Joseph Zernik
ראש השב"כ נדב ארגמן התבקש לאשר את תקינותן ויושרתן של המערכות וההודעות האלקטרוניות הנשלחות לחולי קורונה ואלה שבאו עמם במגע
על פניהן, ההודעות נחזות כלוקות בחוסר בהירות ותקפות, חוסר סמכות, ובחוסר אותנטיקציה תקינה, ברורה, גלויה, ופשוטה לאימות ע”י מקבליהן... מצב עניינים זה, השילוב של חוסר ולידציה וחוסר אותנטיקציה, מעלה חשש חמור שמערכת זו, כפי שהיא מופעלת היום, או שיבוש מכוון (כגון תמסורת של הודעות אלקטרוניות מפוברקות) עלול לאפשר מעשים חמורים, העולים עד כדי שלילת חופש התנועה ואף שלילת חירות שלא כדין, בקנה מידה נרחב. במצב הרגיש בו נמצא המשטר במדינת ישראל היום, מעשים כאלה עלולים להיות מנוצלים לרעה ע"י גורמים חתרניים עד כדי שיבוש סדרי המשטר הדמוקרטי ומוסדותיו. במלים אחרות – הפיכה שלטונית.
הבקשה לראש השב"כ נדב ארגמן הועתקה לעותרים בבג"ץ בעניין מערכות אלה, וכן למומחים בתחום הקריפטולוגיה, אבטחת מידע ואבטחת סייבר, בתקווה שישמיעו קולם בעניין קריטי זה.
בבלוג: https://human-rights-alert.blogspot.com/2020/03/2020-03-21.html
תל-אביב, 21 למרץ - להלן הבקשה שנשלחה היום לראש השב"כ נדב ארגמן.
21 למרץ, 2020
ראש השב"כ נדב ארגמן
בדוא"ל: סיגל מלכה
הנידון: בקשה בהולה למילוי חובותיך על פי חוק השב"כ (2002) - פרסום הודעה לציבור הרחב המאשרת את תקינותן, אמינותן, ואבטחתן של המערכות וההודעות האלקטרוניות הנשלחות לחולי קורונה ומי שאותרו שבאו עמם במגע
מר ארגמן הנכבד,
ביום ראשון שבעבר, 15 למרץ, 2020, התפרסמה החלטה מס' 4897 של הממשלה - “הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש”. ההחלטה בחלקה אומרת (תמונה 1):
תמונה 1. רישא של החלטת הממשלה מס' 4897 מיום 15 למרץ, 2020.
על פי פרסומי תקשורת, התקנות התואמות, שסווגו "סודי ביותר", לא נחשפו אפילו ליו"ר וועדת החוץ והביטחון של הכנסת, הרמטכ"ל בדימוס, ח”כ גבי אשכנזי. הוועדה גם לא אישרה כדין את התקנות.
נסיבות אלה העלו חששות חמורים בקרב מומחי סייבר וזכויות האדם, ומשפטנים רבים.
בהמשך, הוגשו עתירות בעניין לבג”ץ, נערך דיון, וניתנה החלטה ביום חמישי, 19 למרץ, 2020 [בג"ץ 2109/20 2135/20, 2141/20 עו"ד שחר בן מאיר, האגודה לזכויות האזרח בישראל, עדאלה המרכז המשפטי לזכויות המיעוט הערבי בישראל, והרשימה המשותפת נ ראש הממשלה, ממשלת ישראל, שירות הביטחון הכללי, משטרת ישראל, משרד הבריאות, היועץ המשפטי לממשלה, הרשות להגנת הפרטיות משרד המשפטים, הכנסת, וח"כ גבי אשכנזי]
ההחלטה בחלקה אומרת (תמונה 2):
תמונה 2. החלטה מיום חמישי, 19 למרץ, 2020, בתיק בג"ץ 2109/20.
