תיאטרון האבסורד של המאגר הביומטרי
השב"כ אמנם היה שותף לתכנון והקמת המאגר הביומטרי, אולם הוא אוסר על עובדיו להשתתף בניסוי ובכך מביע את חששותיו ממנו, ובצדק ● הגיע הזמן שיד ימין - משרד הפנים - תבין מה יד שמאל אומרת ותעשה בהתאם: תבטל את משחק הרולטה בפרטיות של כולנו
הפיילוט של המאגר הביומטרי הושק לפני כשמונה חודשים ברוב הוד והדר, אם להשתמש לרגע בלשון מליצית, בחגיגיות שאני לא זוכר הרבה יוזמות ממשלתיות שזכו לה. החששות מפני פריצות למאגר ודליפת מידע ממנו עלו כבר לפני ההשקה, והלכו והתגברו מאז. אישי ציבור הזהירו, פעילים הפגינו והציבור לא פקד את לשכות האוכלוסין בהמוניו כדי להצטרף למאגר. היה גם תחקיר של חדשות ערוץ 2 שהראה איך אפשר להתחזות ולהוציא תעודת זהות מזויפת גם כשהיא ביומטרית ואמורה להיות "חכמה".
כל אלה לא הדליקו במשרד הפנים את הנורה האדומה המתבקשת. אנשי ממשל זמין הבטיחו לנו שהמאגר מאובטח, שהסיכוי לפריצה אליו מזערי ושאין לנו ממה לחשוש. עד כדי כך שהם אמרו שצריך להיות "מעצמת על" כדי לפרוץ אליו.
אלא שהחששות מהמאגר מגיעים גם מאנשי מערכת הביטחון – השב"כ, המוסד וצה"ל. מההתחלה הם הביעו הסתייגות ממנו ואתמול (א') אף פורסם שהם אוסרים על אנשיהם להשתתף בניסוי. די אבסורדי בהתחשב בעובדה שהפרויקט מבוצע תחת הנחיות של השב"כ, אבל כנראה מראה מה הם חושבים באמת על המאגר.
כמו בהרבה מקרים בממשלה, ולמרות שיתוף הפעולה, יד ימין אומרת כך ויד שמאל טוענת אחרת. אין עמדה אחידה, הבלבול חוגג (שלא לומר פרטצ'יה) וכל גוף נוהג פחות או יותר איך שהוא רוצה ומבין. משרד הפנים טוען שהמאגר מאובטח, גופי הביטחון מראים במעשיהם שלא. שהרי אם הם היו בטוחים באבטחת המידע במאגר, הם היו מאפשרים לאנשיהם להצטרף אליו.
הגופים הביטחוניים לא מנמקים במה ומדוע המאגר לא מאובטח, לא נותנים את הפומבי הראוי לחששותיהם, אולי בגלל המסתורין שאופף אותם. אם הם חושבים שקיים סיכוי שהמאגר ייפרץ והנתונים של אנשיהם ושלנו, אזרחי ישראל, ייגנבו ממנו – עליהם לצאת לרגע מהחשאיות ולהגיד זאת בקול ברור. הם צריכים להזהיר אותנו: מדובר בעניינים שאמורים להיות בנפשנו, שנוגעים לביטחון המדינה ולפרטיות שלנו. להראות גם לנו שהממשלה צריכה לזנוח את רעיון המאגר הביומטרי ולזרוק אותו לפח הקרוב ביותר, ומדוע עליה לעשות זאת. העובדה שהם לא עושים את זה מוזרה ומעוררת שאלות.
הסכנות לפרטיות שלנו בעידן הדיגיטלי רבות והמאגר הביומטרי הוא בין הגבוהות שבהן. עכשיו גם מערכת הביטחון אומרת את זה. המחאות נגד המאגר לא עזרו לממשלה לקבל את ההחלטה הנכונה, אלא שעוד לא מאוחר מדי ואני מקווה שהפעם, כשהאזהרות מגיעות מגופים כמו השב"כ, המוסד וצה"ל, אנשי משרד הפנים יישמעו להן. הגיע הזמן לקרוא לממשלה בקול ברור: בטלו את המאגר הביומטרי, ויפה שעה אחת קודם! הפרטיות שלנו, וביטחון ישראל, חשובים יותר.
תגובות
(22)כתיבת תגובה
ידיעות מובילות
האקרים מנצלים את טכנולוגיית ה-eSIM כדי לחטוף מספרי טלפון
"העובדה שישראל לא מובילה ב-AI – תעודת עניות למדינה"
אברא יישמה מערכת לניהול עתירות משפטיות בוועדת הבחירות המרכזית
ארגון ההאקרים אנונימוס: פרצנו לכור הגרעיני בדימונה
מיהם.ן המנמ"ריות והמנמ"רים שזכו בתחרות מצטייני המחשוב?
תרשה לי להתייחס רק לשלש הטענות החדשות שלך. על שאר טענותיך עניתי בפרוט בתגובותי הקודמות והקוראים מוזמנים לקרוא אותן ולשפוט בעצמם. "ההשוואה שלך בין תעודת זהות לכרטיס אשראי גם היא מגוחכת חוסר יכולת למשוך מזומנים מול חוסר יכולת להזדהות." ההשואה נכונה כי בשני המקרים השירות מותנה בזיהוי וההגנה מתבצעת על ידי שבב חכם. כמו שלא דרושים נתונים ביומטריים למשוך מכספומט כך הם לא דרושים לפתיחת חשבון בנק (ולכן גם יוזמי החוק הביומטרי בכבודם ובעצמם אסרו על האיסוף או ההשואה שלהם על ידי מנהל הבנק). "ניראה אותך בשדה התעופה נתקע ללא יכולת לטוס בגלל השבב שהושחת" אם השבב בדרכון הושחת לא יעזור לך מאגר ביומטרי, הדרכון שלך לא יעבור בדיקת תוקף ולכן לא תוכל לטוס. "גופי הבטחון אוסרים על השתתפות בפיילוט כי אין בו מענה לצרכים הייחודיים שלהם" גופי הבטחון אוסרים על השתתפות בפיילוט כי הם רואים בו איום בטיחותי. הם צודקים.
לחוקר אבטחת המידע מזה צריך לפחד יותר מאשר מהמאגר הביומטרי : https://pc.co.il/dailymaily/?date=13-03-2014. אני מצטער לומר לך שאינך מכיר את המאגר הביומטרי של משטרת ישראל והדברים שלך לגביו משוללי כל יסוד. אינך מבין כיצד נבדקת זירת התפרצות לדירה והפנטזיות שלך לגבי מצעד המאהבים / מאהבות מעוררות גיחוך. למשטרה אין גישה למאגר הביומטרי של הרשות למאגר ביומטרי בזמן הפיילוט ואחרי הפיילוט יידרש צו של שופט. איך גונבים זהות עם טביעת אצבע? מחליפים את האצבע? הגבלות התנועה בישראל - מצלמות עיר ללא אלימות, מצלמות א-3, מערכת עוברים בנמל התעופה ומצלמות LPR בכבישים - כל עברו את מבחן החוק. לא יהיה תהליך ביטול אמין לתעודות - כי רמת הדיווח נמוכה אלא אם תהיה סנקצייה פלילית חריפה ועלות אחזקת מרכז דיווח כזה היא יקרה לכן, במדינת ישראל זה לא יהיה. אף לא אחד עושה שימוש בתעודה לביצוע פשע, אלא להתחמק מזיהוי וודאי וזה קורה אצל אחים תאומים ואצל אחים דומים וכבוד פורים גם אצל מתחפשים ועוברי ניתוחים פלסטיים. על זה מתגברים רק באמצעות טביעת אצבע. אני מסכים עם כל מילה של מר בסול ואיני מתרגש מזה גם עם המאגר יועתק לא יהיה ניתן לעשות בו שימוש זולת זיהוי וודאי של אדם שיניח את האצבע שלו על סורק טביעות אצבע. ותוכנה מתאימה תסרוק מיליוני רשומות לצורך הזיהוי. גופי הבטחון אוסרים על השתתפות בפיילוט כי אין בו מענה לצרכים הייחודיים שלהם, כל השאר ספקולציות. בתצורה הסופית חייב להיות פתרון וכמו שאמרתי לא כאן המקום לדון בזה. ראיתי את כל הסבריך על המאגרים השונים והם משוללים בסיס חוקי ועובדתי. הטכניקות הפורנזיות המתוחכמות הן יקרות ומופעלות במקרים של פשיעה חמורה וגם אז המידע הביומטרי אינו נחשף אל מוצג בבית המשפט כחוות דעת מומחה. ההשוואה שלך בין תעודת זהות לכרטיס אשראי גם היא מגוכחת חוסר יכולת למשוך מזומנים מול חוסר יכולת להזדהות. ניראה אותך בדה התעופה נתקע ללא יכולת לטוס בגלל השבב שהושחת. מסקנות: מאגר ביומטרי יהיה, אנחנו לא נגיע להסכמה.
