אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
קראו עוד סגור
המסמך המלא: הרשות הביומטרית משיבה על כל השאלות הקשות צילום: שאטרסטוק

המסמך המלא: הרשות הביומטרית משיבה על כל השאלות הקשות

למה לא נבדקו חלופות למאגר הביומטרי כמו שימוש במאגר המשטרתי? למה צריך מאגר אם תופעת גניבת הזהויות הסתכמה ב-2014 ב-71 מקרים? ומה יקרה ביום שבו תחליט הממשלה להרחיב את השימושים במאגר? הרשות לניהול המאגר מתייחסת לכל הטענות

21.06.2015, 07:13 | עומר כביר

לקראת פרסום הפרויקט העברנו לרשות לניהול המאגר הביומטרי רשימה של 21 שאלות שעוסקות בסוגיית הבוערות ביותר של פעילות המאגר. בכתבה זו  ניתחנו את תשובות הרשות לשאלות המרכזיות. כאן אנו מביאים, להתרשמותכם, את רשימת השאלות והתשובות המלאה.

זיהוי ביומטרי, צילום: שאטרסטוק זיהוי ביומטרי | צילום: שאטרסטוק זיהוי ביומטרי, צילום: שאטרסטוק

הסיבה העיקרית להקמת המאגר היא, לדברי הרשות, מניעת הרכשת כפולה. בדו"ח המסכם שלכם, חלופת התשאול המכויל לצו זכתה לציון של 11.4 מתוך 12. למה המדד הזה לא היה דומיננטי יותר בחישוב?

"המשקל אשר ניתן לכל אחד מהנושאים הנמדדים נקבע על ידי הוועדה המייעצת אשר מונתה לצורך פיקוח על התנהלות הפרויקט ולא על ידי רשות האוכלוסין או הרשות לניהול המאגר הביומטרי. תהליך זה כלל התייעצות עם הרשויות, שאכן הציעו משקל גבוה יותר לסעיף זה, אולם הוועדה המייעצת החליטה על המשקל הסופי, בהתאם למנדט שנקבע לה בחוק".

מדוע לא נבדקו חלופות נוספות כמו הסתמכות על המאגר המשטרתי במקום מאגר כללי (בעקבות טענת הרשות כי מי שצפוי להוציא תעודה במרמה הוא בעל עבר פלילי); השיטה הבלגית (לכל אזרח מוצאת תעודת זהות עם לידתו שמוחלפת כל שש שנים עד גיל 18, התחזות דורשת תכנון של שנים רבות מראש ושיתוף פעולה עם הורים וגורמי רפואה, מי שאיבד תעודה צריך לדווח במשטרה ומתושאל על ידי שני שוטרים); או חלופות כמו אימות זהות באמצעות קרובי משפחה, קביעת שאלת זיהוי בעת ההרכשה הראשונה או הסתכמות על מאגרי מידע חיצוניים, למשל של חברות אשראי?

"כל אחת מהחלופות שצוינו גוררת בעיות משפטיות וחוקתיות קשות, תוך הטלת עומס שאיננו סביר הן על התושבים והן על משרדי הממשלה המעורבים. מתן גישה למאגר המשטרתי מגביל את היכולת לאתר רק עבריינים מוכרים, ויוצר בעיות פרטיות קשות (לא כל רישום פלילי צריך למנוע מתושב תיעוד או לפגוע בו ונדרש כאן שיקול דעת שהוא בלתי אפשרי במקרים רבים). אם הובע בעבר חשש מפני שינוי התנהגות בעקבות קיומו של מאגר, הרי כאן יש משהו מפחיד בהרבה – כל סכסוך שכנים יסתיים בתלונה שמטרתה ליצור לצד השני רישום פלילי, שיפגע אפילו בחופש התנועה שלו, על ידי עיכוב קבלת דרכון למשל. כך גם שימוש בנתוני חברות אשראי או באופן כללי יותר בדיקה של 'טביעת רגל חברתית' (social footprint) לצורך אימות זהות. נתונים כאלו אינם נגישים לרשות האוכלוסין וראוי שכך יהיה גם בעתיד, כדי למנוע ריכוז יתר של נתונים, נגישות של רבים אליהם ופגיעה אנושה הרבה יותר בפרטיות. במהלך תקופת המבחן נבדקו חלופות בהתאם להגדרות החקיקה, ואף מעבר לכך. הבחינה הורחבה כפי שניתן לראות במסמכים המפורטים באתר האינטרנט של הרשות".

ראש המטה ללוחמה בטרור לשעבר ניצן נוריאל. העריך שהמשטרה תיעזר במאגר באופן קבוע, צילום: נמרוד גליקמן ראש המטה ללוחמה בטרור לשעבר ניצן נוריאל. העריך שהמשטרה תיעזר במאגר באופן קבוע | צילום: נמרוד גליקמן ראש המטה ללוחמה בטרור לשעבר ניצן נוריאל. העריך שהמשטרה תיעזר במאגר באופן קבוע, צילום: נמרוד גליקמן

 

המדדים שנבדקו: בדו"ח לא מפורטים איך חושבו הציונים שניתנו במדדים השונים. מדוע? מה הייתה שיטת החישוב לכל מדד?

"הציונים נקבעו על פי תהליך מפורט ביותר אשר הוצג לוועדה המייעצת, עבר מספר עדכונים ושינויים ובוצע תוך היוועצות מתמשכת עם הועדה המייעצת. במקרים מסוימים שונו הציונים ואופן קביעתם בהתאם להערות הוועדה, שכללה גם את נציגי משרד המשפטים/רמו"ט, הסטטיסטיקן הממשלתי – מנהל הלמ"ס, נציג ציבור וגורמים נוספים. צורת קביעת הציונים אושרה על ידם בתהליך ארוך ומפורט, שבסיומו הוסכם על כל חברי הוועדה שהציונים ניתנו בתהליך סדור וראוי".

