15 כשלים של הפיילוט למאגר
17/01/2014
מומחה האבטחה דורון אופק ופעילים אחרים עברו ביסודיות על מכרז תוכנת ההשוואה ועל המסמכים הנלווים אליו. השערורייה הראשונה, שאותה מוכיח עצם קיומו של המכרז, היא שהפיילוט למאגר הביומטרי לא בודק את מה שהוא אמור לבדוק. עובדה זו נחשפה לאחרונה בתקשורת, אך במסמכי המכרז מסתתרים כשלים רבים שהציבור עדיין אינו מודע אליהם.
במסמך שפרסם אופק הוא מציין שהצוות נתקל ביותר מ-100 כשלים, אך החליט, מתוך התחשבות בקוראים, לפרט 15 כשלים חשובים במיוחד:
- לרשות הביומטרית חסרה מערכת שמאפשרת השוואה של נתונים ביומטריים – תוכנת ההשוואה היא ה”לב” של המאגר הביומטרי ובלעדיה אין טעם במאגר. כשרוצים להכניס מישהו למאגר, היא בודקת אם נתוניו הביומטריים כבר נמצאים שם תחת שם אחר. אם כן, הרי שמדובר בנסיון זיוף. אם אין תוכנת השוואה, איך בדיוק בודקים אם המאגר עובד?
- משרד הפנים והרשות הביומטרית מתכננים להשתמש בזיהוי פנים ביומטרי. החוק הקיים מאפשר זיהוי ביומטרי באמצעות טביעת אצבע ופנים, ולמרות שצילומי פנים נאגרים, לא היה דיון בכך שהם ישמשו להשוואה וזיהויו. מסמכי המכרז מראים שבדעת משרד הפנים לאפשר זיהוי באמצעות תמונת הפנים הביומטרית, דבר שהוא מסוכן הרבה יותר (למשל, בעלי גישה למאגר יוכלו להזין אליו תמונה שצילמו ברחוב ולקבל את כל הפרטים על המצולם).
- טיפול בקטינים במאגר הביומטרי – ממסמכי המכרז עולה כי הרשות הביומטרית החליטה על דעת עצמה לאסוף תמונות פנים ביומטריות מקטינים. הנושא נדון מעט בעבר, אך המדינה טענה שהיא אינה מתכוונת לקחת ביומטריה מקטינים משום שמדובר בתכונות שנמצאות בשינוי תמידי אצל קטינים (טביעות אצבעות). כעת מתברר שהם החליטו להשתמש בזיהוי פנים של קטינים.
- משרד הפנים והרשות הביומטרית מייתרים את חוק נשיאת תעודות זהות – על פי מסמכי המכרז, המערך הביומטרי נערך להתמודד עם זיהוי של אנשים ללא תעודה (החוק מחייב כל אזרח לשאת עימו תעודת זהות). גם כאן מדובר בשימוש לא חוקי בנתוני המאגר, אלא שהפעם מדובר בביטול הזכות הבסיסית לסרב להזדהות (שהוכרה על ידי בית המשפט במקרה של אורטל בן דיין), כלומר בפגיעה קשה בדמוקרטיה.
- מי רשאי לגעת בנתונים הביומטריים שלכם – בחוק הביומטרי הוגדר כי רק עובדי הרשות הביומטרית שהוסמכו לכך ועברו בדיקות שב“כ והם, בהגדרה, עובדי מדינה, יכולים לגשת למידע הביומטרי שלכם. אבל על פי מסמכי המכרז, הרשות הביומטרית מעניקה גישה לנתונים ביומטריים לעובדים של הספקים השונים, ובכך היא עוברת על החוק.
- הזנחת מידע במקום אבטחת מידע – על פי מסמכי המכרז, הרשות הביומטרית תתיר לעובדים של הספקים הניגשים למכרז (עוד בטרם זכו בו) להתקין תוכנות וכלים על מחשבי הרשות. מדובר בתוכנות קנייניות, סגורות, אשר איש אינו יודע מה הן כוללות מעבר למה שהצהיר היצרן. כל מחשב כזה (או תוכנה כזו) יכולים להדביק את מחשבי הרשות בווירוסים, סוסים טרויאנים, ולהפוך את המאגר הביומטרי ליעד לתקיפות סייבר.
- בוררות לקויה – במסמכי המכרז מדובר על מנגנון בוררות שיופעל אם וכאשר יהיו מחלוקות בין הספק שייבחר לבין אנשי הרשות הביומטרית. כגוף הבורר נבחרה עמותה חיצונית, שמנהליה הם בעלי תפקידים בחברות שונות, ובכלל זה חברות המספקות תוכנות ושירותים גם למנגנון הממשלתי וגם למשרד הפנים. מכך עולה סתירה עמוקה.
- שינוי חקיקה – על פי מסמכי המכרז, הרשות הביומטרית משריינת לעצמה אפשרות לשנות חקיקה ראשית אם משהו לא יסתדר כפי שרוצים. המשמעות היא שהיום אתם נותנים את המידע הביומטרי למטרה אחת, אולם בהמשך ייתכן שיוסיפו או ישנו את המטרות.
- הכנת תשתית להפרטה – על פי מסמכי המכרז מתקיימת תשתית להפרטה של הרשות הביומטרית ו/או הוצאה למיקור חוץ של עובדים. הדבר עומד בניגוד לחוק הקיים כרגע.
- אבטחת מידע או הפקרת מידע – הרשות דורשת מספק שקיבל ממנה מידע ביומטרי של אזרחים להתייחס אליו כפי שהיה מתייחס למידע סודי שלו, ולנהוג בו בצורה זהה. נשאלת השאלה כיצד אמור לנהוג הספק אם הוא כלל לא שומר ומגן על המידע שלו. חשוב יותר: העברת מידע ביומטרי של אזרחים לספקים חיצוניים אסורה על פי החוק.
- שחרור מאחריות – על פי מסמכי המכרז, הרשות הביומטרית ועובדיה ומשרד הפנים משוחררים מאחריות לדליפות מידע מספקים. החוק הביומטרי דווקא מדגיש את אחריותם כלפי דליפה של מידע ופגיעה בו.
- מידע קריטי יועבר דרך האינטרנט – הספק נדרש לתת תמיכה מקצועית באמצעות דואר אלקטרוני. המשמעות היא ששאלות טכניות ומידע קריטי יועברו דרך מערכת הדואר האלקטרוני.
- לא פורסמו נוהלי אבטחה – הרשות טוענת שיש לה “תורת הפעלה” לשמירת הנתונים במאגר, אך היא שומרת את תורת ההפעלה הזאת בסוד (בניגוד למקובל בענף האבטחה). מסמכי המכרז מוכיחים עד כמה הסודיות הזאת מסוכנת. על פי ממצאינו (ראו סעיפים 5, 6, 9, 11, 12) או שמסמכי המכרז הוכנו על ידי אנשים שלא היו להם הרשאות לקרוא את נוהלי האבטחה, או שנוהלי האבטחה החסוים הם אכן לקויים.
- עשיתם קעקוע או פירסינג? המדינה רוצה לדעת את זה – על פי המכרז, המדינה רוצה לאסוף על כולנו מידע נוסף של סימנים מזהים, צלקות, קעקועים ועוד.
- המכרז סותר את פרוטוקול הניסוי – בחוק נקבעו נושאים שונים שצריכים להיבחן בפיילוט. המכרז מראה שהם אינם נבחנים – לפיכך יש כאן עבירה על החוק.