תשובה לאלי ויסברט מתגובה 16, "אומר לך בפשטות באירוע פריצה לא מגיעים לאותה היסטוריה דיסקרטית אליה התייחסת." ברור לי שאתה מומחה לעניין ומכיר טוב בהרבה ממני את היכולות הקיימות, אך לאו דווקא את אלה העתידיות. יכולות הזיהוי הפלילי הולכות ומשתפרות ואילו טביעות האצבע שלנו נשארות קבועות.יצא לי להשתתף במספר כנסים על ביומטרייה ושמעתי על התקדמויות רבות בביומטרייה פורנזית, כולל על טכניקות איסוף טביעות ממשטחים מתכתיים שנוקו בעזרת בד, אפילו משטחים עקומים כאלה, דבר שלפי הבנתי (תקן אותי אם אני טועה) נחשב כיום או לפחות נחשב בעבר קשה או בלתי אפשרי. זו דוגמא כיצד מידע ביומטרי שלנו הולך ונעשה חשוף יותר ויותר. "עובדה שמהמערכות הקריטיות לא דולף מידע ומעבר לזה איני מוכן לפרט." מכיוון שזהו במקרה תחום ההתמחות של החברה בה אני עובד, הרשה לי לפרט. 1. דליפות ממערכות קריטיות בשל אבטחה לקוייה בהחלט קורות. לא תשמע עליהן כי אין חובת דיווח. הרבה פעמים המצב הפוך, יש איסור דיווח. 2. דליפות מפורסמות כאלה קרו כידוע במכון הביולוגי, בדימונה ובמטכ"ל ואף כי ייתכן שהיו מעורבים כאן הבטים של אבטחה לקוייה, הגורם האנושי הוא שהכריע. גם במאגר הביומטרי קיים הגורם אנושי. 3. אין כלל שאלה שגופי הביטחון שלנו מאמינים שהמאגר הביומטרי פריץ. אם הוא היה הרמטי לחלוטין הם לא היו אוסרים על, לדוגמא, קצינים ביחידת המילואים שלי להרשם אליו. 4. להלן ציטוט של מר משה בסול שהיה ראש יחידת אבטחת מידע במשרד רוה"מ: "צריך להסתכל על תג המחיר בעיניים פקוחות, ולקבל החלטה שהקידמה והיתרונות שהיא מעניקה אכן מצדיקים את המחיר, אך שלא יהיה ספק – גם המאגר הביומטרי ייפרץ מתישהו; כולו או חלקו." " "המאגר המוצע אינו מכיל ולא יכיל שום פרטים שונים מאלה שקיימים במקום העבודה, שירותי הבריאות מועדוני הלקוחות זולת תמונה איכותית שחשיבותה לזיהוי מוגבלת, וטביעת אצבע שתאפשר זיהוי וודאי." זו בדיוק הסיבה שאסור להקים את המאגר הביומטרי! הוא מעניק את החוליה החסרה בין האדם הפיזי והמידע שעליו. "הגורמים שינזקו יהיו עבריינים, טרוריסטים וניפטרים חרדים שלא יוכלו להצביע ממקום מושבם בבחירות." לא נכון. כפי שציינת, יש כבר מאגר ביומטרי של עבריינים והמידע בו עשיר ונגיש בהרבה. יש בו כמה תמונות, לפעמים דנ"א, ולא דרוש צו שופט לגשת אליו. המאגר הביומטרי החדש מיועד לשאר האוכלוסייה, זאת אומרת לנו, לחפים מפשע. אשר לחרדים שמרמים בבחירות, מאגר ביומטרי לא יועיל לכך בדבר, ראה ההסברים בתגובותי הקודמות. "אזכיר לך שאנשים שעלו ארצה עם קום המדינה הוחתמו על מסמכים מזהים ואחרים באמצעות טביעת אצבע. " ביומטרייה, פרושה טכנולוגיה של עיבוד נתונים פיזיולוגיים מזהים על ידי מחשב. בקום המדינה לא היו מחשבים ולא היתה קיימות הסכנות שבטכנולוגיות מעקב המוני. גם לא כל מה שנעשה בעבר מהווה הצדקה לחזרה עליו בהווה. "החוק אינו מגביל את התנועה והחירות של האזרח." הזכות לפרטיות היא חרות בסיסית מאד. לכל אחד מאיתנו יש מה להסתיר, גם לך ולי, וזה לא הופך אותנו לפושעים. לגבי מה שכתבת על הנזק שבמצלמות, אני מסכים איתך בכל מילה.
חלק רביעי ואחרון של תשובתי לאלי ויסברט מתגובה 14, "בהינתן שטביעה של אצבע אחת בלבד תישמר במאגר בצורה מוצפנת (לא כתמונה) ושבצמוד אליה יימצאו רק שדות: שם מלא, מספר זהות ותאריך לידה אין שום סכנה. " במאגר הביומטרי שמשרד הפנים מקים נשמרות גם תמונה ביומטרית וגם שתי אצבעות. בנוסף, רוב הפריצות למאגרי מידע שאני נתקל בהם בעבודתי הם למאגרים מוצפנים. ההצפנה אינה מגינה עליך מספיק ברגע שהפורץ השיג את המפתחות, או חיבל בהצפנה, או שההצפנה היתה חלשה או רשלנית, או כאשר המחשבים שמשמשים להצפנה הם תוצרת אמריקה או סין או רוסייה, או כאשר לואנונו או לקלינגברג או לענת קם ניתנה גישה למאגר. "שום שימוש זולת זיהוי חד ערכי של אדם לא יוכל להתבצע גם אם המאגר יועתק." זה לא נכון, היו ויהיו מקרים של גניבת זהות והפללה בזכות מאגרים ביומטריים שדלפו. אבל גם אם נניח שלא יהיו יותר מקרים כאלה, זיהוי חד ערכי של אדם ללא הסכמתו הוא לא דבר שולי אלא עיקר הבעייה כאן! הוא מחסל את האפשרות לפרטיות, פוגע בדמוקרטיה, בביטחון האישי והלאומי. כשניתן לזהות כל קצין ישראלי כשהוא הולך ברחוב בלונדון, או כל סוכן מוסד, או כל איש עסקים ישראלי, או כל סוכן סמוי של המשטרה אין בכך בעייה? כאשר אדם לא יכול ללכת ברחוב, או להפגין, או לדבר עם עיתונאי, מבלי שהשם שלו יהיה כתוב לו על המצח אין בכך בעייה? כאשר בעזרת אפליקציית סמרטפון פשוטה תוכל לדעת מה ההסטורייה הרפואית של ישראלי שקרא עיתון או ספר מסויים אין בכך בעייה? אלו הן רק כמה דוגמאות.
