כשלים טכניים, אי עמידה בחובות דיווח, עבירות על החוק, סילוף נתונים והסתרת מידע מהציבור – כך פועלת הרשות לניהול המאגר הביומטרי, כפי שעולה מדו”ח חיצוני (PDF) שחיברו שורה של מומחים לאבטחת מידע ומשפט עבור התנועה לזכויות דיגיטליות (גילוי נאות: הכותב היה ממקימי התנועה, אך פרש ממנה לפני שנים כדי להימנע מניגוד עניינים), ושיוגש מחר לראש הממשלה, לשר הפנים ולשרת המשפטים, לחברי ועדת הכנסת המשותפת, לחברי הכנסת, לממונה על היישומים הביומטריים ולחברי הוועדה המייעצת/מפקחת על המאגר הביומטרי.
בין מחברי הדו”ח נמצאים אישים בעלי שם בתחום אבטחת המידע, כמו פרופ’ אלי ביהם, לשעבר דיקאן בית הספר למדעי המחשב בטכניון וכיום מקים את בית הספר לאבטחת מידע (סייבר) באותו המוסד, פרופ’ קרין נהון, חוקרת וחברת סגל בבית הספר למידע באוניברסיטת וושינגטון ובבית הספר לממשל במרכז הבינתחומי, דורון אופק, המשמש כמנהל אבטחת המידע של אחת מחברות האנרגיה המובילות במשק, דורון שקמוני, חבר ועדת המומחים לאבטחתה ויציבותה של רשת האינטרנט, ולשעבר ארכיטקט מערך “תהיל”ה” הממשלתי וממייסדי איגוד האינטרנט, ועו”ד יהונתן קלינגר, היועץ המשפטי של התנועה לזכויות דיגיטלית ומומחה למשפט ורשת.
ממצאי הדו”ח, שיצא בתגובה לדו”ח המסכם את תקופת הניסוי של המאגר הביומטרי שהוציאה הרשות לניהול המאגר הביומטרי – חמורים. בין הממצאים עולה כי הרשות, בניגוד לחוק המאגר הביומטרי והצו כלל לא בדקה ברצינות את נחיצות המאגר או אלטרנטיבות מקובלות ובדוקות מהעולם, חובה שהוטלה עליה בחוק. עוד עולה כי הרשות סיפקה נתונים שגויים ומעורפלים על מאגרים ביומטריים בעולם ללא סימוכין, וביצעה עבירות נוספות על חוקי מדינת ישראל, כמו למשל לרשום את המאגר הביומטרי אצל רשם מאגרי המידע – רק שנתיים לאחר הקמתו. עוד עולה מהדו”ח שורה ארוכה של כשלים טכניים והבעת זלזול ברגישות הנתונים – טביעות האצבע ותמונות הפנים של כולנו, על ידי העברה אפשרית של עותק של המאגר לספק חיצוני (בזק בינלאומי), פעולה ללא מנהל אבטחת מידע במשך תקופה ארוכה וחוסר הפרדה טכנית ונדרשת של המאגר מרשתות חיצוניות כדי למנוע פריצה (AirGap).
כמה תעודות מזויפות באמת יש?
ראשית, הרשות נדרשה בחוק לבדוק האם בכלל ישראל צריכה מאגר ביומטרי? לכאורה, הוקם המאגר הביומטרי כדי למנוע מה שנקרא “הרכשה כפולה” – מצב שבו גורם עברייני יזייף זהות של אזרח וינסה לרכוש לעצמו תעודת זהות מזוייפת. אולם, בכל שנות הניסוי סירבה הרשות הביומטרית לספק את הנתון הבסיסי הבא: כמה זיופי תעודות זהות באמת מתרחשים בישראל מדי שנה?
בעת גיבוש המאגר הביומטרי, לא היו נתונים אמיתיים על היקף התופעה שהמאגר אמור לפתור, אלא רק הערכות המבוססות על תעודות אבודות ושנגנבו באופן כללי. ב-2010, השיבה משטרת ישראל למבקר המדינה כי אין בידה נתונים על עבירות זיוף של תעודות זהות אלא רק נתונים על עבירות זיוף באופן כללי. כל ההערכות, כולל אלה שסופקו בדו”ח המסכם של הרשות הביומטרית – הן כלליות לפי דו”ח המומחים ולא מביאות נתון מספרי מבוסס הנותן מושג אמיתי על היקף התופעה. אגב, מי שהייתה צריכה לבדוק ולעבור תיק תיק במשטרה ולרכז את הנתונים על זיוף תעודות זהות, היא רשות האוכלוסין וההגירה – שלא ביצעה את עבודתה כראוי.
דו”ח המומחים דווקא מנסה להביא נתונים. לפי הנתונים של רשות האוכלוסין וההגירה, בשנת 2014 המספר הכולל של עבירות זיוף והתחזות, כולל מקרים של זיוף או התחזות בלשכות האוכלוסין הוא… 70 מקרים. לפי הדו”ח החיצוני, כל אותם המקרים היו נמנעים באמצעות תעודות זהות חכמות בלבד, ללא צורך במאגר. הנתון שבזמנו נופף בו שר הפנים לשעבר מאיר שטרית, של 350,000 תעודות זהות מזויפות – מתגלה בבדיקה זו כ”מצוץ מן האצבע” וחסר ביסוס עובדתי.
המומחים שכתבו את הדו”ח עשו את התרגיל החשבונאי הבא: בואו נגיד שהיקף התופעה הוא פי חמישה ממה שדווח במשטרה, כלומר, 350 מקרי זיוף של תעודות זיהוי לאומיות בשנה. אלה כלל עבירות הזיוף. מתוכן, גם אם נניח שהיקף תופעת הזיוף מסוג “הרכשה כפולה”, הוא אחוז אחד או שניים – נגיע ל… חמישה מקרים בשנה. האם חמישה מקרים בשנה מצדיקים מאגר ביומטרי לשמונה מיליון אזרחים? שואלים מחברי הדו”ח.
כמה מאגרים ביומטריים יש בעולם?
במסמך המסכם שלה, טענה הרשות הביומטרית כי ב-13 מדינות מערביות הוקמו מאגרים ביומטריים לאזרחי המדינה. בין המדינות מונה הרשות את שוויץ, דנמרק, בלגיה, בריטניה, צרפת, אוסטרליה ניו זילנד, מקסיקו, פינלנד, הודו, ספרד, ברזיל, קנדה, ארצות הברית ועוד. המגמה אכן קיימת, אבל הרשות במסמכה ניסתה ליצור מצג שווא, שמאגרים אלה כולם מאגרי חובה לאזרחים. אלא שגוף בלתי תלוי טוען אחרת.
לפי נתונים של דו”ח דומה שהפיק מרכז המחקר של הכנסת (הממ”מ), אך מפורט, עדכני ומתועד יותר, עושה סדר ומבחין בין מאגרי חובה ושאינם כאלה, והאם הנתונים אכן נשמרים במאגר מרכזי, והאם מדובר במאגר המיועד לאזרחי המדינה או מאגר לזרים – כמו מבקשי מקלט ומבקרים.
לטענת הדו”ח, מהסקירה המעודכנת של מרכז המחקר של הכנסת עולה כי רק מדינה מערבית אחת מחזיקה מאגר חובה לאזרחים הדומה לזה של ישראל – פורטוגל. בשאר המדינות שהרשות מנפנפת בהן, אין חובה להנפיק תעודה ביומטרית או שהנתונים נשמרים בתעודה בלבד (ומושמדים לאחר יצירתה) ולא במאגר.
ראוי לציין, שהמסמך של הכנסת מתועד וממוסמך באופן אקדמי, עם מבואות והערות שוליים. דו”ח הרשות אינו מפרט את המקורות עליהם הוא נסמך, כך גם על פי דו”ח המומחים וגם על פי בדיקת “החיבור” שהשוותה את המסמכים, וגם היא מצאה בהם סתירות.
מדוע לא נבחנה השיטה הבלגית?
דו”ח המומחים החיצוני חובט גם כל תורת ההפעלה של הרשות לניהול המאגר הביומטרי ובבחינת חלופות. לטענת המומחים, למשל, לא נבחנה האפשרות של שימוש בביומטריה יותר קשה לזיוף, כמו תמונת הרשתית של העין או מיפוי של כלי הדם הפנימיים באצבע ובכף היד. אבל חמורה היא העובדה, טוענים מחברי הדו”ח שלא נבדקו כלל כמה חלופות רציניות ומנוסות למאגר.
כמו למשל, השימוש בתשאול מוגבר בלשכות האוכלוסין, כלומר, לתשאל למשל, כמה בני משפחה יחדיו כדי שכל אחד ייאמת את זהותו של האחר, או עד מתועד – אדם שאליו יפנו ממשרד הפנים כדי לאמת את זהותו של פלוני. או טריק פשוט: שימוש במספרי הטלפון הרשומים של אדם, כך שהסלולרי שבכיסו יצלצל או הטלפון בביתו, וכך בני משפחתו יוכלו לאמת את זהותו. חלופה זו כלל לא נבדקה.