כבר ביום רביעי, 19 למרץ, 2020, עוד טרם החלטת בג"ץ הנ"ל, התפרסם בתקשורת: [1]
תמונה 3. דוגמה של הודעה אלקטרונית למי שאותר כמגע של חולה
כמו כן התפרסמו באותה ידיעה בתקשורת שני נסחים של הודעות אלקטרוניות: 1) הודעה לחולה בקורונה, ו- 2) הודעה למי שאותר כמגע של חולה:
מתוך פרסום זה אין ניתן לקבוע בדיוק את פרטי ההודעות האותנטיות, התקפות, ואופן התמסורת. אולם על פניהן, ההודעות נחזות כלוקות בחוסר בהירות ותקפות (לא צוינו בהן במלואם שמו וזהותו של הנמען), חוסר סמכות (לא צוין בהן שמו של השולח - אדם, שהוא עובד מדינה, ותפקידו), ובחוסר אותנטיקציה תקינה, ברורה, גלויה, ופשוטה לאימות ע”י מקבליהן.
כמו כן יש לציין שלשון תבנית ההודעות שפורסמה אינה תואמת את לשון ההודעה שבתמונת המסך של ההודעה לחולה המסוים (תמונה 3).
בהמשך, התפרסמה היום, שבת, 21 למרץ, 2020, ידיעה של כתבת מרקר רוני לינדר (תמונה 4), האומרת בחלקה: [2]
תמונה 4. פרסום של כתבת מרקר רוני לינדר מיום 21 למרץ, 2020.
פרסום זה מעלה חשש חמור ביחס לחוסר ולידציה של המערכת, כפי שכבר הוטמעה והופעלה.
מצב עניינים זה, השילוב של חוסר ולידציה וחוסר אותנטיקציה, מעלה חשש חמור שמערכת זו, כפי שהיא מופעלת היום, או שיבוש מכוון (כגון תמסורת של הודעות אלקטרוניות מפוברקות) עלולים לאפשר מעשים חמורים, העולים עד כדי שלילת חופש התנועה ואף שלילת חירות שלא כדין, בקנה מידה נרחב.
במצב הרגיש בו נמצא המשטר במדינת ישראל היום, [3] מעשים כאלה עלולים להיות מנוצלים לרעה ע"י גורמים חתרניים עד כדי שיבוש סדרי המשטר הדמוקרטי ומוסדותיו. במלים אחרות – הפיכה שלטונית.
דוחות Human Rights Alert NGO לבדיקה התקופתית של ישראל ע"י מועצת זכויות האדם של האו"ם לשנים 2013 ו- 2018 התמקדו בהפרות לכאורה של זכויות האדם של תושבי ישראל ע"י רשויות החוק והמשפט בישראל, בפרט ע"י שימוש במערכות מידע ממשלתיות הלוקות בחוסר ולידציה ואותנטיקציה.
דו"ח ה-NGO לשנת 2018 נכלל בדו"ח הסופי של המועצה, בכפוף לבדיקה ע"י הצוות המקצועי, וסוכם בהערה האומרת:
הדוחות למועצת זכויות האדם של האו"ם לשנים 2013 ו- 2018 גם כללו פרקים נפרדים אודות השב"כ, שתיעדו את פניותינו לקודמך בתפקיד ראש השב"כ בעניין חוסר ולידציה ואותנטיקציה של מערכות המידע של בית המשפט העליון, ושל מערכת נט-המשפט של בתי המשפט המחוזיים והשלום, ואת התשובות על פניותינו, שאמרו שהשב"כ אינו מוסמך לטפל במערכות אלה.
בהמשך, פנינו אליך ביום 16 לינואר, 2017, בעניין חוסר ולידציה ואותנטיקציה של מערכת "דמוקרטיה" של ועדת הבחירות המרכזית, ותשובת חופש המידע 01/2016 של הוועדה, שאמרה בין השאר (תמונה 5):
תמונה 5. תשובת חופש המידע 01/2016 של ועדת הבחירות המרכזית בעניין בדיקה ואישור של מערכת "דמוקרטיה”.
