דו"ח מומחים: סכנה לדליפת מידע מהמאגר הביומטרי; ''מטעים את המחוקקים ואת הציבור" - חינוך וחברה - הארץ

דו"ח מומחים: סכנה לדליפת מידע מהמאגר הביומטרי; ''מטעים את המחוקקים ואת הציבור"

התנועה לזכויות דיגיטליות פרסמה את הדו"ח לקראת תום תקופת המבחן של המאגר בסוף החודש; הרשות לניהול המאגר: כל גורם יכול לכתוב דו"חות כאוות נפשו. בוצעה עבודה מקצועית ומהימנה

שתפו כתבה במיילשליחת הכתבה באימייל
אילן ליאור
אילן ליאור

דו"ח של מומחי מחשבים ואבטחת מידע מזהיר מפני ליקויים במאגר הביומטרי, המעמידים בסכנת זליגה את המידע המצוי בו. כמו כן, מאשימים מחברי הדו"ח את הרשות לניהול המאגר הביומטרי בהשמטת מידע בדו"ח המסכם את תקופת המבחן ובניסיון להטעות את מקבלי ההחלטות. התנועה לזכויות דיגיטליות, המתנגדת למאגר הביומטרי, פרסמה את דו"ח המומחים לקראת תום תקופת המבחן בסוף החודש. בתום המבחן, תידרש הכנסת להחליט אם להפוך את ההצטרפות למאגר הביומטרי לחובה לכל אזרחי המדינה, להאריך את המבחן או לבטל את המאגר ולמחוק אותו.

שר הפנים הקודם, גלעד ארדן, הודיע לפני חודשיים כי יקדם מהלך הדרגתי שיחייב את כל אזרחי ישראל להצטרף למאגר הביומטרי. זמן קצר אחר כך פרסם מבקר המדינה הודעה ובה התריע כי מצא "ליקויים מהותיים" במאגר ובשל כך ביקש להקפיא את הליך החקיקה. בימים הקרובים צפוי להתפרסם דו"ח המבקר בסוגיה זו. בשבוע שעבר דחתה ועדת המשנה לביטחון של הוועדה לביקורת המדינה בכנסת את בקשת גופי ביטחון להטיל חיסיון על חלקים נרחבים בדו"ח והתירה לפרסם אותו כמעט במלואו. שר הפנים החדש, סילבן שלום, טרם הביע עמדה מפורשת באשר למאגר הביומטרי.

"דו"ח המומחים מנתח ומציג את הכשלים ופערי המידע בדוחות המפורסמים על ידי הרשות הביומטרית, עד כדי חשש להשמטת מידע מכוונת וניסיון שיטתי להטעות את חברי הכנסת ואת הציבור במידע חלקי ומסולף", נכתב במכתב המצורף לדו"ח, שיוגש לראש הממשלה, לשרים, לחברי הכנסת ולמבקר המדינה. "הרשות לניהול המאגר הביומטרי לא קיימה את חובתה לערוך ניסוי אמיתי, שיציג בפני חברי הכנסת את המידע הנחוץ לשם קבלת החלטה שקולה בדבר נחיצות המאגר הביומטרי. היא אף לא טרחה לבחון ברצינות שיטות חלופיות לקיום דרישות החוק".

לטענת מחברי הדו"ח "ברור כי אין צורך ממשי במאגר ביומטרי. לכן, אין טעם להאריך את תקופת המבחן בשנתיים נוספות. לכן, אנו קוראים לממשלת ישראל ולחברי הכנסת לבטל את המאגר הביומטרי כבר עתה". במקום המאגר הביומטרי הם מציעים להנפיק לאזרחי המדינה תעודות זהות חכמות. המידע הביומטרי יישמר על התעודות בלבד ולא במאגר מרכזי. כמו כן, הם ממליצים לעבות ולשפר את תהליכי התשאול בלשכת האוכלוסין בעת הנפקת התעודה, כדי למנוע התחזות. את הדו"ח חיברו פרופ' אלי ביהם, צבי דביר, פרופ' קרין נהון, דורון שקמוני, דורון אופק ועו"ד יהונתן קלינגר.

הדו"ח מצביע של שתי בעיות אבטחה שהתגלו באחרונה בעקבות חשיפת רשימת הרכש של הרשות הביומטרית. מחברי הדו"ח מצאו כי הרשות הביומטרית התקשרה עם חברות פרטיות על מנת לגבות את המידע הרגיש המצוי ברשותה. כך, לפני שנתיים שכרה הרשות שירותי גיבוי מידע למקרי אסון מחברת האינטרנט בינת ובשנה שעברה מחברת בזק בינלאומי. עוד התברר, כי ברשות הביומטרית אין הפרדה פיזית בין רשתות התקשורת, אלא באמצעות תוכנה לבידול מידע. זאת, אף שבכירי משרד הפנים והרשות הצהירו פעמים רבות כי רשתות התקשורת של המאגר הביומטרי מנותקות לחלוטין מרשתות חיצוניות.

