כך תשמרו על פרטיות בחקירות משטרה המערבות ראיות דיגיטליות
ליאור בן פרץ, מנהל אסטרטגיה ראשי, חברת סלברייט, דן במאמר דעה בחשיבות השמירה על פרטיות האזרח בעת שימוש בפתרונות שיטור טכנולגיים
הגנה לישראל
| 31/01/2021
ליאור בן פרץ. צילום: סלברייט
ביום חמישי 27.1 חל הגנת הפרטיות הבינלאומי (יום הגנת המידע באירופה). יום זה צוין לראשונה בשנת 2007, מתוך מטרה להעלות את המודעות ולקדם שיטות עבודה מומלצות לשמירה על הפרטיות ולהגנה על מידע. רשויות אכיפת החוק נדרשות להתפתח בתוך סביבה דיגיטלית המשתנה במהירות, ורבות מהן משנות את דרכי העבודה שלהן ומיישמות פלטפורמות לטיפול בניהול המידע לכל אורך תהליכי העבודה של החקירה.
מודיעין דיגיטלי (Digital Intelligence) הוא הנתונים שנאספים ונשמרים ממקורות דיגיטליים (טלפונים חכמים, מחשבים, ענן וכו') והתהליך שבו רשויות החוק אוספות, בודקות, מנתחות, מנהלות ומפיקות תובנות מנתונים אלה, כדי לייעל את ניהול החקירות שלהן. Digital Intelligence הפך כיום לכוח המניע שמאחורי מאמצי החקירות של המשטרה בעידן הדיגיטלי העכשווי.
אימוץ פתרונות הייטק הביא לכך שרשויות החוק חושפות את עצמן לביקורת מצד האזרחים. חוסר ההבנה של הציבור הרחב בנוגע לאופן שבו נעשה שימוש במידע קריטי לצורך שמירה על ביטחון הקהילה, גרם לכך שאנשים חוששים שפרטיותם נפגעת. הצבת סטנדרטים שיציגו בבירור כיצד הטכנולוגיה משמשת במסגרת חקירות, והפניית תשומת הלב של האזרחים לכך שהאמצעים הללו קיימים כדי להגן על פרטיותם, יאפשרו לרשויות האכיפה לבצע את עבודתן בצורה יעילה ואפקטיבית יותר.
להתמודד עם אתגר הפרטיות
נייר עמדה שפורסם לאחרונה על ידי IDC וסלברייט תחת הכותרת Policing 2025, מסביר היטב את הבעיה: "לאור העובדה שהתפתחות הטכנולוגיה ממשיכה להקדים את התפתחות הסביבה הרגולטורית (בינה מלאכותית וזיהוי פנים הן דוגמאות טובות לתופעה), עולות קריאות דחופות מצד ספקי טכנולוגיה, תומכי פרטיות ורשויות אכיפה כאחד, עם בקשה להגדיר כהלכה את סביבות המשפט, המדיניות והאתיקה כך שיספקו הנחיות יזומות וזהירות להטמעה של טכנולוגיות".
Techlash. רבים צופים בהתקדמות הטכנולוגית הדיגיטלית בספקנות רבה. בעיני רבים, בינה מלאכותית (AI) היא שד טכנולוגי - קופסה שחורה שנועדה לחשוף עליהם הכול לכולם. באופן דומה, גם למידת מכונה נתפסת ככלי שעשוי להיות מוטה מטבעו בשל השימוש שהוא עושה באלגוריתמים לקידום קבלת החלטות.
דוח פסגת IACP שכותרתו "הולך ומחשיך" (Going Dark), משרטט תמונה ברורה של הבעיה. "טכנולוגיות ואסטרטגיות חדשות שפותחו כדי לקדם את אבטחת הרשת, יכולות גם למנוע מרשויות האכיפה והמשפט לממש צווים משפטיים שניתנו כחוק במטרה לחקור אירועים פליליים או טרור או כדי להשיג ראיות אלקטרוניות.
"בשל תמיכה כמעט אוניברסלית במאמצים להשתמש בהצפנה חזקה ובטכנולוגיות אחרות לאבטחת טלפונים סלולריים, דואר אלקטרוני, הודעות טקסט ותכתובות ועסקאות מקוונות אחרות, יוזמות אחרונות של התעשייה לפתח ולפרוס הצפנה וכלים מתוחכמים כדי להגן על פרטיות לקוחותיהם יצרו חסמים שאינם מאפשרים לממש צווים חוקיים ולקבל גישה לראיות דיגיטליות".
סוגיות אלה מעלות שאלות חשובות על השימוש האתי והחוקי במודיעין דיגיטלי ובטכנולוגיה, שיש לתת להן מענה. כדי להתגבר על התנגדויות אלה ולהשיב את אמון הקהילה, על רשויות אכיפת החוק להגדיר מערך מחייב של נוהלי פעולה שיפרטו בדיוק כיצד הפתרונות הדיגיטליים המתקדמים הללו ישמשו במהלך חקירות. כיצד הנתונים ייאספו, ינוהלו ויאוחסנו? והחשוב ביותר – כיצד הם יישארו מאובטחים כך שניתן יהיה להבטיח לחלוטין את שמירת הפרטיות?
פרטיות בשיטור דיגיטלי
מאמר שפורסם לאחרונה ב- F5 Labs מסכם מדוע קביעת סטנדרטים לסודיות, שלמות וזמינות היא המפתח לשמירה על ביצוע החקירות בגבולות החוק, וגם לשרטוט מפת דרכים להבטחת פרטיות. כך פועלות שיטות העבודה המומלצות.
סודיות - שמירה על הסודיות היא למעשה שמירה על פרטיות המידע. בדיוק כשם שמידע על פרטי כרטיסי אשראי נשמר בסוד בעולם העסקים, כך גם נתונים הנוגעים לחקירות הם סודיים. רשויות אכיפת החוק יכולות להבטיח זאת על ידי מתן אפשרות גישה לאנשים מורשים בלבד ולנתונים ספציפיים בלבד, כך שבמהלך חקירה, האנשים הנכונים ייחשפו למידע הנכון בזמן הנכון.
יש לאסור את הגישה למידע על כל מי שאינו מורשה. כמובן שתיתכן פגיעה בסודיות, בין אם באופן בלתי חוקי באמצעות מתקפות סייבר שמטרתן להשיג גישה, ובין אם כתוצאה מטעות אנוש. לכן יש חשיבות עליונה לכך שרשויות ינהיגו אמצעי ביטחון קפדניים (בקרות גישה מחמירות, פרוטוקולי אימות מרובי מילים והכשרה נאותה לכל אנשי הצוות המעורבים בתהליך החקירה הדיגיטלית) כדי להבטיח את הגנת המידע.
שלמות - בעולם השיטור הדיגיטלי, המונח "שלמות" מתייחס לנתונים שנאספו, נוהלו ונותחו כדין, ובאופן ששומר שלא שובשו. ההגנה על שרשרת המשמורת הדיגיטלית היא הכרח חיוני על מנת שנתונים יקרי ערך (ראיות) יהיו קבילים בבית המשפט. לכן חיוני שארגוני אכיפת החוק ינהיגו פרוטוקולים מחמירים המתעדים כיצד הנתונים נאספו, על ידי מי, היכן ואיך נשמרו, ולמי הייתה גישה אליהם.
כל אלה מצביעים על הצורך בנוהלי פעולה סטנדרטיים כמו יומנים דיגיטליים וחתימות אלקטרוניות לכל אורך תהליך העבודה של החקירה, כך שניתן יהיה לבדוק כל שלב בשרשרת) המשמורת הדיגיטלית.
זמינות - הרעיון של זמינות הוא שהמערכות יהיו מוכנות ופועלות כך שלאנשי הצוות המורשים תהיה גישה לנתונים הנכונים כל אימת שהם זקוקים לכך. דברים רבים עלולים להשבית את הזמינות, כולל כשל במערכת עקב הפסקות חשמל, תקלות בתוכנה, מתקפות סייבר או תוכנות זדוניות, לכן יש חשיבות מרובה לאמצעי מניעה כמו מערכות גיבוי ופתרונות התאוששות.
שקיפות היא המפתח. כדי להשיב את אמון הציבור, על האזרחים להיות מסוגלים להיווכח בבירור כיצד השימוש בפתרונות דיגיטליים לפתרון פשעים נעשה תוך היצמדות למערך קפדני של הנחיות, וכי הרשויות נשפטות לפי הסטנדרטים האתיים הגבוהים ביותר כדי להבטיח שביטחון הקהילות נשמר ללא פגיעה בפרטיות.
לנסח הנחיות פרטיות
המסמך Policing 2025 מציע שכדי להבטיח פרטיות, פתרונות השיטור ותהליכי העבודה צריכים להיות הוגנים - מבחינת הוגנות האלגוריתם, באמצעות שימוש במידע שאינו מוטה. ניתנים להסבר - בפני בעלי עניין רבים. חזקים, בטוחים, מאובטחים ופרטיים, עם מעורבות אנושית בתהליך הממוחשב. ניתנים למעקב: ניתן להבין את מקורם של מערכי נתונים ומטא-נתונים. שקופים - דיווח תוך כדי פעולה, פרסום תוצאות, ונתונים לביקורת.
