רק אתמול (א') פורסם בסרוגים כי בישיבת זום של ראשי המטות ופעילי ימינה במפגש הושקה אפליקציית ימינה, שבאמצעותה מתכננים במפלגה לשלוט בעבודת השטח של הקמפיין.

כאמור, בימינה מתכננים להשתמש בתוכנה בשם "אלקטור", שלפי הגדרתה "מסייעת למתמודדים ולמנהלי מטות להפוך תומכים פוטנציאליים לקולות בקלפי, עם אחוז ניצחונות גבוה במיוחד בקרב לקוחותיה". התוכנה עושה שימוש בבינה מלאכותית ע"י הכנסת נתונים של תומכים פוטנציאליים ומוודא את ההגעה אליהם ביום הבחירות. ככה בימינה יוכלו לנטר בזמן אמת מי הגיע לקלפי. במערכות בחירות קודמות, מפלגות כמו הליכוד וישראל ביתנו עשו בא שימוש.

במהלך הישיבה אמרה ח"כ איילת שקד כי "זו אפליקציה מאוד מאובטחת וזה לפי תקנות משרד המשפטים. אין מה לדאוג. יש שם רק שמות שמופיעים בפנקס הבוחרים ומספרי טלפון."

אבל תזכורת קצרה מראה כי רק לאחרונה קבעה הרשות להגנת הפרטיות במשרד המשפטים כי מפלגות הליכוד וישראל ביתנו וחברת אלקטור הפרו את הגנת הפרטיות, זאת בעקבות דליפת המידע במהלך הבחירות לכנסת ה-23.

הרשות להגנת הפרטיות במשרד המשפטים העבירה בתאריך ה-27.01.2021 למפלגות הליכוד וישראל ביתנו ולחברת אלקטור את קביעותיה הסופיות, אשר מסכמות את הליך האכיפה המנהלי, שביצעה הרשות בעקבות אירוע אבטחת מידע חמור שהתקיים במהלך מערכת הבחירות לכנסת ה-23, במסגרתו דלף פנקס הבוחרים ומידע אישי רגיש נוסף שהוזן לאפליקציית אלקטור, לרשת האינטרנט.

מטעם מימינה נמסר בתגובה: "לאחר שהרשות להגנת הפרטיות זיהתה חולשת אבטחה באפליקציה, התקלה תוקנה באופן מיידי. לאחר מכן דגמה רשות הסייבר הלאומית את המערכת ומסרה כי לא נמצאו בה חולשות אבטחה כלשהן. מערך הסייבר הלאומי אף הגיב לבג"ץ בנושא והצהיר כי הוא מתנגד להסרת המערכת מהאוויר, זאת בשל אמצעי האבטחה המוגברים שנקטה החברה".

חברת אלקטור, הליכוד וישראל ביתנו עברו על החוק

בהודעות ההפרה שהועברו קבעה הרשות, כי חברת אלקטור וכן מפלגות הליכוד וישראל ביתנו אשר קיבלו שירותים טכנולוגיים מחברת אלקטור, הפרו את הוראות חוק הגנת הפרטיות והתקנות מכוחו. ממצאי הליך האכיפה שקיימה הרשות חשפו הפרות של החוק, לרבות ליקויים רבים וחמורים באבטחת המידע במערכות המידע של חברת אלקטור, וכן בהתנהלותה כמחזיקה של מידע אישי רגיש.

כזכור, במהלך חודש פברואר 2020, התגלתה פרצת אבטחה חמורה באפליקציית "אלקטור", המשמשת את הליכוד לאיסוף וניתוח מידע של מצביעים פוטנציאלים בבחירות לכנסת. הפרצה חשפה את הפרטים האישיים של הבוחרים הרשומים בה, ביניהם שמות הבוחרים, מספרי תעודות זהות, כתובות ומספרי טלפון.

כדי לצפות בסרטון זה, אנא הפעל JavaScript , ושקול לשדרג לדפדפן שתומך ב HTML5 video .

