חומר רקע

PDF 12,904 תווים המסמך המקורי ↗
סקירת פרטיות ואבטחה – המגן 2 סקירהזונועדהלבחוןאתהיבטיהפרטיות ואבטחתהמידעביישומון"המגן2 "ולוודאכיהםתואמיםאתהמוצהר על- ידי משרד הבריאות. הסקירה כוללת ה יבטים משפטיים וטכנולוגיים. רקע בעקבות התפשטות מגפת הקורונה בעולם, קם הצורך בהסתייעות באמצעים טכנולוגיים ככלי משלים למערך החקירות האפידמיולוגיות. במרץ 2020 השיק משרד הבריאות את יישומון "המגן 1 " אשר אפשר להצליב נתוני מיקום (GPS שנשמרו מקומית בטלפון הנייד של המשתמש, אל מול מקומות בהם שהו חוליקורונה מאומתים.) ברגע שהיישומון זיהה חפיפה בין המיקומים שנשמרו בטלפון הנייד לבין מיקום של חולה מאומת, הוא התריע למשתמש על האפשרות כי נחשף לחולה קורונה והותיר בידיו את שיקול הדעת והבחירה האם להיכנס לבידוד ולדווח על כך למשרד הבריאות. ביום 1.7.2020 עיגנה הכנסת ב חוק הסמכת שירות הביטחון הכללי לסייע במאמץ הלאומי לצמצום התפשטות נגיףהקורונה החדש( הוראתשעה,)התש ״ף– 2020 אתהסמכתהשב"כ להפעילכלימעקבלצורךסיועבמאבק בקורונה "( חוק איכוני השב"כ"). חוק איכוני השב"כ עודכן ב- 20.7.2020 כך שמלבד ההסמכה למעקב אחר אזרחים, נקבע בו שמשרד הבריאות יעמיד לרשות הציבור טכנולוגיה אזרחית לאיתור מגעים קרובים עם חולים לשם צמצום התפשטות המגיפה. לאחרהחקיקההשיקמשרדהבריאותאת"המגן2",המאפשראיתורמגעקרובעםחולה,באמצעותטכנולוגיית בלוטות' (Bluetooth ), זאת בנוסף להצלבת נתוני מיקום שהתאפשרה ב"המגן 1 ." סקירה טכנולוגית של היישומון ״המגן 2 ״ פועל בשתי דרכים: בדרך הראשונה , היישומון מזהה מיקום בעזרת GPS ו- Wifi Positioning . זיהוי מיקום מתבצע מאליו, בלא צורך בתקשורת עם מכשיר טלפון אחר שבו מותקן היישומון. יכולת זו קיימת כבר ב"המגן 1 ." בדרך השניה, היישומון מנטר קירבה בין שני מכשירים ניידים שבהם היישומון מותקן באמצעות Bluetooth Low Energy . יכולת זו התווספה ב"המגן 2 ". היא מאפשרת להיוודע אם אנשים שהו במרחק מטרים בודדים עד עשרות מטרים זה מזה לפרק זמן ממושך שדי בו לסכן אחד מהם בהדבקה אם השני יתברר לימים כחולה. הטלפונים מעבירים זה לזה איתותים ב- Bluetooth , ועל פי עוצמת האיתות מחשב היישומון את המרחק של הטלפונים זה מזה. בדרך זו היישומון יכול לפעול ביעילות גם בתוך מבנים, חללים סגורים או בתוך תחבורה ציבורית - בהם מתרחשות רבות מההדבקות. בגלל המגבלות של מערכות ההפעלה Android ו- iOS , שאינן מאפשרות ליישומונים לשדר למכשירים אחרים בעזרת Bluetooth כשהם פועלים ברקע, יתכן שהיעילות וצריכת הסוללה של Bluetooth צריכות להיבדק בתנאי אמת. חברת גוגל ואפל, מפתחות מערכת ההפעלה אנדרואיד ו- iOS פיתחו פרוטוקול המאפשר ליישומונים רשמיים של רשויות בריאות להשתמש ב- Bluetooth בעודן פועלות ברקע, אך ללא שימוש מקביל בשירותי מיקום. מסיבה זו, ממשרד הבריאות בחר שלא לבסס את ״המגן 2 ״ על פרוטוקול זה. היישומון שומר מידע לגבי המיקומים או המגעים באופן מקומי בלבד, בטלפון של המשתמשים. איתותי Bluetooth בין טלפונים מוצפנים שמונעים מצב בו גורם ריכוזי יכול ללמוד על מגעים בין משתמשים. כאשר מגיעה רשי מה של מיקומים וזמנים בהם היה חולה קורונה מאומת, ההתאמה בין המיקומים לבין הודעות ה- פרטיותישראל(ע"ר)|www.privacyisrael.org.il | [email protected] Bluetooth מתבצעת מקומית בטלפון של המשתמש. לפיכך, אם נמצא מגע עם חולה מאומת, המשתמש הוא היחידישיודעעלכך,וישלסמוךעליוכייודיעלמשרדהבריאותוייכנסלבידוד.