן דוידי. זאת בעקבות סקירה שהתבצעה במסגרת עבודת צוות המשנה הייעודי לאבחון הבעיות ויצירת דרכי טיפול בנושא פשיעה והונאות במרחב הדיגיטלי. צוות המשנה, בהובלת ראש מחלקת הסייבר בפרקליטות המדינה, ד"ר חיים ויסמונסקי, מבקש לאפשר לבעלי עניין רלוונטיים לנושא להביע את דעתם, ולקבל התייחסויות הנוגעות למנעד התרחישים והנתיבים האפשריים של אסדרת התחום, ובהתאם גם להזדמנויות, האתגרים והכשלים שאלו עשויים לעורר. בין היתר, מבקש הקול הקורא לקבל מן הציבור התייחסות בנוגע לשאלות הבאות: מהי אחריותה של המדינה לספק סיוע לגורם הנתקף במתקפת כופרה? לאילו סוגי נפגעים על המדינה לספק סיוע, ואילו סוגי סיוע על המדינה להעניק? האם ובאילו תנאים יש לאסור על תשלום דמי הכופר? מהן חובות הדיווח של ארגון או אדם פרטי בנוגע לעצם קיומה של מתקפת כופרה ובנוגע לתשלום דמי הכופר? האם קמה חובת פרסום לציבור במקרה של ארגון הנתון תחת מתקפת כופרה? האם ובאילו מצבים ניתן לאסור פרסום של דבר קיומה של מתקפת כופרה? האם ישנם מצבים שבהם תשלום דמי הכופר יוכל להיחשב כהוצאה מוכרת מבחינת דיני המס? כלל ההתייחסויות אשר יתקבלו מן הציבור ייבחנו על ידי צוות המשנה בו חברים נציגים ממשרדי ממשלה רלוונטיים – ובהשתתפות נציגי הרשות להגנת הצרכן, מערך הסייבר הלאומי, הרשות לאיסור הלבנת הון ומימון טרור, מחלקת ייעוץ וחקיקה (פלילי), רשות המיסים ומשטרת ישראל. ניתוח שייערך בצוות המשנה יידון במסגרת וועדת דוידי לקראת הגשת ההמלצות לשר המשפטים לצורך גיבוש מדיניות ממשלתית להתמודדות עם מתקפות הכופרה. מנכ"ל משרד המשפטים, עו"ד ערן דוידי: "האצת הטכנולוגיה מביאה עימה אתגרים רבים, בהם מתקפות הכופרה המהוות כיום את אחד מאיומי הסייבר הגדולים העומדים לפתחנו. מספרן ההולך וגדל של מתקפות אלו מחייב אותנו לגבש מדיניות ממשלתית אחידה וכוללת שתספק מענה בזירות הפליליות, המיסויות והרגולטוריות. אנו רואים חשיבות רבה בשילוב הציבור הרחב בנושא אבחון הבעיות ויצירת דרכי טיפול אשר יאפשרו למדינת ישראל להתמודד בצורה המיטבית עם הונאות במרחב הדיגיטלי". מקורות: https://www.now14.co.il/%D7%90%D7%97%D7%93-%D7%9E%D7%90%D7%99%D7%95%D7%9E%D7%99-%D7%94%D7%A1%D7%99%D7%99%D7%91%D7%A8-%D7%94%D7%92%D7%93%D7%95%D7%9C%D7%99%D7%9D-%D7%9E%D7%A9%D7%A8%D7%93-%D7%94%D7%9E%D7%A9%D7%A4%D7%98/

עקב תחקיר כלכליסט על השימוש הנרחב בתוכנת הריגול פגסוס, הודיע השר לביטחון פנים כי יפעל להקים ועדת חקירה עם סמכות לחקור עדים באזהרה, "תהא בכירותם אשר תהא". המפכ"ל שבתאי קרא אף הוא להקים ועדה חיצונית, וכמוהו בר-לב הדגיש: "זה קרה בממשלות קודמות, אצלי לא יהיו מחדלים כאלה" השר לביטחון הפנים, עמר בר-לב, הודיע בצהריים (יום ב') כי החליט לקדם הקמת ועדת בדיקה ממשלתית "שתחקור לעומק", כלשונו, את פרשת הריגול המשטרתי באמצעות תוכנת פגסוס של חברת NSO, ואת הטענות ל"פגיעה בזכויות האזרחים ובפרטיותם". בר-לב פרסם את ההודעה שעות אחדות לאחר הפרסום הבוקר של ממצאים נוספים מתחקיר כלכליסט, ולפיהם היקף השימוש שעשתה המשטרה בפגסוס היה נרחב ביותר, לכאורה ללא צווים מבית משפט, ובאמצעות התוכנה נאסף מידע מודיעיני על פעילי מחאה, עיתונאים, אנשי עסקים בכירים, פוליטיקאים, יועציהם וקרוביהם. בעקבות התחקיר הזה נשמעו קריאות נרחבות להקים ועדת חקירה חיצונית, ולא להסתפק בצוות הבדיקה הפנימי שכבר הוקם במשרד המשפטים, ולקריאות הללו הצטרף מוקדם יותר הבוקר גם מפכ"ל המשטרה יעקב שבתאי. כמו שבתאי, גם בר-לב הדגיש בהודעתו כי השימוש הלא-חוקי לכאורה בכלי הריגול של NSO לא נעשה בתקופתו: "מתוך העדויות העולות, מסתמן שהכשלים, באם היו, היו תחת מפכ"לים קודמים, תחת שרים לביטחון פנים קודמים ותחת ממשלות קודמות". בר-לב הוסיף: "אני מישיר