כמו שתיארתי לכם אז, לחברה יש היסטוריה בעייתית ומפוקפקת. ב-2005 הם הועמדו לבירור אחרי מספר מקרים של איבוד פרטים אישיים של קרבנות מועמדים לעבודות שונות. לפי הFTC, בסה"כ נגנבו זהויות של 163,000 איש ומתוכם 800 איש לפחות נפגעו, אז נגזר על החברה לשלם קנס של $10 מליון למדינה ו-$5 מליון פיצויים. החברה גם חויבה להפעיל מערכות איתור התנהגות חשודה על הגישה המקוונת אל השרתים שלהם. החברה משום מה כיבתה את מערכת הניטור (לא ברור למה), סיסמא של לקוח ממשלתי גדול דלפה לאינטרנט וגולשים אקראיים קיבלו גישת שיטוט לפרופילים נוספים של 13,750 מועמדים לעבודה (למשרה ממשלתית כלשהיא, כזכור… לא צוין אם עבודה מסווגת או פקידותית רגילה, אבל עדיין, בלגן). הפעם לא מצוין בכמה מהפרטים נעשה שימוש לרעה שהוכח שהוא תוצאה של הדליפה, אז הפעם "החברה הסכימה לשלם $275,000" לפי לשון הידיעה (כלומר שהיה שלב מיקוח?!) קנס ל-FTC. צ'וייספוינט מנסחים את זה אחרת, בהודעה שלהם לעיתונות הם כותבים שהסכום הוא תרומתם (הצנועה, בלי ספק) לקרן לשיפוי הלקוחות הנפגעים. אני תוהה אם נפגעים עתידיים יראו משהו מהכסף בלי ללכת דרך עו"ד יקר והוכחות בלתי אפשריות.
אז בחשבון מהיר:
– זהות שנגנבה/דלפה ב-2006 שווה קנס של $20.
– אם נניח שזהו המחיר של זהות "דלופה" גם ב-2005, הרי שמתוך $10 מליון נשאר $6.7 מליון או קנס $8450 על כל זהות גנובה שהוכח שהשתמשו בה לרעה ופיצויים לאזרח הגנוב בסך $6,250 מעליבים.
אני תוהה אם ה-FTC באמת מפצה נפגעים בעזרת הכסף. לפי הדוחות באתר גניבות הזהות שלהם, מדובר בסיפור של בין $15 ל-$50 מליארד בשנה (הם מודים שהנתונים שלהם די גרועים כי רוב האנשים לא טורחים לדווח), ובערך $5000 נזקים לאדם בממוצע. אני תוהה אם נזקים מצטברים לאורך שנים שעוד יבואו משוקללים פנימה, או נזקים של פרופיל אשראי מרוסק שפוגע ביכולת לקבל הלוואות ומשכנתאות. האם הפרטיות שלנו עד כדי כך זולה, או שצריך הוכחת נזק כדי לענוש באחראים כמו שצריך? מה אם משתמשים בפרטים שדלפו אחרי ששולם הקנס? האם ישלמו פיצויים רטרואקטיביים מעבר לקרן? האם היה איתם הסכם שתשלום הקנס מגן עליהם מתביעות פרטיות, כמו שנתנו לתעשיית הטבק בזמנו?
לי הסכומים האלו נשמעים קטנים ומעליבים, לא משהו שבאמת פוגע בחברות האלו, מכה קטנה על גב היד. אם ההיסטוריה של צ'וייספוינט מראה על משהו, זה שזה לא עובד, וממש לא אכפת להם אם דלפו פרטים, אלו רק שורות במסד נתונים, לא? ביטים, לא אנשים. מיטצ'ל וווב מסכמים את הרגשתי יפה:
אותה הכתבה בריג'יסטר מזכירה כבדרך אגב עוד חברות שנקנסו לאחרונה. האחת היא חברת "מאניגראם" שעקב הזנחה איפשרה לשרלטנים ועוקצים ניגריים לשתות $44 מליון דולר מקורבנות אמריקניים ועוד $40 מליון מתושבים בשאר העולם, הם שילמו רק $18 בקנסות ופיצויים ל-FTC, אני לא יודע כמה בארצות אחרות, אבל איכשהוא הסכום עדיין לא מסתדר. כמו כן מוזכרת רשת הלבשת ילדים בשם איקוניקס שאספה בניגוד לחוק המפורש את שמם המלא, כתובתם, גילם, מינם, טלפון ודואל של כאלף קטינים. החברה סיכמה על קנס של רבע מליון דולר, או $250 לילד, על פרטים שאפילו לא דלפו החוצה אלא רק נאספו והוחזקו בצורה לא חוקית. נראה שלצ'וייספוינט יש סוללת עורכי דין חדשה וממולחת יותר בהתמקחות מאז 2005, ואייקוניקס התקמצנו. באותה הזדמנות אני תוהה כמה קטינים אפשר למצוא במאגרי המידע של צ'וייספוינט (שמכילים מידע על אולי חצי מליארד בני אדם ברחבי העולם).