דורון אופק, מומחה לאבטחת מידע וסייבר מסביר כי "כשיש איומים על מערכות המחשוב שלהן, חברות שמות את המידע שלהן בעוד מקום מעבר למקום הרגיל. ואז אם חס וחלילה קורה במקום הרגיל איזו קטסטרופה, השרתים נשרפו, נפגעו, אפשר להחזיר את כל המידע מהמקום המשני. חברות מסחריות הולכות לבינת, הולכות לבזק, ונמצאים שם שרתים באירוח. זה בסדר. זה לא לגיטימי כשמדובר במידע שהוא סודי. בצבא לדוגמה עושים את זה בין שני אתרים שהם בשליטת הצבא. היה מצופה שגם הרשות הביומטרית תעשה את זה בין שני אתרים שלה".

בהתייחס לתוכנת בידול המידע אומר אופק כי "בצבא ובמקומות כאלה מחשבים שהם נורא סודיים מנותקים מכל רשת. אם מישהו רוצה לגנוב את המידע הוא צריך שיתוף פעולה מבפנים. ברשימות הרכש שלהם אנחנו מקבלים שהם קונים כלי לבידול רשתות. תוכנת הבידול אמורה לאפשר מעבר חד כיווני של מידע. למה עושים את הניתוק הפיזי המלא? כי אומרים אנחנו לא רוצים לשמור על המידע עם כלי תוכנה שעלולים להיכשל. והנה הם שמו תוכנה שעלולה להיכשל. במערכות סודיות לא לוקחים את הסיכון הזה ועושים ניתוק מלא".

בנוסף, טוענים מחברי הדו"ח כי את 71 מקרי התחזות וזיוף הזהות שהתגלו ב-2014 ניתן היה למנוע באמצעות תעודה חכמה או ביומטרית או תשאול מעמיק יותר. לדבריהם, כלל לא היה צורך במאגר. עוד הם מאשימים את הרשות הביומטרית בהצגת נתונים שגויים אודות מאגרים ביומטריים בעולם. הם מבססים את דבריהם על דו"ח של מרכז המחקר והמידע של הכנסת, לפיו ההצטרפות לרוב המאגרים הקיימים היא על בסיסי התנדבותי ואינה חובה לכלל אזרחי המדינה. טענה נוספת המופיעה בדו"ח היא כי הרשות הביומטרית לא בדקה כראוי חלופות מקובלות בעולם למאגר, כפי שציווה עליה החוק. לטענת מחברי הדו"ח, הרשות העניקה ציונים נמוכים באופן בלתי סביר לחלופות שכן בדקה.

"הבעיה היא לא נקודה אחת שאפשר לפתור", מסכם אופק. "יש שם כל כך הרבה נקודות שבעצם זה אומר לי דבר אחד — הרשות הזאת או האנשים שלה לא מספיק רציניים או לא מספיק מקצועיים וזה מה שמפחיד אותי". הוא מוסיף כי אם תתקבל החלטה להפוך את ההצטרפות למאגר הביומטרי לחובה "אני אהיה מהראשונים לקרוא לאזרחים למרוד בהחלטה כזאת, לא לקיים אותה אפילו שזה יהיה החוק. במצב הדברים הנוכחי זה פשוט טירוף להיכנס למערכת כזאת. זו פשוט שערורייה שגובלת בהפקרות".

מהרשות לניהול המאגר הביומטרי נמסר בתגובה: "פעילות הרשות בשנתיים האחרונות במסגרת תקופת המבחן בוצעה בליווי ובכפוף לפיקוח ובקרה הדוקים של מספר גופים רשמיים. לאחרונה העבירו גופים אלו אשר מעורבים ובקיאים בכל הנעשה בתקופת המבחן, דוחות מסכמים. כלל הגופים העבירו המלצה חד משמעית בדבר העובדה שהוכח הצורך במאגר ביומטרי וכי הוכחה נחיצותו וכמו כן, כי תקופת המבחן הסתיימה בהצלחה ומולאו כל החובות כנדרש.

"הרשות הגישה לפני כחודשיים דוח מסכם לשר הפנים, לראש הממשלה ולכנסת. הדוח מסכם את תקופת המבחן ומפרט את כלל הפעולות והנושאים שבוצעו. בנקודת זמן זו, מן הראוי היה כי המתנגדים יקראו בעיון את הדו"ח, יבינו כי בוצעה עבודה מקצועית, מקיפה ומהימנה ביותר, ובמידה ויחפצו בכך יעלו שאלות מקצועיות וענייניות. באופן עקרוני אנו מוצאים לנכון להבהיר כי כל גורם יכול לכתוב דו"חות והצעות כאוות נפשו. אולם שיטה זו של הסתמכות על חלקי נתונים וחצאי אמיתות אינה מקצועית וחוטאת לאמת. על אף הצעותינו לאותם מתנגדים להיפגש ולקבל תשובות לנושאים המטרידים אותם לא זכינו לתיאום פגישה כזו מעולם".

תגובות

הזינו שם שיוצג כמחבר התגובה
בשליחת תגובה זו הנני מצהיר שהינני מסכים/ה עם תנאי השימוש של אתר הארץ