לפני כשבועיים פורסם בגלי צה"ל כי מאגר הנתונים המעודכן של משרד הפנים על אזרחי ישראל, המכיל פרטים אישיים על כל אזרחי המדינה, מופץ באחרונה ברשת האינטרנט על-ידי גולשים באמצעות תוכנות לשיתוף קבצים. המאגר מכיל פרטים אישיים רגישים על אזרחי ישראל ובכלל זה גם על אישים בכירים. הדבר מדאיג ביותר כיוון שניתן להשיג מידע רב על כל אדם (פרטים כמו: כתובת, שם, מצב משפחתי, שמות, קרובי משפחה, ועוד), וכאשר מדובר באישים בכירים גם לשמש גורמים עוינים ולסכן את ביטחונם.
לא ידוע כיצד דלף המידע, אך משרד הפנים מסר כי בתקופת הבחירות מועבר המידע למפלגות לצורך פעילותן וככל הנראה דלף משם. ראש מנהל האוכלוסין מסר כי יגיש תלונה למשטרה כדי שתחקור כיצד דלף המידע.
מקרה זה אינו היחיד. כבר קרה מקרה דומה שהתפרסם לפני מספר שנים ונראה כי לא נלמד הלקח. כיום קיימים שלל אמצעים טכנולוגים המאפשרים להגן על מאגרים רגישים: הגבלת גישה, הקשחת והצפנת databases, הצפנת קבצים, VPN, הזדהות חזקה, digital rights management, כלי מניעת זליגת מידע כמו: Onigma, PortAuthority, ועוד ועוד.
אך נראה כי הבעיה טמונה יותר בגורם האנושי. כיום מחלחלת יותר ויותר ההבנה, במיוחד בקרב ארגונים האמונים על מידע רגיש, כי אבטחת המידע תלויה בחלקה הארי באנשים - עובדים, הנהלה, קבלנים, שותפים עסקיים. הסטטיסטיקות המצוטטות מזה מספר שנים על חשיבות "האיום הפנימי" (38% מהארגונים בסקר האחרון של ה-FBI דירגו איום זה כקריטי ביותר, 70% מאיבוד המידע קורה בטעות ו- 80% הוא כתוצאה מגורם פנימי) עברו משלב הסיסמא לשלב הטיפול.
כיום ארגונים גדולים מתקצבים תוכניות להגברת מודעות אבטחת המידע בקרב עובדי הארגון. סיסמאות כמו - "אבטחת מידע היא תרבות", "ללא קיום אבטחת מידע גם המשרה שלך אינה בטוחה" ועוד, נשמעות, נכתבות ונטמעות בלא מעט ארגונים.
השינוי בגישה הכללית לתחום אבטחת המידע, כמו גם לנושא הגברת המודעות, נובע מכמה גורמים אשר הדומיננטי בהם הוא החקיקה/רגולציה. במקרים רבים מטילה הרגולציה אחריות על הדרג המנהל לביצוע צעדים לקידום התחום, והפרה טומנת בחובה קנסות ועונשים. דוגמא בארץ - רגולציה 357 של המפקח על הבנקים, שכל עיסוקה הוא הסדרת נושא אבטחת המידע וההמשכיות העסקית במגזר הפיננסי. רגולציה דומה - של המפקח על הביטוח. בין ההוראות הבולטות של 357 - חובה למנות מנהל אבטחת מידע לארגון אשר יהיה חבר הנהלה וכפוף למנכ"ל, יש לקיים מדיניות אבטחת מידע עליה חתום הדירקטוריון ועוד.
כנראה שגם במקרה הנדון אין לסמוך על השכל הישר והרצון הטוב של הרשויות, וכדי שיתייחסו בכבוד הראוי לשמירת פרטיותנו וביטחוננו יהיה צורך בחקיקה. בארה"ב כבר קיימת חקיקה כזו במרבית המדינות - חוקים כמו SB 1386 ו- GLBA מחייבים לשמור על פרטיותו של הלקוח, וכן להודיע לו כאשר יש חשד לגניבה של מידע רגיש אודותיו. בעקבות כך כבר הוצאו מיליוני הודעות ללקוחות כאלה. הדבר גובה מחיר יקר מהארגון שבא לידי ביטוי החל מהוצאות ישירות דרך נטישת לקוחות.
כעת ישנה הצעת חוק פדראלית מרחיקת לכת אף יותר: Cyber-Security Enhancement and Consumer Data Protection Act of 2006, המציעה להטיל עונשי מאסר בפועל על מנהלי חברות אשר לא הודיעו ל-FBI על פריצה למאגרי מידע שלהם הכוללים מידע על 10,000 עובדים פדראליים או יותר. חבר הכנסת פינס הציע, בראיון לגל"צ הבוקר, לחוקק חוקים בעלי אופי דומה - מעניין וחשוב לעקוב ולראות אם הדבר יעלה לדיון בכנסת, ואם לבסוף יגיע לידי חקיקה.