אגרגציית מידע – איסוף, עיבוד והתאמה של נתונים ממאגרי מידע שונים אל מערכת אחת – היא אחת מהמגמות הבולטות כרגע בתעשיית ה-IT, במיוחד בשוק הארגונים הגדולים (אנטרפרייז). האופן שבו מגמה זו מיושמת בישראל מעצימה באופן משמעותי את יכולות המידע של הארגון, אך במקביל עלולה להגביר גם את הנגישות של גורמים אינטרסנטיים ועברייניים למידע רגיש.

אין זה סוד שהארגונים הגדולים בארץ ובעולם עושים כל מאמץ אפשרי לאגור ולנתח מידע אודות לקוחותיהם הקיימים והפוטנציאליים. בשנים האחרונות הושגה התקדמות טכנולוגית משמעותית בזיהוי הקשר בין הגולש וחייו האישיים – אופי הצריכה והשימושיות, דפוסי התנהגות, העדפותיו בתחום המדיה והמוצרים, צרכיו הפסיכולוגיים והשתייכותו הקבוצתית. הארגונים מבצעים אגירה של הנתונים, מיפוי שלהם ושימוש אקטיבי במידע – ניתוח והסקת מסקנות ברמה העסקית.

החוק הישראלי אמנם מחייב לרשום כל מאגר מידע ברשם המאגרים של משרד המשפטים, אך בתחום האגרגציה אין חוק – לא מדובר במאגרי מידע עצמאיים, אלא "רק" בתוצר של מערכת המסוגלת לשלוף מידע משלל מאגרים שכאלה בתוך הארגון ובמקרים רבים גם מחוצה לו. בכך, הופך הגולש מ"משתמש" פשוט ליישות רבת מימדים, פרסונה של ממש עם מאפיינים ברורים. מטרה בולטת של המגמה היא לאפשר לארגון לפנות ללקוחות קיימים ופוטנציאליים בהצעות ממוקדות יותר ולשכלל את מאמצי המכירה, הממומשים לרוב באמצעות מנועי חוקה ומנועי פרסונליזציה.

היום לחוק הגנת הפרטיות אין כל תוקף מעשי: הפרטיות היא מושג שלא ממש קיים בפועל. ספקיות האינטרנט והסלולר יודעות על לקוחותיהן הכול, החל בשעות הפעילות שלהם וכלה בהעדפותיהם המיניות ובאילו אתרים פורנוגרפיים הם נוהגים לבקר. ספקי שירותי הדואר האלקטרוני והמסרים המיידיים מנטרים באופן פעיל את התכתובות האישיות של משתמשיהם. גורמים נוספים שעושים שימוש פעיל במאגרי מידע מסוג זה הם משרדי ממשלה, בנקים וחברות אשראי, חברות פרסום וטלמרקטינג, כוח אדם ומודיעין עסקי.

אין כיום חקיקה בינלאומית מסודרת בנושא, אך ההתנהלות של הארגונים הגדולים לרוב אינה עומדת בכללי אתיקה מינימליים, כאשר הם שולפים נתונים ממאגרי מידע נפרדים ועושים בהם שימוש אינטרסנטי לחלוטין. יש לציין שהאינטרסים משתנים בכל עת עקב שינויים במיקוד העסקי, ומהלכים כגון מיזוגים ושיתופי פעולה בין חברות חושפים חברות אחרות למאגרים נוספים המכילים מידע אישי. התשתית לטכנולוגיות שנראו בסרט "דוח מיוחד", המאפשרות לזהות פשעים לפני התרחשותם על ידי איתור פרטים ממקורות שונים המבטאים דפוסי התנהגות המתאימים לפרופיל מסוים, כבר קיימת כיום באופן חלקי. אין ספק כי כל תחום "האח הגדול" נמצא במגמת תאוצה שלא צפויה לדעוך בקרוב.

עם זאת, התחום המטריד יותר לאור מגמת האגרגציה הנוכחית הוא דווקא כל מה שקשור ב"מעגל הפנימי", שניתן לכנותו "האח הקטן". בשנת 2008, עדיין ברוב הארגונים הגדולים בישראל אין טכנולוגיות מידור פנים-ארגוניות שמניחות את הדעת, או אכיפה מוגברת שמונעת זליגת מידע מהארגון החוצה. אם מגמת האגרגציה תתעצם ללא הגדרת חסמים טכנולוגיים מתאימים, עתידנו יהיה תלוי יותר ויותר בקפריזות של עובדים זוטרים בארגונים הגדולים, או לחלופין בהאקרים שפורצים למערכות המידע המשולבות.