מבט אליכם, אזרחי ישראל ומתחייב לכם – ועדת הבדיקה תבדוק לעומק ולרוחב את כל הטענות. במשמרת שלי המחדלים הללו לא יקרו – המשטרה נמצאת תחת האחריות שלי ובסמכות שלי ואני אוודא שאם הייתה פגיעה בדמוקרטיה שקרתה בשנים הקודמות, אוקיע אותה ולא אתן לה לקרות". על רקע הקריאות להקים דווקא ועדת חקירה ממלכתית ולא ממשלתית, כזו עם סמכויות נרחבות יותר, הדגיש בר-לב כי יבקש משר המשפטים להביא בפני הממשלה הצעה להקים ועדה ממשלתית בראשות שופט בדימוס שיוקנו לה "הסמכויות העיקריות של ועדת חקירה ממלכתית לעניין זימון עדים, חקירתם באזהרה ותפיסת מסמכים. תהא רמת בכירותם של המזומנים באותם ימים אשר תהא – מהדרג המדיני, ממערכת המשפט, או ממשטרת ישראל". הוא הדגיש כי ועדה שכזו תעסוק בשימוש בטכנולוגיות מעקב על ידי "כלל גופי מערכת אכיפת החוק". המשך קריאה בלינק, https://www.ynet.co.il/news/article/s16hsucrt

■ פשעי קריפטו: טרור סייבר, שינוי בטרמינולוגיה, שביל הביטקוין שמוביל את המודיעין הישראלי והאמריקאים אל ארגון החמאס. לפני שלוש שנים נפרץ בהודו ארנק דיגיטלי של משקיע במטבעות קריפטוגרפיים, ומסתבר שנגנבו לו יותר מחצי מיליון דולר בביטקוין. לאחרונה משטרת דלהי חשפה כי הכספים הגנובים עשו את דרכם לחמאס. כמו כן, בעקבות חקירה ממוקדת חוצה יבשות, ועם יחידות מיוחדות משתמע מכך שמטבעות הקריפטו הגנובים "נותבו דרך ארנקים פרטיים שונים לפני שנחתו לבסוף עם אלה שנמצאים בשימוש ומופעלים בעזה על ידי גדודי אל-קסאם, הזרוע הצבאית של חמאס - הידועה גם ברחבי העולם בזכות שימוש במטבעות קריפטוגרפיים שנגנבו ונתרמו למימון טרור". זאת ועוד, הכספים של גדודי אל-קסאם היו חלק ממטמון גדול יותר של קריפטו שנתפס גם על ידי המודיעין הישראלי בשנה שעברה, מאחר שארה"ב הגדירה אותם כארגון טרור. וכן, נאמר בדוח נפרד ש"הגילויים הותירו את סוכנויות הביטחון ההודיות מבוהלות מכיוון שמשמעות הדבר היא שהכסף הגזול שימש למימון טרור עולמי". בנוסף לאמור לעיל, סוכנים מיוחדים ביחידת פשעי הסייבר של מס הכנסה האמריקאי עובדים כדי לפענח את הרשתות הפיננסיות הללו. באוגוסט 2020, משרד המשפטים האמריקאי הצליח לאתר ולתפוס יותר ממיליון דולר בקריפטו מאתר אינטרנט שאוסף כספים עבור גדודי אל-קסאם של חמאס. כאמור, חקירה זו הובלה על ידי אגף החקירות הפליליות של מס הכנסה האמריקאי, ובביזור כוחות מיומן, יחד עם ה-FBI והסוכנות לביטחון המולדת. כאמור, מדובר על אחד מכמה מקרים שבהם מס הכנסה האמריקאי היה מעורב בחקירות של ה-FBI, מינהל אכיפת הסמים (DEA) והסוכנות לביטחון המולדת. אין עוררין שמעורבות רשות המסים במקרים אלה הכרחית, מפני שהיא הופכת יותר ויותר מתוחכמת בשימוש שלה בכלי מעקב בלוקצ'יין של ביטקוין. ראוי להדגיש שגדודי אל-קסאם התפארו בכך שלא ניתן לאתר תרומות ביטקוין. "אתרי האינטרנט שלהם הציעו הנחיות וידאו כיצד לבצע תרומות אנונימיות, בין השאר על ידי שימוש בכתובות ביטקוין ייחודיות שנוצרו עבור כל תורם בנפרד. בדיעבד, התברר להם שתרומות אלה כלל לא היו אנונימיות. ■ לא אנונימי בהתחשב בתרחיש המקרה, וכנאמר על ידי מפתחי בלוקצ'יין רבים ומקורבים בתעשייה אשר אומרים במשך שנים: האמונה הרווחת שעסקאות בלוקצ'יין ומטבעות קריפטוגרפיים אחרים הם אנונימיים היא שגויה. על אף, הם בדויים כלומר, בעוד שזהות השולח והמקבל של התשלומים הללו מוסתרת מאחורי קודי המפתח הפרטיים המשמשים להעברת מטבעות קריפטוגרפיים, קל לעקוב אחרי שרשרת העסקאות בפועל של רוב הבלוקצ'יין הגדולים, כולל ביטקוין ו-Ethereum, ולפיכך, ההיסטוריה של עסקאות יכולה להיראות על ידי כל אחד. מגוון התרחישים האפשריים בהליך לכידה זה דורש שיקולים ספציפיים עבור כל אחד מהם. עם זאת, זו הסיבה שבלוקצ'יין שימושי לניהול שרשרת אספקה; בהתבסס