חלק שלישי של תשובתי לאלי ויסברט מתגובה 14, "בשיטה שאתה מציע לעשות שימוש בחתימה אלקטרונית לא יהיה ניתן להבחין בין אנשים דומים ובמיוחד בין תאומים זהים". אם יש תהליך ביטול אמין, אז אין כמעט בעיה. אם מתחזה הצליח במזל רב לגנוב תעודה של מישהו הדומה לו, היא תבוטל מרחוק. בדיוק כמו שקורה עם כרטיסי אשראי. שמה, "דומה לו" פרושו "יודע את הקוד הסודי שלו". אבל במקרים הנדירים שהבעייה כן קיימת,למשל, כמו שציינת, במקרה של תאומים זהים, הבעייה לא תיפתר ברוב המקרים על ידי המאגר הביומטרי ואף לא על ידי תעודות ביומטריות. הסיבה לכך היא שהמאגר המתוכנן אינו נגיש אונליין (וזה יהיה טרוף להפוך אותו לכזה, כפי שאפילו המקימים של המאגר מודים). לכן, כשתלך לקנות דירה, או לפתוח חשבון בנק, פקיד הטאבו, מנהל הבנק, או עורך הדין לעולם לא יוכלו להשוות את הנתונים שעל התעודה שלך מול המאגר. יתירה מזאת, הם גם לא יוכלו להשוות את טביעות האצבעות שלך עם אלה שעל התעודה (וטוב שכך)! אם אתה לא מאמין לי, אתה מוזמן לחפש באינטרנט את כתבה מספר 1.2144710 בעיתון הארץ או להוריד את נוסח חוק המאגר הביומטרי מאתר הכנסת שם נאמר בסעיף 29(ג), שכל אדם, מלבד נציגי הרשות הביומטרית או אנשי ביטחון ושוטרים, אשר ישוה את טביעות האצבע שעל התעודה לטביעות האצבע של נושא התעודה, דינו מאסר שלש שנים. שים לב שלא מדובר אפילו בהשוואה מול המאגר אלא רק מול התעודה! אז מה עושים עם תאומים זהים? כלום. כמה פשעים חמורים קורים שתאום זהה אחד מבצע תוך שימוש בתעודה של השני? ואם בכלל קרה מקרה כזה בהסטוריה של מדינת ישראל, מה הסיכוי שאין שום ראיות אחרות שמסוגלות להבחין בינהם? בשביל ארועים אקזוטיים כאלה לא מבזבזים מאות מיליוני שקלים על מאגר ביומטרי מסוכן. "ואם הטביעה תימצא על התעודה יוכלו להעתיק אותה בכל מקום שתוצג לבדיקה". נכון! זו בדיוק הסיבה שאפילו תעודות ביומטריות, ועוד יותר מכך דרכונים ביומטריים עם RFID , מהווים סיכון, אך בגלל שהמידע הזה לא מרוכז במאגר אחד, הסיכון נמוך מזה של מאגר. כיום, אפילו הצפנה אינה הגנה מספיקה על הנתונים שעל התעודה, כי ההצפנה הזו חלשה, בגלל מגבלות הביצועים של השבב החכם (שהוא בעצם מחשב מניאטורי). זו עוד סיבה מדוע לא להשתמש בביומטריה בכלל. "אין פתרון להשחתת השבב." אם השבב הושחת זה כאילו שהתעודה לא קיימת או לא בתוקף. לכן לא ניתן יהיה להתחזות בעזרתה, בדיוק כמו שלא ניתן למשוך כסף בכרטיס אשראי שיש עליו שבב שהושחת. "טביעת אצבע היא הצפנה טבעית שאקסיומטית אין ביקום שני אנשים בעלי אותה טביעה". לכל תוכנה ביומטרית של זיהוי טביעות אצבע יש אחוזי כישלון מסוימים גם כשמדובר באיכות טביעה מצויינת. טביעת אצבע אינה "הצפנה", אם כבר היא "תג מזהה". "טביעה היא הדרך היחידה לאמת זהות." לא נכון. ישנן מספר שיטות ביומטריות אמינות יותר מטביעות אצבעות. בכל מקרה, אף אחד לא צריך מערכת מושלמת, וגם אין כזו. בסך הכל צריך למנוע את מכת זיוף תעודות הזהות במדינה, מה שאפשר היה לעשות כבר לפני עשר שנים ללא שום ביומטרייה. תוכל לקרוא את חוות דעתו של מבקר המדינה בנושא בכתבה מספר 1.1768804 בעיתון דה-מרקר.
המשך תשובתי לאלי ויסברט מתגובה 14, "הסיכוי שתותיר טביעה כזו בזירה שתמצא בה בהנחה שכל טביעה שאתה מותיר היא איכותית, הוא אחד ל-10 כי יש לך 10 אצבעות ואם יש היום כ-6 מיליון תעודות בשטח הסכוי הוא אחד ל-60 מיליון הסיכוי יקטן ככל שהאולוסייה תיגדל. כך שהיא אינה מסכנת את הציבור בהפללה. אין שום סכנה מבחינה זאת." 1. ההנחה שלך שהסיכוי למציאת טביעת אצבע של אדם מסויים שהיה בחדר הוא אחד לעשר מתעלמת מכך שיש כל הזמן שיפור ביכולת האיסוף של טביעות ומכך שאנשים חפים מפשע אינם מנסים להימנע ממגע בחפצים ולעתים קרובות מבקרים מספר פעמים באותו מקום. אם יש לך מאהבת היא תותיר מאות רבות של טביעות איכותיות בחדר השינה שלך כך שהסיכוי ששמה יופיע בתיק החקירה של פריצה לביתך יהיה קרוב למאה אחוז. 2. גם אם ניקח את ההנחה הנ"ל שלך, יש לך טעות "קלה" בחשבון. אם מאה אנשים ביקרו בחדר והסיכוי למצוא טביעה של מבקר הוא עשרה אחוז, אז כעשרה מהם יזוהו, שזה קצת יותר מ1 ל 60 מיליון. 3. כפי שציינתי בתגובתי הקודמת ישנה פגיעה חמורה בפרטיות בעצם הזיהוי עצמו. אשר לסיכוי להפללה, טכנולוגיות לחיקוי והפללה ביומטרית נמצאות ממזמן בשימוש, אך אלו עדיין מקרים נדירים. הצרה היא לא הפללה אלא פגיעה בעצם כך שאדם הוא מושא לחקירה. אם שמה של אותה מאהבת (תיאורטית) שביקרה בחדר השינה שלך יעלה בתיק החקירה של הפריצה לביתך, יש בכך פגיעה חמורה ומיותרת בפרטיות שלך, אך בכך זה לא נגמר. החוקר גם יכול בקלות לקבל אישור לפרוס מולו את כל החיים הפרטיים שלה, מבלי שיהיה לך או לה מושג על כך. הוא יכול לצוטט לה, ובזכות חוק דרקוני הקרוי "חוק נתוני תקשורת", הוא יכול לקבל בקלות נתונים של המיקום שלה במשך שנים, של רשימות של כל החברים שלה וכן הלאה. כיום הוא יכול לעשות זאת רק לאנשים הבודדים המופיעים במאגר הביומטרי המשטרתי, אך אם יקום המאגר הביומטרי הכללי, הוא יעשה זאת לכל עשרות האנשים חפים מפשע ששמם יעלה בחקירה רק כי במקרה הם היו פעם אצלך בבית. "השיטה שאתה מציע לעשות שימוש בחתימה אלקטרונית לא תמנע שימוש בתעודות של ניפטרים והרי הכוונה היא לא לפגוע בדמוקרטייה." כל ניהול של מערכת תעודות אמינה מחייב נוהל ביטול, זאת אומרת, REVOCATION , במקרה של אובדן, גניבה או מוות. נוהל כזה אפשר היה להפעיל גם בתעודות הישנות אך העובדה שמשרד הפנים לא הפעיל נוהל כזה עד היום היא בזיון מתמשך! בתעודות חכמות, גם ללא נתונים ביומטריים עליהם, תהליך הביטול הוא אמין מאד ובין השאר הוא מונע שימוש בתעודות של נפתרים או בתעודות גנובות.
ראשית לא ניכר שאלא ביקרת אף פעם בחדר שינה של דירה שנפרצה ואו זירת עבירה אחרת, אומר לך בפשטות באירוע פריצה לא מגיעים לאותה היסטוריה דיסקרטית אליה התייחסת. שנית בכתבה הכביכול סנצייציונית של Mako מדובר בשליפת מידע רדוד ממחשב דומה לזה שנמצא בניידת, זו אומנם עבירה חמורה אבל אין מדובר במאגרים הרגישים והביומטרים לשם אין לשוטרים שהואשמו גישה. לגבי רמת אבטחת מידע של אירגונים ממשלתיים וחברות איני מוכן להתייחס בפורום זה אינו ראוי. עובדה שמהמערכות הקריטיות לא דולף מידע ומעבר לזה איני מוכן לפרט. לגבי החוזק של החתימה האלקטרונית - לא הוכח מתמטית שלא ניתן לפרוץ אותה, זה לא אומר שאי אפשר ובנוסף מאותם שיקולים של אבטחת מידע ומאחר שהיא נוצרה בידי אדם מוחזקת בידי אדם בסופו של דבר יגיעו אליה. אגב גם המידע בתעודות המוצעות ובמאגר המוצע הכרשומות חתומות. לגבי ההשוואה עם המפעלים והכור למצב אבטחת הפרטים האישיים שלנו המאגר המוצע אינו מכיל ולא יכיל שום פרטים שונים מאלה שקיימים במקום העבודה, שירותי הבריאות מועדוני הלקוחות זולת תמונה איכותית שחשיבותה לזיהוי מוגבלת, וטביעת אצבע שתאפשר זיהוי וודאי. יתירה מזאת המידע שנצבר עלינו ברשתות החברתיות ובמנועי החיפוש מסכן את הפרטיות ואת הבטחון האישי שלנו הרבה יותר ואם למישהו יש עיניין לפגוע במי מאיתנו הוא יעשה זאת גם במחיר טעות בזיהוי אז אם להיות ציני היכולת לזהות בוודאות את הקורבן תצמצם פגיעה באזרחים תמימים. הגורמים שינזקו יהיו עבריינים, טרוריסטים וניפטרים חרדים שלא יוכלו להצביע ממקום מושבם בבחירות. לא ברור לי השימוש שלך במושג דמוקרטייה - ההיבט היחידי הוא בתחום היכולת לזהות בוודאות את המצביע בבחירות. לא קיים שום היבט חוקי או חוקתי בנושא. אני אזכיר לך שאנשים שעלו ארצה עם קום המדינה הוחתמו על מסמכים מזהים ואחרים באמצעות טביעת אצבע. החוק אינו מגביל את התנועה והחירות של האזרח, להיפך. בניגוד למצלמות האבטחה העירוניות והפרטיות שפוגעות בפרטיות של אזרחים תמימים על מנת לתפוס את אלו שאינם כאלה ומצלמות המהירות שפוגעות בחירות שלנו לנהוג במהירויות גבוהות מהמותר וזה מבוצע על ידי חברה פרטית שאיני רוצה לחוות כאן את דעתי כל כשרותה המאגר הזה אינו מגביל אותנו בשום דבר זולת היכולת להתחזות.
