הרשות להגנת הפרטיות במשרד המשפטים העבירה היום (רביעי) למפלגות הליכוד וישראל ביתנו ולחברת אלקטור את קביעותיה הסופיות, אשר מסכמות את הליך האכיפה המנהלי, שביצעה הרשות בעקבות אירוע אבטחת מידע חמור שהתקיים במהלך מערכת הבחירות לכנסת ה-23, במסגרתו דלף פנקס הבוחרים ומידע אישי רגיש נוסף שהוזן לאפליקציית אלקטור, לרשת האינטרנט.

בהודעות ההפרה שהועברו קבעה הרשות, כי חברת אלקטור וכן מפלגות הליכוד וישראל ביתנו אשר קיבלו שירותים טכנולוגיים מחברת אלקטור, הפרו את הוראות חוק הגנת הפרטיות והתקנות מכוחו. ממצאי הליך האכיפה שקיימה הרשות חשפו הפרות של החוק, לרבות ליקויים רבים וחמורים באבטחת המידע במערכות המידע של חברת אלקטור, וכן בהתנהלותה כמחזיקה של מידע אישי רגיש.

כזכור, במהלך חודש פברואר האחרון, התגלתה פרצת אבטחה חמורה באפליקציית "אלקטור", המשמשת את הליכוד לאיסוף וניתוח מידע של מצביעים פוטנציאלים בבחירות לכנסת. הפרצה חשפה את הפרטים האישיים של הבוחרים הרשומים בה, ביניהם שמות הבוחרים, מספרי תעודות זהות, כתובות ומספרי טלפון.

מבדיקה של חוקר אבטחת המידע רן בר זיק עלה כי במשך יממה היה המאגר כמעט חשוף לחלוטין – והוא לא נפרץ בידי האקרים מתוחכמים. במהלך הזמן הזה דלף מידע שהוזמן על ידי הליכוד, כשהמידע הרגיש הפך לגלוי לאחר שמפלגות שעובדות עם האפליקציה הזינו את הפרטים האישיים של בעלי זכות הבחירה – שמסופקים להן על פי חוק – לתוך האפליקציה. ‎

לדבריו של בר זיק, הקובץ מכיל מידע על למעלה משישה מיליון בעלי זכות בחירה בישראל – ואפילו כלל את פרטיהם המלאים של בכירים במערכת הפוליטית  והביטחונית. בין השאר נמצאו פרטיהם של ראש הממשלה נתניהו ומשפחתו, הרמטכ"ל אביב כוכבי, וראש השב"כ נדב ארגמן. הפרצה נחסמה לאחר כיממה, זאת בעקבות פנייה של מנהל מערך הסייבר הלאומי להנהלת האפליקציה.

כדי לצפות בסרטון זה, אנא הפעל JavaScript , ושקול לשדרג לדפדפן שתומך ב HTML5 video .

ראש הממשלה בבקעת הירדן בבחירות לכנסת ה-23 (מתוך קמפיין הליכוד)

חברת אלקטור אינה מבקרת את המידע שלקוחותיה מעבירים

מטעם עו"ד בכור יאמין, ב"כ של חברת אלקטור נמסר: "בתאריך 8 בפברואר 2020, הביאה הרשות להגנת הפרטיות לידיעת חברת אלקטור כי קיימת חולשת אבטחה במערכת. החולשה תוקנה באופן מידי, ולאחר מכן דגמה רשות הסייבר הלאומית את המערכת ומסרה כי לא נמצאו בה חולשות אבטחה כלשהן.

מערך הסייבר הלאומי, אף קיבל את כל הרשאות החברה לצורך בדיקת עומק, ואף הגיב לבג"ץ (1311\20) בעתירה שהוגשה כנגד החברה, והצהיר כי הוא מתנגד להסרת המערכת מהאוויר, זאת בשל אמצעי האבטחה המוגברים שנקטה החברה".

להלן תגובת הרשות ומערך הסייבר הלאומי לבג"ץ בעניין זה: "…נכון למועד כתיבת שורות אלו, למיטב הבנת הרשות להגנת הפרטיות ומומחי האבטחה ממערך הסייבר הלאומי שבהם הסתייעה, אמצעי האבטחה של המערכת שופרו, ולא נמצאו, בבדיקות נוספות שבוצעו על ידי הרשות בסיוע מומחי אבטחה ממערך הסייבר הלאומי ליקויים.."

עדות מערך הסייבר הלאומי, הנחשב לאחד מגופי הסייבר הטובים בעולם, מעידה על חוסנה הקיברנטי של החברה. ואכן, חברת אלקטור נמצאת כיום בחזית אבטחת המידע.

באותו נושא ראוי לציין כי ביום הבחירות לכנסת ה-23, גופים בינלאומיים רבים (לרבות ממדינות אויב) ניסו לפרוץ ולהפיל את מערכות החברה אולם ללא הצלחה, וזאת בשל חוסנה ואיכותה של המערכת.

לגבי טענות השווא לפיה המערכת כללה מידע רפואי: מערכת אלקטור, ככל מערכת ניהול מידע, מאפשרת הוספת הערות חופשיות, שאינן חלק מובנה מהמערכת. כלומר, אם פעיל מסוים במטה המפלגה החליט לכתוב על דעת עצמו כי מצביע מסוים נכה ויש לדאוג לו להסעה, אין זה תחת שליטתה או אחריותה של החברה. חברת אלקטור אינה מבקרת את המידע שלקוחותיה מעבירים (כשם שחברת גוגל, למשל, אינה אחראית לתכנים המופצים ב-Gmail או בתוכנות אחרות שבבעלותה).

יתרה מזאת, ביזור ההרשאות במערכת אלקטור, שבו היא מאפשרת חסימת מידע לפי משתמש, בשליטת מנהל המטה המרכזי, אף שיפר את האבטחה באופן דרמטי מהנהוג בעבר, ומנעה שימוש בעותקים מודפסים ודיגיטלים שהיו מגיעים לכל דיכפין.

יחד עם זאת, כאמור, חברת אלקטור תלמד את הממצאים ותפעל על פיהם, כפי שנהגה עד היום. אלקטור תמשיך להיות מהחברות המובילות בתחום מערכות המידע, תוך שימת דגש מיוחד על אבטחת המידע".