טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

אחרי חשיפת כשלי האבטחה במאגר הביומטרי, הצעת חוק קוראת לבטלו

שבוע לפני תחילת הפיילוט מזהירים ח"כים מהעבודה מדליפת פרטים רגישים מהמאגר ושימוש לרעה בהם. האגודה לזכויות האזרח: המאגר ייהפך למשטרתי

תגובות

יום אחרי ש"הארץ" פרסם ליקויי אבטחה חמורים במערך האימות האלקטרוני של תעודות הזהות הביומטריות הניחה מפלגת העבודה הצעת חוק לביטול הקמת המאגר הביומטרי, מחשש לדליפת המידע המסווג שייאסף בו.

בהצעה, שיזמו חברי הכנסת איתן כבל ומיקי רוזנטל יחד עם יו"ר סיעתם שלי יחימוביץ', צוין כי "בפריצות שהיו למאגרים עד כה, דוגמת הפריצה למאגר מרשם האוכלוסין, נחשפו פרטים אישיים או מידע רגיש. מקרה חשיפת פרטי כרטיסי האשראי שארע בעת האחרונה על ידי האקר מחוץ לישראל מחזק את הטענות בדבר הסיכון הרב הטמון בקיום מאגרי מידע".

היוזמים הוסיפו כי "במקרה של מאגר מידע ביומטרי, ההשלכות של חשיפת מידע או שימוש לרעה במידע עלולות להיות חמורות בהרבה עקב רגישותו הרבה של המידע ולאור העובדה כי בשונה מפרטי כרטיס האשראי, זהו מידע שלא ניתן להחליפו". לדבריהם, קיום המאגר מעלה שאלות בדבר גניבת זהות וזיוף טביעת אצבע, שעשויות להיות להן השלכות בלתי הפיכות. 

בעוד כשבוע אמור להתחיל בישראל שלב הפיילוט של מיזם המאגר הביומטרי. המיזם אמור היה להתחיל כבר לפני שנתיים, אולם הוצאתו לפועל התעכבה בשל התארכות הליכי החקיקה, עתירה לבג"ץ של האגודה לזכויות האזרח שנדחתה וכן סכסוך עבודה בין עובדי רשות האוכלוסין לבין משרד האוצר, שסיומו לפני שלושה שבועות הסיר את המכשול האחרון.

המיזם נועד ליצור מאגר ממוחשב שבו ייאספו וירוכזו נתוני טביעות אצבע ותווי פנים של כל האזרחים בישראל, כחלק מתהליך הנפקת תעודות זהות חדשות ו”חכמות”. 
בשלב הניסוי המקדים יישאל מי שיבואו לחדש את תעודת הזהות או את הדרכון במשרד הפנים אם ברצונו להנפיק תעודה ביומטרית, אולם ניתן יהיה לסרב להצעה זו. שלב זה צפוי להימשך שנתיים עם אפשרות להארכה נוספת, שבסופה יוחלט אם להפוך את המאגר לקבוע.

באגודה לזכויות האזרח מתנגדים למיזם בטענה שיהפוך למאגר משטרתי. לטענתם, המאגר הביומטרי אינו הכרחי לצורך הנפקת תעודות חכמות או ביומטריות והוא פוגע פגיעה חמורה בפרטיות. דליפתו, הם מזהירים כי הוא יגרום לנזק בלתי הפיך.

מסמכי הניהול של פרויקט תעודת הזהות החכמות, שהגיעו לידי "הארץ", חשפו שורת ליקויים שהתגלו במבחני חדירה של הרשות למשפט טכנולוגיה ומידע (רמו"ט) ובתוצאות ביניים של מבדקי חדירות שביצעה חברת האבטחה קומסק למערכת. בין היתר התברר כי מערכות הפרויקט אינן מוגנות בתוכנות אנטי וירוס וכי לא הותקנו בהן מערכות התראה ובקרה, שנועדו לזהות תקיפות וניסיונות חדירה למערכת לא רק מחוצה לה אלא גם על ידי עובדים שאינם מורשים לבצע חלק מהפעולות. "ללא מערכות התרעה לא ניתן יהיה לדעת האם מתבצעות פעולות חריגות במערכות ולתחקר אותן כדי למנוע שימוש לרעה בעתיד", נכתב במסמך. 

מהמסמכים התברר עוד כי המערכת לא תוכננה לעבור עדכונים ידניים שוטפים, וכי בקשות להנפקת תעודות מועברות ממשרד הפנים למערך להנפקת חתימות דיגיטליות ברשת פנימית בפרוטוקול לא מאובטח (HTTP). בחוות הדעת של רמו"ט הסבירו כי "מבחינת מומחי אבטחת המידע אין הבדל ברמת האבטחה הנדרשת בין מערכת 'סגורה' למערכת 'פתוחה' לאינטרנט, מאחר וידוע כי דווקא מרבית ההתקפות מגיעות מרשתות פנימיות/עובדים ולא מרשתות האינטרנט". למעשה, גם במקרה המפורסם של דליפת מרשם האוכלוסין בשנת 2006, האחראי היה עובד קבלן במשרד הרווחה שהצליח לשים את ידיו על המאגר שמכונה אגרון.

עוד עלה מהמסמכים כי ההצלבה בין בקשות להנפקה ממשרד הפנים לתעודות שהונפקו על ידי ממיל"א מתבצעת על ידי קובץ אקסל לא מוצפן.

ממשרד המשפטים נמסר בתגובה כי "המערכת החדשה טרם הופעלה והליקויים שעליהם מצביעה רמו"ט במסגרת הפיקוח שלה אמורים להיות נידונים בימים אלה מול הגורמים הרלוונטיים, כחלק מדיון מקצועי על תפיסת אבטחת המידע במערכת זו. יש לציין כי הדיון נמצא בראשיתו והמסמכים כוללים מידע ראשוני וגולמי. המערכת החדשה, שתופעל בינתיים כפיילוט, תיבחן לאורך כל תקופת הפיילוט על פי הסטנדרטים המחמירים ביותר מבחינת אבטחת מידע".

עוד נמסר כי המסמך, שנשלח בדואר האלקטרוני, שוגר בשל טעות אנוש לתפוצה רחבה יותר לעומת תפוצתו המקורית. מנכ"ל משרד המשרד המשפטים, ד"ר גיא רוטקופף, הטיל על קב"ט המשרד לבדוק את האירוע ולהעביר אליו את מסקנותיו.

מרשות האוכלוסין וההגירה נמסר בתגובה כי "רמו"ט הינה אחד הגורמים עמם מחויבת רשות האוכלוסין להיוועץ בנושא, ועם זאת, אבטחת המערכת נעשית תוך התייעצות עם מומחים נוספים בתחום אבטחת המידע. התייחסות רמו"ט במסמך האמור אינה נוגעת לנתונים הביומטריים המצויים על התעודה הביומטרית כי אם לנתוני אימות אלקטרוניים המשמשים להזדהות מול אתרי ממשלה באינטרנט (שירותי ממשל זמין)".



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות