מערך הסייבר הלאומי יוצא נגד אימות עם תאריך הנפקת ת"ז

מערך הסייבר הלאומי יצא בקריאה לארגונים להפסיק את השימוש בתאריך הנפקת תעודת הזהות כאמצעי לאימות זהות במערכות מקוונות, ולעבור לשיטות זיהוי ואימות מתקדמות ובטוחות יותר. עמדת המערך היא כי מדובר בפרט סטטי, גלוי ונגיש, שאינו עומד בתקני אבטחת מידע בין-לאומיים ומהווה נקודת תורפה חמורה במערכות הזדהות דיגיטליות.

ההמלצה מבוססת על חוות דעת מקצועית שגובשה ב'יחידה להזדהות ויישומים ביומטריים' במערך, בהתאם למדיניות הלאומית להזדהות בטוחה ובהתאם לתקנים בין-לאומיים המחייבים שימוש באמצעים מבוססי הצפנה, זיהוי ביומטרי או קוד משתנה במקום נתונים שהפכו כיום לגלויים.

בשנים האחרונות יותר ויותר אנשים מצלמים את תעודת הזהות שלהם ומשתפים אותה עם גורמים שונים, למשל בעת קבלת משלוחים, השכרת דירה או קבלת שירותים, לצד מקרים רבים של דלף מידע כתוצאה ממתקפות סייבר או הגדרות שגויות. מידע זה, יחד עם מספר תעודת הזהות, עלול לשמש האקרים ונוכלים לגניבת זהות, להתחזות בכניסה למערכות הזדהות ולמתקפות דיוג. בשנים האחרונות נרשמה עלייה חדה במקרי הונאה שהתבססו על פרטי תעודות זהות שנגנבו או דלפו לרשת.

"רבים מהציבור אינם מודעים מספיק לכך שצילום תעודת הזהות שהועבר כבדרך אגב למשל לשליח, עלול להביא לזיוף זהות דיגיטלית, להתחזות ואף לגניבה", אמרה נעמה בן צבי, ראש היחידה להזדהות ויישומים ביומטריים במערך.

"שימוש בפרטים סטטיים וגלויים במערכות הזדהות כבר אינו עומד בדרישות התקופה. יש לעבור לשיטות מתקדמות שיכולות להבחין בין משתמש לגיטימי לבין מתחזה בצורה מהימנה".

ההמלצה הועברה בימים האחרונים גם למשרדי ממשלה, שנדרשו לבחון מחדש מערכות שירות מקוונות שבהן נדרש תאריך ההנפקה כחלק מהליך ההזדהות.

המלצות מערך הסייבר הלאומי לאימות זהות בצורה מאובטחת כוללות:

אימות באמצעות אפליקציה – אפליקציות אימות המייצרות קוד חד-פעמי בזמן אמת, או טכנולוגיות כמו Passkey, מאפשרות התחברות ללא סיסמה באמצעות קוד ייחודי למכשיר.

אימות בטכנולוגיות מתקדמות – שימוש בחתימה דיגיטלית, זיהוי ביומטרי (פנים, טביעת אצבע) או הצפנה מתקדמת להגנה על המידע.

לציבור הרחב קוראים במערך, "הימנעו משיתוף מידע רגיש, והעדיפו שיטות אימות המבוססות על מידע שאינו חשוף לציבור".