״המגן2״משתמש בנתוניהמיקום כדי להגן להגן על ״המגן 2״ מפני התקפות שמטרתן לגרום לזיהוי שגוי של מגעים, בעזרת התאמה ביןנתוני ה- bluetooth והמיקום. בנוסף, לפי משרד הבריאות, ״המגן 2 ״ מכיל יכולת לשחזור מסלולי תנועה של אדם שזוהה כחולה מאומת, במידה שהמשתמש בוחר לחלוק את המידע עם משרד הבריאות. אופציה זו מאפשרת תחקור אפידמיולוגי יעיל יותר, ומופעלת על ידי שליחת SMS למכשיר, והסכמה של המשתמשים לשיתוף המידע. נבהיר, כי בהיעדר בדיקה מול חולה מאומת, אין ברשותנו יכולת לבדוק נושא זה. לשם בדיקת רמת האבטחה של היישומון, חטיבת הגנת הפרטיות וצוות התקיפה של מרכז הגנת הסייבר ב- BDO ישראל ערכה בדיקה טכנית ליישומון . הצוותים בחנו שלושה היבטים עיקריים: 1 . האם מתבצעת העברת מידע מהיישומון לצדדים שלישיים; 2 . האם המידע שהיישומון אוסף נשמרים בצורה מאובטחת ומוצפנת; 3 . אלו הרשאות היישומון מבקש וכיצד נעשה שימוש בהרשאות אלו (לדוגמה: גישה לאנשי קשר, גלריית תמונות וכיו"ב.) הבדיקה וממצאיה הועברו למשרד הבריאות לעיון ותיקון. תקציר הבדיקה מצורף כנספח לסקירה זו. ניתוח היבטי הפרטיות שתי גרסאות יישומון המגן פותחו בהתאם לגישה של "הנדסת פרטיות" – Privacy by Design . גישה זו מבקשת להטמיע את הגנת הפרטיות במערכת מלכתחילה, כבר בשלב תכנון הטכנולוגיה, ולא רק בדיעבד. זו גישה ראויה ונבונה, ואנו מברכים עליה. פיתוח "המגן 2 לווה על ידי הרשות להגנת הפרטיות." היישומון משקף כמה היבטים מרכזיים שהם עקרונות יסוד בדיני הגנת המידע האישי (Protection Data :) ● הסכמה מדעת: השימוש ביישומון וולונטרי לחלוטין, וכפוף לבחירה של המשתמשים; תנאי השימוש מופיעים בכמה שפות, והם קצרים למדי ובהירים - בוודאי בהשוואה למקובל בהקשרים מסחריים; כל אלה מאפשרים למשתמשים לקבל החלטה מושכלת לגבי השימוש ביישומון. בנוסף, כל גישה של היישומון לנתונים בטלפון, דוגמת נתוני מיקום ובלוטות', דורשים אישור אקטיבי של המשתמש. ● שליטת המשתמש במידע: המידע שנאסף לגבי המיקוםולגבי האיתותים ממכשירים אחריםנשמר אך ורק ביישומון של המשתמש עצמו, ולא עובר למשרד הבריאות, למשתמשים האחרים או לאף גורם אחר. המידע נשמר במכשיר האישי של המשתמש. כל העברת מידע מתבצעת רק באופן אקטיבי על ידי המשתמש. ● מחיקת המידע: שליטת המשתמש במידע מתחזקת בכך שיש אפשרות פשוטה להסיר את היישומון - כמו כל הסרה של יישומון אחר, ולמחוק את המידע שהצטבר. ● העברת מידע למשרד הבר יאות: קיימת אפשרות טכנית כזו אולם היא הופכת רלוונטית רק כאשר האדם אובחן כחולה, ובמסגרת החקירה האפידמיולוגית. גם במקרה כזה, ההחלטה אם לשתף את המידע עם משרד הבריאות תלויה אך ורק ברצונו של