על שהמעקב אחריו הוא פשוט מאד. לעומת זאת, פריצת חומת ההצפנה המחברת את הנכסים הדיגיטליים לבעליהם היא הרבה יותר קשה, אך ניתנת לביצוע. אם כך, "ניתוח בלוקצ'יין מאפשר חקירה נוספת של מסעות התרומות שקבוצות טרור מנהלות ברשתות החברתיות. כמו גם, הרשתות הפיננסיות הגדולות יותר שמאפשרות את פעילותן" משמע, בפרשת ארגון החמאס. זאת ועוד, בעיקר בשל שהשימוש בביטקוין כמטבע אמיתי מחד גיסא, ניתן לטעון כי עדיין סוג של רעיון. מאידך גיסא, ניתן לומר לא מציאותי – מכאן משתמע שהעברת הערך מביטקוין למזומן נזיל, הוא חור שחוקרים יכולים להשתמש בו. כיום, נתונים דיגיטליים הם נדבך בסיסי קל לאיתור עבור רוב סוכנויות אכיפת החוק. לסיכום, מסתבר שמה שעומד מאחורי השינוי בטרמינולוגיה המשמשת גם בקריאות לבורסות מטבעות קריפטוגרפיים זאת ועוד, כדי להיות מסוגלים לזהות לקוחות בפני רשויות אכיפת החוק כפי שקורה בשנתיים האחרונות. איסור הלבנת הון (AML) נותר ללא שינוי. אין ספק שהוחלפה באיתוניזמה חדשה אף, מחמירה יותר נגד מימון הטרור. הפניות: https://www-pymnts-com.cdn.ampproject.org/c/s/www.pymnts.com/news/security-and-risk/2022/pymnts-crypto-crime-series-india-hacking-case-bitcoin-trail-leads-hamas/amp

■ לא רק רוגלות: המשטרה חודרת למיילים של אזרחים מבלי שהם יודעים על כך, במאות מקרים שונים כל שנה - המשטרה משיגה מידע על חשודים באמצעות ענקיות טכנולוגיה, בלי שהם יודעים על כך • הסעיף בחוק שעליו מסתמכת המשטרה עוסק בכלל בנושא אחר ולא מתייחס למידע דיגיטלי • יו"ר ועדת החוקה קריב דורש תשובות: "לא ניתן להשלים עם שטחים אפורים" • משרד המשפטים החל לבדוק את הנושא. • הבדיקה שנערכת בימים אלה במשרד המשפטים החלה בשל סערת NSO, אך היא עוסקת גם בנושאים נוספים. בימים האחרונים החלו לברר במשרד המשפטים, בין היתר, באיזו סמכות המשטרה אוספת על חשודים מידע השמור בענן אצל ענקיות הטכנולוגיה - כמו למשל מיילים, תמונות, קבצים ועוד. • השימוש בענן הופך לנפוץ יותר ויותר. רבים מגבים את תוכן הטלפון שלהם באמצעות שירותי הענן. קבצים ב"גוגל דרייב" נשמרים אף הם בצורה זו, כך גם תמונות שנשמרות ב"גוגל תמונות". על כל אלה המשטרה יכולה לשים את ידה, דרך ענקיות הטכנולוגיה, בלי שהחשוד יודע על כך או יכול להתנגד. • באופן דומה, המשטרה יכולה לגשת למיילים ולהתכתבויות, כל עוד לא מדובר בתוכנה שבה ההודעות מוצפנות מקצה לקצה כמו ב"ווטסאפ" או ב"טלגרם". מדובר בפגיעה דרמטית בפרטיות שאין לה אף תיקוף חוקי. להבדיל מהאזנות סתר, שבהן, על פי חוק, המשטרה יכולה להאזין רק לשיחות שנעשו מהוצאת הצו והלאה, במקרה הנוכחי ניתן לראות גם התכתבויות וקבצים מהעבר. • בדיון שהתקיים השבוע בוועדת החוקה של הכנסת, התברר שהסעיף בחוק שעליו מסתמכת המשטרה כדי לעשות זאת, הוא סעיף 43 לפקודת סדר הדין הפלילי. אולם, מדובר בסעיף שתכליתו נוגעת בכלל לחפצים או מסמכים פיזיים שאינם נמצאים ברשות החשוד. זהו סעיף ישן שחוקק בזמנים שבהם "עננים" היו בשמיים בלבד. ■ "לא ניתן להשלים עם שטחים אפורים" חבר הכנסת גלעד קריב, יו"ר ועדת החוקה של הכנסת, הופתע מתשובת המשטרה בדיון והפנה שאלות לנציגי המשטרה ומשרד המשפטים. בעקבות כך החלו במשרד המשפטים בבדיקת הנושא. • חה"כ קריב אמר במענה לפניית N12: "המאבק החשוב בפשיעה יכול להתנהל רק בד' אמותיו של החוק ובמסגרת תהליכים ברורים ומובנים של פיקוח שיפוטי. בעניין הזה לא ניתן להשלים עם שטחים אפורים". • "בנושא המורכב הזה לא יכולה להיות פרשנות יצירתית, ובוודאי לא ניתן להסכים לפערים בין פרשנות המשטרה לבין פרשנות משרד המשפטים", הוסיף חה"כ קריב. "הנושא לא קשור לתוכנות מעקב מורכבות, אלא להגדרות הסמכות הבסיסיות של המשטרה. ועדת החוקה תקיים דיון נוסף בשבוע הבא, ועד