שימו לב שהקנסות האלו הם מטעם ה-FTC, רשות המסחר הפדרלית שתפקידה לשמור על הצרכנים, ולהבנתי לא מדובר בחבות פלילית אישית של אף אחד. אני לא אתפלא אם גם אף אחד בצ'וייספוינט לא פוטר מתפקידו בשל כך, החברות האלו משקללות את הקנסות האלו בתוך ההוצאות הכמעט-צפויות של ניהול עסק שכזה… המסקנה שלי היא שמדינת החירות האמריקנית לא ממש מעוניינים לשמור על הצרכנים עד שמאוחר מדי. הם טובים בקנסות אבל לא בהגבלות מראש.
מה המצב בישראל? דו"ח BDI ב-2003 ציין 250 מליון ש"ח בנזקים מגנבות זהות, אבל דוחות נוספים לא מצאתי (עדכנו אותי אם אתם מצליחים). לפי הערכות ה-FTC ב-2005 פגעו גניבות זהות ב8-10 מליון איש, כלומר 3.5-4% מהאוכלוסיה. גם אם נתעלם מהעובדה שמדובר בצורת הפשיעה הכי צומחת, זה אומר כ-250,000 ישראלים אם המצב אצלנו דומה. האם עוד מאגרי מידע זה רעיון טוב, ועוד בידיים של משרד הפנים? אני מקווה שמישהוא מהקוראים יודע להביא מידע יותר מדויק על ישראל בנושא כדי שנתבדה, אבל אין לי כוח להרים טלפונים לדובר המשטרה או BDI או אנא עארף מי אחראי לניטור הענין. ואולי אף אחד לא טורח אפילו? מתאים למדינה שלנו, בה החוקים הנוגעים לדבר הם גבינה שוויצרית וממילא לא אפקטיביים והברדק חוגג. אחד המקומות שקיוויתי למצוא סטטיסטיקה חלקית לפחות הוא אתר עמותת אשנב, אבל שם גיליתי כי בכנס בשנה שעברה הם קדמו אמצעים ביומטריים להקטנת גנבות הזהות. מעניין כמה מידע מאמת נאסף למחקר בנושא, ומהן השיטות שהוזכרו בכנס.
עד שדלפו מאגרים שונים (מרשם התושבים, נתוני בעלי חוב בהוצאה לפועל) אנשים זייפו צ'קים ות"ז ידנית, וזייופים נעשו במאמצים רבים על זהויות ספורות. ניכר שבעידן של נתונים ממוחשבים, היצירתיות התרחבה לגניבות סדרתיות, אולי מתקפות בזק על עשרות או מאות מספרי אשראי במקביל כדי להספיק להעלים מה שיותר עסקאות קטנות מתחת לרד"אר במקום בודדות גדולות ובולטות. מאגרי נתונים נוספים מאפשרים להצליב פרטים, והכי חכמות בהצלבות האלו הן חברות האשראי – הן מפעילות מערכות מחשב יקרות ביותר כדי לזהות פעולות חשודות – קניה לא טיפוסית של לקוח בבית עסק כלשהוא, יותר מדי חיובים בערימת כרטיסי אשראי בבית עסק כלשהוא שבדיקה תוכיח שכולם ישבו בבית קפה כלשהוא חודש לפני וכך עולים על המלצר שהעתיק את המספרים. חברות האשראי מכינות על כל לקוח פרופיל וניתוח לצורך כך, והנתונים האלו גם הם שווים המון כסף, והם מוכרים אותם למשווקים השונים שמפרסמים בצורה ישירה פרסומות בתחתית הדוח החודשי. בתירוץ של "בדיקה לניטור רמאויות" מבקשות חברות האשראי בארה"ב גם את פירוט הקניה ולא רק את הסכום שמספק בית העסק, מענין אם בארץ גם ינסו להשחיל כזה דבר. המון מידע ששווה המון כסף, האם יש פלא שמישהוא מרוויח ממסחר בו? בארה"ב חברות אשראי הן גנבות ברשיון ממש: מותר להן לשנות לך אפילו את הריבית השנתית בלי הודעה מראש, ואפילו רטרואקטיבית(!), אם נראה להן שאתה לקוח "בסיכון" (למשל אם בפירוט ההוצאות שלך עולות פגישות עם פסיכיאטר, או יועץ גירושים, או יותר מדי תיקונים במוסך וכולי).