המשתמש. ● מיזעור מידע: היישומון אוסף רק מידע על מיקום ועל הקירבה למשתמשים אחרים, ואינו אוסף מידע עודף. איסוף המידע המינימלי שדרוש לשם מימוש התכלית של היישומון - איתור מגעים - חשובה עד פרטיותישראל(ע"ר)|www.privacyisrael.org.il | [email protected] מאוד:היאמבטיחהשההסכמהניתנתעבורמטרהמוגדרת,היאמצמצמתאתהסיכוןלזליגתשימושים ובכך משקפת את "עקרון צמידות המטרה", שלפיו מידע שנאסף למטרה מסוימת, צריך לשמש רק לאותה מטרה. בנוסף, ככל שנאסף פחות מידע, החשש מדליפת מידע מתוך המערכת או מפריצה מבחוץ - קטנים. ● קוד פתוח: משרד הבריאות שיחרר את קוד המקור של היישומון תחת רישיון מסוג MIT . הקוד זמין באתר itHub G . העובדה שהקוד של היישומון פתוח ונגיש לבקרה ציבורית חשובה. בכך מושגת שקיפות ומתאפשרת בקרה חיצונית אובייקטיבית של מומחי מחשבים, היכולים לוודא שההצהרות של משרדהבריאותבדברשמירהמקומיתשל המידע,אי- העברתו,אפשרותמחיקתווכדומה- אכןנכונות. שקיפות ובקרה כזו מעודדים את אמון הציבור במערכת. ● הצפנה וסודיות: איתותי Bluetooth ונתונים אחרים נשמרים באופן מוצפן. רק לטלפונים של המשתמשים יש מפתח שמאפשר קריאה של הנתונים. כך, גם אם המידע בטלפון ייחשף, לא ניתן יהיה להסיק מכך עם מי המשתמש היה במגע. עם זאת, אנו ממליצים להוסיף רבדים נוספים להגנה על פרטיות המשתמשים - ● על משרד הבריאותלפרסם "תסקיר הגנת פרטיות", שמפרט את היבטיהפרטיות ביישומון. מסמך כזה חשובכדילהנחותאתהפיתוחיםהעתידייםשלהיישומון,וכדילשמשמודללמצביםאחריםשל"הנדסת פרטיות." ● בדומה להליך שננקט בקשר ל"המגן 1 ", על משרד הבריאות היה ללוות את תהליך הפיתוח באמצעות מומחים חיצוניים ובלתי תלויים לאבטחת מידע מראשיתו. שקיפות בדיעבד יכולה להשיג תוצאה דומה. נציין כי בנוגע ל"המגן 1 " התברר שהקוד שפורסם היה חסר וחלקי לעומת הקוד שהופעל ביישומון, ולאחר פניה למשרד הבריאות, הפער תוקן.1 ● יש למנות "ממונה הגנת פרטיות" (Officer privacy Chief ) בקשר עם "המגן". גם כאן, השילוב בין הצוות הטכנולוגי לרשות להגנת הפרטיות הניב תוצאות משביעות רצון, אולם לאחר הפיתוח הראשוני, יש לוודא המשך של התהליך לאורך זמן. חשיבות השימוש ביישומון לאורהסקירהלעיל,פרטיותישראל רואהחשיבותרבהבהפצה ושימושנרחבשליישומון"המגן2 ",בפרטלאור היתרונותהבולטיםשל"המגן2 על חלופות קיימות אחרותבאיתור מגעים(איכוניהשב"כ, יישומונים מסחריים)" כמפורט להלן - 1 . מערכתמבוזרת: נתוניהמגעיםהמיקומיםנשמריםבמכשירהסלולרישלהמשתמש,ולאבשרת מחשב מרכזי שנמצא בשליטה של רשויות המדינה או חברות פרטיות. השימוש בשרת מרכזי מאפשר להצליב את נתוני המיקום עם מידע אישי נוסף ובכך לבצע ניתוחי מידע נוספים שאינם ידועים למשתמש. 2 . דיוק באיתור מגעים: עד היום, על מנת לאתר מגעים באמצעות כלים טכנולוגיים, נעשה שימוש בטכנולוגיה של אותות GPS או איכון סלולרי (המגן 1 וכלי המעקב של השב"כ). טכנולוגיה זו אינה 1 ראו את דיווחו של רן בר- זיק "הקוד של אפליקציית המגן פתוח, אבל בתוכו הסתתרו הפתעות" הארץ 26.7.2020 , נמצא ב: 1.9018639 - https://www.haaretz.co.il/captain/software/.premium . פרטיותישראל(ע"ר)|www.privacyisrael.org.il | [email protected] מאפשרת לזהות מגע קרוב עם חולה, ואינה יעילה במקרים רבים (לדוגמה בתוך מבנים ובערים צפופות.) 