©Sebastien Thibault/agoodson.com

אמנסטי: היישומונים למעקב הידבקות בבחריין, בכווית ובנורבגיה – המסוכנים ביותר לפרטיות המשתמשים

תנועת אמנסטי אינטרנשיונל בחנה וניתחה מבחר יישומונים (אפליקציות) למעקב אחר הידבקות בנגיף קורונה מאירופה, מהמזרח התיכון ומצפון אפריקה, ומצאה סיכונים משמעותיים להפרת זכויות אדם. בחריין, כווית ונורבגיה השיקו אפליקציות מעקב הידבקות בקורונה מהפולשניות בעולם, המסכנות את אבטחת הנתונים של מאות אלפי אנשים ואת פרטיותם, לפי התחקיר של אמנסטי אינטרנשיונל

צוות מעבדת אבטחת המידע של אמנסטי אינטרנשיונל בחן אפליקציות מעקב לאיתור מגע והדבקה מכל רחבי אירופה, המזרח התיכון וצפון אפריקה, כולל ניתוח טכני מפורט של 11 אפליקציות מאלג'יריה, בחריין, צרפת, איסלנד, ישראל, כווית, לבנון, נורבגיה, קטאר, תוניסיה ואיחוד האמירויות. כמה מהאפליקציות הוערכו כבעייתיות מבחינת הפרות זכויות אדם, וכמה מהן מהוות סיכון של ממש. מבין האפליקציות, בלטו במיוחד "BeAware Bahrain", "Shlonik" ו-"Smittenstopp" של בחריין, כווית ונורבגיה, בהתאמה, בשל השימוש בכלי מעקב המונים שלהערכת אמנסטי הם בעייתיים במיוחד, שכן שלוש האפליקציות עוקבות אחר מיקום המשתמשים באמצעות העלאת קואורדינטות GPS בשידור חי או כמעט חי לשרת מרכזי.

ביום שני 15.6.2020 הודיעה ממשלת נורבגיה כי תשהה את השימוש באפליקציה שלה למעקב הידבקות. ההחלטה התקבלה שעות ספורות לפני פרסום התחקיר של אמנסטי אינטרנשיונל בנושא, ולאחר שהארגון שיתף את הרשויות הנורבגיות והסוכנות הלאומית לאבטחת נתונים בממצאי הניתוח ב-2 ביוני. נציגי אמנסטי נפגשו עם מנהל הפיתוח של אפליקציית "Smittestopp" הנורבגית ב-10 ביוני.

הטכנולוגיה הישראלית שנבדקה היא אפליקציית "המגן", שנמצאה גם היא ריכוזית מדי ופולשנית מדי, אך יש להדגיש שבישראל מעקבי המגע, ההיחשפות וההידבקות נעשו ברובם באמצעים חמורים בהרבה, פולשניים ומסוכנים ברמה החמורה ביותר, על ידי שב"כ והמשטרה. שיטות אלו לא היו כלולות בתחקיר זה של מעבדת האבטחה של אמנסטי אך אמנסטי אינטרנשיונל כבר הבהירה בעבר מדוע שיטות מעקב אלו הן פסולות כלל ועיקר, הן בזמני מגיפה ומשבר והן בזמנים רגילים. מעקב-מגע הוא רכיב חשוב בתגובה יעילה ומקיפה להתפרצות המגיפה, ואפליקציות מעקב אכן יכולות לסייע ולתמוך בהתמודדות מול הקורונה. יחד עם זאת, על מנת שלא יבואו על חשבון זכויות אדם, על האפליקציות הללו להטמיע, בין השאר, כבר בשלב התכנון, הגנות על נתונים ועל פרטיות. פירוש הדבר הוא שהנתונים הנאספים יצומצמו למינימום ההכרחי ושהמידע יאוחסן באופן מאובטח.

על איסוף הנתונים להיות מוגבל אך ורק לצורך בקרה ושליטה בהתפשטות הנגיף ואין לעשות שימוש במידע לכל מטרה אחרת – כולל לצורכי אכיפת חוק, ביטחון המדינה או פיקוח על הגירה. כמו כן, אין לאפשר גישה לנתונים לצדדים שלישיים או לצורך שימוש מסחרי. ההחלטה להוריד ולהשתמש באפליקציות מעקב-מגע שמורה למשתמש בלבד, ועליה להיעשות מבחירה חופשית. כל הנתונים הנאספים יהיו אנונימיים, כולל במקרים שבהם הנתונים נשמרים או מוטמעים במערכי נתונים אחרים. ״בחריין, כווית ונורבגיה רמסו את פרטיות אזרחיהן ברגל גסה באמצעות השימוש בכלי מעקב פולשניים במיוחד החורגים בהרבה מהנדרש לטובת ההתמודדות עם התפשטות וירוס הקורונה," אמר קלאודיו גוארניירי, ראש מעבדת אבטחת המידע של אמנסטי אינטרנשיונל.