מדדים מסוימים אינם רלוונטיים לחלופות ללא מאגר (למשל מספר התראות שווא). מדוע אותן חלופות קיבלו ציון 0 ולא ציון מלא באותם מדדים? האם זה נעשה כדי להקטין את הציון הסופי שלהן?

"גם חלופות שאינן כוללות מאגר מייצרות התראות שווא (לדוגמא, חלופת תשאול ללא מאגר מייצרת התראות שווא בעת טעות בתשובות לשאלות), ולכן מספר התראות השווא בהחלט רלוונטי גם לחלופות ללא מאגר כי כל מקרה כזה חייב להיות מטופל, בין ברשות האוכלוסין ובין ברשות אחרת. מתן הציונים נעשה בצורה אחידה ורוחבית, כך שאם המאגר לא היה עומד בדרישות החוק גם הוא היה מקבל אפס בסעיף זה. אותו כלל צריך לחול על כל החלופות, כך שחלופות המייצרות הרבה התראות שווא, יותר מהסף שהוגדר בצורה מפורשת בצו, צריכות אכן לקבל ציון אפס. אנו מניחים שאם המאגר לא היה עומד בדרישות הצו הייתה קמה מיד דרישה (מוצדקת) לבטלו, וכאמור ראוי להפעיל כללים אחידים וזהים על כל החלופות".

לטענת מתנגדי המאגר, האופן שבו חושבו המדדים השונים לא נעשה בהתאם לצו. כך, למשל, בנוגע למדד שבוחן את היכולת לזהות התחזויות הם כותבים בדו"ח שלהם: "מדד זה מוגדר בצו 'מספר הפעמים שבהן התקיים חשד להרכשה כפולה או להתחזות בזהות אחרת', דהיינו איתור התחזויות מכל הסוגים, לא רק התחזויות מסוג הרכשה כפולה בלבד. הרשות הביומטרית, בניגוד גמור לצו המבחן, בחנה את היכולות של חלופות המאגר לאתר הרכשות כפולות בלבד, והתעלמה מהיכולות של חלופות התשאול להתמודד עם התחזויות בהרכשה הראשונית. לכן, המדד חושב מחדש, תוך מתן ניקוד שווה ליכולת לאתר התחזות בהרכשה ראשונית וליכולת לאתר התחזות בהרכשה חוזרת או הרכשה כפולה. לחלופות המאגר אין כל יכולת לזהות התחזות בהרכשה הראשונית”. תגובתכם לטענות אלו?

"כאמור בתשובות לעיל, כלל תהליכי בחינת החלופות ומתן הציונים בוצע בפיקוח מלא ובליווי הועדה המייעצת ותוך התייעצות עמה. בנוסף, נבקש להפנות לפרוטוקולי הדיונים בוועדת המדע של הכנסת, שבהם הוסבר בצורה מפורשת ומספר פעמים, שהמונח 'הרכשה כפולה' מתייחס לריבוי זהויות. הובהר כבר יותר מפעם אחת שאין מענה להרכשה ראשונית על ידי מתחזה *וגם תשאול לא יתן מענה לנושא זה*, כפי שהבדיקות בתקופת המבחן הוכיחו הלכה למעשה. בדיקות חלופת התשאול נעשו בהובלת הלמ"ס ובהתאם למודל שהוצע על ידם. התוצאה היא מובהקת: מתחזה יצלח בנקל את תהלי התשאול. אולם כאשר מבוצע שימוש במאגר ביומטרי ה "תשלום" של אותו מתחזה הוא כבד מאד – ויתור על זהותו האמתית וקיבועו בזהות הבדויה. זהו תשלום כבד מאד מבחינתו. בעולם של תעוד ביומטרי חכם ללא מאגר מתחזה יכול לקבל מספר רב של תעודות 'לגיטימיות' בזהויות בדויות".

האם תוכלו לספק הסבר מפורט וניתן לבדיקה ולאימות לגבי האופן שבו חושבו משקלי המדדים השונים והציונים שניתנו לכל חלופה, וכן להסביר מדוע שיטת החישוב שלכם עדיפה על זה שמציעים המתנגדים? להבהרה: אמירה כמו "המדדים חושבו על ידי המומחים המובילים בתחום ואושרו על ידי ועדה חיצונית" אינה הסבר מתאים. אנחנו רוצים לדעת איך נראים הקרביים ושנוכל לבחון את ההסבר עצמאית.

"כאמור לעיל, המשקלים אשר ניתנו לכל אחד מעשרת המדדים מפורטים בטבלאות בדוחות אשר פרסמה הרשות. המשקלים נקבעו על ידי הועדה המייעצת, ולא על ידי הרשויות. הציונים נקבעו על פי תהליך מפורט ביותר אשר הוצג לוועדה המייעצת, עבר מספר עדכונים ושינויים ובוצע תוך היוועצות מתמשכת עם הועדה המייעצת. במקרים מסוימים שונו הציונים ואופן קביעתם בהתאם להערות הוועדה, שכללה גם את נציגי משרד המשפטים/רמו"ט, הסטטיסטיקן הממשלתי – מנהל הלמ"ס, נציג ציבור וגורמים נוספים. צורת קביעת הציונים אושרה על ידם בתהליך ארוך ומפורט, שבסיומו הוסכם על כל חברי הוועדה שהציונים ניתנו בתהליך סדור וראוי".