3 . פתרון וולונטרי: הורדה ושימוש ב"המגן 2 " הם וולונטריים (בניגוד למעקבי השב"כ). כמו גם, דיווח על מגעיםוהעברתמידעלמשרדהבריאותתלויהבהסכמהמדעתשלהמשתמש.במידהוהמשתמשבוחר לשתף עם משרד הבריאות נתוני מיקום, משרד הבריאות מציע לבצע הליך של מחיקה של מידע רגיש (כמו כתובת מגורים ומקום העבודה.) 4 . שימוש בקוד פתוח: משרד הבריאות פיתח את "המגן" באמצעות שימוש במתודולוגיית קוד פתוח. היתרון המרכזי בכך הוא שהקוד של היישומון פתוח לציבור וכל אדם רשאי לעיין בקוד, לבדוק אותו, להעיר ולהוסיף עליו. על אף היתרונות הבולטים, יש ליישומון גם חסרונות: היעילות באיתור המגעים תלויה במידת התפוצה שלו. על מנת לזהות מגעים באמצעות בלוטות', היישומון צריך להיות מותקן על שני המכשירים (של החולה ושל מי שבא איתו במגע). הצורך באיסוף נתוני מיקום, בנוסף לנתוני מגעים (בלוטות'), אינו ברור דיו ואף יכול להוות בסיס לעיבוד מידע שעשוי לחשוף מידע רגיש על אודות המשתמש (לדוגמה, במצב שבו מצליבים בין נתוני המיקום לנתוניהבלוטות'ניתןלהסיקעלאודותקשריםחברתייםואישיים:עםמיאדםנפגש,כמהזמןהואהיהבמחיצתו והמקומות שבהם הם נפגשו.) תוךשקילתהיתרונותאל מולהחסרונות, פרטיותישראל סבורה שהפצהושימוש ביישומון"המגן2 "מאזןבאופן הולם בין הזכות החוקתית לפרטיות לבין הצורך בניטור ואיתור חולים בצורה יעילה ואפקטיבית. זאת בניגוד, לפתרון הדואלי שקיים כיום – איכוני השב"כ המאפשרים למדינה לעקוב אחר חולים ואנשים שבאו במגע עם חולים באופן כ פוי, ריכוזי ושאינו שקוף לציבור – ולצידם שימוש ביישומון אזרחי. פרטיות ישראל סבורה שהפצה רחבה של "המגן2 " עשויה לסייע לקטוע את שרשראותההדבקה ביעילות רבה מזו של מעקבי השב"כ, להגביר את אמון הציבור בפעולות הממשלה, לקדם ערכים של ערבות הדדית בעת מצוקה - ולעשות כל זאת אגב כיבוד הזכות החוקתית לפרטיות. פרטיות ישראל קוראת לקדם את השימוש ב"המגן2 במהירותובנחישות," לפתורבמהירותאתבעיותהטכנולוגיהוהממשקשהתגלועםשחרורו ולהקדיש להטמעתו בציבור תקציבי פירסום הולמים, באופן שיאפשר לחדול במהירות הרבה ביותר מהמעקב הפולשני של שירות הביטחון הכללי אחרי נתיבי התנועה וההדבקה של חולי קורונה והאנשים שעימם נפגשו. פרטיותישראל(ע"ר)|www.privacyisrael.org.il | [email protected] תקציר ממצאי הסקירה ה טכנולוגית - המגן 2 חטיבת הגנת הפרטיות וצוות התקיפה של מרכז הגנת הסייבר ב- BDO ישראל ערכו, לבקשת עמותת פרטיות ישראל, סקירה טכנית ליישומון המגן 2 שמטרתה לבדוק: 1 . האם מתבצעת העברת מידע מהיישומון לצדדים שלישיים; 2 . האם המידע שהיישומון אוסף נשמרים בצורה מאובטחת ומוצפנת; 3 . אלו הרשאות היישומון מבקש וכיצד נעשה שימוש בהרשאות אלו (לדוגמה: גישה לאנשי קשר, גלריית תמונות וכיו"ב.) לאור המגבלות הברורות, הבדיקה לא כללה מצב בו היישומון מזהה מגע עם חולה מאומת. כמו כן, הבדיקה לא כללה סקירה של הקוד שפרסם משרד הבריאות באתר GitHub , אלא נערכה על היישומון שזמין בחנויות האפליקציות. ממצאי הבדיקה הראו כי - 1 . לא מתבצעת העברת מידע מחוץ למכשיר בתנאים שנבדקו. 