"האפליקציה הנורבגית הייתה פולשנית ביותר וההחלטה לעצור את השימוש בה ולחזור לשלבי התכנון היא החלטה נכונה. אנו מפצירים בממשלות בחריין וכווית כי יעצרו גם הן, לאלתר, את השימוש באפליקציות פולשניות אלו במתכונתן הנוכחית. בפשטות, הן משדרות את המיקום של המשתמשים למסד נתונים ממשלתי בזמן אמת. פעילות כזו היא בלתי סבירה וחסרת הצדקה או פרופורציה בהקשר של בריאות הציבור. הטכנולוגיה אמנם יכולה לסייע לנו באיתור מקרי הדבקה ומניעת התפרצות, אבל אסור להקריב את פרטיות המשתמשים על מזבח בריאות הציבור, ועל ממשלות לגלות זהירות כשהן מזדרזות להשיק אפליקציות למעקב".

כלי מעקב המונים

האפליקציות למעקב קורונה בבחריין, בכווית ובנורבגיה פועלות בגישה ריכוזית ופולשנית המהווה סיכון לפרטיות המשתמשים. מערכות אלו אוספות נתוני מיקום באמצעות GPS ומעלות אותם למסד נתונים מרכזי העוקב אחרי תנועת המשתמשים בזמן אמת. לאפליקציית "EHTERAZ" של קטאר האפשרות להפעיל מרחוק מעקב בשידור חי אחרי מיקומם של כל המשתמשים או של משתמש ספציפי (נכון למועד כתיבת שורות אלה, אפשרות זו אינה מופעלת).

הרשויות במדינות אלו יכולות לקשר בין נתונים אישיים רגישים אלו לבין זהותו של כל אדם במדינה, שכן קטאר, בחריין וכווית דורשות ממשתמשים להירשם לשירות באמצעות תעודות הזהות הרשמיות שלהם, וזאת לעומת נורבגיה, בה ההרשמה מתבצעת באמצעות מספר טלפון פעיל בלבד. אפליקציות אחרות שנבדקו על ידי צוות מעבדת אבטחת המידע, דוגמת "E7mi" של תוניסיה, פעלו גם הן על פי מודל ריכוזי, אבל במקום לתעד קואורדינטות GPS, הן השתמשו בסריקת קרבה פיזית של התקני בלוטות' על מנת לאתר מגע בין משתמשים בזמן אמת. אפליקציית "EHTERAZ" של קטאר מתעדת ומעלה כל תקשורת בין התקני בלוטות' של משתמשים, בצירוף קואורדינטות GPS של המפגש.

באפליקציית EHTERAZ הקטארית זיהתה אמנסטי פרצת אבטחה חמורה החושפת נתונים אישיים ורגישים של יותר ממיליון בני אדם. עובדה זו מטרידה במיוחד מכיוון שהחל מ-22 במאי, המדינה מחייבת שימוש באפליקציה על פי חוק. פרצת האבטחה תוקנה לאחר שאמנסטי התריעה על קיומה בסוף חודש מאי. אלמלא תוקנה, הייתה מאפשרת להוציא לפועל מתקפות סייבר שהיו מאפשרות גישה לפרטים אישיים ורגישים ביותר, כולל שמות, מספרי זיהוי, מצב רפואי ונתונים על בידוד ומגבלות תנועה של המשתמשים.

אפליקציות מעקב ממדינות כמו צרפת, איסלנד ואיחוד האמירויות השתמשו גם הן במודל ריכוזי, אולם הנתונים על מגע בין מכשירים מועלים אך ורק אם המשתמשים בוחרים לדווח על עצמם כסימפטומטיים, או לבקשת רשויות הבריאות. העלאת נתונים המבוססת על בחירה חופשית והסכמת המשתמשים מפחיתה במידה כלשהי את הסיכון למעקב המונים, שכן הנתונים אינם מועלים באופן אוטומטי. המודל הריכוזי של אפליקציית מעקב הקורונה של צרפת, בשילוב עם היעדר השקיפות בכל הנוגע לאופן שבו הנתונים נשמרים במערכת, מעלה חששות לגבי סוגיית אנונימיזציה של נתוני המשתמש המועלים. "ממשלות בכל העולם צריכות להקפיא מיידית את השקת אפליקציות המעקב לקורונה, שהן פגומות או פולשניות במיוחד, אם הן לא מסוגלות להגן על זכויות האדם של המשתמשים. אם אנחנו רוצים שאפליקציות המעקב ימלאו תפקיד משמעותי ויעיל במאבק נגד התפשטות הקורונה, חשוב שלציבור יהיה אמון במערכות, ושהמשתמשים ידעו שהפרטיות שלהם מוגנת," אמר קלאודיו גוארניירי.