 

לפי הנתונים שלכם, יש יותר מ-600 אלף אנשים במאגר אבל כמעט 70% מהתעודות שהונפקו במהלך הפיילוט היו רגילות. עולה שרוב מכריע של האזרחים מסרב להצטרף. זה לא כישלון מבחינתכם? אמנם הנתון גבוה יותר מרף ה-20% שנקבע, אבל מדובר ברף נמוך מאוד שקל לעברו. מדוע נבחר רף נמוך כל כך?

"בכל יום מבקשים כ-1,500 תושבים להנפיק תיעוד ביומטרי חכם ופרטיהם נשמרים במאגר. במועד זה המאגר כולל מעל 700 אלף תושבים אשר פרטיותם מובטחת בזכות יכולות המערכות למנוע את זיוף זהותם. לשאלתך, לא מדובר ברף נמוך כלל וכלל אלא רף שמשקף חוסר איזון מובנה לרעת התיעוד הביומטרי. כאשר תושב מעוניין בתעודת זהות יש לפניו שתי ברירות:

"1. תז ישנה – המתנה בתור פעם אחת ויציאה מלשכת רשות האוכלוסין עם התעודה בידו.

"2. תז ביומטרית חכמה – תעודה מתוחכמת בהרבה, עם סימני ביטחון מורכבים, שלא ניתן לייצרה בלשכות אלא רק בייצור מרכזי. המשמעות היא אילוץ להגעה שנייה ללשכה לצורך מסירת התעודה המוגמרת, מספר ימים לאחר מכן. זהו גורם שמוריד בצורה דרמטית את המוטיבציה לבקש את התעודה הביומטרית החכמה. אתה מופנה לדוחות התקופתיים, המצביעים על כמות גדולה של תושבים שרצו מאד תיעוד ביומטרי אולם לא באו לאסוף אותו בגלל הטרחה של הגעה נוספת ללשכות רשות האוכלוסין. לשכות רשות האוכלוסין פועלות בעומס עבודה עצום ומשרתות עשרות אלפי אנשים בחודש. לעיתים קרובות התורים שם ארוכים ומייגעים ודבר זה מרתיע רבים מהגעה נוספת לצורך איסוף התעודה הביומטרית.

"במקרה של דרכון, יש אפשרות בחלק מן הלשכות לקבל דרכון באופן מידי, אך גם כאן זה אפשרי רק עם הדרכון הישן, כי לא ניתן לפרוס בכל הלשכות או אפילו בחלקן ציוד הנפקה מאיכות כזו הנדרשת עבור הדרכון הביומטרי. כתוצאה מכך רבים ממבקשי הדרכונים ביקשו את הדרכון הישן, כדי לא להמתין עד לקבלת הדרכון מהדגם הביומטרי, המיוצר באתר מרכזי ולא בלשכות. לעיתים קרובות נזכרים תושבים לחדש את דרכונם בדקה התשעים ואז הם לא מוכנים להמתין שבוע עד עשרה ימים לדרכון ביומטרי, למרות היתרונות הרבים מאד שלו".

לפי נתוני רשות האוכלוסין, ב-2014 זוהו 71 מקרים של עבירות זיוף והתחזות – 70 מהם ניתן היה למנוע ללא מאגר. גם אם מספר המקרים הכולל גבוה פי 10, עדיין מדובר בעבירה בהקף קטן מאוד שאת רובה ניתן למנוע ללא מאגר. איך אתם מצדיקים הקמת המאגר לאור נתון זה? האם תוכלו להביא נתונים סותרים ממוסמכים?

"תופעת ההרכשות הכפולות המבוצעות תוך התחזות מול פקיד הנה תופעה רחבת היקף. מנתוני רשות האוכלוסין (הממוסמכים) עולה כי מידי שנה מתקבלים בלשכות רשות האוכלוסין למעלה מ-160,000 דיווחים על אבדן או גניבת תעודות זהות וזאת מתוך סך של כ-600,000 תעודות זהות חדשות המונפקות בכל שנה. כלומר, מעל רבע מהתעודות מונפקות מדי שנה למי שדיווח על אובדן או גניבה. מבדיקת המשטרה (הממוסמכות) עולה כי רבים מאלו המדווחים על אובדן או גניבה רשומים במרשם המשטרתי הפלילי, עובדה המצביעה על קשר מובהק בין דיווח על אובדן או גניבת תעודת זהות ופעילות פלילית. להרחבה בנושא זה, ראה את מסמך 'נחיצות המאגר הביומטרי פרק I – תופעת ההרכשות הכפולות וגניבת הזהויות'.

"אנו מפנים למסמכים רבים של האיחוד האירופאי, המוכיחים בצורה מובהקת שכאשר לא ניתן יותר לזייף *תיעוד* פונים העבריינים למסלול של זיוף *זהות*. עם שיפור רמת אבטחת המסמכים, השגת מסמכים אותנטיים במרמה הופכת לנפוצה יותר ויותר בעולם כולו, לעומת ירידה חדה ומתמשכת בזיופי מסמכים. מלבד האמור לעיל, השכל הישר, וכן הניתוח שבוצע לאחרונה בהובלת מטה לוט"ר, אומר שכל עוד קיים מסלול מקביל של הנפקת תיעוד ישן, קל מאד לזיוף, עבריינים פשוט יימנעו מהוצאת תיעוד ביומטרי, שעלול לסכן את פעילותם העבריינית. לא ברור מקור האמירה בדבר יכולת מניעת עבירות כאלו ללא מאגר".

