"תיעוד חכם בלי מאגר ביומטרי מוביל לזיופים"
"עם מאגר ביומטרי יקרו הרבה פחות זיופים", אמר יורם אורן, מומחה אבטחה, ביומטריה וכרטיסים חכמים, שמשמש כיועץ חיצוני בנושא לרשות האוכלוסין וההגירה ● לדבריו, "לצערי הרב, אנשים גיבשו דעה על המאגר הביומטרי על בסיס חיפוש בגוגל"
"ניתן ליצור תיעוד לאומי חכם עם ובלי מאגר ביומטרי. בלי מאגר יש קו ישיר שמוביל לזיוף התיעוד ואיתו יקרו הרבה פחות זיופים", כך אמר יורם אורן, מומחה אבטחה, ביומטריה וכרטיסים חכמים, שמשמש כיועץ חיצוני בנושא לרשות האוכלוסין וההגירה.
אורן דיבר ברב שיח שהתנהל בבית אנשים ומחשבים בנושא המאגר הביומטרי, בהנחיית יהודה קונפורטס, העורך הראשי של הקבוצה.
"לצערי הרב", אמר אורן, "אנשים גיבשו דעה על המאגר הביומטרי על בסיס חיפוש בגוגל (Google). קשה להשיג מידע על התחום".
הוא הביא דוגמאות למאגרים ביומטריים מהעולם. "בבריטניה אין לאזרחים תעודות זהות, אבל יש להם דרכון עשיר באמצעי אבטחה", ציין. "ליותר מ-80% מהאזרחים הבריטים יש דרכון. כאשר אמצעי האבטחה בדרכון השתפרו, הצטמצם מספר הניסיונות לזיוף וגדל מספר הניסיונות להשיגו. כיום הממלכה מקימה מאגר ביומטרי. יש מאגרים גם בפינלנד, באסטוניה ובשווייץ, כאשר בכל מדינה קיים מודל אחר. המאגר הישראלי הוא ייחודי ועבר אנונימיזציה: הרשומה במאגר לא מזוהה על בסיס נתון קיים".
"אין שחר לאמירה שניתן היה להסתפק ברכיב פשוט וזול יותר לתעודת הזהות החכמה, כי על תעודת הזהות לענות על מגוון רחב של תרחישים, שמכתיבים רמת אבטחה גבוהה מאוד – ללא קשר לשימוש בחתימה אלקטרונית", סיכם אורן. "השימוש בחתימה אלקטרונית יהיה רק בהתאם לבקשת התושבים שיחפצו בכך ובהתאם לדרישות משרד המשפטים, שהוא הרגולטור בתחום. תעודת הזהות החכמה תדע לספק את התשתית לכך, כמו ליתר תרחישי השימוש בה – הן המקוונים והן אלה שכוללים נוכחות פיזית".
ניר הירשמן, דובר התנועה לזכויות דיגיטליות. צילום: יניב פאר
"פרויקט שמובל בכוח האינרציה"
ניר הירשמן, דובר התנועה לזכויות דיגיטליות, שפועלת למניעת הקמת המאגר הביומטרי, אמר כי "הנתונים מראים שהמאגר כשל כישלון חרוץ בתקופת המבחן. אחוזי הסירוב לכניסה למאגר הרקיעו שחקים והגיעו עד לכ-70% ממבקשי תעודות הזהות והדרכונים. התעוררו קשיים חמורים בנטילת טביעות אצבע ותצלומי פנים, מה שגרם לרשות הביומטרית לבקש הגמשה של הרף, ולא בוצעה בדיקה אמיתית האם המאגר מונע את מה שהוא הוקם כדי למנוע – גניבת זהויות והרכשה כפולה".
במקביל, ציין, "על פי הנתונים הבלתי תלויים של מרכז המחקר והמידע של הכנסת, באף אחת מ-15 המדינות המערביות הגדולות בעולם אין מאגר ביומטרי פולשני, גדול ומסוכן כמו בישראל, ותוכניות שהיו להקים מאגרים דומים בוטלו והוסרו מעל סדר היום".
"יש כאן פרויקט שקיבל חיים משלו, שמובל בכוח האינרציה", אמר הירשמן. "זהו פרויקט ש-74 פרופסורים לאבטחת מידע וקריפטוגרפיה, בהם חתני פרס ביטחון ישראל, קבעו שהוא יסכן את בטחון המדינה. פרויקט שהוועדה הממשלתית שדנה בו קבעה שיש ליטול ממנו את ליבו ולהוציא ממנו מיד את טביעות האצבע".
זאב שטח, מנכ"ל קומסיין. צילום: יניב פאר
הוא סיכם בציינו כי "הקמת המאגר הביומטרי, כמו פרויקט הלביא, איבדה כיוון, תוחלת או סיבה. יש צורך בהחלטת מדיניות אמיצה של השר והממשלה – לבטל אותו לאלתר".