צורות מעקב חדשות

האפליקציה של בחריין אפילו הכילה קישור לתוכנית טלוויזיה בתפוצה ארצית בשם "האם אתם בבית?", שחילקה פרסים לאנשים שנשארו בבית בזמן הרמדאן. בכל יום נבחרו באקראי באמצעות תוכנת מחשב עשרה מספרי טלפון שנלקחו ממאגר פרטי הקשר שהוזנו לאפליקציה, וצוות התוכנית התקשר לאותם אנשים בשידור חי על מנת לוודא שמשתמשי האפליקציה אכן נמצאים בביתם. מי שאכן היה בבית זכה בפרס. ההשתתפות בתוכנית הטלוויזיה הייתה חובה עד שרשות המידע והשלטון המקוון של בחריין הוסיפה אפשרות לאפליקציית BeAware Bahrain המאפשרת למשתמשים לסמן שאינם מעוניינים להשתתף בתחרות המשודרת. בנוסף, הרשויות בבחריין פרסמו ברשת פרטים אישיים ורגישים של אנשים שנחשדו כחולים בקורונה, כולל מצבם הרפואי, לאום, גיל, מין והיכן שהו בעבר.

האפליקציות של בחריין וכוויית מתחברות גם לצמיד בלוטות' המאפשר לעקוב אחר המשתמש ולוודא שהוא אכן נמצא בקרבת הטלפון הסלולרי שלו, כאמצעי לאכיפת הסגר. האפליקציה הכוויתית בודקת באופן סדיר את המרחק שבין צמיד הבלוטות' לבין המכשיר הסלולרי ומשדרת לשרת מרכזי את נתוני המיקום המעודכנים כל עשר דקות.

נתוני מיקום ומידע דיאגנוסטי נוסף הנשלחים מצמיד הבלוטות' המקושר לאפליקציית BeAware Bahrain משודרים בתדירות גבוהה לשרת מרכזי. על כל אדם שנשלח לבידוד ביתי לענוד את הצמיד, ומי שמסרב לעשות כן חשוף לעונשים הקבועים בחוק בריאות הציבור מס' 34 (2018), בהם מאסר של מינימום 3 חודשים ו/או קנס בסכומים שבין 1,000-10,000 דינרים בחריינים (שהם כ-2,700-27,000 דולר).

פרטיות וזכויות אדם בשלב התכנון

מעקב  אחר מגע וחשיפה בין בני אדם הוא רכיב חשוב בתגובה יעילה ומקיפה להתפרצות המגיפה, ואפליקציות מעקב אכן יכולות לסייע ולתמוך בהתמודדות מול הקורונה. יחד עם זאת, על מנת שלא יבואו על חשבון זכויות אדם, על האפליקציות הללו להטמיע, בין השאר, כבר בשלב התכנון, הגנות על נתונים ועל פרטיות. פירוש הדבר הוא שהנתונים הנאספים יצומצמו למינימום ההכרחי ושהמידע יאוחסן באופן מאובטח. על איסוף הנתונים להיות מוגבל אך ורק לצורך בקרה ושליטה בהתפשטות הנגיף ואין לעשות שימוש במידע לכל מטרה אחרת – כולל לצורכי אכיפת חוק, ביטחון המדינה או פיקוח על הגירה. כמו כן, אין לאפשר גישה לנתונים לצדדים שלישיים או לצורך שימוש מסחרי. ההחלטה להוריד ולהשתמש באפליקציות מעקב-מגע שמורה למשתמש בלבד, ועליה להיעשות מבחירה חופשית. כל הנתונים הנאספים יהיו אנונימיים, כולל במקרים שבהם הנתונים נשמרים או מוטמעים במערכי נתונים אחרים.

"ממשלות המשיקות אפליקציות מעקב-מגע ריכוזיות הכוללות מעקב בזמן אמת אחר מיקום המשתמשים צריכות לעצור הכול ולחזור לשלב התכנון. ישנן לא מעט אפשרויות אחרות, טובות יותר, המאזנות בין הצורך לעקוב אחר התפשטות המחלה מבלי לשאוב ממיליוני משתמשים את פרטיהם האישיים ונתונים רגישים אחרים," מסביר קלאודיו גוארניירי.

שלושה סוגי אפליקציות מעקב

תחקיר אמנסטי אינטרנשיונל העוסק באפליקציות מעקב קורונה מצא כי האפליקציות מתחלקות לשלושה סוגים. הסוג הראשון אינו מאפשר מעקב מגע דיגיטלי, ולמעשה מאפשר למשתמשים לתעד ולבדוק את התסמינים שלהם, מבחירתם ולפי רצונם (למשל בלבנון ובווייטנאם).