לפי דיווחים בתקשורת, השב"כ, המוסד וגופי המודיעין בצה"ל הזהירו את אנשיהם שלא להצטרף לפיילוט. האם לא מדובר בראיה לסכנה שבדליפת המאגר?

"אין זה מן הראוי שנדבר בשם גורמי ביטחון כאלו ואחרים. עם זאת נבהיר כי הגופים שציינת היו שותפים לגיבוש תורת ההפעלה לתיעוד לאומי המתבססת על מאגר ביומטרי מרכזי ונתנו לא אחת את ברכת הדרך לפרויקט. חלקם שותפים לתהליך כולו. רמת האבטחה וכלל התהליכים נבחנים ומבוקרים בצורה שוטפת על ידי הגורם הרלוונטי בשירות הביטחון הכללי. נציג השב"כ אף הצהיר בוועדת הכנסת במענה לשאלה בנושא, כי הנו 'שבע רצון מרמת האבטחה במאגר'.

לדברי מומחי אבטחה, המאגר יהיה מטרה למתקפות עוינות גם ברמת המדינה, למשל סין. לסין יש יכולות האקינג מתקדמות ומשוכללות והמדינה פרצה למערכות מחשוב מאובטחות ביותר. אם תרצה, יש לה גם משאבים להתמודד עם אבטחת המאגר. אתם ערוכים להתמודד עם כאלו ניסיונות חדירה?

"אמצעי האבטחה שננקטו במאגר הם חסרי תקדים ונועדו להתמודד גם עם יריבים ברמת מדינה או גופים עם יכולות טכנולוגיות מאד מתקדמות. נזכיר כי מערכות המאגר מופרדות מכל רשת. האקר סיני, יפני, ישראלי או פקיסטני יכול לנסות שנים רבות לאתר את מערכות המאגר ללא הצלחה. כמובן שקיים איום הגורם הפנימי, אשר מקבל את מלוא המענה תוך השקעת תשומות תקדימיות במגוון מעגלי האבטחה, תוך התעדכנות שוטפת בחשיפות, בפגיעויות ומתן מענה הולם באופן רציף ומתמשך".

הרשות הביומטרית שילמה לבינת ולבזק בינלאומי מאות אלפי שקלים עבור שירותי גיבוי ואחסון. לטענת מומחים, סכומים אלו משמעם אחסון של מידע בנפח גדול שיכול להיות רק המאגר הביומטרי עצמו. האם הטענה נכונה? אם לא, מה מאוחסן שם. אם כן, איך אפשר לאבטח את המאגר כשהוא מגובה אצלך גורם חיצוני?

"זו דוגמא נוספת לניסיון לייצר דה-לגיטימציה תוך התבססות על חלקי מידע וניסיון ליצור תמונה מעוותת ללא קשר למציאות, ובלא ניסיון של אותם 'מומחים' אפילו לברר את העובדות לאשורן. שתי החברות המדוברות זכו במכרז חשכ"ל לאספקת שרותי גיבוי לכלל משרדי הממשלה ובכללם משרד הפנים. הרשות הביומטרית נדרשת בחוק לקיום אתר גיבוי ואף לניסוי חצי שנתי במהלך תקופת המבחן, כפי שאף בוצע בהצלחה ודווח. לא מדובר ב'חשיפה מרעישה' של אותם 'מומחים'. ככל יחידה שפעילותה מבוססת על מערך המחשוב, נדרשת הרשות לשימוש באתר גיבוי. אתר הגיבוי מאובטח ברמה הנדרשת בהתאם להנחיות הגורם הרלוונטי בשב"כ. אתר הגיבוי לא כולל נתונים ביומטריים. אין ולא תהיה כל הוצאת נתונים ביומטריים מידי הרשות הביומטרית. הסקת מסקנות מוטעית ומטעה זו מעידה על מגמתיות הפרסומים המטעים של אותם ה'מומחים' ולאו דווקא על מקצועיותם".

מערכת השוואה ביומטרית: רוב הפיילוט לא הייתה מערכת קבועה. לאורך השנים אמרתם שהמערכת שהייתה בפועל עמדה בתקנים הבינלאומיים והתבססה על מנועי השוואה מובילים.

א. באיזו מערכת מדובר - מה שמה ומה שם החברה שסיפקה אותה?

"אכן כך, המערכת הקיימת ברשות נבחנה על ידי כל אנשי המקצוע ונמצאה כמערכת איכותית המאפשרת את ההסתמכות על ביצועיה הן בתהליכים השוטפים והן במסגרת הבחינות הנדרשות בתקופת המבחן. המערכת מבוססת על מנועי השוואה בין המובילים בעולם, אשר משמשים בפרויקטים רחבי היקף ברחבי העולם. הפיתוח מתייחס לחלקים משלימים בלבד, המותאמים לצרכים הייחודיים של המערכת, כגון תהליכי עבודת מנהלי המערכת, יכולת הפעלת מערכת אשר אינה כוללת כל נתון דמוגרפי כלשהו, דבר שאין לו אח ורע בעולם, וכדומה".

ב. היכן ניתן למצוא את הפטור ממכרז שהוענק לרשות לצורך רכישת והטמעת המערכת המדוברת?

 "באתר מנהל הרכש הממשלתי".

ג. מי הגורם שמוביל ברשות הביומטרית את הליך הרכישה, ההטמעה והתפעול של מערכת ההשוואה הביומטרית?

"אגף מערכות מידע".

ד. מה תפקידו של פיטר קוגן בכל הנוגע למערכת ההשוואה הביומטרית?