אז אנחנו מצפים לקבל תשובות מהמשטרה". • בעיה נוספת היא שבניגוד להאזנות סתר, המשטרה לא מחויבת להעביר נתונים בנושא ליועץ המשפטי לממשלה. חברת גוגל, מנגד, דווקא נוהגת בשקיפות ומפרסמת מדי שנה את מספר המקרים שבהם העבירה מידע לרשויות. הנתונים בישראל מצביעים על עלייה עקבית וחדה בשנים האחרונות. כך למשל, ב-2020 העבירה גוגל מידע על קרוב ל-1,000 משתמשים. ב-2015, לעומת זאת, העבירה גוגל מידע על כ-200 משתמשים בלבד - זינוק דרמטי של פי 5 משתמשים בתוך 5 שנים בלבד. • סגן ראש אגף החקירות והמודיעין, תת-ניצב יואב תלם, טען בדיון: "אם מתקיים אצלי חשד לביצוע עבירה, אני נדרש לגשת למשרד כדי לאסוף שם את הקלסרים. אני פונה לבית המשפט ומבקש צו להמצאת מסמכים שיונח אצל אותו משרד שיעביר לי את אותם מסמכים לצורך ביצוע תפקידי. אין היום כמעט קלסרים, יש תיקיות ממוחשבות, יש מיילים, לכן החומרים האלו - כמוהם כקלסרים. לכן אנחנו ניגשים עם צו להמצאת מסמכים". המשך קריאה בלינק, https://www.mako.co.il/news-law/2022_q1/Article-e2f6894d23ece71027.htm

לשכת עורכי הדין מציגה כללים חדשים: דין משמעתי למי שישתמש בתוכנות חינמיות כמו ג'ימייל ■ דרמה של ממש בתחום הגנת הפרטיות במשרדי עורכי הדין. לאחר היוועצות עם ועדה הכוללת בכירים במערך הסייבר הלאומי, הרשות להגנת הפרטיות ומחלקת ייעוץ וחקיקה במשרד המשפטים, ועדת האתיקה הארצית של לשכת עורכי הדין בראשות עו"ד מנחם מושקוביץ יוצאת ברפורמה המטילה על ציבור עורכי הדין אחריות חוקית לאבטחת המידע הסודי של לקוחותיהם. ■ מנגנון אימות דו שלבי ושימוש בזום למעשה, ועדת האתיקה מציבה רף מינימלי של חובת אבטחת מידע - אי עמידה בו תשמש כחזקה, לכאורה, בדבר הפרת חובתו האתית של עורך הדין בקשר עם חובת הסודיות וחיסיון עורך דין/לקוח, המוטלת עליו לאבטחה הולמת של המידע הסודי . ■ עמידה ברף המינימלי כשלעצמה תהווה תנאי חיוני, אך לא בלעדי, כדי להוות ראיה בדבר עמידת עורך הדין בחובתו. על-מנת שעורך הדין ייהנה מהחזקה לתקינות פעולתו, עליו להראות כי נקט באמצעי אבטחה התואמים את אופי המידע הסודי ופעילות משרדו. גם אם יתברר שזלג מידע, עמידה בהמלצות תשמש כבסיס להנחה כי עורך הדין עמד בחובותיו האתיים לאבטחת המידע. המשך קריאה בלינק, https://www.globes.co.il/news/article.aspx?did=1001400731

מדריך לארגונים: משרד המשפטים ■ הרשות להגנת הפרטיות, מינוי ממונה הגנה על הפרטיות בארגון ותפקידיו, היתרונות לארגון וללקוחות מינויו של ממונה על הגנת הפרטיות באופן וולונטארי מהווה פרקטיקה ראויה ומומלצת (Practice Best ) לארגונים האוספים ומעבדים מידע אישי, בעלי מאגרים ומחזיקים כאחד. מדוע ? • הממונה יסייע לארגונכם לוודא כי הוא עומד בהוראות דיני ההגנה על מידע אישי בישראל. • עצם המינוי הוא אינדיקציה כי הארגון שלכם נקט ונוקט צעדים לצמצום הסיכון לפגיעה בפרטיות ולהגנה על המידע האישי הנשמר ברשותו. • מינוי הממונה יחסוך לארגון זמן וכסף. ■ מיהו ממונה הגנה על הפרטיות בארגון? • מופקד על קידום הזכות לפרטיות ועל יישום דיני ההגנה על מידע אישי בארגון. ■ תפקידו המרכזי: • להביא להפנמה של עקרונות ושיקולי פרטיות בתהליכי העבודה בארגון, ולסייע לארגון במימוש אחריותו וחובותיו לפי דיני הגנת הפרטיות. ■ מעמדו בארגון? • חלק מההנהלה הבכירה של הארגון, או לכל הפחות מי שממלא תפקיד זה בארגון ידווח ישירות להנהלה הבכירה, וישולב בהיררכיה של הארגון בעמדה בכירה דיה, שיאפשר לו להשפיע באופן אפקטיבי על התהליכים המרכזיים בארגון. ■ באילו ארגונים כדאי למנות ממונה הגנה על הפרטיות? • ארגונים שעסקיהם או השירותים שמספקים הם מבוססי מידע ) .)data driven • ארגונים שקיימת סבירות שפעילותם תיצור סיכון מוגבר לפרטיות, בין היתר מהטעמים הבאים: • מאפייני הארגון )למשל גופים ציבוריים וגופים הסוחרים במידע(. • סוג המידע ורגישותו )למשל מידע רפואי רגיש או מידע ביומטרי(. • מידע על אוכלוסיות מיוחדות )למשל קטינים(. • היקף המידע או מספר מורשי הגישה אליו. ■ האם עלינו למנות ממונה הגנה על הפרטיות מתוך הארגון או מחוצה לו? • ממונה הגנת הפרטיות יכול להיות מינוי פנימי, עובד החברה, או מינוי חיצוני לחברה. ■ תפקידיו של ממונה ההגנה על הפרטיות • היקף תפקידו של הממונה על הגנת הפרטיות בארגון ייקבע על פי מורכבות פעולות עיבוד המידע האישי שמתבצעות בארגון וגודלו! • להלן מפורטים תפקידים ומשימות שמומלץ לשקול להטיל על הממונה בהתאם למאפייני הארגון: הסדרת תהליכי ניהול מידע בארגון: • לנסח את מדיניות הפרטיות של הארגון ולהביאה לאישור ההנהלה הבכירה. • להיות מעורב לאורך כל מחזור החיים של תהליכי עיבוד מידע בארגון, על מנת לוודא שפעילות עיבוד המידע מבוצעת באופן המפחית ככל הניתן את הסיכונים לפרטיות לקוחות הארגון. • מעורבות בעיצוב מערכות המידע של הארגון ובתהליכים הקשורים בהן, על מנת לוודא, ככל הניתן מראש, כי מערכות המידע בנויות באופן שיפחית את הסיכון לפגיעה בפרטיותם של נושאי המידע בהתבסס על תפיסת "עיצוב לפרטיות" (Privacy By Design) ותפיסת "פרטיות כברירת מחדל" (Privacy By Defaul). ■ מהן תפיסות עיצוב לפרטיות ופרטיות כברירת מחדל? • אלו תפיסות הדוגלות בעיצוב מערכת המידע להגנה אופטימאלית על הפרטיות ולצמצום איסוף המידע ועיבודו למינימום ההכרחי, כבר משלב התכנון המוקדם וגם לאורך כל מחזור החיים של המידע והשימוש בו. המטרה היא שעיצוב המערכות ישרת את התכליות העסקיות של הארגון, בד בבד עם מזעור הסיכונים לפרטיות. • לבדוק את הנהלים ומדיניות הארגון בתחום הפרטיות ואת עמידתם בהוראות חוק הגנת הפרטיות וכן לבצע מעקב, בקרה, ועדכון של הנהלים במידת הצורך. • לנהל את עריכתו של תסקיר השפעה על הפרטיות (Privacy Impact Assessment) במקרים בהם ביצועו נדרש על פי דין או מבוצע באופן וולונטרי ביוזמת הארגון, ולעקוב אחר הטמעת מסקנותיו. • לקבל דיווח על ביצוע סקר סיכוני אבטחת מידע ולעקוב אחר הטמעת המלצותיו. • לטפל בתלונות הנוגעות לעיבוד מידע אישי ולזכות לפרטיות, ובפניות של לקוחות הארגון לרבות בקשות לעיון במידע או לתיקונו. ■ פיקוח ובקרה: • להכין תכנית עבודה שנתית שתובא לאישור ההנהלה הבכירה בארגון, ליישום ופיקוח על קיום הוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו, ולבירור הפרות של הוראות החוק. • לדווח להנהלה הבכירה בארגון, בלא דיחוי, על ממצאים של פעולות הפיקוח, הבדיקה, והבירור שביצע. • לקיים בקרה על אופן תיקון הליקויים שהתגלו בממצאי הפיקוח והבירור. • להגיש להנהלה הבכירה בארגון ולדירקטוריון, אחת לשנה, דוח על פעילותו בנושא פרטיות. • לשתף פעולה באופן הדוק עם הממונה על אבטחת המידע בארגון בנושאים הקשורים בהגנת פרטיות המידע, ובקיום הוראות חוק הגנת הפרטיות. • לשמש איש קשר מול הרשות להגנת הפרטיות - להיות אחראי על הגשת דיווחים ועדכונים לרשות, ככל הנדרש על פי דין, לרבות הודעה על שינוי בפרטי רישום המאגר ודיווח על התרחשות אירוע אבטחת מידע חמור. ■ הדרכה והטמעה: • לשמש סמכות מקצועית ומוקד ידע. • להנחות את הנהלת הארגון ועובדיו בנושא הגנת פרטיות. • לקדם את ההגנה על הפרטיות במידע ואת הציות להוראות חוק הגנת הפרטיות בארגון, בין היתר, בדרך של הדרכת העובדים. ■ סמכויות ועצמאות: • הבטיחו כי הממונה יהיה מעורב בכל הנושאים המהותיים הנוגעים להגנה על מידע אישי בארגון. • דאגו כי כל המשאבים והסמכויות הנדרשים למילוי תפקידו עומדים לרשותו, ובכלל זה גישה למידע אישי ותהליכי עיבוד מידע, כמו גם המשאבים הנדרשים לשימור מומחיותו בנושא דיני ההגנה על מידע אישי