תשובה לאלי ויסברט מתגובה 14, "מאגר המידע הביומטרי במשטרת ישראל זמין לצוות המומחים המצומצם שעוסק בנושא. שום מידע ממאגרים אלה אינו מגיע לעיתונות לחוקרים פרטיים". באמת? אנא קרא את הכתבה הבאה. mako.co.il/special-mako-news/Article-62fa938b04bd141006.htm "יתירה מזאת העובדה שטביעת אצבע נמצאה בזירה או על חפץ אינה הוכחה לביצוע פשע / עבירה" . לא טענתי אחרת, וחבל שאתה מעוות את דברי. במקרה של פריצה לחדר השינה של אזרח כלשהו, הפגיעה בפרטיות האזרח היא בגלל החשיפה של המידע האינטימי לגבי הסטוריית האורחים שהיו שם ולא בגלל שהם נהפכים לחשודים! כמו כן, יש הבדל בין דליפת מידע מהמאגר הביומטרי המשטרתי (דבר נדיר אך שיכול בהחלט לקרות) ובין דליפת מידע מתיק החקירה עצמו, שהיא ארוע שגרתי, במיוחד בחקירות רגישות מבחינה ציבורית. בתיק החקירה נמצאות התשובות לשאילתות שהוגשו למאגר הביומטרי, למשל, רשימת האנשים שהיו בחדר השינה שלך. לכן, בשביל שרשימה זו תדלוף, אין צורך בגישה ישירה למאגר. "אני מציע לך להיזהר מתיאור של המערכת כמושחתת שמזרימה מידע שלא כדין לגורמים לא מוסמכים". אני לא חושב שהמערכת מושחתת. אבל אני יודע שבגלל מספר קטן של אנשים בה, באופן עקבי, מבוצעות בה פעולות של שימוש במאגרי מידע שלא כדין, כמתואר בכתבה בMAKO. כשזה נוגע לענייינים אסטרטגיים, המגרעת העיקרית של המערכת אינה שחיתות אלא אבטחה רשלנית. אני עובד כחוקר אבטחת מידע בחברה ביטחונית מוכרת שעוסקת בין השאר בניתוח ארועי פריצה ודליפת מידע (וגם בביומטרייה). במסגרת עבודתי אני נתקל באופן יומיומי במערכות אבטחת מידע לקויות בחברות חשובות ובמשרדי ממשלה בארץ ובעולם וצר לי לבשר לך שאיכות אבטחת המידע במשטרת ישראל רחוקה ממצויינת. "לו המדינה הייתה רוצה לנקוט בשיטות של פגיעה בדמוקרטייה". לא אמרתי שהמדינה לא רוצה לפגוע בדמוקרטייה. מה שאמרתי זה שאם היא תקים מאגר ביומטרי, הדמוקרטיה תיפגע גם ללא שהמדינה תרצה בכך. אשר לחתימה האלקטרונית, אני מצטער לאמר זאת שוב, אך הדברים שכתבת מראים שוב שאינך מכיר את הנושא. תרשה לי להתייחס רק לשגיאות העיקריות. "לנושא החתימה האלקטרונית (הצפנה והסתרה אלה מילים נרדפות וכאשר משתמשים במושג הסתרה בדרך כלל מתייחסים לרמת אבטחה נמוכה) " כמו שהסברתי לך בתגובותי הקודמות, חתימה אלקטרונית אינה מצפינה דבר. אומנם הטכנולוגיה שמאחוריה מתבססת על שיטות מתמטיות הקשורות להצפנה ולכן המילה "הצפנה" מופיעה במאמרים המתארים אותה, אך החתימה לא מצפינה ולא מסתירה את המידע. היא רק מוכיחה מי כתב אותו. "אך בכל התקנים המקובלים במשך הזמן יהיה ניתן לחקות את המסמך כך שהבדיקה תיתן מענה true." "כאשר יהיו כ-6 מיליון כרטיסים בשטח זה רק שאלה של זמן." לא נכון. ציינת למשל את RSA. מכיוון שאין אלגוריתם לפרוק מספרים ראשוניים ארוכים מאד, אז אם המפתחות המשמשים ליצירת החתימה האלקטרונית ארוכים מספיק ומיוצרים באופן אקראי מספיק, איש לא יכול לזייף את החתימה. אני מסכים עם כל הדוגמאות שציינת של מידע אישי שנאסף ללא בקרה. רק שבניגוד לטענתך, אלה הן לא מהוות הצדקה להקים מאגר ביומטרי, בדיוק כמו שמפעלים מזהמים ליד עיר אינם סיבות להקים כור גרעיני במרכזה. לטענות שלך בעד המאגר הביומטרי אתייחס בתגובתי הבאה.
חוסר הידע שלך לנושא מאגרי המידע במדינת ישראל זועק לשמים. מאגר המידע הביומטרי במשטרת ישראל זמין לצוות המומחים המצומצם שעוסק בנושא. והוא כולל טביעות אצבע וכף יד מלאים, DNA, וצילומים. שום מידע ממאגרים אלה אינו מגיע לעיתונות לחוקרים פרטיים וכדומה. הצורה היחידה שהמידע נחשף הוא בדיונים בבתי המשפט שם מוגשים חוות דעת מומחים בתחומים הנ"ל. המערכות האלה אינן חשופות לשוטר בניידת וגם לא לחוקרים. יתירה מזאת העובדה שטביעת אצבע נמצאה בזירה או על חפץ אינה הוכחה לביצוע פשע / עבירה, אלא הוכחה לכך שבעל הטביעה היה בזמן כלשהו בזירה נגע בחפץ, כדי לקבוע אשמה לכאורה נדרשת פעולת חקירה מורכבת. כך מקיום המאגר הביומטרי במשרה לא מורשעים ובדרך כלל גם מואשמים חפים מפשע. הנפילות הם בדרך כלל בתחום מדעי ההתנהגות ודוגמה לכך היא תיק "בר נוער", או תיקים בתחום השחיתות והאלימות. אני מציע לך להיזהר מתיאור של המערכת כמושחתת שמזרימה מידע שלא כדין לגורמים לא מוסמכים, ההיפך הוא הנכון. לפני כמה שנים הייתה יוזמה להפוך את המז"פ לחברה אזרחית שתמכור שירותים כמו ה-CSI באצות הברית וניסיון זה נבלם רק בגלל החשש למסור סמכות שלטונית שעלולה לפגוע בפרט לגורמים שעיניינם עשיית ממון. לו המדינה הייתה רוצה לנקוט בשיטות של פגיעה בדמוקרטייה יכלה לעשות עוד כאשר מאגרים אלה היו אנלוגיים. לנושא החתימה האלקטרונית - 3 התקנים המקובלים תיקני הצפנה FIPS, ISO ו-RSA - (הצפנה והסתרה אלה מילים נרדפות וכאשר משתמשים במושג הסתרה בדרך כלל מתייחסים לרמת אבטחה נמוכה) איני יודע על איזה תקן היית ממליץ אך בכולם במשך הזמן יהיה ניתן לחקות את המסמך כך שהבדיקה תיתן מענה true. כיום מסמכים חתומים דיגיטאלית אינם נפוצים על כרטיסים חכמים (רק החתימה) המסמכים נמצאים במאגרי מידע. כאשר יהיו כ-6 מיליון כרטיסים בשטח זה רק שאלה של זמן. בנוסף על פי החוק בארץ כדי שתעודה תהיה מאובטחת מנוהל מאגר של אישורים שבדרך כלל תוקפם קצר כאשר מדובר במידע רגיש. אני יכול לספר לך שמסכים שאני מקבל כמו חשבונות לתשלום שלכאורה חתומים דיגיטאלית, החתימה לרוב אינה מאושרת ומה שעוד יותר מגוחך אתה יכול להפיק מהחתימה את פרטי החותם לרבות תעודת הזהות שלו ובנוסף אתה מגלה שמשתמשים בחתימה של מנהל המערכת על מסמכים שרק מנהל החשבונות מוסמך לחתום. הפגיעה