המאבק כנגד נגיף הקורונה בישראל ומניעת ההתקהלות שהונהגה בעקבותיו בעת האחרונה, מחייבים משתמשים כגון מוסדות חינוך, רשויות מקומיות ומוסדות להשכלה גבוהה, לצד גורמים נוספים המקיימים תהליכי למידה מרחוק ("הארגונים") להתייחס לסיכונים הפוטנציאליים החדשים הנובעים מכך. כיום, עשרות אלפי תלמידים וסטודנטים מקיימים תהליכי למידה מרחוק, באמצעות יישומים דיגיטליים מקוונים. שיטת למידה זו מחייבת ארגונים לפתח מדיניות ארגונית לצמצום סיכוני אבטחת המידע ופוטנציאל הפגיעה בפרטיות המשתמשים.
המציאות הנוכחית עשויה להשליך גם על פרטיותם של סטודנטים ותלמידים רבים, לרבות ילדים והוריהם, המשתמשים ביישומים דיגיטליים ללמידה מרחוק ("המשתמשים"). ראשית, עקב חוסר המודעות של ילדים והוריהם לשימושם של גורמים שונים במידע הנוגע לילדים; ושנית, עקב סיכוני האבטחה המובנים של יישומים דיגיטליים ללמידה מרחוק ("היישומים") וסכנת חשיפת המידע במסגרת אינטראקציות עם תלמידים, סטודנטים, מורים ומרצים. מסמך שפורסם אתמול על ידי הרשות להגנת הפרטיות, מספק הנחיות בנושא השימוש באמצעי למידה מרחוק לארגונים ולמשתמשים.
דגשים והמלצות להתנהלות נכונה מצד המשתמשים בתקופת הקורונה:
- השתמשו בסיסמאות חזקות – מומלץ להחליף הסיסמאות שהתקבלו עם היישום בסיסמה בת לפחות 8 תווים הכוללת אותיות, מספרים, ותווים מיוחדים. מומלץ לעשות שימוש בסיסמאות שונות לשירותים שונים וכן להחליף את הסיסמה מדי מספר חודשים.
- אבטחו את הציוד הביתי – מומלץ להקפיד על עדכון מערכות ההפעלה ותוכנות האנטי-וירוס במחשב הביתי, וכן לוודא שהרשת הביתית מוגנת בסיסמה ומאובטחת על ידי תוכנת חומת אש (Firewall) עדכנית.
- בשימוש במערכות הכוללות שיח ויזואלי – יש לקחת בחשבון שמידע אותו המשתמש חושף במסגרת השימוש ביישומים ללמידה מרחוק הכוללים שיח ויזואלי (כדוגמת Zoom או Skype) עלול להיות חשוף, מתועד ומצולם על ידי גורמים אחרים המשתמשים ביישום, מומלץ בהקשר זה גם לכסות את מצלמת המחשב או מצלמת הרשת כדי למנוע שימוש במצלמה על ידי גורמים חיצוניים.
- בשימוש ביישומים "חינמיים" – יש להקפיד שלא להעלות ולא לציין פרטים אישיים מעבר לנדרש (למשל במסגרת תהליך הרישום), זאת עקב כך שיישומים ציבוריים וכאלה שהשימוש בהם נעשה ללא רישיון בתשלום, עשויים לאסוף מידע רב על משתמשים.
- התנהלות ביישומים ללמידה מרחוק – ככל הניתן, מומלץ ללמוד את הכלים לשליטה על אופן השימוש במידע שלכם. כך למשל, Zoom מאפשרת למשתמשים לבטל את אפשרות שיתוף המידע עם צדדים שלישיים לשם שיפור ופרסום מוצריה. בנוסף, מומלץ להקפיד שלא לענות ולהגיב לגורמים שאינם חלק מתהליך הלמידה, הפונים למשתמשים במסגרת השימוש ביישומים, וכן להימנע מכניסה לקישורים שנשלחים מגורמים לא מזוהים. למסמך הרשות לפרטיות
דגשים והמלצות להתנהלות נכונה מצד ארגונים בתקופת הקורונה:
- בחינת ובחירת יישום דיגיטלי – מומלץ לבחון היבטים של הגנה על פרטיות ומידע, וכן לתת משקל מרכזי לשיקולי אבטחת מידע. כך למשל, מומלץ לתעדף יישום המשתמש באמצעים רבים יותר להגנה על מידע ואשר מםרסם מסמך מדיניות פרטיות מפורט. בהקשר זה, מומלץ לעשות שימוש ביישומים ייעודיים מאשר ביישומים ציבוריים כלליים, וכן מומלץ לעשות שימוש ביישומים הטעונים רישיון בתשלום.