בישראל. • הבטיחו כי הממונה יהיה בעל עצמאות מוסדית ומקצועית. • במידה והממונה משמש במקביל בתפקיד נוסף בארגון, וודאו כי הדבר אינו יוצר ניגוד עניינים. ■ ידע והכשרה: מומחיותו של ממונה ההגנה על הפרטיות נדרשת להיות משולבת, כך שתאפשר הבנה מיטבית של התהליכים בארגון ברמה טכנולוגית והעסקית, לצד יכולת לבחון את התאמתם לדרישות החוק ולמדיניות הארגון. - כדי שיוכל למלא את תפקידו באופן אפקטיבי, תחומי הידע של ממונה הגנה על פרטיות צריכים לכלול לכל הפחות - • ידיעה מעמיקה של דיני הפרטיות וההגנה על מידע אישי בישראל (לא בהכרח במסגרת השכלה משפטית פורמאלית); • הבנה מספקת בתחום טכנולוגיות המידע והבנה בסיסית בתחום אבטחת המידע, בשים לב להיקף ולמידה בהם הארגון מבוסס מידע וטכנולוגיה. דהיינו, ככל שליבת העיסוק של הארגון כרוכה בעיבוד מידע אישי, נדרשת מידת הבנה רבה יותר בתחום אבטחת המידע וטכנולוגיות המידע. - הכשרה ותחומי ידע נוספים העשויים לשפר את תפקוד הממונה ואת התועלת שתצמח ממנו לארגון: • הכשרה אקדמית או מקבילה במשפטים, חשבונאות, טכנולוגיית מידע, ניהול תהליכים או ברגולציה; • היכרות עם דיני ההגנה על מידע אישי באירופה ובארצות הברית או בשווקים אחרים בעולם הרלוונטיים לארגון; • היכרות עם הפן העסקי של ניהול ארגון; • אתיקה. מקורות: משרד המשפטים, הרשות להגנת הפרטיות, https://www.gov.il/BlobFolder/reports/dpo_doc_kit/he/dpo_kit.pdf

המשטרה עוקבת אחר מכוניות שלא כחוק והתבקשה לנמק מדוע? הרכב העליון בראשות הנשיאה חיות, הורה למשטרה להסביר מדוע היא ממשיכה להשתמש במערכת האכיפה "עין הנץ" למרות שטרם אושרה בחוק. המשמעות: התביעה תתקשה לקדם תיקים הנשענים על נתוניה. שבע שנים אחרי שמשטרת ישראל הציבה לאורך הכבישים במדינה מאות מצלמות מעקב אחרי נהגים מבלי לקבל לכך את אישור הכנסת וללא כל פיקוח, מוציא לה בג"ץ דו"ח אזהרה. הרכב בראשות נשיאת העליון, השופטת אסתר חיות, המשנה לנשיאה ניל הנדל והשופט יצחק עמית, הורה למשטרה לנמק בתוך 90 יום מדוע לא תחדל להשתמש במערכת עד אשר יוסדר השימוש בה בחקיקה מתאימה. השופטים, שדנים בעתירה שהגישו נגד "עין הנץ" האגודה לזכויות האזרח ופרטיות ישראל, מציינים כי הוציאו את הצו לאחר שבחנו את החומרים שהגישו העותרות ואת תגובות המשטרה לגביו. מערכת זיהוי לוחיות רישוי שכבר לפני עשור דווח כי המשטרה מתעניינת ברכישתה, הוצבה לבסוף ב-2015 בכבישים הבין עירוניים, וכוללת מאות מצלמות המתעדות את לוחיות הרישוי של הכלי הרכב. ניתוח אוטומטי של הלוחיות מאפשר למשטרה לזהות בזמן אמת היכן נמצא כל כלי רכב בארץ, מה נתיב נסיעתו והיכן נסע בעבר. המידע נשמר במאגר משטרתי שלא נרשם כחוק במשרד המשפטים, מבלי שהמשטרה הבהירה כמה זמן הוא נשמר, ומבלי שהוגדר בחוק מי רשאי לעשות בו שימוש. לפי הערכות מדובר בהשקעה של עשרות מיליוני שקלים שביצעה המשטרה ללא אישור הכנסת, ללא פיקוח ציבורי וללא שקיפות. ד״ר מתן גוטמן, הפרשן המשפטי של אולפן ynet וחבר המועצה להגנת הפרטיות במשרד המשפטים, מסביר כי ״מדובר בהחלטה משמעותית של בג״ץ. בעצם השופטים הוציאו כרטיס צהוב למערכת עין הנץ, ומתריעים בפני המשטרה כי ישנו סיכוי לא מבוטל כי ללא סמכות מפורשת בחוק, ייאסר השימוש במערכת הזו. זו מערכת צילום רבת עוצמה הפוגעת בפרטיות של כל אחד מאיתנו שנוסע בכבישי המדינה. המערכת מצלמת את הרכבים ואת נוסעי הרכבים, ויכולה לעקוב אחר התנועות של כולנו". להחלטה יש כבר משמעויות מיידיות. לפי ד"ר גוטמן, "החלטת בג״ץ יכולה כמובן להשפיע על הליכים פלילים תלויים ועומדים בהם המדינה מבססת את האשמה על ראיות וצילומים מתוך המערכת. כעת ניתן לבקש מבית המשפט שדן בתיק הפלילי להמתין עד הכרעת בג״צ האם השימוש במערכת הוא חוקי והאם הראיות המבוססת על המערכת