מאז תחילת הניסוי במאגר הביומטרי (יולי 2013) מריץ משרד הפנים קמפיין שקרי ומלא הטעיות במטרה לשכנע את הציבור למסור נתונים ביומטריים ולהיכנס למאגר. מאחר שהצורך במאגר הוא עניין שנוי במחלוקת, מנסים מנהלי הקמפיין להשכיח מהציבור את העובדה שהתיעוד החכם ניתן אך ורק למי שמסכים שפרטיו ייכנסו למאגר.

כך נולד פרויקט בשם “שטיקיפדיה” שתיעד ותיקן את ההטעיות וההשמטות באתר של רשות הגירה והאוכלוסין, המוקדש להסברים על התיעוד החכם. התוכן הגיע מאתר הרשות, ומעליו הוספנו הערות ותיקונים, כדי להפוך את התשובות של הרשות לנכונות יותר.

שטיקיפדיה

המערכת השתמשה בפלטפורמה נסיונית של החברה הישראלית tomodo, שלצערנו אינה נתמכת יותר, אך המידע באתר הרשות עדיין נותר ללא שינוי (נכון ל10/5/2015, כלומר יותר משנה מאז הבטיחה הרשות לבג”ץ לתקן פירסומים מטעים תוך יום-יומיים).

דף זה הוא “אתר הנצחה” לשטיקיפדיה. הוא מכיל את את אותן הערות השוליים שלנו לדברי הרשות, רק בעיצוב קצת פחות מאגניב. לחצו על קישורי הסימוכין כדי לראות את ההקשר בו נאמרו הדברים.

❞תיעוד הכולל אמצעים ונתונים ביומטריים❝

תעודה ביומטרית (למשל: דרכון ביומטרי על פי תקן ICAO 9303) אכן כוללת נתונים ביומטריים של בעליה, אבל הם נשמרים על גבי השבב (צ’יפ) שבתוך התעודה בלבד. אין דרך להוציא את הנתונים האלה מתוך השבב (רק לבקש ממנו לזהות האם אדם מסוים הוא בעל התעודה), ואין שום צורך במאגר ביומטרי לצורך שימוש בתיעוד כזה.

❞מדי שנה אובדים ונגנבים עשרות אלפי תעודות זהות❝

למרות שנתקלנו בהגזמות לא מבוססות לגבי היקף תופעת הזיוף, ברור גם לנו שמדי שנה קל יותר לזייף ת.ז. ודרכונים ישראליים. מאז דצמבר 2001 נגרר פרוייקט התיעוד החכם בגלל רשלנות של ממשלות ישראל, אבל הרשלנות הזאת הפכה לפושעת מאז אוגוסט 2008, כשנוספה ההתעקשות השרירותית על הקמת מאגר ביומטרי למסכת התירוצים למה הממשלה לא פותרת את הבעיה, שרק הולכת ומחריפה.

❞מה קובע “חוק הכללת [ביומטריה] במסמכי זיהוי ובמאגר מידע”?❝

למרות שהמילה מאגר מופיעה בשמו של החוק, התשובה מתעלמת מהנושא, ומתמקדת בתיעוד חכם (נושא שלגבי נחיצותו אין מחלוקת). אי שם בהמשך העמוד יש התייחסות לנושא המאגר (מישהו כנראה קיווה שלא תגיעו עד לשם). זו לא טעות. זו מדיניות מכוונת להטעות את הציבור כדי שלא יבין למה הוא נכנס ועל מה הוא חותם.

❞אמצעי אבטחה גלויים וסמויים רבים, שאינם ניתנים לזיוף❝

  • הסיבה האמיתית שבגללה תעודה חכמה לא ניתנת לזיוף היא ההצפנה שעל גבי השבב והיכולת לבטל אלקטרונית תעודה שאבדה/נגנבה. כמו שאומר פרופ' אלי ביהם:
  • לוּ תעודות זהות חכמות (ללא ביומטריה) היו מיושמות כבר לפני עשור, בעיית זיופי תעודות הזהות לא הייתה קיימת עוד.
  • הוספה של ביומטריה (בלי מאגר) מונעת גם שימוש בהסכמה בתעודה של אחר (למשל: לבקשתו של קרוב משפחה חולה), אבל גם בשביל זה לא צריך מאגר ביומטרי.

❞והדרכון הביומטרי, מה מייחד אותו?❝

כפי שהרשות אומרת בעצמה, יותר מ-100 מדינות משתמשות גם הן בתקן ICAO 9303, והדרכון הישראלי לא מיוחד מבחינה זו. מה שמייחד את מדינת ישראל הוא ההחלטה “להעניש” את אלה שלא מוכנים “להתנדב” לניסוי של מאגר ביומטרי (כמקובל במדינות כמו עיראק ואפגניסטן) ולהכריח אותם להנפיק דרכון נייר קל לזיוף.