התשובה על פנייתנו לשב"כ אמרה למעשה - להד"ם (תמונה 6):
תמונה 6. תשובה על פנייה לשב"כ בעניין תשובת חופש המידע 01/2016 של ועדת הבחירות המרכזית.
מצב זה בלתי נתפס באומה המונה בין בניה כמה מהמומחים הידועים בעולם בתחום הקריפטולוגיה, אבטחת מידע ואבטחת סייבר, ובמדינה שהקימה בעשור האחרון מרכזים לחקר אבטחת סייבר באוניברסיטאות המובילות.
חוק השב"כ (2002), סעיף 7(א) אומר:
לפיכך, הרינו מבקשים שתמלא את חובותיך על פי האמור בחוק השב"כ ותפעל לוודא את הוולידציה והאותנטיקציה של המערכות וההודעות הנ"ל.
ללא הבדל מה יהיה מהלך האירועים בשבוע הקרוב ביחס לכינוס הכנסת, לכינון ועדת החוץ והביטחון הקבועה החדשה, או להחלטות נוספות של בג"ץ בעניין, מן הראוי שתפרסם, לאחר הבדיקות המתאימות, ובמהירות האפשרית, הצהרה לציבור הרחב, המאשרת את תקינותן, אמינותן, ואבטחתן של המערכות וההודעות האלקטרוניות הנשלחות לתושבי המדינה שהם חולי קורונה או מי שאותרו כמגעים של חולי קורונה, ודרכי האימות של ההודעות ע”י מקבליהן.
בברכה,
דר' יוסף צרניק
Human Rights Alert NGO
העתקים בדוא”ל: פרופ’ עוזי אורנן, פרופ’ יובל אלוביץ’, פרופ’ אלי ביהם, עו"ד חסן ג'בארין, פרופ’ דני דולב, פרופ’ דני הנדלר, עו"ד דן יקיר-האגודה לזכויות האזרח, פרופ’ אסא כשר, פרופ’ יהודה לינדל, עו"ד איתי מק, פרופ’ קרין נהון, פרופ’ בועז סנג’רו, עו"ד מיכאל ספרד, עו"ד אביגדור פלדמן, פרופ’ דניאל פרידמן, פרופ’ מוטה קרמניצר, פרופ’ אמנון רובינשטיין,פרופ’ עדי שמיר, פרופ’ אמנון שעשוע, פרופ’ אהוד שפירא
[1] https://all-world.news/48680/
[2] https://twitter.com/RonnyLinder/status/1241305424017723393
[3] "Not every regime succumbs to Corona, but Israel's is in the high-risk group"
על פניהן, ההודעות נחזות כלוקות בחוסר בהירות ותקפות, חוסר סמכות, ובחוסר אותנטיקציה תקינה, ברורה, גלויה, ופשוטה לאימות ע”י מקבליהן... מצב עניינים זה, השילוב של חוסר ולידציה וחוסר אותנטיקציה, מעלה חשש חמור שמערכת זו, כפי שהיא מופעלת היום, או שיבוש מכוון (כגון תמסורת של הודעות אלקטרוניות מפוברקות) עלול לאפשר מעשים חמורים, העולים עד כדי שלילת חופש התנועה ואף שלילת חירות שלא כדין, בקנה מידה נרחב. במצב הרגיש בו נמצא המשטר במדינת ישראל היום, מעשים כאלה עלולים להיות מנוצלים לרעה ע"י גורמים חתרניים עד כדי שיבוש סדרי המשטר הדמוקרטי ומוסדותיו. במלים אחרות – הפיכה שלטונית.
הבקשה לראש השב"כ נדב ארגמן הועתקה לעותרים בבג"ץ בעניין מערכות אלה, וכן למומחים בתחום הקריפטולוגיה, אבטחת מידע ואבטחת סייבר, בתקווה שישמיעו קולם בעניין קריטי זה.