מאת ליאור בן פרץ, מנהל אסטרטגיה ראשי, חברת סלברייט (Cellebrite).
ליאור בן פרץ, מנהל אסטרטגיה ראשי, חברת סלברייט, דן במאמר דעה בחשיבות השמירה על פרטיות האזרח בעת שימוש בפתרונות שיטור טכנולגיים
ליאור בן פרץ. צילום: סלברייט
ביום חמישי 27.1 חל הגנת הפרטיות הבינלאומי (יום הגנת המידע באירופה). יום זה צוין לראשונה בשנת 2007, מתוך מטרה להעלות את המודעות ולקדם שיטות עבודה מומלצות לשמירה על הפרטיות ולהגנה על מידע. רשויות אכיפת החוק נדרשות להתפתח בתוך סביבה דיגיטלית המשתנה במהירות, ורבות מהן משנות את דרכי העבודה שלהן ומיישמות פלטפורמות לטיפול בניהול המידע לכל אורך תהליכי העבודה של החקירה.
מודיעין דיגיטלי (Digital Intelligence) הוא הנתונים שנאספים ונשמרים ממקורות דיגיטליים (טלפונים חכמים, מחשבים, ענן וכו') והתהליך שבו רשויות החוק אוספות, בודקות, מנתחות, מנהלות ומפיקות תובנות מנתונים אלה, כדי לייעל את ניהול החקירות שלהן. Digital Intelligence הפך כיום לכוח המניע שמאחורי מאמצי החקירות של המשטרה בעידן הדיגיטלי העכשווי.
אימוץ פתרונות הייטק הביא לכך שרשויות החוק חושפות את עצמן לביקורת מצד האזרחים. חוסר ההבנה של הציבור הרחב בנוגע לאופן שבו נעשה שימוש במידע קריטי לצורך שמירה על ביטחון הקהילה, גרם לכך שאנשים חוששים שפרטיותם נפגעת. הצבת סטנדרטים שיציגו בבירור כיצד הטכנולוגיה משמשת במסגרת חקירות, והפניית תשומת הלב של האזרחים לכך שהאמצעים הללו קיימים כדי להגן על פרטיותם, יאפשרו לרשויות האכיפה לבצע את עבודתן בצורה יעילה ואפקטיבית יותר.
להתמודד עם אתגר הפרטיות
נייר עמדה שפורסם לאחרונה על ידי IDC וסלברייט תחת הכותרת Policing 2025, מסביר היטב את הבעיה: "לאור העובדה שהתפתחות הטכנולוגיה ממשיכה להקדים את התפתחות הסביבה הרגולטורית (בינה מלאכותית וזיהוי פנים הן דוגמאות טובות לתופעה), עולות קריאות דחופות מצד ספקי טכנולוגיה, תומכי פרטיות ורשויות אכיפה כאחד, עם בקשה להגדיר כהלכה את סביבות המשפט, המדיניות והאתיקה כך שיספקו הנחיות יזומות וזהירות להטמעה של טכנולוגיות".
Techlash. רבים צופים בהתקדמות הטכנולוגית הדיגיטלית בספקנות רבה. בעיני רבים, בינה מלאכותית (AI) היא שד טכנולוגי - קופסה שחורה שנועדה לחשוף עליהם הכול לכולם. באופן דומה, גם למידת מכונה נתפסת ככלי שעשוי להיות מוטה מטבעו בשל השימוש שהוא עושה באלגוריתמים לקידום קבלת החלטות.
דוח פסגת IACP שכותרתו "הולך ומחשיך" (Going Dark), משרטט תמונה ברורה של הבעיה. "טכנולוגיות ואסטרטגיות חדשות שפותחו כדי לקדם את אבטחת הרשת, יכולות גם למנוע מרשויות האכיפה והמשפט לממש צווים משפטיים שניתנו כחוק במטרה לחקור אירועים פליליים או טרור או כדי להשיג ראיות אלקטרוניות.
"בשל תמיכה כמעט אוניברסלית במאמצים להשתמש בהצפנה חזקה ובטכנולוגיות אחרות לאבטחת טלפונים סלולריים, דואר אלקטרוני, הודעות טקסט ותכתובות ועסקאות מקוונות אחרות, יוזמות אחרונות של התעשייה לפתח ולפרוס הצפנה וכלים מתוחכמים כדי להגן על פרטיות לקוחותיהם יצרו חסמים שאינם מאפשרים לממש צווים חוקיים ולקבל גישה לראיות דיגיטליות".
סוגיות אלה מעלות שאלות חשובות על השימוש האתי והחוקי במודיעין דיגיטלי ובטכנולוגיה, שיש לתת להן מענה. כדי להתגבר על התנגדויות אלה ולהשיב את אמון הקהילה, על רשויות אכיפת החוק להגדיר מערך מחייב של נוהלי פעולה שיפרטו בדיוק כיצד הפתרונות הדיגיטליים המתקדמים הללו ישמשו במהלך חקירות. כיצד הנתונים ייאספו, ינוהלו ויאוחסנו? והחשוב ביותר – כיצד הם יישארו מאובטחים כך שניתן יהיה להבטיח לחלוטין את שמירת הפרטיות?
פרטיות בשיטור דיגיטלי
מאמר שפורסם לאחרונה ב- F5 Labs מסכם מדוע קביעת סטנדרטים לסודיות, שלמות וזמינות היא המפתח לשמירה על ביצוע החקירות בגבולות החוק, וגם לשרטוט מפת דרכים להבטחת פרטיות. כך פועלות שיטות העבודה המומלצות.
סודיות - שמירה על הסודיות היא למעשה שמירה על פרטיות המידע. בדיוק כשם שמידע על פרטי כרטיסי אשראי נשמר בסוד בעולם העסקים, כך גם נתונים הנוגעים לחקירות הם סודיים. רשויות אכיפת החוק יכולות להבטיח זאת על ידי מתן אפשרות גישה לאנשים מורשים בלבד ולנתונים ספציפיים בלבד, כך שבמהלך חקירה, האנשים הנכונים ייחשפו למידע הנכון בזמן הנכון.
יש לאסור את הגישה למידע על כל מי שאינו מורשה. כמובן שתיתכן פגיעה בסודיות, בין אם באופן בלתי חוקי באמצעות מתקפות סייבר שמטרתן להשיג גישה, ובין אם כתוצאה מטעות אנוש. לכן יש חשיבות עליונה לכך שרשויות ינהיגו אמצעי ביטחון קפדניים (בקרות גישה מחמירות, פרוטוקולי אימות מרובי מילים והכשרה נאותה לכל אנשי הצוות המעורבים בתהליך החקירה הדיגיטלית) כדי להבטיח את הגנת המידע.
שלמות - בעולם השיטור הדיגיטלי, המונח "שלמות" מתייחס לנתונים שנאספו, נוהלו ונותחו כדין, ובאופן ששומר שלא שובשו. ההגנה על שרשרת המשמורת הדיגיטלית היא הכרח חיוני על מנת שנתונים יקרי ערך (ראיות) יהיו קבילים בבית המשפט. לכן חיוני שארגוני אכיפת החוק ינהיגו פרוטוקולים מחמירים המתעדים כיצד הנתונים נאספו, על ידי מי, היכן ואיך נשמרו, ולמי הייתה גישה אליהם.
כל אלה מצביעים על הצורך בנוהלי פעולה סטנדרטיים כמו יומנים דיגיטליים וחתימות אלקטרוניות לכל אורך תהליך העבודה של החקירה, כך שניתן יהיה לבדוק כל שלב בשרשרת) המשמורת הדיגיטלית.
זמינות - הרעיון של זמינות הוא שהמערכות יהיו מוכנות ופועלות כך שלאנשי הצוות המורשים תהיה גישה לנתונים הנכונים כל אימת שהם זקוקים לכך. דברים רבים עלולים להשבית את הזמינות, כולל כשל במערכת עקב הפסקות חשמל, תקלות בתוכנה, מתקפות סייבר או תוכנות זדוניות, לכן יש חשיבות מרובה לאמצעי מניעה כמו מערכות גיבוי ופתרונות התאוששות.
שקיפות היא המפתח. כדי להשיב את אמון הציבור, על האזרחים להיות מסוגלים להיווכח בבירור כיצד השימוש בפתרונות דיגיטליים לפתרון פשעים נעשה תוך היצמדות למערך קפדני של הנחיות, וכי הרשויות נשפטות לפי הסטנדרטים האתיים הגבוהים ביותר כדי להבטיח שביטחון הקהילות נשמר ללא פגיעה בפרטיות.
לנסח הנחיות פרטיות
המסמך Policing 2025 מציע שכדי להבטיח פרטיות, פתרונות השיטור ותהליכי העבודה צריכים להיות הוגנים - מבחינת הוגנות האלגוריתם, באמצעות שימוש במידע שאינו מוטה. ניתנים להסבר - בפני בעלי עניין רבים. חזקים, בטוחים, מאובטחים ופרטיים, עם מעורבות אנושית בתהליך הממוחשב. ניתנים למעקב: ניתן להבין את מקורם של מערכי נתונים ומטא-נתונים. שקופים - דיווח תוך כדי פעולה, פרסום תוצאות, ונתונים לביקורת.
מאת ליאור בן פרץ, מנהל אסטרטגיה ראשי, חברת סלברייט (Cellebrite).