כמובן שה”עונש” הזה הוא קולקטיבי, כי גם אם יהיה לך אישית דרכון חכם, עדיין יוכלו פושעים, טרוריסטים, וסוכנים זרים לזייף דרכונים מיושנים מנייר כל עוד נמשכת “מדיניות הענישה” הזאת.

❞תעודת הזהות החכמה תאפשר שימוש בחתימה אלקטרונית❝

תאורטית, תוכלו אולי יום אחד לחתום באופן אלקטרוני ולדעת שאיש לא יוכל לחתום אלקטרונית בשמכם. מעשית, צריך קודם לפתור את ליקויי האבטחה החמורים שהתגלו במערך הגורם המאשר. כשנשאלו אנשי הרשות על כך ענו “זה לא אני” (הנושא הוא בתחום האחריות של מערך ממיל”א, כלומר — מחלקה אחרת). רגועים?

❞יחסוך זמן יקר בתהליך של ביקורת הגבולות❝

אם נושא דרכון ביומטרי חכם יחסוך זמן יקר, הרי שמי שמונעים ממנו להנפיק דרכון ביומטרי יבזבז זמן יקר. זוהי עוד דוגמה של “מדיניות הענישה” נגד אלה שלא מוכנים להשתתף בניסוי המאגר הביומטרי.

❞כל תושב או אזרח … יוכל לבקש תיעוד ביומטרי חכם❝

רק תושבים ואזרחים שיסכימו להיכלל במאגר הביומטרי (למרות שאין צורך טכני בכך) ויחתמו שברור להם שלא יוכלו לבקש למחוק את נתוניהם משם, יוכלו לקבל תיעוד חכם. כל השאר יצטרכו להסתפק בתיעוד מיושן וקל לזיוף.
גם אם לא תסכימו, יש סיכוי שינסו לתחמן אתכם כדי שתיכנסו למאגר (ולסטטיסטיקות של “ההיענות” לפיילוט), במיוחד אם אתם שייכים לאוכלוסיות חלשות (כמו קשישים או בני מיעוטים).

❞במהלך תקופת המבחן (שנתיים ראשונות מתחילת הפרויקט)❝

המילים “שנתיים ראשונות מתחילת הפרויקט” הן עוד דוגמה לכך שהרשות רואה בפיילוט מס שפתיים ולא מבחן אמיתי שעשוי להיכשל. זה לא מפתיע, כי בדיון שבו הוגדר הפיילוט לא נקבעו מדדים להצלחה או כישלון שלו. האפשרות היחידה לכישלון הפיילוט היא אם הציבור יפגין התנגדות מסיבית ויימנע מהשתתפות בניסוי. זו גם הסיבה לכך שהרשות משקיעה כסף (מכיסנו) ומאמצים בהתמודדות עם מה שהיא רואה בו “משבר תקשורתי” ולא כישלון אמיתי של הפיילוט — כי הוחלט מראש שלא ייכשל.

❞כתב אישור והסכמה [לנטילת נתוני המבקש/ת] והכללתם במאגר הביומטרי❝

מזל טוב. לראשונה מופיע הביטוי המפורש מאגר ביומטרי. זו תופעה שמאפיינת את כל תעמולת הרשות: לדבר כמה שיותר על תיעוד חכם (נושא שלגבי נחיצותו אין מחלוקת), וכמה שפחות (אם בכלל) על המאגר.

בהערות בהמשך נוכל סוף סוף להתייחס לנושא המאגר עצמו (תודה שהחזקתם מעמד עד עכשיו), אבל בואו נציץ קודם בכתב האישור וההסכמה עליו תיאלצו לחתום. בין השאר כתוב שם:

ידוע לי כי לאחר שנתתי את הסכמתי לנטילת אמצעים או נתונים ביומטריים והכללתם במאגר, לא אוכל לחזור בי מהסכמתי זו, וכי עם תום תקופת המבחן המוגדרת בחוק ועם החלת החוק על כלל התושבים גם בלא הסכמתם, יהיה משרד הפנים רשאי, בנסיבות מסוימות ובהתקיים התנאים לכך המפורטים בחוק, להעביר למשטרת ישראל, למשטרה הצבאית או לרשויות הביטחון מידע על סמך המאגר הביומטרי.
  • העובדה שנאמר “עם החלת החוק” ולא “אם יוחל החוק“ מעידה על כך שהרשות רואה בפיילוט מס שפתיים ולא מבחן אמיתי שעשוי להיכשל, ואכן לא נקבעו מדדים להצלחה או כישלון שלו.
  • הניסוח המרגיע-לכאורה "בהתקיים התנאים לכך המפורטים בחוק” מצניע את העובדה שהחוק נוסח כך שאפשר יהיה בקלות להרחיב את השימושים במאגר הביומטרי בחקיקה עתידית (ולכו תדעו מי יהיה בשלטון בעוד 10 או 50 שנה).
  • המילים “לא אוכל לחזור בי מהסכמתי זו” אומרות את כל השאר :(