"מדובר באחד התוכניתנים בצוות הפיתוח, אשר שמו עלה בשל פרסום ההתקשרות עמו. נבקש לכבד את פרטיותו שכן אין כל ענין לציבור בזהותו של איש צוות פיתוח כזה או אחר".

ה. האם המערכת של חברת NeuroTechnology, שנרכשה לצורך השוואה בלשכות האוכלוסין בין טביעת אצבע למידע שמור בתעודה חכמה, משמשת גם כמערכת ההשוואה של המאגר הביומטרי?

"לא. מערכות הרשות הביומטרית מתפקדות כמערך מחשוב נפרד לחלוטין מכל מערך מחשוב אחר. מערכות ההשוואה ברשות הביומטרית מבצעות פעולות זיהוי (השוואת אחד לרבים) ולא רק אימות (השוואת אחד לאחד) כפי שנעשה ברשות האוכלוסין".

ו. אם המערכת הנוכחית עומדת כבר בדרישות החוק, מדוע יש צורך במערכת חדישה יותר? האם לא מדובר ברכישה מיותרת לאור טענתכם שהמערכת הנוכחית כבר ממלאת את הדרישות?

"אכן המערכת הנוכחית מתפקדת בצורה מצוינת. עם זאת וכפי שידוע , תחומי הטכנולוגיה ומערכות המידע מתפתחים ללא הרף. שאיפתנו הינה להיות בחזית הטכנולוגיה, הן מבחינת הביצועים והן מבחינת יכולות המערכת. ההתקשרות עם חברה אשר מתמחה בתחום הביומטריה תאפשר לרשות לשמור על עדכניות מערכות ההשוואה ותאפשר למדינת ישראל למלא את חובתה בהגנה על זהותם של תושביה ובמניעת ניסיונות התחזות וגניבת זהות".

ז. מתי תושלם הטמעתה של המערכת שזכתה במכרז?

"ההתקשרות עם הספק הזוכה במכרז בוצעה בשנת 2014, תהליך ההטמעה נמצא בעיצומו. מדובר בפרויקט טכנולוגי מורכב. סיום ההטמעה מתוכנן לרבעון האחרון של שנת 2015. לספק המערכת ולאנשיו אין כל גישה לנתונים הביומטריים אשר במאגר או למערכות הרשות".

רק למדינה מערבית אחת יש מאגר מנדטורי לכלל האזרחים, פורטוגל. לאחרות אין מאגר מנדטורי לתעודות זהות או מאגר רק לדרכונים, כשרבים מאלו כוללים רק תמונה. תחת זאת, יש הרבה מדינות לא מערביות שמנהיגות מאגרים מנדטוריים. מדוע ישראל יוצאת דופן ממדינות שעמדו גם הן תחת מתקפות טרור אכזריות, כמו ארה"ב, בריטניה וצרפת, ושלא הקימו מאגרים מנדטוריים לכלל האוכלוסייה או ביטלו תוכניות להקמת מאגרים כאלו?

"הנתונים המצוטטים בשאלה אינם נכונים. ניתן לאמת זאת בעיון מעמיק בדוח שפרסם מרכז המחקר והמידע של הכנסת וכן בדו"ח אשר פרסמה הרשות בנושא (הערת "כלכליסט": הנתונים בשאלה נכונים, ואומתו בדו"חות המדוברים). בלגיה, ספרד ושווייץ אף הן מדינות אשר להן מאגרים ביומטריים לצרכי ת"ז ודרכון. יש מדינות אשר מתוקף חוקיהן אין לאזרחיהן ת"ז כלל, כגון ארה"ב ובריטניה.

"בנוגע לארה"ב, להלן מספר עובדות מעניינות : בארה"ב אין תעודת זהות, אך יש תעודת זהות בפועל, שהיא רישיון הנהיגה. מי שלא מחזיק רישיון נהיגה יתקשה מאד לנהל את חייו. אפילו מנפיקים 'non driver driving license'. מעל 30 מדינות בארה"ב מחזיקות במאגרים ביומטריים מנדטוריים לרישיונות נהיגה. מדינות אלה מאפשרות למשטרה גישה לבסיסי הנתונים הביומטריים שברשותן. מדובר בלפחות 107 מיליון רשומות של אזרחים. ה-State Department מאפשר גישה למשטרה לבסיס הנתונים שברשותם ובו כ- 115 מיליון תמונות של אזרחים בעלי דרכון אמריקאי.

"המדינות: ארה"ב, בריטניה, צרפת, בלגיה, הודו, ספרד, פורטוגל, מקסיקו, שווייץ, הולנד, דנמרק, פינלנד, אוסטרליה, ניו זילנד, קנדה, אירלנד, ברזיל וצ'כיה מחזיקות במאגרים ביומטריים מנדטוריים לדרכונים. ישראל היא אכן יוצאת דופן, אך בכך שהמאגר הביומטרי הלאומי שלה הינו היחיד בעולם המכיל פרטים ביומטריים בלבד ללא כל פרטים ביוגרפיים או דמוגרפיים.

"נציין שבריטניה כן מפעילה מאגר ביומטרי מרכזי למחזיקי דרכונים בריטיים, אזרחי בריטניה. ואחוז מחזיקי הדרכונים שם הוא כנראה הגבוה בעולם (מעל 70% מהאוכלוסייה). גם מדינות מערביות רבות אחרות מחזיקות מאגרים ביומטריים. לשאלתך, בישראל הוחלט עוד מימי המנדט הבריטי כי חלה חובת נשיאת תעודת זהות על תושבי המדינה, בעוד שבמדינות רבות בעולם אין תעודות זהות כלל, כך שלא תמיד הבסיס להשוואה הוא זהה.