בדמוקרטיה נעשית על ידי גורמים פרטיים שעוקבים אחרינו באמצעות מכשיר הסלולרי ויכולים לפגוע בנו אפילו פיסית בדיוק של ס"מ, ולפי צווים חסויים של בתי המשפט מאפשרים גם לגופים ממלכתיים כאלה ואחרים לעקוב אחרינו, ספקי אינטרנט שמאפשרים מעקב אחרי תעבורת האינטרנט שלנו והרשתות החברתיות. כשאתה מוסר בדיקת דם בשירותי הבריאות אתה מפיקים ממנה? כל המידע הזה נשמר באגרי שירותי הבריאות ומנוהל לרוב ע"י מיקור חוץ (זוכר אירוע סנודון). אתמול התבשרנו שאתר של כאל נפרץ והוציו פרטים של משתמשים משם. כמות המידע המופקר היא גדולה ואין שום הגנה על האזרח מפני שימוש בלתי חוקי בזהותו. היום במרבית החברות ש"מאבטחות" את עצמן הכניסה לאגפים והמשרדים נעשית ע"י טביעת אצבע שאגורה בשרתים. נחזור למאגר המוצע: ואסביר לאט: טביעת אצבע בודדת (שימשה בעבר גם לחתימה על מסמכים) מאפשרת זיהוי וודאי בתנאים סטריליים, כלומר אותה מכונה שאספה אותה תוכל בוודאות לפענח אותה.הסיכו שתותיר טביעה כזו בזירה שתמצא בה בהנחה שכל טביעה שאתה מותיר היא איכותית, הוא אחד ל-10 כי יש לך 10 אצבעות ואם יש היום כ-6 מיליון תעודות בשטח הסכוי הוא אחד ל-60 מיליון הסיכוי יקטן ככל שהאולוסייה תיגדל. כך שהיא אינה מסכנת את הציבור בהפללה. אין שום סכנה מבחינה זאת. השיטה שאתה מציע לעשות שימוש בחתימה אלקטרונית לא תמנע שימוש בתעודות של ניפטרים והרי הכוונה היא לא לפגוע בדמוקרטייה. ניהול התעודה יהיה מורכב מחייב ביטול במיקרה של אובדן ופתרון לאיך ההודעה תגיע לאמצעי הבידוק שתעודה אינה תקיפה עוד (הפתרון הוא מאגר מידע). לא יהיה ניתן להבחין בין אנשים דומים ובמיוחד בין תאומים זהים ואם הטביעה תימצא על התעודה יוכלו להעתיק אותה בכל מקום שתוצג לבדיקה. אין פתרון להשחתת השבב. טביעת אצבע היא הצפנה טבעית שאקסיומטית אין ביקום שני אנשים בעלי אותה טביעה והיא הדרך היחידה לאמת זהות. אפילו פרופיל DNA אינו באותה רמת וודאות. בהינתן שטביעה של אצבע אחת בלבד תישמר במאגר בצורה מוצפנת (לא כתמונה) ושבצמוד אליה יימצאו רק שדות: שם מלא, מספר זהות ותאריך לידה אין שום סכנה. על זה צריך להאבק בכל העוצמה הציבורית. שום שימוש זולת זיהוי חד ערכי של אדם לא יוכל להתבצע גם אם המאגר יועתק. בנוסף יש לוודא קיום פתרונות לאוכלוסיות שלא כאן המקום לפרט.
תשובה לאלי ויסברט מתגובה 12, כל הסכנות שציינת בתגובתך לנעמה, סנודון אחד, דלתות אחוריות, וכמות האינפורמציה שגופים מסחריים אוספים עלינו, מדגימות מדוע מידע שאינו ניתן לשינוי כל כך מסוכן. זאת אומרת, הן עוד סיבות נגד הקמת המאגר הביומטרי. בקשר לחתימה האלקטרונית, צר לי שאני חייב לחזור ולאמר שניכר מדבריך שאינך בקיא בנושא כי אחרת לא היית כותב ש"כמו שאמרתי חתימה אלקטרונית תיפרץ אף היא וכאשר האלגוריתם יהיה גלוי תתחיל החגיגה." אז הנה החדשות: האלגוריתם של חתימה אלקטרונית גלוי וידוע. חתימה אלקטרונית אינה הצפנה, היא אינה מסתירה את המידע. היא רק מוכיחה מי כתב אותו. דוגמא אחת לסכנות בטביעת אצבע היא מעקב ואיסוף מידע על אנשים חפים מפשע. למשטרה יש מאגר ביומטרי של עבריינים (המאגר הביומטרי החדש לא מיועד להם אלא לנו, לחפים מפשע). המאגר המשטרתי נגיש לשוטרים בקלות. נניח שפרצו לביתך דרך חדר השינה. שוטרים מגיעים וסורקים את חדר השינה ואוספים את טביעות האצבעות ששם. לאחר מכן טביעות האצבעות הללו עוברות השוואה לרשומות במאגר הביומטרי של המשטרה וכך מתקבלת רשימה של כל העבריינים שהיו בחדר השינה השלך. אם המאגר הביומטרי החדש ייצא לפועל, השוואה דומה תיתן גם היא רשימה, אבל הפעם הרשימה תכיל את שמות כל האנשים (והנשים) שהיו בחדר השינה שלך והשאירו שם טביעות אצבע. מבין את ההבדל? המידע האינטימי הזה יישב בתיק החקירה הממוחשב ובמאגרי המידע של המשטרה, לנצח. כל חוקר יוכל לקבל אותו בחיפוש השם שלך במאגרים האלה, וכך גם כל חוקר פרטי, סוכן ביטוח, שכן, או בת זוג שמשלמת לחוקר הפרטי. הפגיעה הזו אינה רק אישית אלא גם בדמוקרטיה, כי אם אתה אישיות חשובה, סביר שהמידע הזה יודלף מהמשטרה לעיתונות, גם עוד בטרם ידלוף בגלל פריצה. במקרה שהמאגר הביומטרי הופך לנחלת הכלל, כמו שקרה עם מאגרים קודמים של משרד הפנים, אז כל אדם שמגיע אליך הביתה מצוייד באייפון עם האפליקצייה המתאימה, יכול לשחזר אחורה את רשימת האורחות שלך. זו רק דוגמא אחת מרבות, של הסכנה של מאגרי מידע ביומטריים.
נעמה יקרה, ההצעה החלופית היא להגן על הזהות באמצעות חתימה אלקטרונית. מספיק "סנודון" אחד שממוטט את כל המבנה. אבל כמו שאמרתי חתימה אלקטרונית תיפרץ אף היא וכאשר האלגוריתם יהיה גלוי תתחיל החגיגה. עדיין לא הבנתי מה הבעייה, הפרטים שלנו בידי כל כל קופאית בסופרמרקט בחברות האשראי, רק עשו התבשרנו על רשימה שדלפה מאתר של חברת כאל. המצב היום הוא שכל אחד יכול לעשות שימוש בזהות שלך ושלי ואין דרך להתגונן נגד זה. איזה שימוש אפשר לעשות בטביעת האצבע זולת האימות מול המאגר המרכזי?בתגובה פירטתי כיצד זה צריך להתנהל ויש לבנות את האיפיון בהתאם. אגב, העובדה שאת מכירה הנושא של חתימה אלקטרונית אז אזכיר שלך שהחברות שמיישמות את האלגוריתמים או לפחות לגבי אחת מהן קיים חשד סביר שמכרו ל-NSA דלתות אחוריות לפיענוח, ומי יודע למי עוד מכרו. העובדה ששטביעת אצבע אי אפשר להחליף כפי שציינת היא ערובה לכך של יוכלו לעשות שימוש בזהות שלך, כי גם אם המטריצה של טביעת האצבע תדלוף המתחזה לא יוכל להחליף את טביעת האצבע שלו. אגב תמונה ביומטרית בעייתית כי ניתן לשנות את נקודות ההשוואה באמצעים פשוטים כמו סיליקון ובוטוקס (בזה מן הסתם את מבינה יותר ממני).
