המאגר הביומטרי: דו"ח של משרד המשפטים מצביע על ליקויי אבטחה במנפיק הממשלתי לתעודות אימות

מומחים רבים התריעו על בעיות פרטיות וליקויי אבטחה אפשריים במאגר הביומטרי ובתעודות הזהות החכמות, וקול זעקה רמה הוקם כנגד הפרויקט, שעתיד לצאת לדרך בקרוב. מסמכים חדשים שהוציאו באחרונה גורמים מוסמכים מאששים את הטענות. כך, מסמך רשמי שהופץ בטעות על ידי משרד המשפטים מגלה שורה של ליקויי אבטחה בממיל"א (ר"ת מנפיק ממשלתי לתעודות לאומיות), ודו"ח של האיגוד הישראלי לביקורת ואבטחת מערכות מידע (ISACA ישראל) מתריע על הסיכונים במאגר וכולל שורה של המלצות מה לעשות על מנת לתקן אותם.

במסמך של משרד המשפטים, שהגיע לידי אנשים ומחשבים, נחשפה חוות דעת של עומר פרידמן, יועץ אבטחת מידע מקומסק, שמתריע על ליקויי אבטחה במערכת ממיל"א ועל כך שאין נוהל מסודר לעדכוני המערכת.

חוק הביומטריה, שנחקק ב-2009, מאשר הכללת אמצעי זיהוי ביומטריים במסמכי זיהוי ובמאגרי מידע ממשלתיים. לפי החוק, שהציע ח"כ מאיר שטרית, יונפקו כרטיסי תעודות זהות הכוללים שבב אלקטרוני (כרטיס חכם), שעליו יהיו אמצעי זיהוי אלקטרוניים. על כל תעודת זהות תונפק תעודה אלקטרונית לאימות, שתוקפה יהיה לעשור. באמצעות התעודות האלקטרוניות לאימות ניתן יהיה להזדהות בפני מערכות מידע ושירותים מקוונים המצריכים "אימות חזק" של המשתמש. מנגנון האימות מהווה תחליף לשימוש בשם משתמש וסיסמה.

מטרת המאגר היא להקשות על זיופן של התעודות ולהפוך אותן לתשתית לשירותי ממשל זמין בתחומי האימות והחתימה האלקטרונית. על ממשל זמין הוטל להקים את ממיל"א, כמו גם גורם מאשר ממשלתי (גמ"מ – Certificate Authority).

במסמך כתב פרידמן לעו"ד רבקי דב"ש, יושבת הראש בפועל של רמו"ט (ר"ת הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים), כי "יש צורך לשים דגש מיוחד על אבטחת המידע של מערך ממיל"א, על מנת לצמצם את האפשרות לתקיפות. זאת, כי בשנים האחרונות גורמים מאשרים היוו מוקד למתקפות סייבר"

לדבריו, נדרש להגן על המערכת ברמת אבטחה גבוהה, למרות היותה סגורה, שכן רוב המתקפות בשנים האחרונות לא היו בהכרח חיצוני. "אף שהמערכת סגורה, יש להטמיע מערכות מניעת תקיפה וניטור חדירה, למניעת פריצות פנימיות", הוסיף. "יש לבצע רישום אירועי פיירוול ללוג ולשלוח לוגים למערכת SIEM".

פרידמן התריע ש-"הבקשות להנפקת תעודות מועברות ממערכות משרד הפנים לרשת הגורם המאשר בפרוטוקול לא מאובטח. זהו סיכון אבטחה ויש לבצע הצפנה".

בעיה נוספת עליה מתריע מומחה האבטחה מקומסק היא ש-"אין נוהל עדכונים. לא הגיוני שהמערכת לא עודכנה במשך שנה. כמו כן, לגבי סעיפים שקומסק מצאה ואנשי ממשל זמין אישרו שיתקנו, לא נקבעו לוחות זמנים ולא נקבע מתי הם יתוקנו – לפני או לאחר עליית פרויקט ממיל"א לאוויר".

