מאגר ביוטרי
"זה לא אני" | צילום: Dave Einsel, GettyImages IL

פיילוט המאגר הביומטרי כבר החל, אך התוכנה המאפשרת לרשות הביומטרית לבצע את השוואת טביעות האצבע של אזרחים מול אלו השמורות במאגר טרם הוטמעה, כך עולה מעיון באתר משרד הפנים. מכרז שפרסם המשרד בתחילת השנה, תחת הכותרת "הצעה לאספקה של מערכת התאמה ביומטרית לממשלת ישראל", הסתיים רק אתמול, לאחר שנדחה מספר פעמים. משמעות הדבר היא כי הפיילוט של המאגר, שהחל לפעול במהלך הקיץ, כלל לא מאפשר לרשויות לוודא שאדם המציג את עצמו כפלוני אלמוני הוא אכן כזה, ולא גנב זהות.

בואו למאגר של נקסטר

כידוע, בחודש האחרון יצא משרד הפנים בקמפיין פרסום עתיר תקציבים בכל אמצעי המדיה - החל מהעיתונות הכתובה, דרך שידורי הרדיו והטלוויזיה ועד האינטרנט ושלטי החוצות - תחת הכותרת "זה לא אני". הקמפיין מורכב מתרחישי אימה בהם מסתבר לאזרח כי נעשו בשמו פעולות שונות על ידי נוכלים ופושעים שגנבו את זהותו כאשר הוא זה הסובל מהתוצאות. בפרסומות מבטיחה הרשות הביומטרית שאת תעודות הזהות החכמות שלה לא ניתן יהיה לגנוב או לזייף, מאחר והמאגר מאפשר לוודא שהאדם הנושא את התעודה הוא מי שהוא טוען.

אך בפועל, התוכנה המאפשרת את ביצוע ההשוואה בין טביעת האצבע השמורה לבין האזרח טרם נבחרה, כך שלא ברור כיצד התנהל עד עתה הפיילוט, שכל מטרתו לבדוק את יכולת ההשוואה ואבטחתה בפני פריצות. הדבר עשוי להסביר את המקרה שדווח בעיתונות בשבוע שעבר, בו שני אחים קיבלו תעודות חכמות שנשאו שתיהן את תמונתו של הגדול מביניהם.

באגודה לזכויות דיגיטליות, שעתרה בתחילת השבוע לבג"ץ בדרישה להסיר את קמפיין הפרסום למאגר מאמצעי התקשורת, מדגישים כי משמעות הדבר היא שלא רק שהמאגר אינו מאובטח כראוי, אלא שאינו מספק אף את היתרונות האחרים שהרשות מייחסת לו. היתרונות הללו כוללים את העובדה שהתעודות החכמות מאומתות מול המאגר, כך שלא ניתן לזייף תעודות, ושהדבר נעשה תוך שימוש בתביעת האצבע של המחזיק, כך שלא ניתן לגנוב אותן ולעשות בהן שימוש. אך ללא תוכנת ההתאמה אין דרך לוודא שטביעת האצבע של האדם המחזיק בתעודה היא אכן זו של בעל התעודה - מה שמייתר את המאגר.

יש לציין כי טענתה של האגודה נגד התוכנית לכל אורך הדרך היתה שהמאגר, למרות יתרונותיו בתחום מניעת הזיוף, מאפשר מעקב חודרני מאין כמוהו אחרי האזרח ואף מסכן את בטחונו במקרה שייפרץ. הרשות, לעומת זאת, טענה שהמאגר הכרחי על מנת למנוע את מגיפת זיוף התעודות וסירבה לדון באפשרות של תעודות חכמות ללא מאגר, בהן טביעת האצבע מאוחסנת על כרטיס חכם כך שההשוואה נעשית בין האדם לתעודה שהוא נושא ללא שהנתונים יהיו נגישים דרך רשת מחשבים כלשהיא.

תגובת הרשות הביומטרית במשרד הפנים: "הרשות הביומטרית עושה שימוש במערכת הכוללת מנועי השוואה מהמובילים ומהמנוסים בעולם. המכרז המדובר נועד לאפשר עדכון טכנולוגי תקופתי, כנהוג בגופים טכנולוגיים. ההיערכות לתקופת המבחן החלה כבר ב-2011".

נציין כי בעיון באתר משרד הפנים, ניתן למצוא את המכרז המדובר מ-2011. עם זאת, תנאי המכרז נוקבים בתקופת התקשרות של 5 שנים. הוצאת מכרז נוסף, המדבר גם הוא על תקופת התקשרות של 5 שנים, פחות משנתיים אחר כך, עשויה להעיד כי הזוכים במכרז הקודם לא עמדו למעשי בציפיות, כך שהמערכת הקיימת ככל הנראה אכן אינה טובה.