בבלוג: https://human-rights-alert.blogspot.com/2020/03/2020-03-21.html
21 למרץ, 2020
ראש השב"כ נדב ארגמן
בדוא"ל: סיגל מלכה
הנידון: בקשה בהולה למילוי חובותיך על פי חוק השב"כ (2002) - פרסום הודעה לציבור הרחב המאשרת את תקינותן, אמינותן, ואבטחתן של המערכות וההודעות האלקטרוניות הנשלחות לחולי קורונה ומי שאותרו שבאו עמם במגע
מר ארגמן הנכבד,
ביום ראשון שבעבר, 15 למרץ, 2020, התפרסמה החלטה מס' 4897 של הממשלה - “הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיף הקורונה החדש”. ההחלטה בחלקה אומרת (תמונה 1):
תמונה 1. רישא של החלטת הממשלה מס' 4897 מיום 15 למרץ, 2020.
על פי פרסומי תקשורת, התקנות התואמות, שסווגו "סודי ביותר", לא נחשפו אפילו ליו"ר וועדת החוץ והביטחון של הכנסת, הרמטכ"ל בדימוס, ח”כ גבי אשכנזי. הוועדה גם לא אישרה כדין את התקנות.
נסיבות אלה העלו חששות חמורים בקרב מומחי סייבר וזכויות האדם, ומשפטנים רבים.
בהמשך, הוגשו עתירות בעניין לבג”ץ, נערך דיון, וניתנה החלטה ביום חמישי, 19 למרץ, 2020 [בג"ץ 2109/20 2135/20, 2141/20 עו"ד שחר בן מאיר, האגודה לזכויות האזרח בישראל, עדאלה המרכז המשפטי לזכויות המיעוט הערבי בישראל, והרשימה המשותפת נ ראש הממשלה, ממשלת ישראל, שירות הביטחון הכללי, משטרת ישראל, משרד הבריאות, היועץ המשפטי לממשלה, הרשות להגנת הפרטיות משרד המשפטים, הכנסת, וח"כ גבי אשכנזי]
ההחלטה בחלקה אומרת (תמונה 2):
תמונה 2. החלטה מיום חמישי, 19 למרץ, 2020, בתיק בג"ץ 2109/20.
כבר ביום רביעי, 19 למרץ, 2020, עוד טרם החלטת בג"ץ הנ"ל, התפרסם בתקשורת: [1]
לפני זמן קצר נשלחו הודעות לכ-400 אנשים, אשר אותרו כמגעים של חולים.הידיעה גם כללה תמונה של הודעה אלקטרונית מסוג זה, ככל הנראה צילום מסך של מכשיר טלפון נייד (תמונה 3). ההודעה שבתמונה מורה למקבלה:
… הנך מתבקש לשהות בבידוד מלא.
תמונה 3. דוגמה של הודעה אלקטרונית למי שאותר כמגע של חולה
כמו כן התפרסמו באותה ידיעה בתקשורת שני נסחים של הודעות אלקטרוניות: 1) הודעה לחולה בקורונה, ו- 2) הודעה למי שאותר כמגע של חולה:
1. הודעה לחולה בקורונה[שם פרטי] שלום,בהתאם לתוצאות הבדיקה, לפיה חלית בקורונה, מבוצעת חקירה אפידמיולוגית כדי לאתר אנשים שנחשפו אליך. לצורך השלמת החקירה משתמשים באמצעים טכנולוגיים, לפי תקנות שעת חירום.המידע ישמש את משרד הבריאות רק למטרה זו וימחק בתום הצורך.מידע בקישור:go.gov.il/coronaלאימות ניתן לחייג 5400*בברכהשירותי בריאות הציבור2. הודעה למי שאותר כמגע של חולה[שם פרטי] שלוםלפי חקירה אפידמיולוגית היית בתאריך [==/==/==] ליד חולה קורונה.עליך להיכנס מייד לבידוד עד [==/==/==] להגנה על קרובייך והציבור.אם יש לך חום, שיעול וכו' נא להתקשר למד"א – 101.