❞תהליך של אימות זהותו של המבקש באמצעות כמה שאלות❝

גם אם משתמשים במאגר ביומטרי, הוא לא יכול לעזור לאשר את זהותו של מי שעדיין לא נמצא במאגר. בשלב הראשון מדובר בכל אזרחי המדינה, אבל גם בעתיד ימשיכו להיוולד ילדים ולהגיע לגיל שבו תונפק להם תעודת זהות.
נושא זה, שנקרא הרכשה ראשונית, מחייב שיקול דעת של פקידים בשר ודם. בפועל, תחקיר ערוץ 2 הראה שקל לרמות את אותם פקידים.
מאגר ביומטרי לא יכול לפתור בעיה כזאת. להיפך — הוא יכול רק להנציח אותה: לעולם לא תוכלו לטעון “זה לא אני”, כי המאגר כבר “יודע” איך אתם נראים “באמת”, וכפי שאנשי הרשות טוענים בעצמם, אי אפשר למחוק טעויות מהמאגר.

❞לא נעשה שימוש בדיו, והשימוש במכשיר אינו מלכלך❝

כדי להנפיק תעודה ביומטרית חכמה באופן שלא ילכלך את הידיים בדיו, אין שום צורך במאגר ביומטרי.

❞בעבר מבקש תעודת הזהות [היה צריך] תמונת פספורט שצולמה מראש❝

שוב: כדי להנפיק תעודה ביומטרית חכמה באופן שלא יחייב את האזרח להצטייד בתמונת פספורט, אין שום צורך במאגר ביומטרי.
למעשה, אפילו את “התעודה הטיפשה” אפשר היה להנפיק בלי לחייב את האזרח להצטלם על חשבונו.
העובדה שבמשך שנים בחרה הממשלה לגלגל את ההוצאה הזאת על האזרח אינה משהו להתגאות בו.

❞לשם מה צריך מאגר ביומטרי?❝

למעשה, יש כאן שתי שאלות:

  1. מה הסיבות הרשמיות לכך שצריך מאגר ביומטרי?
  2. מה באמת אפשר לעשות עם מאגר כזה?

הסיבה הרשמית שמוזכרת תמיד היא מניעת הרכשה כפולה (כפל זהויות). שאר הסיבות שמוזכרות בתשובה של הרשות (כמו "לא ניתן יהיה לזייף זהות") לא מחייבות מאגר ביומטרי. בעיית ההרכשה הכפולה היא זניחה עד אפסית, וכפי שטוען פרופ' אלי ביהם — לא סביר שהיו יותר ממקרים בודדים כאלה מאז קום המדינה. למעשה: המקרה המתועד היחיד הוא תוצאה של שגיאה (שבאופן אירוני — המאגר הביומטרי לא הצליח למנוע אותה).

נראה שמניעת הרכשה כפולה היא רק תירוץ להקמת המאגר. לראיה:

  • שיטה שהציע פרופ' עדי שמיר כדי למנוע הרכשה כפולה תוך נסיון לשמור על פרטיות האזרחים נדחתה על ידי הממשלה. למישהו היה חשוב לא להגן על הפרטיות שלנו.
  • בכתב ההסכמה עליו חותמים המצטרפים למאגר נאמר: ידוע לי כי לאחר שנתתי את הסכמתי לנטילת אמצעים או נתונים ביומטריים והכללתם במאגר, לא אוכל לחזור בי מהסכמתי זו, וכי ... יהיה משרד הפנים רשאי ... להעביר למשטרת ישראל, למשטרה הצבאית או לרשויות הביטחון מידע על סמך המאגר הביומטרי.
    בלי קשר לשאלה כמה אנחנו סומכים על אוכלוסיה גדולה כזאת, הניסוח הזה מעיד על היערכות לשימושים שאינם קשורים במניעת הרכשה כפולה.
  • החוק נוסח כך שאפשר יהיה בקלות להרחיב את השימושים במאגר הביומטרי בחקיקה עתידית (ולכו תדעו מי יהיה בשלטון בעוד 10 או 50 שנה).