קבילות״. פי דו"ח מכון המחקר והמידע של הכנסת, בהטמעתן של יכולות ניטור וידאו מתקדמות מתעוררת שאלה בדבר הפוטנציאל לפגיעה ניכרת בחירות הפרט תוך יצירת תיעוד מתמיד שלו, הניתן לחיפוש ולאחזור בכל רגע נתון כך שישמש כנגדו. כמו כן, נשאלת השאלה האם תיעוד כזה מתיישב עם עקרון ההסכמה וצמידות המטרה במקרים בהם אין לאדם ידיעה, שליטה או אפשרות לסרב לתיעוד שלו, או כאשר המטרה איננה מוגדרת בבירור ויכולה לשמש גורמים ומטרות שונות. קיים חשש כי מעקב מתמיד אחר אזרחים יהפוך לנורמה ממסדית ויפגע בחירויות אזרחיות שונות. https://www.ynet.co.il/wheels/news/article/hjgjgca3t

הודעה תקשורת שב"כ ומטעם הפרקליטות:   פרקליטות מחוז מרכז (פלילי) הגישה לבית המשפט המחוזי מרכז, כתב אישום נגד עומרי גורן גורוכובסקי (37) מלוד, בגין עבירת ריגול. בכתב האישום נטען שהנאשם, שעבד במשק בית בביתו של שר הביטחון, בני גנץ, הציע לנציג קבוצת הפצחנים Black Shadow, המזוהה עם איראן, לשתול "תולעת" במחשבו של השר. על פי כתב האישום, שהוגש ע"י עו"ד מיקי סטופ, במשך מספר שנים עבדו גורן ובת זוגו בעבודות משק בית וניקיון בביתו של גנץ, המשמש מחודש יוני 2021 כשר הביטחון וסגן ראש ממשלת ישראל. בחודש שעבר התפרסמו בכלי תקשורת בישראל כתבות אודות מתקפות סייבר נגד מטרות ישראליות, שביצעה קבוצת פצחנים ("האקרים") המכונה Black Shadow, המזוהה עם איראן. בעקבות הפרסומים החליט גורן לפנות לקבוצה, ולהציע להעביר לה מידע מבית שר הביטחון. גורן איתר, באמצעות תוכנת הטלגרם, כתובת של נציג קבוצת Black Shadow, פנה אליו בזהות בדויה והציג עצמו כמי שעובד אצל שר הביטחון הישראלי, וציין כי ביכולתו לסייע לקבוצה בדרכים שונות. עוד הוסיף, כי תמורת סכום כספי הוא יוכל להעביר מידע מהבית ואף הציע כי תועבר לו "תולעת מחשב", אותה ישתול במחשבו של השר.  על מנת להוכיח את יכולותיו, במהלך החודש צילם גורן מספר פריטים בביתו של השר ושלח לנציג הקבוצה בטלגרם. בין הפריטים שצולמו: שולחן עבודה, מחשבים, טלפון, טאבלט, קופסה ועליה תווית ובה פרטי שיוך צה"ליים ומספרים סידוריים, מארז ועליו מדבקה ובה כתובת IP, כספת סגורה ומכונת גריסה, מזכרות צבאיות שניתנו לשר בתפקידו הקודם כרמטכ"ל, תמונות ממוסגרות של השר ובני משפחתו, חשבון תשלום ארנונה של השר ועוד. לאחר מכן, מחק גורן את כלל ההתכתבויות מהטלגרם, וכן את התמונות ממכשיר הטלפון שלו. התיק נחקר על ידי שירות הביטחון הכללי ויאחב"ל בלה״ב 433 של משטרת ישראל ובליווי פרקליטות מחוז מרכז (פלילי). במקביל הוגשה בקשת מעצר עד תום ההליכים. מצ"ב כתב האישום ובקשת המעצר.   בברכה,   הילה ימיני, עו"ד   דוברת מחוז תל אביב   אגף דוברות הסברה ותקשורת | משרד המשפטים דוברות שב"כ: במסגרת פעילות משותפת של שירות הביטחון הכללי ומשטרת ישראל/יאחב"ל בלה״ב 433 במהלך חודש נובמבר 2021, נעצר לחקירה עומרי גורן, אזרח ישראלי, אשר הועסק בעבודות משק בית וניקיון בביתו של שר הביטחון. בחקירה עלה כי עומרי פנה מיוזמתו, ימים ספורים קודם למעצרו, באמצעות רשת חברתית, לגורם המזוהה עם איראן והציע לסייע לו בדרכים שונות, נוכח גישתו לבית השר. בין היתר, העלה אפשרות כי תועבר לו על-ידי אותו גורם תוכנת נוזקה אשר תאפשר נגישות למחשב המשמש את השר. כוונה זו סוכלה מבעוד מועד לאור מעצרו המהיר של עומרי ובכך נמנע מימוש אפשרות זו. בנוסף התברר, במהלך החקירה, כי בכדי להוכיח יכולת ורצינות עומרי צילם מספר פריטים במקומות שונים בבית השר, אותם שלח לגורם האמור, ובהם תמונות מחשבים של השר. יודגש כי נוכח אמצעים ונהלי אבטחת המידע בבית השר, עומרי לא נחשף לחומרים מסווגים, ובהתאם לא היו חומרים כאלו שהועברו ממנו לגורמים עימם יצר קשר. החקירה התנהלה בידיעת שר הביטחון. בתום החקירה הוגש ע"י פרקליטות מחוז מרכז לבית המשפט המחוזי בלוד כתב אישום המייחס לנאשם עבירת ריגול. מהלכי הסיכול המהירים והמידיים שננקטו על-ידי שירות הביטחון הכללי, קטעו באיבם את כוונות הנדון אשר היו עלולות להביא לפגיעה בביטחון המדינה. לצד ההצלחה בסיכול, הוחלט בשב"כ לקיים תחקיר בנוגע לתהליכי הבדיקה, מתוך מטרה לצמצם האפשרות להישנות מקרים מסוג זה בעתיד. תקשורת שב"כ https://www.mako.co.il/news-law/2021_q4/Article-60da996bb923d71027.htm