מתוך פרסום זה אין ניתן לקבוע בדיוק את פרטי ההודעות האותנטיות, התקפות, ואופן התמסורת. אולם על פניהן, ההודעות נחזות כלוקות בחוסר בהירות ותקפות (לא צוינו בהן במלואם שמו וזהותו של הנמען), חוסר סמכות (לא צוין בהן שמו של השולח - אדם, שהוא עובד מדינה, ותפקידו), ובחוסר אותנטיקציה תקינה, ברורה, גלויה, ופשוטה לאימות ע”י מקבליהן.
כמו כן יש לציין שלשון תבנית ההודעות שפורסמה אינה תואמת את לשון ההודעה שבתמונת המסך של ההודעה לחולה המסוים (תמונה 3).
בהמשך, התפרסמה היום, שבת, 21 למרץ, 2020, ידיעה של כתבת מרקר רוני לינדר (תמונה 4), האומרת בחלקה: [2]
שומעת על עוד ועוד סיפורים שהכלי של השב"כ מפספס, עובד על סטיית תקן רחבה מדי של מיקום ומכניס סתם אנשים לבידוד, בלי לתת להם אפילו מידע מינימלי על המפגש עם החולה המאומת (אפילו לא תאריך ושעה).
תמונה 4. פרסום של כתבת מרקר רוני לינדר מיום 21 למרץ, 2020.
פרסום זה מעלה חשש חמור ביחס לחוסר ולידציה של המערכת, כפי שכבר הוטמעה והופעלה.
מצב עניינים זה, השילוב של חוסר ולידציה וחוסר אותנטיקציה, מעלה חשש חמור שמערכת זו, כפי שהיא מופעלת היום, או שיבוש מכוון (כגון תמסורת של הודעות אלקטרוניות מפוברקות) עלולים לאפשר מעשים חמורים, העולים עד כדי שלילת חופש התנועה ואף שלילת חירות שלא כדין, בקנה מידה נרחב.
במצב הרגיש בו נמצא המשטר במדינת ישראל היום, [3] מעשים כאלה עלולים להיות מנוצלים לרעה ע"י גורמים חתרניים עד כדי שיבוש סדרי המשטר הדמוקרטי ומוסדותיו. במלים אחרות – הפיכה שלטונית.
דוחות Human Rights Alert NGO לבדיקה התקופתית של ישראל ע"י מועצת זכויות האדם של האו"ם לשנים 2013 ו- 2018 התמקדו בהפרות לכאורה של זכויות האדם של תושבי ישראל ע"י רשויות החוק והמשפט בישראל, בפרט ע"י שימוש במערכות מידע ממשלתיות הלוקות בחוסר ולידציה ואותנטיקציה.
דו"ח ה-NGO לשנת 2018 נכלל בדו"ח הסופי של המועצה, בכפוף לבדיקה ע"י הצוות המקצועי, וסוכם בהערה האומרת:
24. י Human Rights Alert NGO מדגיש את התדרדרות החמורה ביושרת רשויות המשפט והחוק כתוצאה מהטמעת מערכות מחשוב ממשלתיות. הוא מאשר [כך-יצ] שיש לראות את תקפותו ויושרתו של כל מסמך חוקי ומשפטי מישראל כמפוקפקות במקרה הטוב.דוח ה-NGO למועצת זכויות האדם של האו"ם לשנת 2018 כלל אוסף נרחב של מסכמים מפוברקים/משובשים/מזויפים, שנועדו להיחזות ע"י מקבליהם ככתבים רשמיים של רשויות המדינה, תקפים ובני אכיפה, ובכללם מסמכים שנועדו להיחזות ככתבי בית דין תקפים ובני אכיפה בענייני חירות האדם ושלילתה באמצעות מעצרים/מאסרים.
הדוחות למועצת זכויות האדם של האו"ם לשנים 2013 ו- 2018 גם כללו פרקים נפרדים אודות השב"כ, שתיעדו את פניותינו לקודמך בתפקיד ראש השב"כ בעניין חוסר ולידציה ואותנטיקציה של מערכות המידע של בית המשפט העליון, ושל מערכת נט-המשפט של בתי המשפט המחוזיים והשלום, ואת התשובות על פניותינו, שאמרו שהשב"כ אינו מוסמך לטפל במערכות אלה.