מתוך קמפיין הליכוד בבחירות הקודמות

מבדיקה של חוקר אבטחת המידע רן בר זיק עלה כי במשך יממה היה המאגר כמעט חשוף לחלוטין – והוא לא נפרץ בידי האקרים מתוחכמים. במהלך הזמן הזה דלף מידע שהוזמן על ידי הליכוד, כשהמידע הרגיש הפך לגלוי לאחר שמפלגות שעובדות עם האפליקציה הזינו את הפרטים האישיים של בעלי זכות הבחירה – שמסופקים להן על פי חוק – לתוך האפליקציה. ‎

לדבריו של בר זיק, הקובץ מכיל מידע על למעלה משישה מיליון בעלי זכות בחירה בישראל – ואפילו כלל את פרטיהם המלאים של בכירים במערכת הפוליטית  והביטחונית. בין השאר נמצאו פרטיהם של ראש הממשלה נתניהו ומשפחתו, הרמטכ"ל אביב כוכבי, וראש השב"כ נדב ארגמן. הפרצה נחסמה לאחר כיממה, זאת בעקבות פנייה של מנהל מערך הסייבר הלאומי להנהלת האפליקציה.

ליברמן ונתניהו בימים יפים יותר. צילום: יונתן זינדל/ פלאש 90

חברת אלקטור אינה מבקרת את המידע שלקוחותיה מעבירים

מטעם עו"ד בכור יאמין, ב"כ של חברת אלקטור נמסר: "בתאריך 8 בפברואר 2020, הביאה הרשות להגנת הפרטיות לידיעת חברת אלקטור כי קיימת חולשת אבטחה במערכת. החולשה תוקנה באופן מידי, ולאחר מכן דגמה רשות הסייבר הלאומית את המערכת ומסרה כי לא נמצאו בה חולשות אבטחה כלשהן.

מערך הסייבר הלאומי, אף קיבל את כל הרשאות החברה לצורך בדיקת עומק, ואף הגיב לבג"ץ (1311\20) בעתירה שהוגשה כנגד החברה, והצהיר כי הוא מתנגד להסרת המערכת מהאוויר, זאת בשל אמצעי האבטחה המוגברים שנקטה החברה".

להלן תגובת הרשות ומערך הסייבר הלאומי לבג"ץ בעניין זה: "…נכון למועד כתיבת שורות אלו, למיטב הבנת הרשות להגנת הפרטיות ומומחי האבטחה ממערך הסייבר הלאומי שבהם הסתייעה, אמצעי האבטחה של המערכת שופרו, ולא נמצאו, בבדיקות נוספות שבוצעו על ידי הרשות בסיוע מומחי אבטחה ממערך הסייבר הלאומי ליקויים.."

עדות מערך הסייבר הלאומי, הנחשב לאחד מגופי הסייבר הטובים בעולם, מעידה על חוסנה הקיברנטי של החברה. ואכן, חברת אלקטור נמצאת כיום בחזית אבטחת המידע.

באותו נושא ראוי לציין כי ביום הבחירות לכנסת ה-23, גופים בינלאומיים רבים (לרבות ממדינות אויב) ניסו לפרוץ ולהפיל את מערכות החברה אולם ללא הצלחה, וזאת בשל חוסנה ואיכותה של המערכת.

לגבי טענות השווא לפיה המערכת כללה מידע רפואי: מערכת אלקטור, ככל מערכת ניהול מידע, מאפשרת הוספת הערות חופשיות, שאינן חלק מובנה מהמערכת. כלומר, אם פעיל מסוים במטה המפלגה החליט לכתוב על דעת עצמו כי מצביע מסוים נכה ויש לדאוג לו להסעה, אין זה תחת שליטתה או אחריותה של החברה. חברת אלקטור אינה מבקרת את המידע שלקוחותיה מעבירים (כשם שחברת גוגל, למשל, אינה אחראית לתכנים המופצים ב-Gmail או בתוכנות אחרות שבבעלותה).

יתרה מזאת, ביזור ההרשאות במערכת אלקטור, שבו היא מאפשרת חסימת מידע לפי משתמש, בשליטת מנהל המטה המרכזי, אף שיפר את האבטחה באופן דרמטי מהנהוג בעבר, ומנעה שימוש בעותקים מודפסים ודיגיטלים שהיו מגיעים לכל דיכפין.

יחד עם זאת, כאמור, חברת אלקטור תלמד את הממצאים ותפעל על פיהם, כפי שנהגה עד היום. אלקטור תמשיך להיות מהחברות המובילות בתחום מערכות המידע, תוך שימת דגש מיוחד על אבטחת המידע".