מעצר איכותי - כנופית כופרה REvil, תפיסה של 6 מיליון דולר, ועדיין המבצע בהובלת האמריקאים עדיין מתגלגל - פרס של 10 מיליון דולר. משרד המשפטים של ארה"ב הודיעה על מעצרו של אדם אוקראיני שהואשם בפריסת תוכנות כופר מטעם כנופיית הכופר REvil ארגון פושעי סייבר, הבחור דובר רוסית סחט מאות מיליונים מארגונים. משרד המשפטים גם אמר כי תפס 6.1 מיליון דולר במטבעות קריפטוגרפיים. מוצג מס' 1: ירוסלאב ואסינסקי, האזרח האוקראיני בן ה-22 המואשם בהיותו סניף REvil #22. ואסינסקי נעצר ב-8 באוקטובר בפולין, המקיימת הסכם הסגרה עם ארצות הברית. התובעים טוענים כי ואסינסקי היה מעורב במספר התקפות כופר של REvil, כולל המתקפה ביולי 2021 נגד Kaseya, חברה שבסיסה במיאמי שמוצריה מסייעים למנהלי מערכות לנהל רשתות גדולות מרחוק. על פי כתב האישום של ואסינסקי, השתמש במגוון שמות כינויי כאקר, כולל "Profcomserv" - הכינוי מאחורי שירות מקוון שמציף מספרי טלפון בשיחות זבל תמורת תשלום. התובעים טוענים כי ואסינסקי השתמש גם בכינויים"Yarik45"ו-"Yaroslav2468". שני הכינויים האחרונים תואמים לחשבונות בכמה פורומים מובילים של פשעי סייבר עוד בשנת 2013, שם משתמש בשם "Yaroslav2468" נרשם באמצעות כתובת הדוא"ל [email protected]. כתובת דוא"ל זו שימשה לרישום חשבון ב- Vkontakte (הגרסה הרוסית של פייסבוק / Meta) תחת שם הפרופיל של "ירוסלאב 'למכור את הדם של css' Vasinskyi." פרופיל Vkontakte של ואסינסקי אומר העיר הנוכחית שלו נכון ל -3 באוקטובר היה לובלין, פולין. אולי מתגרה, דף הפרופיל של ואסינסקי גם מפרט את קו המידע של ה-FBI 1-800 כמספר הטלפון שלו. הוא עכשיו במעצר בפולין, ממתין להסגרה לארצות הברית. מוצג מס' 2: יבגני איגורביץ פוליאנין,האזרח הרוסי בן ה-28, שנטען כי הוא סניף REvil #23. משרד המשפטים אמר כי הוא תפס 6.1 מיליון דולר בכספים שניתן לעקוב אחריהם לתשלומי כופר לכאורה שקיבל פוליאנין, וכי הנאשם היה מעורב בהתקפות כופר REvil על ארגוני קורבנות רבים בארה"ב. כתב האישום של פוליאנין, אומר שהוא גם העדיף שמות כינוי כאקרים, כולל LK4D4, Damnating, Damn2life, Noolleds, ו Antunpitre. חלק מהכינויים האלה חוזרים יותר מעשור בפורומים של פשעי סייבר רוסיים, שרבים מהם נפרצו והוקלו ממאגרי המשתמשים שלהם לאורך השנים. בין אלה היה דואג לכיסוי מסד הנתונים של הפורום אשר השתמש בשם "Damnating" רשום בפורום בשנת 2008 באמצעות כתובת הדוא"ל [email protected]. ואכן, יש פרופיל Vkontakte קשור לכתובת דוא"ל תחת השם "יבגני 'הארור' Polyanin" מברנול, עיר בדרום סיביר אזור רוסיה. בנוסף אם פושע סייבר פעיל בפורומים מרובים במשך יותר מעשר שנים, סביר מאוד כי אדם עשה טעויות מרובות שעושות את זה קל יחסית לחבר את אישיות הפורום שלו לזהותו בחיים האמיתיים. מחלקת המדינה של ארה"ב אמרה שהיא מציעה פרס של עד 10 מיליון דולר עבור מידע שיוביל לזיהוי או למיקום של כל אדם המחזיק בעמדת מנהיגות מרכזית בכנופיית הכופרה REvil. בנוסף לכך, מציעה גם פרס של עד 5 מיליון דולר עבור מידע שיוביל למעצר ו/או להרשעה בכל מדינה של כל אדם שזומם להשתתף או לנסות להשתתף בתקרית כופרה REvil. https://krebsonsecurity.com/2021/11/revil-ransom-arrest-6m-seizure-and-10m-reward/?