באופן דומה, לא נבדקה השיטה הבלגית. השיטה הנהוגה בבלגיה להנפקת תעודות חכמות פועלת כך: כל אזרח מקבל תעודה חכמה עם לידתו. התעודה מוחלפת בגילאים 6 ו-12, ובגיל 18 מונפקת תעודת זהות ביומטרית סופית. לכל אזרח בלגי, בכל גיל, יש בכיסו תעודה ביומטרית, כאשר כל החלפה – דורשת את המצאתה של התעודה הקודמת. כך שכדי לזייף תעודה, יידרש הזייפן לשיתוף פעולה של ההורים ושל המרשם בבית היולדות, 18 שנה מראש – מה שהופך את ההתחזות לבלתי אפשרית.
מי שאיבד תעודה, ייחקר במשטרה הבלגית על ידי שני שוטרים מיומנים בתשאול מוגבר. אם יש לאזרח מסמכי זיהוי אחרים להמציא, הוא יעבור אותה בקלות. אם אין בידיו כאלה – השוטרים “יוציאו לו את הנשמה” בתשאול מתיש להוכחת זהותו. התעודה משמשת גם כאמצעי זיהוי מרכזי אלקטרוני, כך שזיוף של התעודה (מה שמביא לביטול התעודה הקודמת, כמו בכרטיסי אשראי) – מתגלה במהירות. גם החלופה החכמה הזו הפועלת בהצלחה במדינה מתקדמת – לא נבחנה כלל על ידי הרשות.
ועוד חלופה פשוטה שלא נשקלה כלל – במקום להפוך את כל אזרחי ישראל לחשודים פוטנציאליים, על סמך ההנחה שעבריינים הם אלה שמעוניינים בזיוף תעודות – למה לא לבדוק מבקשי תעודות זיהוי חדשות רק מול המאגר המשטרתי של חשודים ופושעים? גם אפשרות זו כלל לא נבחנה, לדברי דו”ח המומחים של התנועה לזכויות דיגיטליות.
האם עותק של המאגר נמצא אצל בזק בינלאומי?
אחד הדברים המטרידים שניתן לקרוא בדו”ח, הוא רשימת הכשלים וגישת ה”סמוך” הכוללת של הרשות לניהול הביומטרי. בין הכשלים הטכניים ואי ההקפדה של הרשות על הנהלים שנקבעו בחוק, ניתן למנות: מבדקי חדירות שלא הושלמו במועד, הנדרשים להסמכה של הרשות הלאומית לאבטחת מידע בשב”כ, העובדה שבמשך חצי שנה פעלה הרשות בפועל, ללא ממונה אבטחת מידע כמו שמחויב בחוק הגנת הפרטיות ואולי הממצא הכי משעשע או מחריד, עולה שעל אף שהרשות כבר פועלת למעלה משנתיים, המאגר הביומטרי נרשם כחוק אצל רשם מאגרי המידע במשרד המשפטים רק ב…חודש מאי האחרון. בכך, הפרה
הרשות את חוק הגנת הפרטיות במשך שנים.
זאת ועוד: בכל המסמכים שהגישה הרשות לכנסת, היא טענה כי המאגר נשמר ברשת המנותקת מכל רשת מחשבים אחרת, מה שמכונה בשפה המקצועית AirGap (“פער אוויר” הממחיש מטאפורית את בידוד המערכות). מדובר במכשול פיזי, המקובל במערכות רגישות, כדי לחייב את הפורץ לגשת פיזית למערכת – ללא אפשרות גישה מרחוק באמצעות מחשב.
בפועל, טוען הדו”ח הרשות כנראה לא משתמשת בהפרדה כזו, פיזית של ממש, אלא בכלי תוכנה המדמה הפרדה שכזו. המשמעות המעשית: אם תימצא כשל או פירצה בתוכנה היוצרת את החוצץ – המאגר בסכנת פריצה.
ולבסוף, במסגרת התוכנית להתאוששות מאסון שלה (DRP), רכשה הרשות בדצמבר 2013 בסכום של 520,000 שקלים “שירותי אירוח עבור אתר גיבוי” מחברת בזק בינלאומי. בגיבוי של מידע רגיש או ביטחוני, לא מקובל לרכוש שירותי גיבוי שכאלה מחברה מסחרית חיצונית, אלא להעביר את המידע בתוך האתרים של הגוף הרגיש. לפי הערכת הדו”ח, הסכומים המשולמים לבזק בינלאומי ולבינת מציגים אפשרות שעותק פיזי של נתוני המאגר הרגישים – נשמר בחוות אירוח “רגילה”, תוך הפרה של כל נהלי האבטחה המחמירים שנקבעו בחוק ובצו, אם גם המידע מוצפן ומאובטח, נטען בדו”ח.