תשובה לאלי ויסברט מתגובה 9, לדעתי, ואני לא אומר זאת כדי להתנצח איתך, ניכר מדבריך שקבעת את דעתך בנושא בטרם למדת אותו לעומקו. "דבר נוסף תעודה שאינה מגובה במאגר והמידע בשבב ישובש בגלל חשיפה לטמפרטורה או שדה מגנטי לא תהיה שמישה עד שתונפק אחרת, (תחשוב שאתה עומד לעלות למטוס ולא ניתן לזהות אותך)." הטענה הזו מראה על אי הבנה בסיסית של אופן השימוש במאגר ושל הטכנולוגיה של שבב חכם. אם המאגר הוא זה שמשמש לזיהוי בשדה התעופה אז בכלל לא צריך תעודה כשעולים למטוס! "שמים אצבע" ועוברים. אפילו מקימי המאגר הביומטרי לא חלמו לייצר טרמינלים עם גישה ישירה אליו כי הם יודעים שהוא ייפרץ כמעט מייד. בנוסף, השבב החכם הוא התקן זיכרון פלאש שהוא עמיד בשדה מגנטי ובטמפרטורות של תנור מטבח (לידיעתך, המידע בו לא מאוכסן בצורה מגנטית ולכן לא יכול להמחק על ידי שדה מגנטי). "ראינו בבחירות המוניציפליות את המשמעות של תעודות שאינן במעקב למשל בבית שמש". נתונים ביומטריים אינם מונעים זיוף, ולא משנה כמה פעמים תכתוב את ההיפך. אם אתה יכול לזייף תעודה עם שבב חכם שאינו חתום דיגיטלית, אז אתה יכול לשים שם את הנתונים של עצמך וגם את טביעת האצבע של עצמך ומי שישווה בין טביעות האצבע שלך ואלה שעל התעודה יקבל תשובה חיובית. אם הנתונים בתעודה חתומים בחתימה דיגיטלית, מי שישווה את הנתונים שדחפת לתעודה לחתימה הדיגיטלית יגלה מייד שהיא מזוייפת. ההגנה של חתימה דיגיטלית תעבוד גם אם לא יהיו על השבב החכם שום נתונים ביומטריים! זה נכון בבית שמש וזה נכון גם על הירח. אם היו להם תעודות חכמות ללא מאגר ביומטרי, תושבי בית שמש היו נהנים מבחירות ללא זיופים ובטחונם ופרטיותם היו נשמרים. זהו עוד מקרה המדגים מדוע המאגר הביומטרי אינו רק מסוכן לביטחון ולדמוקרטיה, הוא גם מיותר ויקר.
למגיב בשם אלי, אני מכירה היטב את תחום החתימות האלקטרוניות כי אני עובדת בתכנות אפליקציות שמשתמשות בחתימות כאלה, גם של רשויות ממשלה, ואני יכולה לאמר מנסיוני שמה שכתבת לגבי הרגישות של מאגר החתימות אלקטרוניות הוא אינו הגיוני. מאגר המפתחות של החתימות האלקטרוניות הוא מאגר רגיש, אבל הוא מכיל מידע שניתן להחליף במקרה של דליפה. המאגר הביומטרי מכיל מידע רגיש בהרבה שלא ניתן להחלפה במקרה של דליפה. ססמאות ומפתחות אפשר להחליף, אצבעות אי אפשר להחליף. לכן, אסור להקים מאגר ביומטרי.
רשימת החותמים מרשימה ואני מעריך כל אחד מהם בנפרד ואת דאגתם לדמוקרטייה בפרט. בעיני בולטת הרשימה של מי שלא חתם. בנוסף ראינו בבחירות המוניציפליות את המשמעות של תעודות שאינן במעקב למשל בבית שמש 170 תעודות שנתפסו וזה רק קצה הקרחון האם זו הדמוקרטייה שהפרופסורים המכובדים מבקשים לשמור עליה? מאגר ביומטרי יקום במדינת ישראל זו עובדה וכולם יהיו חייבים להוציא תעודות ביומטריות, אחרת לא יוכלו להצביע בבחירות, להוציא דרכונים, רישיונות נהיגה, רכב ולפתוח חשבונות בבנק או לקבל כרטיסי חיוב. הדרישות הקטגורית שצריך להילחם על קיומן: דרישה שציינתי כבר קודם שהמאגר הנ"ל יכיל רק את נתוני הזיהוי הבסיסיים - שם, מספר תעודת זהות, תאריך לידה, תמונה וטביעת האצבע. טביעת האצבע לא אמורה להישמר כתמונה אלא כפרופיל דיגיטלי. המאגר חייב להיות זמין למשרדי הממשלה, לבנקים לעורכי דין / נוטריונים וכל אחד בציבור צריך להיות זכאי תמורת אגרה והזדהות לעיין בו כדי לוודא זהות של אדם אחר לצורך "שידוך" וביצוע עיסקה. אין שום משמעות ולא ייגרם נזק אם המאגר שיוקם על פי דרישות אלה ייפרץ כי ההשוואה תהיה עם המאגר האמיתי. לשאר הטענות שלך: חתימה אלקטרונית שתמצא על השבב ללא עדכון סופה שתיפרץ והתעודה תשוכפל או תשונה, אין הבדל בין המאגר לתעודה הבודדת מבחינה זאת. יתירה מזאת כל אחד שידרוש להזדהות בשיטה שאתה מציע, יוכל להעתיק את טביעת האצבע, את התמונה ואת המידע שעל השבב ולעשות בו שימוש. דבר נוסף תעודה שאינה מגובה במאגר והמידע בשבב ישובש בגלל חשיפה לטמפרטורה או שדה מגנטי לא תהיה שמישה עד שתונפק אחרת, (תחשוב שאתה עומד לעלות למטוס ולא ניתן לזהות אותך). הוצאת מידע מהמאגרים המשטרתיים שלא כדין, כמו גם מהבנקים, משירותי הבריאות ואף מהצבא (ענת קם ששוחררה מהכלא במקום לשבת מאסר עולם על הפשע שביצעה), היא עבירה פלילית ויש למצות את הדין עם העבריינים. אני אומר לך מידיעה כל מאגרי המידע במשטרה רשומים כחוק. לגבי משרד התחבורה איני יודע על איזה מאגר אתה מדבר אשמח לקבל פירוט ולהגיש בקשה לרמו"ט ולבדוק את הנושא. מכל מקום מדובר במאגר וולונטרי כמו מאגר כרוטיסי אשראי, מועדוני לקוחות, בנקים, חברות התקשורת (שמאז הסדרי הנדידה אנחנו מככבים בכולם), חברות ביטוח אתרי רכישה באינטרנט, ה-Facebook והדומים לו שלכולם אנחנו מספקים בשמחה מידע אישי על עצמינו וזה מתנקז היטב אצל כל מיני גורמים מודיעיניים כמו ה-NSA בארצות הברית, חברות מסחריות שמציעות לנו בספאם אגרסיבי באמצעות האינטרנט דווקא מוצרים שאנחנו נוהגים לקנות (מאיפה הם יודעים?) לגבי משרדי חקירות מואמנים במדינה אם כל הכבוד החקיקה כאן מפגרת מול הצרכים ויש לאפשר להם לקבל מידע באופן חוקי ובהליך מסודר ולא מחבר מתחת לראדר, בכל העולם יש להם סמכויות של ממש. לגבי טביעות אצבע - ההתייחסות שלי כאוסף הייתה ליכולת צילום שלהם בלבד כפי שתואר בסרטון האונס ואמרתי שגם יצליחו לצלם טביעה סבירה הסיכוי להגיע לזיהוי הוא אחד ל-80 מליון וככל שהאוכלוסיה תגדל הסיכוי ייקטן. בהקשר הזה, כל אחד שנוסע לארצות הברית מוסר מרצון את טביעת כל אצבעותיו כולל כל הפרטים המזהים שלו במדינה וה-FBI מתייק אותם וכיום מאחדים שם את המאגרים של כל המדינות והארגונים וארצות הברית היא כניראה מדינה עם משטר אפל. לסיכום: יש לרכז את המאבק בקיום הדרישות הקטגוריות לאיפיון המאגר, אופי המאבק הנגטיבי כפי שמתנהל כרגע יביא בסופו של דבר להקמת מאגר שונה מהרצוי.
