פרטיהם האישיים והמזהים של מיליוני קורבנות אסון - כולל אלפים מבין קורבנות שריפות הבר שאירעו לאחרונה בקליפורניה - הועמדו בסכנה כשפנו לסיוע בדיור מן הסוכנות הפדרלית לניהול מצבי אסון (FEMA). כך הודיע הממשל אתמול (שישי).

גם על הטיפול במצבי האסון עצמם היו תלונות לא מועטות, ועכשיו גם רשלנות באבטחת מידע. תחנת התאוששות ושיקום אחרי הוריקן אירמה (צילום: המשרד לניהול מצבי אסון, מחוז מונרו, פלורידה)

משרד המפקח הכללי של הממשל הפדרלי מסר כי המידע נכלל בטפסים שהגישו נפגעי הוריקנים ודליקות בר לתוכנית מחסה המעבר של FEMA - ואז הועבר המידע לספקים חיצוניים של הסוכנות מבלי שפרטי המידע הרגישים יוסרו.

"במהלך הביקורת שלנו הגענו למסקנה כי FEMA הפרה את חוק הפרטיות של 1974 ואת נהלי המשרד לביטחון המולדת בכך ששחררה [מידע אישי מזהה] של 2.3 מיליון שורדי סופות ההוריקן הארווי, אירמה ומאריה ודליקות הבר של קליפורניה ב-2017", נאמר במזכר, שנכתב ב-15 במרץ השנה. "ללא פעולה מתקנת, שורדי האסונות המעורבים בתקרית הפרטיות נמצאים בסכנה מוגברת לגניבת זהות והונאה".

המידע כלל את שמותיהם המלאים של הפונים לסיוע, ארבע הספרות האחרונות של מספרי הסושיאל סקיוריטי שלהם, כתובותיהם ומספרי חשבונות בנק ומספרי העברה (routing numbers). התקלה התרחשה בשל מעבר לנוהל חדש של תוכנית הדיור הזמנית. הנוהל החדש מחייב העברת פחות פריטי מידע, אולם FEMA המשיכה להעביר 20 פריטי מידע במקום 13, והספקים החיצוניים לא יידעו את הסוכנות כי היא מעבירה להם מידע לא נחוץ - ויצוין לשם ההגינות שאין להם כל חובה לעשות כך.

איבדו בית בשריפות - ומי שאמורים היו לדאוג להם לדיור זמני העמידו את המידע האישי שלהם בסכנה (צילום: Courthouse News Service)

בתגובה לטיוטת דו"ח המפקח הכללי שהועבר ל-FEMA טרם פרסומו לציבור, הגיבה הסוכנות כי חדלה מלשלוח לספקיה מידע בלתי הכרחי אחרי השבעה בדצמבר אשתקד, אז למדה על הטעות מפי עורכי הביקורת. "מאז גילוי הסוגיה הזו, נקטה FEMA באמצעים תקיפים לתקן את הטעות. FEMA אינה חולקת עוד מידע לא-הכרחי עם הקבלן והיא ביצעה סקירה מדוקדקת של מערכת המידע של הקבלן", נאמר בהודעה רשמית.

"FEMA לא מצאה כל ראיה לכך שמידע של השורדים נפל בידי הידיים הלא-נכונות. FEMA גם עובדת עם הקבלנים כדי להסיר את המידע המיותר ממערכותיהם ועדכנה את החוזה כדי לוודא עמידה בתקני בטיחות הסייבר ושיתוף המידע של המשרד לביטחון המולדת".

מרגיע? לא ממש. לא FEMA ולא משרד המפקח הכללי יכולים לומר אם מסד הנתונים של הספק נפרץ בידי גורם זר, משום שרשומות החברה נשמרות רק חודש לאחור. ב-30 היום שלפני שנעשתה הבדיקה, לא היתה פריצה. "זה לא אמור לנחם את הקורבנות הפוטנציאליים", אומר ללוס אנג'לס טיימס מייקל גרינברגר, פרופסור למשפטים ומייסד המרכז לבריאות וביטחון המולדת של אוניברסיטת מרילנד. "הספק לא יודע אם המאגר נפרץ. נתונים 30 יום אחורה הם חסרי משמעות".