בדו”ח מצויינים כשלים נוספים שקצרה היריעה מלפרט כאן, כמו העובדה שמערכת ההשוואה הביומטרית שעליה מבוסס הניסוי היא זמנית ומוחלפת באחרת ונרכשה בסדרה של מכרזים שכשלו, אמינות הנתונים וגודל המדגם – שלטענת הדו”ח, נסמך על 16,000 רשומות בלבד, ובכך שבדו”ח המסכם צריכה להיות מצורפת גם חוות דעת של הסטטיסטיקאי הממשלתי הראשי – חוות דעת שלא הוגשה, כנדרש בחוק.
תגובת הרשות לניהול המאגר הביומטרי
פנינו למשרד יחסי הציבור קרמר דווידוביץ‘ המנהלים את יחסי הציבור עבור הרשות. על אף שביקשנו התייחסויות ספציפיות לנושאים שהועלו בכתבה, בחרה אשת יחסי הציבור של הרשות לניהול המאגר הביומטרי, רוני גלאס אלוני, בניגוד למקובל, להעביר תגובה ארוכה ושאיננה עניינית. כשביקשנו לקבל תגובה תמציתית ועניינית יותר, נענינו בהתחמקות: “מבחינתנו התגובה הזאת משקפת כולה במלואה את המציאות”, כתבה לנו גלאס אלוני ואף התעקשה שהתגובה תפורסם במלואה. הנה היא להלן, ההדגשות במקור.
“הרשות לניהול המאגר הביומטרי מסיימת בימים אלו ארבע שנות פעילות מאומצות ומורכבות ביותר, הכוללות מגוון משימות ופעולות להקמת מערך מחשוב ותהליכים תומכים להקמת מאגר נתונים ביומטרי אשר מאפשר בהתאם לדרישות החוק את מניעת תופעת ההרכשות הכפולות וגניבת הזהות וההתחזות במדינת ישראל.
פעילות הרשות בשנתיים האחרונות במסגרת תקופת המבחן בוצעה בליווי ובכפוף לפיקוח ובקרה הדוקים של מספר גופים רשמיים. לאחרונה העבירו גופים אלו אשר מעורבים ובקיאים בכל הנעשה בתקופת המבחן, דוחות מסכמים. כלל הגופים העבירו המלצה חד משמעית בדבר העובדה שהוכח הצורך במאגר ביומטרי וכי הוכחה נחיצותו וכמו כן, כי תקופת המבחן הסתיימה בהצלחה, מולאו כל החובות כנדרש, כולל בחינת חלופות מלאה וכולל ההבהרה שתיעוד חכם ללא מאגר אינו נותן מענה מספק לנזקי תופעת ההתחזות וגניבת הזהות שהנה תופעה רחבה.
בין הגופים ניתן למנות את המטה ללוחמה בטרור במשרד ראש הממשלה, גורמי הביטחון הרלוונטיים, הממונה על היישומים הביומטריים במשרד ראש הממשלה (שיגיש דוח בימים הקרובים), רשות האוכלוסין וההגירה, משטרת ישראל, והועדה המייעצת אשר מונתה לצורך פיקוח על התנהלות תקופת המבחן. הועדה המייעצת כוללת חברים בכירים ובהם: הסטטיסטיקן הממשלתי (מנהל הלמ”ס), ראש מטה לוט״ר, ראש הרשות למשפט וטכנולוגיה במשרד המשפטים, הממונה על היישומים הביומטריים במשרד רה״מ וכן נציג ציבור.
נבהיר שוב – כלל הגורמים הללו הגישו לאחרונה דוחות המבהירים בצורה חד משמעית כי הוכח הצורך במאגר ביומטרי וכי הוכחה נחיצותו וכן כי תקופת המבחן הסתיימה בהצלחה ומולאו כל החובות כנדרש.
הרשות הגישה לפני כחודשיים דוח מסכם לשר הפנים, לראש הממשלה ולכנסת. (הדוח פורסם לעיון הציבור באתר הרשות בין דוחות מפורטים נוספים), הדוח מסכם את תקופת המבחן ומפרט את כלל הפעולות והנושאים שבוצעו. המבדקים ובחינת ביצועי המערכות בוצעו בהובלת מומחי מרכז המחקר ברפא״ל ובהובלת מומחי ביומטריה, בחינת הנעשה בעולם בוצעה על ידי גורמים מקצועיים המעורבים בפרויקטים בחו״ל ומצויים בתחום זה שנים רבות, ומבדקים נוספים בוצעו על ידי גורמים מקצועיים נוספים. הדוח מפרט את הפעולות ואת המסקנות בדבר הצורך במאגר.