אז מה באמת אפשר לעשות עם מאגר ביומטרי?

מאגר ביומטרי מאפשר לזהות אדם בלי צורך בתעודה, בלי הסכמתו, או אפילו ידיעתו.
אפשר לעשות את זה באופן ממוכן, כל הזמן, או באופן נקודתי (למשל: להשיג מספר טלפון של בחורה שרואים ברחוב, או לאתר זוגות נשואים-למישהו-אחר בבית קפה).

כבר היום אפשר לגלות עלינו מידע רגיש כתוצאה ממאגרים שדולפים כל הזמן. ראש הרשות למשפט, טכנולוגיה ומידע הפורש, עו"ד יורם הכהן, התריע על הנושא וכינה אותו "יום כיפורים של מידע". על פי תחזית חברת המחקר גרטנר, עד 2020 ארגונים וממשלות ייכשלו בהגנה על 75% מהמידע הרגיש שברשותם.

אם ידלפו נתונינו הביומטריים, הם יתוספו לשלל המידע שזמין כבר כיום לבלשים/פושעים/סוכנים זרים/טרוריסטים/וכו'. זוהי תוספת מהותית — המידע הזה יהפוך את יכולות הבילוש שלהם אחרינו לחסרות תקדים:
אפילו ב-NSA יודעים כיום "רק" איפה היה הסלולרי שלך בכל רגע ולמי שלחת מייל או מסרון. בעלי גישה לנתוניך הביומטריים יוכלו גם לדעת לאן הלכת בלי מכשיר סלולרי, ואת מי פגשת פנים אל פנים. צריך רק לפזר כמה מצלמות זולות, ו/או לפרוץ למצלמות אלחוטיות קיימות.
בניגוד ל-NSA, פושעים וטרוריסטים לא צריכים אפילו להיראות כאילו הם משתדלים לשמור על הפרטיות שלך. זול ויעיל יותר לעקוב אחרי כולם מאשר להחליט אחרי מי לא לעקוב.

דליפה של מידע כזה היא נזק לכל החיים. בניגוד לסיסמה שדלפה או תעודה שאבדה, אצבע אי אפשר להחליף.
הדרך היחידה למנוע מנתונים ביומטריים לדלוף היא לא לאגור אותם מלכתחילה.

❞האם שמירת המידע הביומטרי במאגר היא בטוחה?❝

למרות שמומחים מהאקדמיה ואפילו מהממשלה מפקפקים ביכולתה של הממשלה לשמור על מידע רגיש, חשוב להבין שנקודת התורפה של המאגר הביומטרי לא קשורה לשאלה "האם קל או קשה יותר למידע לדלוף ממנו יחסית למאגרים אחרים".

במאגרים אחרים יש אפשרות להתאושש ממצב בו דלפו נתונים. לדוגמה: אם דולף מרשם האוכלוסין, אפשר להחליף לכולם את מספר תעודת הזהות (במציאות — הוא דלף, יותר מפעם אחת, ולא החליפו — אבל עדיין אפשר 😉).
נתונים ביומטריים — לעומת זאת — אי אפשר להחליף (כלומר הנזק מדליפה הוא לכל החיים). זה אומר שכדי לאגור נתונים ביומטריים יש צורך במאגר שלעולם לא ידלוף.

מי שמאמין שיכול להיות מאגר כזה — לא מבין באבטחה.

❞חכם, חכם ומתקדם… אבל כמה זה עולה?❝

הרשות גאה לבשר לכם שתעודת זהות חכמה ראשונה תונפק למבקש ללא תשלום, אבל שוכחת לציין שלפי הערכות מבקר המדינה, הפרוייקט יעלה למשלמי המיסים כמיליארד ש”ח (ההערכות הריאליות גבוהות עוד יותר).

לשם השוואה: העלות השנתית של מקלט לנשים מוכות שנמצא בסכנת סגירה היא כחצי מיליון ש”ח בשנה. מיליארד ש”ח יכולים להחזיק 100 מקלטים כאלה במשך 20 שנה.

אז למה לבזבז את כל הכסף הזה? כי “כבר התחילו לבזבז וחבל להפסיק עכשיו”:

נציגי משרדי הפנים והאוצר הסבירו בדיון כי יש אינטרס להתנות בין תעודת זהות חכמה (כזו עם שבב) ובין השתתפות במאגר - אחרת הכסף שיושקע במאגר יושקע לשווא, מאחר ואף אזרח לא יסכים מרצונו הטוב, להפוך חלק מהמאגר הביומטרי.