אז האם מעניין אותם לעצור גניבות או להרוויח מאחוזי העסקאות? לפי דו"ח ה-FTC (המבוסס על סקר טלפוני, אגב…) – למעלה מחצי מהאנשים שניזוקים מגלים עדיין את הגניבה לבד, ולא בגלל התראה של חברות האשראי או גופים אחרים, לכו תדעו כמה לא מגלים גניבות קטנות לאורך זמן כי הם לא בודקים את דוח השימוש בכרטיס. בנוסף, גם רוב (כ75%) אילו שמגלים גניבה לא טורחים להתלונן עליה, אולי מחוסר אמון שהענין יטופל כראוי? ואל תתפלאו שהגענו למצב כזה, כי בישראל המצב יותר גרוע בנושא פניה למשטרה, אני אתייחס לזה בפוסט קרוב.
לבסוף בחזרה לעבריינים: למה שירצו לגנוב את הזהות של מישהו מאיתנו אישית? אולי כדי להוציא דיבה בשמנו (ענין מסוכן ואפילו יקר יותר מגניבת כסף בעיני החוק ברוב המדינות), אולי כדי לרוקן את חשבון הבנק שלנו, או כרטיס האשראי, אולי לפתוח על שמינו חשבון ולקחת הלוואה ענקית ולהעלם, אולי לקבל בשמינו תשלומים מהמדינה כמו החזרי מס וקצבאות (בעזרתה של טביעת האצבע הגנובה, כמובן), אולי להכנס למדינה זרה, אולי דברים יצירתיים אחרים… זו הסיבה שצריך להגן על הפרטים האישיים ולא לחלק אותם בקלילות, זו הסיבה שכדאי שמה שפחות פרטים עליך ישמרו במקום מרכזי כמו מאגר ממשלתי מיותר, כי שמו שציטטתי בעבר, הדרך היחידה למנוע ממאגרי מידע פרטי לדלוף היא להמנע מלאסוף אותם מלכתחילה.
הבעיה הכי רצינית בחינוך הציבור היא כמות האנרגיה והכסף שיושקע בהסברה, אבל אנשים עדיין לא יתקינו חסכם, או מיכל הדחה כפולה, עדיין לא יתקנו את הגומיה בניאגרה שממשיך להדליף מים נקיים לביוב כל היממה, ימשיכו להשקות את הגינה, ימשיכו לעשות אמבטיות, לא ישמרו מים אפורים להשקיה, וכולי. מה אפשר עוד לעשות מלבד להחליט על מספר (שרירותי, אני מודה, כשלא סופרים גינות פרי וירק) של ליטרים לאדם. האם באמת 4 קוב בממוצע לאדם לחודש הם הצטמצמות? כמה מקלחות והורדות מים אתם מצפים לעשות ביום?
הלכתי וחפרתי לי בחשבונות המים ששולח לי השכן, הלא הוא גם בעל הבית. מסתבר שבחודשים מאי-יוני-יולי צרכתי 6 קוב ואילו הם צרכו 100. יש להם שלושה ילדים אבל הם רוב הזמן לא בבית, במילים אחרות בבית ליד גרים שני אנשים פלוס "אדם" שלישי שייצג את שלושת ילדיהם, משמע אני משתמש ב-2 קוב לחודש בממוצע (כולל מקלחות יומיות, כביסה, בישול, שירותים וכלים) ואילו הם משתמשים בלמעלה מעשרה קוב לאדם לחודש. אמנם להם יש גינה להשקות, אבל כאן נגמרת לי הסטטיסטיקה, אין לי מושג כמה מתבזבז על הדשא היפה איך מיותר, וכמה באמת מועיל להצמחת עצי הפרי ועצבי הבישול. לסיכום אני מנחש שאפשר להצטמצם למצב שלא משלמים את קנס המים, אם קצת מפעילים את השכל הישר. הקנס הזה לא כל כך דרקוני, ואולי הוא ימריץ אנשים להתחיל להתנהג בחוכמה. בגיל אני לא מאמין שזה יפגע ללא אבחנה, ואין סיבה שזה יקרה לכם.