"אין לפעול על סמך פראנויה"
זאב שטח, מנכ"ל קומסיין, השתתף אף הוא בדיון. הוא אמר כי "לשם הגברת הביטחון, נדרש לוותר על הפרטיות. התהליך הזה ילך ויגבר ככל שיהיו יותר אירועים ביטחוניים".
לדברי שטח, "אני בעד תעודת זהות חכמה. יש מאמצים של המדינה בתחום ואני רגוע פה, כמו גם לגבי תחזוקת המאגר בצורה מאובטחת ומניעת הפגיעה בו. אין לפעול על סמך פראנויה".
שטח ציין כי "לפני שבע שנים המדינה רכשה שבב לטובת החתימה הדיגיטלית, שעלותו יקרה פי 20 משבבים אחרים שהיו בשוק. השבב היה יכול לשרת את המאגר הביומטרי. בסופו של דבר, תעודות הזהות והשבבים שוכבים במחסנים בלי תוחלת".
דורון שקמוני, מומחה סייבר ואבטחת מידע. צילום: יניב פאר
הוא סיים באמרו ש-"יש ירידה בצורך בכרטיסים חכמים. העולם עובר לסלולר כאמצעי זיהוי וכחתימה. כל ההשקעה בכרטיסים חכמים הייתה לשווא. בכל מקרה, אין צורך לקשור את תעודת הזהות החכמה לחתימה האלקטרונית".
"המידע הביומטרי על התעודה – מידע בטוח"
דורון שקמוני, מומחה סייבר ואבטחת מידע, ובעבר יועץ לממשלה בפרויקט תעודת הזהות החכמה, אמר ש-"יש הסכמה על הצורך בתיעוד חכם ויש הסכמה כמעט מלאה על האלמנט הביומטרי. המידע הביומטרי על התעודה הוא מידע בטוח".
לדבריו, "כל ההרפתקה של המאגר הביומטרי, כל הסאגה הזו החלה בשל נייר עבודה של לוט"ר (המטה ללוחמה בטרור במשרד ראש הממשלה – י"ה) מלפני עשור, שרצה למנוע פעולה של הרכשה כפולה, משמע – שאזרח יקבל תעודה לא לו. לוט"ר קבע שהפתרון היחיד הוא מאגר ביומטרי. שתי הקביעות – זו לפיה יש בעיה וזו לפיה הפתרון לבעיה הוא המאגר הביומטרי – הן אמירות בעייתיות".
דורון אופק, מרצה לסייבר באוניברסיטת בן גוריון ומומחה אבטחת מידע. צילום: יניב פאר
שקמוני סיכם בציינו כי "גם אם הבעיה קיימת – לא נכון שהמאגר הביומטרי הוא הפתרון. יש לסיים את הפיילוט שלו, שבחן את נחיצותו, ולקבוע שהוא לא נחוץ".
"לא חייבים מאגר ביומטרי"
דורון אופק, מרצה לסייבר באוניברסיטת בן גוריון ומומחה אבטחת מידע, דיבר אף הוא על המסמך של לוט"ר. לא חייבים מאגר ביומטרי, יש כיום אמצעים מתוחכמים לפתור את הבעיות בלעדיו".
לדבריו, "יש להבדיל בין שני מאגרים אחרים הקיימים בישראל – זה שבצבא וזה של המשטרה. מהמאגר הצבאי הוצא מידע, באמצעות צו בית משפט, רק פעמים בודדות. המאגר המשטרתי, לעומתו, דליף".
אופק ציין כי "אם מידע ידלוף מהמאגר הביומטרי, ניתן יהיה לייצר ממנו זהות גנובה, כיוון שהוא שומר תמונת פנים וטבעיות אצבע".
הוא סיים באמרו כי "המאגר הביומטרי לא נבנה בתפיסת Security By Design, המשלבת את היבט האבטחה מלכתחילה, לפני ותוך כדי פיתוח חומרה ותוכנה, כשהמטרה היא לבנות סביבה נטולת פגיעויות וחסינה למתקפות, ככל הניתן".
נכנסתי למאגר מתוך מצוקה. הייתי צריך להנפיק דרכון חדש במיידי ובגלל יתרה של יותר מ3 שנים אמרו שאפשר לקבל חינם אם אנפיק ביומטרי אז נכנעתי ללחץ והסכמתי. אין מתנוות חינם ,אבל לא הכרתי את הנושא ולא הבנתי מה המשמעות עד שהתחלתי לבדוק אבל זה כבר היה מאוחר מדי. ניצלו שאני אדם מבוגר ולא מבין את ההשלכות כי מה לעשות בטכנולוגיה אני לא מבין כלום. אני חרד מהנזק שעלול להיגרם. הלוואי שהפרויקט יפול וימחקו את המידע עליי :( אל תעשו כמוני במיוחד בני 60 פלוס תיתנו לילדים או נכדים ללוות אותכם שידברו במקומכם