תשובה לאלי ויסברט מתגובה 7. "הנזק שנגרם מדליפת האגרון רק יתוקן באמצעות יכולות זיהוי ביומטריות." באמת? וכשהמאגר הביומטרי ידלוף כיצד אז תתקן את הנזק? תיקח דגימות דנ"א לכולנו? או שתממן ניתוחים פלסטיים לכל תושבי המדינה? "אף אחד מהפוליטיקאים, חתני פרס נובל .... אינו מומחה בתחום איסוף טביעות האצבע " אין קשר בין השאלה האם להקים מאגר ביומטרי ובין מומחיות באיסוף טביעות אצבע." הנה רשימת המתנגדים (וזו רשימה חלקית בלבד ): no2bio.org/letters-to-knesset מופיעים שם מומחי אבטחת מידע ופרופסרים למדעי המחשב, מתימטיקה ולכמיה בעלי שם עולמי שביומטריה היא חלק ממומחיותם. אתה, בתור אוסף טביעות אצבע, רק משתמש-קצה בטכנולוגיות שהם מפתחים. אני כמובן מכבד את המקצוע שלך, אך הידע שלך לא רלבנטי לדיון שלנו. תחשוב בבקשה על דיון ציבורי לגבי תקנות נגד זיהום מכלי רכב. הידע שלך מקביל לידע של נהג מונית, ואילו הידע שלהם מקביל לידע של מהנדס רכב או רופא. מבין את ההבדל? נהג מונית ידע לנהוג מצויין, אך ההבנה שלו במבנה המנוע קטנה בהרבה מזו של מהנדס, וכך גם ההבנה שלו בנזקים הבריאותיים של זיהום משריפת בנזין. "מאגרים של מדינת ישראל מוסדרים כולם בחוק ". לצערי, אתה טועה. המאגר החדש של משרד התחבורה מעולם לא קיבל אישור חוקי. גרוע מכך, באופן שגרתי, נעשה שימוש לא חוקי במאגרי המידע הממשלתיים. לדוגמא, המאגר המשטרתי. לכל משרד חקירות פרטי יש "חבר" או שניים אם גישה למאגר, וידועה התופעה של חיילות שח"ם ש"מבררות" על גני זוג חדשים שלהן. במשפט של כמה מהן, לפני כמה חודשים, הסביר שוטר סיור ש "אין להן גישה רגילה למחשב, אז הן עושות את זה במסופים שיש בניידות עם קוד של השוטר או שמבקשות משוטרים בתחנה שיבדקו להן כל מני דברים. זה על בסיס יומי". "כל השיטות שתוארו ליצירת מסמכי זהוי חכמים הם ברי זיוף ובאמצעים פשוטים יחסית". לא נכון. אם הנתונים שבשבב החכם חתומים על ידי חתימה דיגיטלית, אז לא ניתן לזייף אותם. אתה יכול לחשוב על החתימה הדיגיטלית כעל מין ספרת ביקורת משוכללת מאד שלא ניתנת לניחוש. זאת אומרת, אם "דחפת" לשבב שעל התעודה נתונים לא מקוריים, למשל, תאריך לידה שונה, החתימה לא תתאים. בכל אופן, נתונים ביומטריים אינם מונעים זיוף, ולא משנה כמה פעמים תכתוב את ההיפך. אם אתה יכול לזייף תעודה עם שבב חכם שאינו חתום דיגיטלית, אז אתה יכול לשים שם את הנתונים של עצמך וגם את טביעת האצבע של עצמך ומי שישווה בין טביעות האצבע שלך ואלה שעל התעודה יקבל תשובה חיובית. אם הנתונים בתעודה חתומים בחתימה דיגיטלית, מי שישווה את הנתונים שדחפת לתעודה לחתימה הדיגיטלית יגלה מייד שהיא מזוייפת. ההגנה של חתימה דיגיטלית תעבוד גם אם לא יהיו על השבב החכם שום נתונים ביומטריים! מספיק לכתוב בשבב את מספר הזהות שלך, אפילו שם לא דרוש! החתימה הדיגיטלית היא עוד סיבה מדוע מאגר ביומטרי מרכזי אינו מועיל לשום דבר. מכיוון שהחתימה הדיגיטלית מונעת הזרקת נתונים מזויפים לתעודה, אין צורך להחזיק את כל המידע במאגר מרכזי. "הפגיעה בפרטיות שלנו היום נמצאת דווקא בידיים של תאגידים מסחריים כמו חברות תקשורת, אתרי אינטרנט, מצלמות אבטחה שאינם נמצאים תחת שום בקרה רגולטורית למרות שקיימים חוקים ותקנות בנושא" סוף סוף יש משהו שאנחנו מסכימים עליו :-) הגורמים שציינת בהחלט פוגעים בפרטיות והאכיפה בארץ, עדיין, מגוחכת. אך מאגר ביומטרי מרכזי הוא איום גדול בהרבה מכל אלה, בגלל כמות האנשים ואיכות הנתונים (אתה, בתור אוסף טביעות אצבע, בטח יודע כמה גדול ההבדל בין טביעה מגולגלת ברורה שנלקחת בתחנה לבין טביעה חלקית מטושטשת שאתה צריך לאסוף מדלת). הפגיעה בפרטיות שלנו על ידי עסקים דומה לזיהום האויר ממכוניות או תחנות כוח פחמיות, ואילו על הפגיעה כתוצאה מהמאגר הביומטרי דומה לזיהום הנגרם מדליפת תחנת כוח גרעינית. ארוע של דליפה גרעינית קורה לעתים רחוקות יותר, אבל כשהוא קורה...
אני מבדיל היטב בין שכבות אבטחת המידע. הנזק שנגרם מדליפת האגרון רק יתוקן באמצעות יכולות זיהוי ביומטריות. אף אחד מהפוליטקאים, חתני פרס נובל ואפילו משפטנים אינו מומחה בתחום איסף טביעות האצבע אלה שמבינים הם מועטים ולא נוטים להתפרסם. המאגרים של מדינת ישראל מוסדרים כולם בחוק כולל של צה"ל, הבנקים, מוסדות רפואה, משטרת ישראל, משרד החינוך, משרד התחבורה ועוד. כל השיטות שתוארו ליצירת מסמכי זהוי חכמים הם ברי זיוף ובאמצעים פשוטים יחסית. הפגיעה בפרטיות שלנו היום נמצאת דווקא בידיים של תאגידים מסחריים כמו חברות תקשורת, אתרי אינטרנט, מצלמות אבטחה שאינם נמצאים תחת שום בקרה רגולטורית למרות שקיימים חוקים ותקנות בנושא. כל אחד מאיתנו מחזיק מכשיר סלולרי שמאפשר כמעט לכולם לעקוב אחריו, משלמים בתחנות דלק באמצעות ארנק סלולרי, מצולמים בכל חניון באמצעות מצלמות אבטחה ומצלמות LPR שחלקם שייכים לחברות שלא הייתי חותם בעיניים עצומות על כשרותם. אנחנו שולחים קורות חיים מפורטים שלנו לכל אתר אינטרנט שמזדהה כלוח דרושים. כל המידע מנותח באמצעות מערכות BI מתוחכמות שתוארו בימים האחרונים גם בסקירות כאן עם אזהרות שמי שלא ייעשה שימוש בהן לא יישרוד כלכלית, ומשמש לתעמולה פוליטית ושיווקית, השחתה של הילדים שלנו והונאות מתוחכמות. כל זה הוא פגיעה בפרטיות ובדמוקרטייה. לגבי הקשקוש שלא יאפשר בחירות חשאיות: אם בקלפי תותקן מצלמת אבטחה / ריגול בגודל ראש סיכה תרגישו בזה? לגבי גורמי הבטחון ציינתי בדברי נדרשת תת מערכת מיוחדת. התקפות הסייבר על אתרי מדינת ישראל פגעו בפרטיות שלנו ע"י הדלפת שם משתמש סיסמא וכרטיס אשראי הצליחו רק באתרים שניהלו מאגרים לא מאובטחים ואספו נתונים שלא כחוק, המודעות הציבורית ושינוי מדיניות האבטחה בחלק מהחברות צמצמה את התופעה. מאגר מידע רגיש נוסף הוא מאגר המידע של החתימות האלקטרוניות על פי החוק בנושא, אף אחד לא חושש שייפרץ ומשתמשים בו עורכי דין, שופטים, אנשי בטחון, רופאים, בנקים ואפילו משרד האוצר...תארו לעצמכם שייפרץ ויהיה מיש ירשום סמים לילדים שלנו בחתימת רופא...בקיצור תביאו טיעונים משכנעים יותר.
לאלי ויסברט מתגובה 4. המשפט "ניתן למנוע (דליפה) ע"י ניטור והפעלת מנגנון שינעל כל קובץ שנפגע והעלאת הקובץ ממקור גיבוי חם" מראה שאתה לא מבדיל בין נזק שנובע מדליפה לנזק שנובע מאובדן מידע בתוך המערכת. גיבוי מגן עליך מאובדן, לא מדליפה. הטענה השנייה שלך: "במקום לדון באיך מבטיחים זיהוי וודאי בעידן הדיגיטלי כשכל אחד יכול לייצר תעודה באמצעות ציוד ביתי, דנים באיך למנוע את זה", אף היא שגויה. אין קשר בין זיוף תעודות לבין אמצעים ביומטריים ובודאי שאין קשר למאגר ביומטרי. זיוף נמנע על ידי אמצעים פיזיים בתעודה כמו דיו מיוחד וסיבים בפלסטיק ועל ידי החתימה האלקטרונית שעל השבב החכם. בכל מדינות המערב, למעט ספרד, ניתן לקבל תעודה חכמה שאינה מכילה שום נתונים ביומטריים או שמכילה נתונים כאלה מבלי שהמדינה שומרת לעצמה עותק שלהם במאגר ביומטרי מרכזי. גם אצלנו היתה תוכנית להנפיק תעודות חכמות ללא אמצעי זיהוי ביומטריים, וללא מאגר, כבר לפני יותר מעשר שנים! מה שעיכב את הנפקת התעודות הללו לכל האוכלוסייה, ושעדיין מעכב זאת, הוא הרעיון המסוכן של המאגר הביומטרי.