אני אוסף לינקים ומשתדל לא לשחרר הרבה פוסטים, אלא מעטים ומרוכזים בבת אחת. גם ככה הפוסטים שלי עמוסים בביומטריה בזמן האחרון. אפילו לא מצאתי זמן להתייחס לטבח המחריד והמדאיג הזה שהיה בתל אביב, אבל אני חושב שברור לכל קוראי מה דעותי בנידון, אני אחסוך לאצבעותי עבודה, ופשוט אשחרר את ערימת הלינקים שהצטברו…
מה עושה אווירה של "אח גדול" לאדם הקטן? ירדן לווינסקי נותן פירוש מעולם הפסיכולוגיה: "ברגע שאנשים שלא אמורים להגיע אל המאגר הביומטרי (בדיוק כמו שקורה עכשיו עם מרשם האוכלוסין שפרוץ ברשת) ישתמשו בו לכל מני צרכים אסורים רק בגלל שיש להם גישה למאגר, אנחנו נהיה כולנו פרנואידים. לא פסיכוטים, אבל פרנואידים. זו תהיה הנורמה. כולנו נחזור לפחדים ולחרדות שלנו, נתבצר מאחורי הדעות הקדומות שלנו ונסתגר בפני העולם. יהיו אנשים שגם ישתמשו בזה נגדנו. ממש כמו כמו שג'ורג' אורוול חזה."
לצערי הצוות המצומצם שעוסק במלחמה החשובה הזו (ויש לי את הכבוד לעזור להם מדי פעם), לא הספיק לאסוף חומר לדו"ח נגדי. מישהו מוכן לתרגם את החלקים הרלוונטיים? הנה הדו"ח הענק שהוכן בבריטניה ביוני 2005 (PDF של 300 עמודים, 2.5 מגה), התקציר, ההודעה לעיתונות.
פעם פעם, לפני 20 שנה, היית חייב להרים טלפון לאל-על יומיים לפני הטיסה כדי לאשרר, כי המחיר על אי-אישרור היה שהטיסה עלולה היתה להיות דאבל-וטריפל-בוקד, והיית מוצא את עצמך מקורקע. החברה סבלה המון הפסדים מהנוהל הפסול הזה, אין לי מושג של מי היה הרעיון החכם, אבל זה נמשך שנים. אולי בגלל שלא היתה בקרה ופידבק (דברים שISO9000 מתעקש עליהם למשל) ואולי בגלל תרבות ישראלים, אבל תיירים המומים אירופאיים שידעו שכרטיס טיסה זה כרטיס טיסה ולא משהו על תנאי (בתנאי שתאשרר, כמובן). מחשבים יכולים לפתור את הבעיה בקלות בעזרת סטטיסטיקה וחישובי טרנדים – אפשר ליצור מנגנוני משוב שיודעים לצפות מראש אחוזי סיכוי לביטול של כרטיס ללא הודעה מצד הלקוח. למשל לפי ארץ מוצא, דוגמא דמיונית לגמרי – אם אזרח ישראלי, בניגוד לאירופי, יותר סביר שיבטל ברגע האחרון או שסתם לא יגיע לטיסה, המחשב יתן למושב הזה ציון ויחליט לפי סך חישובי הסיכויים אם באותה טיסה כדאי לעשות אובר-בוקינג של 20% או 130%. כנ"ל לפי נמל יציאה, או אם זה חזור של כרטיס דו כיווני, או אם זו טיסת שכר זולה יותר, וכמובן לפי עונות השנה (מי יבטל לפני חג?) ונמל יציאה, ומחלקה, ו… בקיצור, סטטיסטיקה יכולה לעזור המון. אני בטוח שידידי ישי, מומחה שרשראות האספקה, יוכל לתת לכם על זה הרבה יותר מידע ((נשבע לכם שהוא לא משלם לי, אפילו שזו הפעם השלישית שאני מזכיר אותו השבוע בפוסט…)). אל על הפסידו המון כסף על ניהול כושל, הגיעו עד כונס נכסים, והופרטו בצדק, למרות שהם שומרים עדיין על קשרים מאוד טובים ומיוחדים (ויש הרבה שיטענו טובים מדי) במסדרונות משרדי הממשלה.