- מוסדות חינוך ורשויות מקומיות – המבקשים לעשות שימוש ביישום דיגיטלי ללמידה מרחוק יפעלו מול הגורמים הרלוונטיים כדי לוודא את אישור היישום ועמידתו בכללי אבטחת המידע הנדרשים.
- במעבר למתכונת של למידה מרחוק – מומלץ להבהיר ולחדד למשתמשים את כללי ההתנהלות במסגרת יישומים אלו, לרבות בתחום ההגנה על הפרטיות. בנוסף, מומלץ להגביר את המודעות בקרב עובדים בארגונים העשויים להיחשף למידע (ובכללם, מורים ומרצים) לפעולות מומלצות שיש לנקוט כדי להקטין את הפוטנציאל לפגיעה בפרטיות או אירועי אבטחת מידע.
- ניטור – מומלץ לעשות שימוש בכלים המסופקים על ידי היישומים לשם איתור ומניעה של ניסיונות לשימוש לרעה במערכות ובחינת התנהלות המשתמשים ביישום. לצד זאת, מומלץ להגדיר את המערכות באופן שיגביר את אבטחת המידע במערכת, כדוגמת אופן ההזדהות במהלך הכניסה ליישום.
כללי אבטחת מידע לארגונים בתקופת הקורונה:
הוראות חוק הגנת הפרטיות, התשמ"א-1981, מחייבות כל גורם, פרטי או ציבורי, המחזיק מאגר מידע, לעמוד בכללים שונים הנוגעים לאבטחת המידע במאגר. הכללים מפורטים בחוק הגנת הפרטיות והתקנות מכוחו, ובמיוחד תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("תקנות אבטחת מידע").
התקשרות בין הארגונים (בעלי מאגרי המידע) לבין החברות החיצוניות, המספקות את היישומים, כרוכה בגישה של החברות החיצונית למאגרי המידע. פעולה זו מהווה פעולה של מיקור חוץ לפי הוראות תקנות אבטחת מידע. לפיכך, בהתאם להוראות תקנה 15 לתקנות אבטחת המידע על הארגונים לנקוט בצעדים הבאים:
- לבחון, לפני ביצוע ההתקשרות את סיכוני אבטחת המידע הכרוכים בהתקשרות.
- לקבוע כללים מפורשים בהסכם עם הגורם החיצוני בכל הנוגע למטרות השימוש במידע, סוג עיבוד המידע אותו רשאי הגורם החיצוני לבצע, משך ההתקשרות וכן אופן יישום חובות אבטחת המידע החלות על הגורם החיצוני.
- לנקוט אמצעי בקרה ופיקוח על הגורם החיצוני בכדי לוודא את עמידתו בהוראות ההסכם ותקנות אבטחת מידע.
- נושאים נוספים אותם מומלץ לעגן בהסכם עם הגורם החיצוני לפי תקנה 15 לתקנות אבטחת מידע ניתן למצוא בהמלצות הרשות להגנת הפרטיות בנושא זה.
לאור האמור, ארגונים העושים שימוש ביישומים ללמידה מרחוק נדרשים לוודא כי הם עומדים בהוראות הדין בהקשר הזה, וכן לוודא כי במידה וההתקשרות האמורה נעשית עם גורם המחזיק מאגרי מידע מחוץ לגבולות המדינה, הארגון פועל בהתאם לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001.