אלי ויסברט, להלן תשובות לטענותיך. 1. "מאגר המידע של משרד הפנים הופץ כבר לציבור, כך שהפרטיות שלנו נפגמה ממילא". אם המצב גרוע אז כדאי להחמיר אותו? לפי ההגיון שלך כדאי להקים כור אטומי במרכז תל אביב. ממילא יש כבר כמה מפעלים מזהמים בסביבת העיר. 2. "רישיון הנהיגה שלנו מכיל תמונה דיגיטלית ". למזלנו, האיכות הביומטרית של התמונה ברשיון נמוכה. בכל מקרה, למאגר של משרד התחבורה אין בסיס חוקי וקיומו מסוכן לכולנו. לכן, יש למחוק אותו במקום להקים מאגר חדש, מסוכן יותר. 3. "אני אומר בפרוש שאין מניעה לפרסם את המאגר באופן יזום". אפילו יוזמי המאגר ומקימיו לא חלמו להציע הצעה "גאונית" כזו שתאפשר, בעזרת אפליציית סמרטפון פשוטה, זיהוי של, ומעקב אחרי, כל ישראלי בעולם (כולל, לדוגמא, אנשי עסקים, סוכני מוסד, דיפלומטים וכן הלאה). אולי כדאי פשוט לשלוח את המאגר באימייל לאיראן, טורקייה ודובאי? וגם למשפחות הפשע, כדי שיוכלו לזהות שוטרי חרש. 4. "כל ההפחדות שניתן יהיה לפגוע באזרח ע"י צילום טביעת האצבע שלו באמצעות טלפון סלולרי הם קשקוש גדול". למזלנו, דעתם של המומחים המובילים בארץ, הפוכה משלך. בינהם, לדוגמא, חתני פרס נובל, פרס ישראל, פרס ביטחון ישראל, חוקרי אבטחת מחשבים מובילים, פרופסורים למדעי המחשב ודיקני הפקולטות למדעי המחשב. מכל קצות המפה הפוליטית. 5. חוץ מהפגיעה בביטחון הלאומי והאישי, המאגר הביומטרי פוגע קשות בפרטיות ובדמוקרטייה. הוא אינו מאפשר קיום בחירות חשאיות, אלא אם כן נתחיל להצביע עם כפפות, ובהתחשב באבטחה הנמוכה יחסית של מאגרי מידע אחרים, כמו רשומות רפואיות ומאגרי מידע בנקאיים, ובהצלבה פשוטה עם המאגרים הללו, הוא הופך את החיים הפרטיים שלנו לשקופים ברגע שאנחנו הולכים ברחוב או נכנסים לחנות. 6. ההערכות שנתקלתי בהן פעמים רבות בעבודתי הן שדליפת מרשם האוכלוסין גרמה וגורמת נזק מתמשך של כ500-700 מיליון ש"ח בשנה. כל שנה! הנזק של דליפת המאגר הביומטרי יהיה גדול הרבה יותר. אם אתה מעוניין, אוכל לתאר בפניך כמה דוגמאות מפורטות של כיצד דליפת מרשם האוכלוסין מאפשרת התקפות יומיומיות על המערכת הפיננסית הישראלית.
למגיב 3: האבטחה כי החוק מחייב וצריך לשמור על השלמות והנגישות למאגר. לגבי גורמי הבטחון שונים כתבתי שצריך תת מערכת נוספת שתסייע להם להמשיך לתפקד ואין מקום לפרט יותר כאן. אנשי המחשבים מזהירים כי דינו של כל מאגר יהא מאובטח ברמה הגבוהה ביותר להיפרץ אם קיימים גורמים שמעוניינים בכך, כך היה עם האגרון, ויקיליקס ועוד וזה נכון גם כאן, אולם אם המאגר ינוהל כמו שתיארתי בשיטה של הפרדת הפרטים המזהים משאר הפרטים האישיים אין כל סכנה אם המאגר ייפרץ, למעט פגיעה הנגישות אליו או בשלמותו ואת זה ניתן למנוע ע"י ניטור והפעלת מנגנון שינעל כל קובץ שנפגע והעלאת הקובץ ממקור גיבוי חם. לדעתי הקמפיין נגד יצא משליטה ובמקום לדון באיך מבטיחים זיהוי וודאי בעידן הדיגיטלי כשכל אחד יכול לייצר תעודה באמצעות ציוד ביתי, דנים באיך למנוע את זה.
למגיב מספר 2, אם לדעתך אין שום בעיה לפרסם את המאגר הביומטרי, מדוע קיימת אבטחה כה גדולה סביבו? מדוע שר הביטחון מתנגד להקמתו והשב"כ והמוסד אוסרים על אנשיהם להרשם אליו? מדוע כל כך הרבה אנשי מחשבים מזהירים נגדו?
אני ממש איני מבין על מה המהומה. מאגר המידע של משרד הפנים הופץ כבר לציבור, כך שהפרטיות שלנו נפגמה ממילא. בנוסף רישיון הנהיגה שלנו מכיל תמונה דיגיטלית שמופצת בין כל הרשויות עם כל הפרטים המזהים שלנו. אז נשארה סוגיית הוספת טביעת אצבע.. אני אומר בפרוש שאין מניעה לפרסם את המאגר באופן יזום כך שכל אזרח שירצה יוכל לוודא באמצעות מכשיר מתאים שהוא עושה עיסקת נדל"ן, רכב, פיננסים עם אדם שהוא יכול לזהות בוודאות. הזיהוי מול המאגר באמצעות מסוף מתאים יאפשר צימוד בין התמונה, טביעת האצבע, מס' הזהות והשם וייתן אפשרות לחסום את הונאות הזהות שמתרבות בימינו. לטובת גורמי הבטחון שצויינו לעיל תידרש תת מערכת מיוחדת שתאפשר להם להמשיך לפעול בשיטות הייחודיות שלהם. האבטחה היחידה שנדרשת למאגר מעבר לאלוגוריתם הצפנת התמונה וטביעת האצבע היא הפרדה מפרטים אישיים אחרים של בעל התעודה כלומר המאגר יכיל רק שם, מספר תעודה, תמונה וטביעת אצבע. כך שלא יקרה כלום אם אבדה תעודה כזאת והאבידה אפילו לא דווחה. בעת הנפקת התעודה חלופית תבוצע השוואה בין המאגר, לתמונה וטביעת האצבע של המבקש לאימות הפרטים שמסר. כל ההפחדות שניתן יהיה לפגוע באזרח ע"י צילום טביעת האצבע שלו באמצעות טלפון סלולרי הם קשקוש גדול, מניסיוני כאוסף טביעות אצבע הסיכוי של מי שמיומן להגיע לזיהו מול אצבע בודדת במיקרה הטוב הוא אחד לשמונים מיליון, אז מי שאינו מיומן ברור שאין לא סיכוי. העובדה שתחקיר עיתונאי זיהה כשל בתהליך בעת שלב הפיילוט היא דבר נהדר - זה מאפשר לסגור את הפירצה. בעידן הדיגיטלי כל מסמך נידרש להיות מאומת ובמיוחד מיסמך זיהוי. (אני איני עובד משרד הפנים ואיני קשור בשום אופן לפרויקט).
המאגר הביומטרי הוא מסוכן ומיותר גם אם האבטחה שלו היתה מושלמת. לטענת משרד הפנים, המאגר הביומטרי מיועד למנוע "הרכשה כפולה", זאת אומרת, מקרים של פושעים המגיעים למשרד הפנים ומוציאים תעודה בשמם ואחר כך חוזרים ומוציאים עוד תעודה בשם מישהו אחר. אבל הטענה הזו אינה נכונה. התופעה הזו אינה קיימת. כך הוסבר בפרוש בדו"ח מבקר המדינה הקודם שדרש להוציא תעודות חכמות ללא נתונים ביומטריים כלל וכמובן שללא מאגר ביומטרי. התופעה הזו לא קיימת כי משרד הפנים לא מחלק תעודות אוטומטית לכל מי שמבקש. ראשית, על מבקש התעודה לעבור תשאול. שנית, אם בעל הזהות שהוא מנסה לגנוב כבר הוציא תעודה חכמה, מייד המערכת תתריע לפקיד שהונפקה כבר תעודה בשם זה ושהיא לא בוטלה, ולכן האיש שלפניו הוא מתחזה ויש לעצור אותו. כך שאם מתחזה כזה הוא עבריין שמנסה להסתתר - הדבר האחרון שכדאי לו זה לנסות את מזלו במשרד הפנים. מה ייצא לו מכך? אם יש לו הרשעות קודמות, כמו לרוב העבריינים, אז ממילא למשטרה יש מידע ביומטרי מצויין לגביו. ואם אין לו הרשעות קודמות, אז למה להסתכן ולהתפס עכשיו? צריך להיות פושע טיפש מאד כדי להשאיר בהתנדבות את טביעות האצבע ותמונה באיכות גבוהה בשביל חתיכת פלסטיק שניתן לבטל מרחוק. להסתכן כך, זה בערך כמו שעבריין יקח כרטיס אשראי גנוב וינסה לבדוק אם אפשר לשלם איתו במיזנון בתחנת משטרה...