"נבהיר כי שאלת המנדטוריות איננה רלבנטית כי אנו מניחים שאף אחד לא ירצה לוותר למשל על דרכון (שאין חובה לשאתו) ועל חופש התנועה בגלל שהוא ביומטרי או על היכולת להשפיע בתקופת הבחירות (כמו במקסיקו, שללא הזדהות ביומטרית בזמן ההצבעה לא ניתן לבחור בה). יתר על כן, מדינות רבות שמפעילות מאגרים שאינם מנדטוריים פשוט מדירות תושבים משירותים מסוימים ללא רישום כזה ומדינת ישראל החליטה שאין זה ראוי לפעול כך".

לפי סעיף 18 בחוק המאגר הביומטרי ניתן לקבל מידע מהמאגר גם ללא צו שופט, על סמך תלונה של עובד משרד הפנים. האם אין כאן פתח לניצול? גורמים מפוקפקים יוכלו הרי לשחד עובד משרד הפנים על מנת לקבל מידע על טביעות אצבע שברשותם.

"לא קיים ולא יתקיים תהליך בו עובד משרד הפנים מעביר נתונים למאן דהוא. המדיניות שננקטה לאורך כל הדרך היא מדיניות הפרדת בעלי תפקידים. במקרה הנ"ל המידע נמסר על ידי הרשות לניהול המאגר הביומטרי, שהיא רשות נפרדת מרשות האוכלוסין ולכן המקרה שתיארת דורש 'קואליציה מקיר לקיר' – שתי הרשויות והמשטרה. בכל מקום מופעל ניטור חזק וגורמי פיקוח רבים ושונים, כדי להרתיע מפני שימוש לרעה וכדי לאתר ניסיונות של שימוש לרעה בתוך מרחב האפשרויות המצומצם שהחוק מתיר.

"בנוסף, בתום תקופת המבחן, ייקבעו מנגנונים, תהליכים ונהלים מחמירים להעברת מידע במקרים שכאלה. לשם כך מונה בעל תפקיד ייחודי במאגר - הממונה על הפרטיות אשר ייבחן ויפקח על העברת מידע במקרים שכאלה. גורמים מפוקפקים יכולים להשיג טביעות אצבע בדרכים הרבה פחות מסורבלות, כגון תשלום כמה מאות שקלים לחוקר פרטי וקבלת טביעות האצבע של הקורבן מבקבוק שתיה שהשליך ולא מהמאגר הביומטרי המאובטח".

לפי סעיף 21 בחוק, הרשות מחויבת לספק לרשויות הביטחון גישה למאגר, בהתאם לכללים שייקבעו. מה יהיו אותם כללים? מה מונע יצירת כללים שמחייבים העברת עותק של המאגר לרשויות הביטחון ואיך יאובטח המאגר במקרה שכזה?

"הרשות לניהול המאגר הביומטרי הינה הגוף היחיד אשר לו סמכות להחזיק ולנהל את המאגר הביומטרי. ראש הממשלה הנו הגורם המאשר את הכללים. בבוא העת אנו משערים כי יתקיימו תהליכי אישורים והיוועצות עם כלל הגורמים הרלוונטיים ובהם הממונה על היישומים הביומטריים במשרד ראש הממשלה, גורמי הרשות לניהול המאגר הביומטרי וגורמי הייעוץ המשפטי. בכל מקרה, הכללים יבטיחו כי אבטחתו של המאגר וסודיות הנתונים בו לא יפגעו בשום אופן".

החוק היום מגביל מאוד את השימושים של המאגר. אבל חוקים אפשר לשנות בקלות (במיוחד בישראל). יש חשש אמיתי שהשימושים במאגר יורחבו ויגרמו לפגיעה הולכת וגדלה בפרטיות אזרחים בשם "הביטחון" (למשל, אישור למשטרה להשתמש במאגר לזיהוי משתתפים בהפגנות). למה בכלל להיכנס לבור המסוכן הזה?

"מניסיון רב שנים שינויי חקיקה הם קשים מאד ונעשים בתהליך שקוף ופומבי. זהו האמצעי החזק ביותר שבאמצעותו ניתן לקבע דברים. יתר על כן, תהליכים רבים שנקבעו בחוק אינם הפיכים בצורה קלה גם מבחינה טכנולוגית ובודאי שאינם הפיכים על פי שיקול דעת מנהלי. לטעמנו יש בתהליך שנקבע בלמים ואיזונים בכמות ובאיכות חסרי תקדים, שראוי אולי לחקות אותם בחקיקה בנושאים אחרים.

"המאגר הצה"לי מכיל פרטים ביומטריים (10 ט"א, תמונת פנים, דנ"א, מנשך שיניים, סוג דם ועוד) של יותר מ 3 מיליון אזרחים. שימש ומשמש לזיהוי חללים בלבד ע"פ החוק. כפי שבמקרה זה לא הורחבו השימושים במאגר הצה"לי, לצרכי המשטרה או לצרכים אחרים, כך גם לא יורחבו השימושים במאגר הביומטרי.

"ישנם מאגרים ביומטריים נוספים במדינת ישראל. לדוגמא : צה"ל, משרד התחבורה, שירות התעסוקה, רשות שדות התעופה. אם אכן המדינה מבקשת לעשות שימוש מזדחל בנתונים ביומטריים של אזרחי המדינה היא יכלה כבר לעשות כן ללא צורך להמתין להקמתו של המאגר הביומטרי המלא. זיהוי אנשים בהפגנות יכול להתאפשר בקלות גם על בסיס מאגרים ברשתות חברתיות לדוגמא ועל בסיס מאגרים קיימים נוספים.