בנקודת זמן זו, מן הראוי היה כי ה״מתנגדים״ יקראו בעיון את הדוח המסכם שפרסמה הרשות, יבינו כי בוצעה עבודה מקצועית, מקיפה ומהימנה ביותר, ובמידה ויחפצו בכך יעלו שאלות מקצועיות וענייניות. על אף הצעותינו לאותם ״מתנגדים״ להיפגש ולקבל תשובות לנושאים המטרידים אותם לא זכינו לתאום פגישה כזו מעולם.
מפנייתכם לרשות בבקשת תגובה, אנו מבינים שלא כך נעשה. נכתב “דוח מסכם” על ידי ה ״מתנגדים״ אשר לא הועבר לעיון הרשות או להתייחסותה, אלא לתקשורת ולגורמים נוספים. מעיון בדו”ח עולה כי מדובר בגיבוב של שקרים, הטעיות והמצאות. מסמך שלם בעל מראית עין “מכובדת” אשר כולו רצוף במסקנות שגויות מוטעות ומטעות בצורה מכוונת. המסמך כולל שימוש במידע מהימן ומקצועי שפרסמה הרשות, תוך עיוותו בניסיונות להציגו כמידע מוטעה. “דו”ח המתנגדים” למעשה אומר – “הועדה המייעצת אשר מונתה בחוק לפקח על התנהלות תקופת המבחן וכל הגופים המקצועיים אשר בוחנים את פעילות הפרויקט באופן הדוק מזה מעל שנתיים, אינם יודעים דבר ואינם מבצעים את עבדותם. לפיכך אנו, קבוצת חברים חדורי מוטיבציה, נספק לציבור את הנתונים ה “אמיתיים””. נבהיר בזאת כי כל גורם יכול לכתוב דוחות והצעות ולהמציא סיכומים כאוות נפשו.
לסיכום נבהיר כי תקופת המבחן אפשרה לקיים מבדקים ובחינות תוך פיקוח חיצוני הדוק. כפי שעולה מהדו”ח המסכם, נכון ליום זה למעלה מ-700 אלף איש ביקשו וקיבלו תיעוד חכם והצטרפו למאגר באופן וולונטרי. המספר הגבוה של המצטרפים, אשר עלה בעשרות מונים על הציפיות הראשוניות, אפשר לבדוק באופן מקצועי את כל ההיבטים הנדרשים בחוק ובצו. תוצאת כלל המבדקים והמלצת כלל הגורמים הרשמיים המעורבים הנה כי הוכחה נחיצות המאגר הביומטרי והצורך בו וכן כי המאגר הוקם בצורה מאובטחת, מקצועית וטובה מאוד, אשר מאפשרת מענה מאוזן ומיטבי לדרישות החוק ומאפשרת למדינת ישראל, בדומה למדינות רבות בעולם, למלא את חובתה ולהגן על פרטיות תושביה ועל זהותם מפני עבריינים ופעילי טרור”.
הערות לתגובה
יצויין, כי חלק מהטענות בתגובת הרשות, כמו למשל הטענה כי דו”ח המתנגדים טוען כי ” הגופים המקצועיים אשר בוחנים את פעילות הפרויקט באופן הדוק מזה מעל שנתיים, אינם יודעים דבר ואינם מבצעים את עבודתם” – אינן נכונות. הדו”ח העצמאי דווקא מביא התייחסויות לדאגות שהביעה הוועדה המייעצת (כך שגם לא “כלל הגופים העבירו המלצה חד משמעית”, כמו שנטען בתגובה), כמו גם מבקר המדינה. עוד הטענה כי מדובר ב”קבוצת חברים חדורי מוטיבציה” – אף היא גובלת בהשמצה חסרת ביסוס.
יקרא הקורא הנבון וישפוט.
Discover more from החיבור
Subscribe to get the latest posts sent to your email.
[…] דו"ח מומחים עצמאי קובע: המאגר הביומטרי מיותר […]
[…] מדובר ב-100% דיוק, אך זה בהחלט די קרוב לשם. אבל זהו חיישן טביעות האצבע הכי מהיר שנתקלנו בו עד היום. מהירות התגובה מרגע שבוצע […]