מזה שנים רבות מתרחשות תופעות "קטנות" של זליגת מידע לא חוקי מהארגונים. רבים מאלה ששירתו בצה"ל נתקלו במקרים שבהם חיילים עם נגישות למערכות כוח האדם מסרו מידע אישי של חיילים למטרות אישיות, עסקיות, או שעשוע בלבד. נחשפתי אישית למקרה שבו עובדת חברת אשראי עדכנה את חברתה שחשדה שבעלה בוגד בה בהוצאותיו הכספיות, למקרה שבו איש סיסטם בחברת היי-טק הציג לחבריו דוח אקסל עם המשכורות של כל עובדי החברה, למקרה שבו נחשף רומן בין מנכ"ל ומזכירתו על בסיס עיון בהתכתבויותיהם בתוכנת מסרים מיידיים, ולא חסרות דוגמאות נוספות.

עם שכלול יכולות האגרגציה, כמעט כל אדם עם גישה למערכות המידע של ארגון גדול יוכל לאתר מידע מקיף ביותר על מיליוני אנשים, כאשר סכנה מיוחדת טמונה במערכות שיוכלו לבצע אגרגציה ממאגרי מידע של ארגונים שונים. הדבר יאפשר לדוגמה להפליל אנשים שהאדם המחפש (ובמקרה הגרוע יותר – החברה) ירצה ברעתם, תוך תיעוד מלא של שיחותיהם, התכתבויותיהם, הוצאותיהם הכספיות וכיוצא בזאת. תופעה זו צפויה להוות כר פעולה נרחב עבור ארגוני פשע, למשל למטרות סחיטה. תסריט שבו אדם יקבל טלפון בסגנון "אנחנו יודעים מה עשית אתמול בלילה, שלם לנו או שנספר לאשתך" הוא בהחלט לא מדע בדיוני.

אגרגציית המידע יכולה לשפר את תפקוד הארגונים הגדולים בהיבטים חיוביים, לא רק מבחינת תועלות פנימיות כגון זיהוי טרנדים ומנועי צמיחה, אלא גם למשל במתן שירות מהיר וממוקד יותר ללקוחות. עם זאת, עם כוח גדול באה גם אחריות גדולה, שלא תמיד תעמוד במבחן המציאות. דוגמה לכך היא התחום החשוב של EMR (רשומה רפואית אלקטרונית מרכזית). האחדה של הרשומות הרפואיות היא דבר נפלא בפני עצמו, שיכול לשפר באופן ניכר את רמת השירות הרפואי ואולי להציל חיי אדם. אך הזמינות של מידע כזה לכל גורמי הרפואה בישראל עשויה להיות הרסנית אם היישום לא ינוהל כראוי.

אחד מהפתרונות הטכנולוגיים המרכזיים לנושאים אלה הוא בתחום ה-Auditing – הגדרת רשומות רגישות ורישום אלקטרוני של החשיפה אליהן. הכוונה היא שכל מי שייכנס למאגר כלשהו, פעולותיו יתועדו כך שניתן יהיה לנטר פעילויות שאינן עומדות בחוק או בכללי האתיקה של הארגון. ההטמעה של פתרון שכזה אינה גזירה שהארגון לא יכול לעמוד בה, במיוחד ארגוני ענק עם תקציבי מיחשוב של עשרות מיליוני דולרים. אך באופן מפתיע, הוא מיושם בפועל במעט מאוד ארגונים כאלה בישראל, וברובם באופן חלקי בלבד. פתרון טכנולוגי נוסף שניתן על ידי מספר חברות IT הוא שילוב של אפליקציות אבטחת מידע ייעודיות ומידור של כל הקוד, כך שהנגישות לנתונים תהיה מוגבלת גם לאנשי מפתח בארגון.

אולם גם אם עקרונות אלה ימומשו היטב בארגונים ספציפיים מעתה ואילך, יש להניח שבשלב הזה כבר תמיד יימצאו בארגונים אחרים מספיק גורמים פנימיים וחיצוניים שיוכלו לעשות שימוש נלוז במידע האישי של כולנו. כל מה שנותר לאזרח הקטן לעשות כרגע הוא לחשוף כמה שפחות פרטים אישיים על עצמו, למזער נזקים עתידיים ולקוות לטוב.

הכתבה פורסמה לראשונה ב-DailyMaily מבית ThePeople / אנשים ומחשבים.