"בנושא זה נזכיר כי כל ישראלי המבקש ויזה לארה"ב מוסר 10 טביעות אצבע וצילום פנים לרשויות ארה"ב החולקים מאגר זה (מאגר US VISIT הכולל כמיליון וחצי ישראלים) עם מדינות נוספות ורשויות אכיפת חוק בארה"ב ובעולם. לסיכום, מול הטענה שהמדינה היא הגורם שיש לחשוש ממנו קשה להתמודד. אם לאזרח אין אימון בגורמי השלטון ובכללן ברשויות השונות- המחוקקת, השופטת והמבצעת אין הסבר או טיעון אשר יפיג את חששו".

האם המאגר אכן מנותק (איירגאפ)? הרשות רכשה באוגוסט שעבר מערכת לביצוע בידול בין רשתות מחברת ווטרפול סקיוריטי סולושינס. למה משמשת מערכת זו בדיוק?

"מערכות המאגר מופרדות לחלוטין מכל רשת אחרת וכך יישארו תמיד. אין כל חיבור, גלווני, אופטי, אלחוטי, פיזי, או אחר בין מערכות המאגר לרשתות אחרות כלשהן. הציוד אליו אתה מתייחס עתיד להירכש לצורך בידול ברשת הפנימית בלבד. מדובר בעוד אמירת חסרת שחר של מתנגדי המאגר אשר מכנים עצמם "מומחי אבטחת מידע" המניחים הנחות ויוצאים בהצהרות על סמך חלקי מידע ללא ניסיון מינימלי לברר את העובדות לאשורן. כאמור, לקביעה זו אין שום אחיזה במציאות".

חוקרי מחשבים הדגימו בחודשים האחרונים שיטות שונות להוציא מידע ממחשבי מנותקים (איירגאפ), למשל באמצעות ניטור הטמפרטורה של מחשב היעד. איך אתם מתכוונים להתמודד עם איומים מסוג זה בהגנה על המאגר הביומטרי?

"הרשות נוקטת בכל האמצעים הנדרשים גם כדי להתמודד עם איומים מסוג זה. הרשות עוקבת אחרי המחקר האקדמי בתחום זה. עד כה מדובר בתקיפות שאינן מעשיות או שניתן בקלות רבה להתגונן נגדן. אבטחת מידע הינה תמיד תהליך מתמשך ומעקב זה הינו חלק ממנו".

הוועדות המשותפות שאמורות להצביע על עתיד המאגר עדיין לא כונסו בכנסת הנוכחית (ואחת מהן לא כונסה מעולם). מה אתם עושים על מנת להבטיח שהדיון במאגר הביומטרי, לכשיכונסו הוועדות, יהיה מעמיק וממצה ושההחלטות לא יתקבלו במחטף?

"כינוס הוועדות הנו באחריות הכנסת. הרשות תופיע בפני כל ועדה ככל שתידרש ותציג בצורה מהימנה ומקצועית את הנדרש ובפרט את כלל התהליכים והפעולות אשר בוצעו במסגרת תקופת המבחן. הרשות תברך על כל דיון מעמיק בנושא. דיון אשר יאפשר הסברת העובדות והתהליכים וימנע הסתמכות על חלקי פרסום מוטעים ומטעים. יתרה מכך, בחודשים האחרונים הרשות פרסמה באופן גלוי את כל הנתונים המאפשרים את לימוד הנושא לכל מי שחפץ בכך".

איך מונעים ואנונו: אילו אמצעים ננקטים על מנת להבטיח שעובד הרשות בעל גישה למאגר לא ינצל גישה זו לרעה (למשל, תמורת שוחד, בעקבות סחיטה או ממניעים אישיים)?

"את אותה שאלה ניתן לשאול לגבי כל עובד בכל גוף בטחוני או גוף בעל נתונים רגישים. עובדי הרשות בעלי הגישה לנתונים הביומטריים הינם עובדים ספורים העוברים תהליך של בדיקת מהימנות וסיווג ביטחוני ברמה גבוהה מאד בהתאם להנחיות הגורם הרלוונטי בשב"כ. בראשות צוות אבטחת מידע, בנוסף על מנהל הגנת הפרטיות, אשר אמונים על ניטור שוטף ובקרה מלאה של הפעולות במערכות. מערכות הרשות הוקמו תוך מתן דגש לנושא אבטחת הנתונים, המניעה, הבקרה והניטור של הפעילות במערכות. במאגר קיימים המינימום הנדרש של הנתונים בלבד – תמונת פנים ושתי טביעות אצבע. המערכות נפרדות לחלוטין מכל רשת חיצונית. הנתונים מוצפנים. הרשות מונחית ומבוקרת באופן שוטף על ידי הגורם הרלוונטי בשב"כ אשר הבהיר כי הוא שבע רצון מרמת האבטחה ברשות".

בשיחה שערך "כלכליסט" עם ניצן נוריאל (לשעבר ראש המטה ללוחמה בטרור במשרד ראש הממשלה ומתומכי המאגר) הוא העריך שמרגע שהמאגר יהפוך לקבוע, יכלול את מרבית או כל האזרחים והמשטרה תעזר בו באופן קבוע, מדי שנה עד 1% מהאזרחים בגילים 14 עד 60 יזומנו לתשאול משטרתי אחרי שטביעות אצבעותיהם נמצאו בזירת פשע חמור. מדובר, למעשה, בעשרות אלפי אזרחים חפים מפשע שמדי שנה ייאלצו להוכיח את חפותם לחוקרי משטרה. האם במקרה זה המאגר לא מהווה פגיעה גדולה מדי בחירויות של אזרחי המדינה?