הסוג השני של אפליקציות משתמש במודל מבוזר והרבה פחות פולשני של מעקב-מגע בבלוטות', בפיתוח של גוגל ואפל. במודל זה, הנתונים מאוחסנים בטלפונים של המשתמשים ולא במסד נתונים מרכזי. מדינות המפעילות מודל כזה הן אוסטריה, גרמניה, אירלנד ושוויץ. אמנסטי אינטרנשיונל לא ערכה בחינה טכנית של האפליקציות הפועלות לפי המודל הזה, מכיוון שהן מעוררות הרבה פחות חשש מבחינת פרטיות המשתמשים, והן עדיין בתהליכים מוקדמים של הפעלה והשקה.

הסוג השלישי, והבעייתי ביותר מבחינת זכויות אדם, הוא אפליקציות ריכוזיות, דהיינו, הן מתעדות נתונים שנאספים באמצעות חיישן הבלוטות' של המכשיר הסלולרי או באמצעות GPS (או שניהם) ומעלים אותם למסד נתונים ממשלתי ריכוזי. בחלק מהמקרים, המדינה מחייבת את האזרחים להיענות ולהשתמש באפליקציה. אמנסטי אינטרנשיונל כתבה לרשויות בבחריין, בכוויית ובנורבגיה לפני הפרסום על מנת לעדכן אותן לגבי הפרצות באבטחה ובפרטיות המשתמשים באפליקציות. ב-2 ביוני פנתה אמנסטי אינטרנשיונל למשרד המשפטים וביטחון הציבור הנורבגי, למכון הנורבגי לבריאות הציבור ולסוכנות הלאומית לאבטחת נתונים, וחלקה עמן את ממצאיה. נציגים של אמנסטי אינטרנשיונל נפגשו עם מנהלת הפיתוח של אפליקציית "Smittestop" ב-10 ביוני.

בעיות אחרות הנוגעות לאפליקציות מעקב-מגע ברחבי העולם

אמנסטי אינטרנשיונל התמקדה בעיקר באפליקציות באירופה, במזרח התיכון ובצפון אפריקה. מחקרים שנערכו על ידי ארגונים לא-ממשלתיים וארגוני תקשורת מצביעים על כך שישנן אפליקציות ופלטפורמות דיגיטליות אחרות באזורים אחרים בעולם בעלות סיכון להפרות חמורות של זכויות אדם, בין השאר בסין, באתיופיה ובגואטמלה.

נורבגיה: הקפאת אפליקציית מעקב-מגע לקורונה היא ניצחון גדול לפרטיות המשתמשים

החלטת הממשלה הנורבגית לעצור את השימוש באפליקציית מעקב-מגע לקורונה היא ניצחון גדול לפרטיות המשתמשים. ההחלטה התקבלה שעות ספורות לפני פרסום תחקיר של אמנסטי המותח ביקורת על האפליקציה.

בניתוח שביצעה אמנסטי אינטרנשיונל לאפליקציות מעקב-מגע מאירופה, מהמזרח התיכון ומצפון אפריקה, נמצא כי אפליקציית "Smitterstopp" הנורבגית היא אחת הבעייתיות ביותר בכל הנוגע לפרטיות המשתמשים בה. האפליקציה עוקבת אחר מיקום המשתמשים באמצעות העלאת קואורדינטות GPS בשידור חי או כמעט חי לשרת מרכזי. ב-2 ביוני פנתה אמנסטי אינטרנשיונל למשרד המשפטים וביטחון הציבור הנורבגי, למכון הנורבגי לבריאות הציבור ולסוכנות הלאומית לאבטחת נתונים, וחלקה עמן את ממצאיה. נציגים של אמנסטי אינטרנשיונל נפגשו עם מנהלת הפיתוח של אפליקציית "Smittestop" ב-10 ביוני.

"משגילינו עד כמה פולשנית האפליקציה, הזדרזנו לחלוק את ממצאנו עם הרשויות הנורבגיות והפצרנו בהם לחשב מסלול מחדש. ישנם אפיקים אחרים המאפשרים לאזן בין הצורך לעקוב אחר התפשטות המחלה לבין הצורך לשמירה על פרטיות. אנו מקווים שהרשויות ינצלו את ההזדמנות הזו כדי לאזן בין שניהם. יש לבנות מחדש אפליקציה שנותנת מקום מרכזי וחשוב לפרטיות המשתמשים," בירך קלאודיו גוארניירי, ראש מעבדת אבטחת המידע של אמנסטי אינטרנשיונל.

"אני מאמין שפרשה זו תהווה נורת אזהרה עבור כל הממשלות המזדרזות להשיק אפליקציות פולשניות הבנויות באופן שמסכן את זכויות האדם של המשתמשים. אסור להקריב את פרטיות המשתמשים בקידום האפליקציות הללו".