המסר הוא חשוב מאוד לאנשי שיווק ופיתוח עסקי: אם משקיעים מראש במערכת שמנתחת סטטיסטיקות לצפי שוק ((וזה לא משהוא שאי אפשר היה לעשות לפני עידן המחשבים, הרי חברות ביטוח ובנקים עושים חישובי סיכונים כאלו כבר מאות שנים!)), אפשר להוזיל מאוד את העלויות לחברה ולכן את המחיר לצרכן. הרי אם העלויות לא צריכות לגלם את מחירי הפיצויים על דאבל-בוקינג, אפשר לעשות כל מיני דברים חכמים. אין לי ספק שזה חלק לא מבוטל מהסיבה שחברות כמו ראיין אייר יכולות להציע לכם טיסות בעשרה אירו מצידה האחד של אירופה לצידה השני: הם יודעים אילו קווים יהיו באיזה ביקוש באילו תקופות בשנה בחברות האחרות לאורך השנים שחלפו, הם יודעים אילו יעדים היו שמחים לפתח את התיירות, הם מגיעים להסכמים של מיסי נמל נמוכים עם נמלי טיסה פחות פופולריים, ואז יכולים למכור טיסות לא שגרתיות כדי להרוויח מנישות שלחברות גדולות אין את הגמישות להציע, ולהרוויח גם יפה מכרטיסים מוזלים בקווים מאוד מבוקשים בשיאי עונות התיירות. כל זה לפני שדיברנו על המחיר אקסטרא שהם יקחו לחוד על כל דבר אחר שאתם מצפים שיהיה כלול במחיר (מזוודות, שימוש בבית השימוש, אוזניות, אוכל ושתיה) או על בונוסים אחרים (הקהל הציע לשלם על דיילות בביקיני, המנכ"ל זרק כרעיון גם שירותי סקס) שחלקם כלולים בשירות אצל חברות אחרות.
דוגמא למוצר בhttp://www.megaessays.com/essay_search/low_involvement.html">מעורבות יותר נמוכה מאשר טיסות: בעוד מקדונאלדז מתחייבים לספק לך את הבורגר וצ'יפס על המגש 45 שניות על השעון או שהארוחה חינם (מישהו בודק להם את זה בארץ?), וונדיז מתחייבים שההמבורגר גם יהיה טרי. אם הסנדוויץ' ישב יותר מכמה דקות על המדף שיוצא מהמטבח ללא קונים, הוא נזרק לפח. איך תדע להכין סנדוויץ' טרי מהר, בזמן ומראש לפי דרישות הלקוח ולא לבזבז חומרים? סטטיסטיקה! אכן מערכת כזו הותקנה לפני כמה שנים ברוב רעש וצילצולים ברשת וונדיז בארצות הברית, ובאלגוריתמים מתוחכמים שדומים למערכות לצפיית התנהגות הבורסה, היא מורה לטבחים כמה המבורגרים או חזות עוף או צ'יזבורגרים להפשיר בבוקר, וכמה לזרוק על הגריל בזמן אמת – לפי סטטיסטיקה מהעבר, מזג אוויר, תאריכי חגים, פקקי הכבישים המקומיים, וכמובן מידע בזמן אמיתי מהקופה וכמה אנשים מחכים בתור.
האם צריך את כל הניתוחים האלו בכל אירגון? לשכור סטטיסטיקנים מבריקים ובניית מערכות מומחה יקרות? הפתרון הוא כמובן לחשוב גם מחוץ לקופסא – למשל במקרה אל-על אפשר גם ליזום התקשרות אל האנשים טלפונית (והיום אפילו לשלוח SMS אוטומטית מכל מערכת בקלות) ולוודא איתם את ההגעה לטיסה, וזה יעלה הרבה פחות מכל עלויות המלונות ופיצויי הביטולים.
אבל בסוף יושב אדם בקצה השרשרת וצריך עדיין ללחות על כמה כפתורים… הבוקר יצאתי מתרגש בסקרנות ל"יום עיון למורים – חקר המוח והשלכותיו על הלמידה ועל החשיבה" באוניברסיטה הפתוחה. למרות שלאחרונה הם פרסמו הרבה מהספרים ברשיון חינמי מוגבל, וספגו מכת תרומות קשה בגלל התפוצצות הקרן של מאדוף, לאחרונה אני מחבב את המקום פחות בגלל סיפור המרצים, אבל חרם לחוד ויום הרצאות מרתק לחוד. בלעתי את עקרונותי ויצאתי לכבישים, אחרי 40 דקות פקק מזהם אוויר מאבן יהודה ועד רעננה, הגעתי וגיליתי שהכנס בוטל מחוסר נרשמים. כיון שאתמול התקשרתי לאשרר הרשמה אבל נשלחתי לתא קולי, לא גיליתי את זה. כיון שלא חזרו אלי טלפונית בתשובה להודעה שהשארתי, לא גיליתי את זה. אבל העובדה שהיום הזה כנראה בוטל כבר לפני שבוע ולא עדכנו את זה באתר היא זו שמעצבנת אותי, אפילו יותר מזה שלעמוד האירועים שלהם אין רסס (אילתרתי אחד לבד). לא צריך לחזות כמה אנשים יירשמו, לא צריך תחכום טכנולוגי, רק פאקינג רסס הודעות שיכלול גם ביטולים, ואתר אינטרנט מעודכן שלא יטעה אותך (ועדיין מוצג שם הדף נכון לרגע זה).