דו"ח נוסף מתריע על סכנות אבטחה במאגר הביומטרי
חוות דעת נוספת שמתריעה על הסיכונים במאגר הביומטרי הוצאה באחרונה על ידי צוות התגובות של הוועדה המקצועית של האיגוד הישראלי לביקורת ואבטחת מערכות מידע. חברי הוועדה, אופיר זילביגר וגלעד ירון, שניהם מ-SECOZ, ואורן הדר מ-Know-IT, כתבו בחוות הדעת, כי "ISACA ישראל רואה חשיבות עליונה בהגנה על זהות תושבי המדינה. יחד עם זאת, אנחנו סבורים שיש לנקוט באמצעים נאותים על מנת לצמצם את הסיכונים החדשים המתעוררים בעקבות יישום פתרון לאתגר זה".

הם הוסיפו, כי "האגודה הבינלאומית ISACA פרסמה מסגרת מתודולוגית לניהול אבטחת מידע, כחלק ממסגרת כוללת לניהול ובקרה של מערכות מידע – CobiT 5.0. שימוש במתודולוגיה זו עשוי לסייע בניתוח והבנת הסיכונים והסיכויים הכרוכים במאגר הביומטרי והצבת בקרות מספקות, אשר יצמצמו את הסיכונים שיעלו".

המומחים המליצו "לשלב שיקולי אבטחת מידע באופן הדוק בתכנון של הפתרון. יש לבחון האם הכרחי לרכז את הנתונים הביומטריים במאגר, על מנת להתמודד עם האתגר עליו מצביע החוק – לוודא שתעודות הזהות והמעבר אינן מזויפות. הטבעת הנתונים הביומטריים בתעודות עצמן, ללא שמירתן במאגר מרכזי, עשויה לפתור אתגר זה".

כותבי חוות הדעת ציינו ש-"המאגר הביומטרי נועד לסייע למטרות נוספות, למשל סיוע בפיצוח פשעים באמצעות השוואת טביעות אצבע מזירת פשע למאגר הביומטרי או שימוש בתמונות פנים לסיוע באיתור תנועת גורמים זרים בנקודות בקרה שונות במדינה. יש לפרט את הדרישות הנוספות, לבחון את נחיצותן ולהבין את השפעתן על איומי אבטחת המידע. בעת בחינת הצרכים, יש לוודא שהנזק הפוטנציאלי של דליפת המאגר או חלקים ממנו לגורמים לא מורשים לא גדול מהנזק שעלול להיגרם מחוסר פתרון לצורך שהועלה".

עוד כותבים השלושה, כי "יש להשקיע זמן, משאבים ומאמץ על מנת לוודא, כי בכל שלבי החיים של המאגר – תכנון, פיילוט ותפעול – תישמר אבטחת המידע בהתאם לרמת הסיכון. על כל שינוי או תוספת המתוכננים בפרויקט לעבור בחינה קפדנית של אבטחת המידע כדי להבטיח שרמתה תישמר בעת ולאחר השינוי".

הם קראו "ליישם בקרות אבטחת מידע התואמות לרמת הסיכון שעומדת בפני השלמות, החשאיות וזמינות המידע שיימצא במאגר. רגישות המידע מובנת – מדובר במידע אישי רגיש ביותר – ומכאן שבקרות אבטחת מידע יעילות הינן קריטיות".

"יש לוודא שכל העובדים, הקבלנים והמעורבים בהקמה ותפעול של המאגר הביומטרי נבחרים בקפידה, תוך דגש על המחויבות המלאה לשמירה קפדנית על אבטחת המידע של הנתונים הכלולים בו", המליצו.

זילביגר, ירון והדר כתבו בדו"ח, כי "שאלת הסיכונים הכרוכים בהקמת מאגר ביומטרי שקולה לקשיים העומדים בפני המדינה לאי שימוש במאגר שכזה. לפיכך, ביצוע ניתוח מעמיק בצורך האמיתי בקיום מאגר מרכזי מחויב המציאות. בהינתן ההחלטה שהתועלת גבוהה דיה להקמת מאגר ביומטרי מרכזי, יש להפעיל את מלוא כובד אמצעי ההגנה המתאימים לסיכונים הכרוכים בו".