2 . המידע מוצפן ומאובטח. המידע שנשלח אל היישומון, וכן המידע שהיישומון מייצר נשמרים באופן מוצפן ומאובטח, כך שאין דרך אפקטיבית לגשת למידע שלא באמצעות האפליקציה. משמעות הדבר, שניצול חולשות ביישומים אחרים במכשיר לא יכול להוביל באופן מעשי לדלף מידע שמאוחסן ביישומון המגן 2 . 3 . אין שימוש חורג בהרשאות. היישומון מבקש הרשאות למספר רכיבים ויישומים במכשיר. מהבדיקה עולה כי אין גישה ליישומים במכשיר המכילים מידע אישי כמו אנשי קשר, גלריית תמונות וכיו"ב ואין ניצול עודף של הרשאות קיימות, שלא לצורך איתור מגעים. עמותת פרטיות ישראל ופירמת BDO י משי כו לפעול באופן יזום ולקדם תהליכים ובדיקות על מנת לוודא כי ארגונים, בפרט ממשלתיים, מתייחסים באופן נאות להיבטי פרטיות ואבטחת מידע. להלן חלק מן הממצאים של הדוח: הדו"ח המלא כולל מס' מצומצם של ליקויי אבטחה שנמצאו באפליקציה. למיטב שיקול הדעת של BDO אלה אינם ליקויים מהותיים המסכנים את המשתמש. הליקויים הללו הועברו במישרין למשרד הבריאות לבחינה ולהמשך טיפול. OnAugust2020BDOconductedamobileapplicationanalysisforHamagen2version2.2.6 (AndroidVersion). 1.1 Installation and First Launch Duringthefirstlaunchoftheapplication,itpromptsausertoallowanaccesstotheGoogleaccountinorder toretrievelocationhistoryfromthepast14days.ThisprocessisperformedwithinaWebViewframeinside theapplicationbyusinggoogleAPIandgstatic.com. 1.2 Data Storage Nodatastoredincleartext,alldatastoredonthedeviceencrypted: 1.4 Permissions ThefollowingscreenshotrepresentspermissionsthattheMagenApprequireswheninstalled. As it is possible to see the Magen App requires a lot of different permissions for proper functioning. 1.5 Conclusion From the analysis, we haven't identified any form of the application sending user or device sensitive information to any remote party including MoH, therefore we can safely assume that itisindeedperformingthecrossreferencecheckwithconfirmedpatients,locallyonthedevice. BDO ISRAEL is a dynamic and business-oriented accounting and consulting firm ranking amongstthefiveleadingaccounting firmsinIsrael.Thefirmwasestablishedin1983,employs over 1,600 employees through 10 branches in Israel. BDO's Cybersecurity Center was established over 16 years ago and is among the largest information security and cyber security consulting unit in Israel. The Data Protection Division within the center is a leading body in Israel in implementation, management and control of privacy, cybersecurity, and business continuity management systems, laws, regulations and standards.