בהמשך, פנינו אליך ביום 16 לינואר, 2017, בעניין חוסר ולידציה ואותנטיקציה של מערכת "דמוקרטיה" של ועדת הבחירות המרכזית, ותשובת חופש המידע 01/2016 של הוועדה, שאמרה בין השאר (תמונה 5):
המערכת נבדקה על ידי הרשות [רא"ם - רשות אבטחת מידע בשב"כ - יצ] ואושרה על ידה.
תמונה 5. תשובת חופש המידע 01/2016 של ועדת הבחירות המרכזית בעניין בדיקה ואישור של מערכת "דמוקרטיה”.
התשובה על פנייתנו לשב"כ אמרה למעשה - להד"ם (תמונה 6):
תמונה 6. תשובה על פנייה לשב"כ בעניין תשובת חופש המידע 01/2016 של ועדת הבחירות המרכזית.
מצב זה בלתי נתפס באומה המונה בין בניה כמה מהמומחים הידועים בעולם בתחום הקריפטולוגיה, אבטחת מידע ואבטחת סייבר, ובמדינה שהקימה בעשור האחרון מרכזים לחקר אבטחת סייבר באוניברסיטאות המובילות.
חוק השב"כ (2002), סעיף 7(א) אומר:
7. (א) השירות מופקד על שמירת ביטחון המדינה, סדרי המשטר הדמוקרטי ומוסדותיו, מפני איומי טרור, חבלה, חתרנות...בעניין שבנידון – הודעות אלקטרוניות לחולי קורונה או מי שאותרו שבאו עמם במגע – השב"כ מעורב ישירות. לפיכך, אין זה מתקבל על הדעת שהשב"כ יפטור את עצמו מהאחריות לתקינותן, אמינותן ואבטחתן של המערכות וההודעות האלקטרוניות הנ"ל.
לפיכך, הרינו מבקשים שתמלא את חובותיך על פי האמור בחוק השב"כ ותפעל לוודא את הוולידציה והאותנטיקציה של המערכות וההודעות הנ"ל.
ללא הבדל מה יהיה מהלך האירועים בשבוע הקרוב ביחס לכינוס הכנסת, לכינון ועדת החוץ והביטחון הקבועה החדשה, או להחלטות נוספות של בג"ץ בעניין, מן הראוי שתפרסם, לאחר הבדיקות המתאימות, ובמהירות האפשרית, הצהרה לציבור הרחב, המאשרת את תקינותן, אמינותן, ואבטחתן של המערכות וההודעות האלקטרוניות הנשלחות לתושבי המדינה שהם חולי קורונה או מי שאותרו כמגעים של חולי קורונה, ודרכי האימות של ההודעות ע”י מקבליהן.
בברכה,
דר' יוסף צרניק
Human Rights Alert NGO
העתקים בדוא”ל: פרופ’ עוזי אורנן, פרופ’ יובל אלוביץ’, פרופ’ אלי ביהם, עו"ד חסן ג'בארין, פרופ’ דני דולב, פרופ’ דני הנדלר, עו"ד דן יקיר-האגודה לזכויות האזרח, פרופ’ אסא כשר, פרופ’ יהודה לינדל, עו"ד איתי מק, פרופ’ קרין נהון, פרופ’ בועז סנג’רו, עו"ד מיכאל ספרד, עו"ד אביגדור פלדמן, פרופ’ דניאל פרידמן, פרופ’ מוטה קרמניצר, פרופ’ אמנון רובינשטיין,פרופ’ עדי שמיר, פרופ’ אמנון שעשוע, פרופ’ אהוד שפירא
[1] https://all-world.news/48680/
[2] https://twitter.com/RonnyLinder/status/1241305424017723393
[3] "Not every regime succumbs to Corona, but Israel's is in the high-risk group"
No comments:
Post a Comment