"לא ברור מהיכן הציטוט של 1% מהאזרחים בגילאים. אנו לא סבורים כך. בפועל כאשר יש חקירה של פשע חמור, כדוגמת מקרה אריק קרפ ז"ל, בו הפעילה המשטרה כלי חקירה רבים במקביל ולא באמת זימנה לתשאול כל מי שהיה בחוף תל ברוך באותו ערב. בכל זירת עבירה יש טביעות רבות ואנשי מז"פ אמונים על ניתוח טביעות האצבע בזירה כדי לאתר מי מהן קשורה לעבירה ומי לא. מז"פ בוחנת את ההקשר של הטביעה בזירה ולא רק את הטביעה עצמה ומיומנת מאד בעבודה זו. מעבר לכך, הוגדרו בחוק גורמי פיקוח ובקרה שאינם מאפשרים שימוש מאסיבי בזיהוי על ידי המאגר ומגבילים זאת רק למקרים 'בפרופיל גבוה'. למשטרה כלי חקירה רבים ולא על המאגר לבדו תיבנה חקירה משטרתית אלא על כלים ונתונים רבים אשר עליהם אמונה משטרת ישראל".

תגיות

13 תגובות לכתיבת תגובה לכתיבת תגובה

13.
כן לתעודות חכמות - לא למאגר ביומטרי!
הרבה מדינות רצו להקים מאגר ביומטרי וברובן המוחלט ירדו מהעניין (סתם קוריוז בגרמניה העניין נפל לאחר ששכפלו והפיצו את טביעת האצבע של שר הפנים שקידם את המאגר באלפי עותקים שחולקו עם אחד העיתונים...) והסתפקו בתעודה ביומטרית - תעודה שבה פרטי בעל התעודה נשמרים בצ'יפ על גבי התעודה, ולא במאגר מרכזי. יש מעט מה להרוויח והרבה מה להפסיד במאגר שכזה. ניתן להבטיח שלאדם אחד תהיה זהות אחת גם בלי מאגר - כמו שעושים ברוב העולם. לעומת זאת אם וכאשר המאגר יפרץ או יודלף, וכל מאגר יכול להפרץ, כמו שמאגר האוכלוסין של המדינה הודלף כמה פעמים וכמו שפרצו לפנטגון או שהסינים גנבו את תוכניות הנשק המתוחכם בעולם - מטוס ה-F35, אין מאגר חסין ב-100%. פשוט אין כזה דבר, ואת זה אומרים חכמים ממני כמו פרופ' שמיר שלמעשה היה ממציאי שיטת ההצפנה RSA באינטרנט. ולכשהמאגר ייפרץ זאת תהיה בכיה לדורות (פשוטו כמשמעו יעבור דור עד שנתקן את נזקי המאגר).ועל אחת כמה וכמה כשמדובר בהדלפה של מישהו "מבפנים" ראה דוגמאות מהשנים האחרונות - ענת קם,אדוארד סנודן וג'וליאן אסאנג' (וויקיליקס). דוגמאות שונות מ"תרחיש קטן" ועד "תרחיש גדול" ובאמצע יש תרחישים אינספור כיד הדמיון הפורה: 1) היום מכת המדינה היא גניבת הפלאפונים, כיום האייפון והגלקסי ננעלים וניפתחים ע"י האצבע מספיק לצלם את בעל הטלפון ומהתמונה לפנות למאגר ומשם לקחת ולשכפל את טביעת האצבע שלו וכך לפתוח את המכשיר! מדברים גם על מנעולים ביומטריים לכניסה לבתים פרטיים (במקום מפתחות) ואפילו על תשלומים בעזרת האצבע. אז מישהו רוצה שטביעת האצבע שלו תסתובב בעולם? כשהמאגר ייפרץ ישראל תישאר בתקופת האבן.... 2) כישראלים לצערנו אנחנו יעד מועדף לפיגועים בכל מקום שבו נהיה, אם אתה משתזף על חוף הים בתאילנד מחבל פוטנציאלי צריך רק לצלם ולבדוק את תווי הפנים אל מול המאגר ולדעת האם אתה ישראלי או לא. כבר לא צריך לחכות למטוס מישראל כמו בבורגס. האם מישהו רוצה שכלי שכזה יהיה ביד אויבנו? אני לא... תעודה ביומטרית נותנת את אותה ההגנה בלי כל הסיכונים הללו! משווים את הפרטים שלי לפרטים שנמצאים רק על גבי הצ'יפ בכרטיס שלי ווכה בודקים אם אני זה אני. למה צריך מאגר??
שפן סלע , מודיעין  |  22.06.15
10.
תשובת מנהלי המאגר לשאלה שמתייחסת לשינויי
חקיקה עתידיים בנושא זמינות המאר לרשויות נוספות: "מניסיון רב שנים שינויי חקיקה הם קשים מאד ונעשים בתהליך שקוף ופומבי". "שקוף" כמו החקיקה של הקמת המאגר והפיילוט עצמו... קראתי את דיוני הוועדה של הכנסת עם שיט-רית בראשה - דבר אטום וחשוך כזה לא ראיתי - כל שאלה רפה של ח"כ זה או אחר מייד בוטלו בהנף יד. לפעמים נכחו רק 2 ח"כ חוץ משיט-רית... מסקנה: תשובות המנהלים מסתירות, מבלבלות וגרועות יותר מתשובות נתניהו על הקמת מדינה פלשתינית... ועדיין, זיכרו, שהשב"כ והמוסד אוסר על אנשיו להשתתף במאגר..
קובי  |  22.06.15
לכל התגובות