שרת הפנים איילת שקד ביטלה השבוע את הדרישה להפקיד טביעות אצבע במאגר הביומטרי, על מנת לקבל תעודת זהות או דרכון עם תוקף ל-10 שנים. עד עכשיו, בעת הנפקת תיעוד ביומטרי, כל אזרח היה יכול לבחור האם לשמור במאגר הביומטרי את טביעות האצבע שלו, כאשר תמונת פנים נשמרה בכל מקרה, ומי שלא רצה בכך – קיבל דרכון בתוקף של חמש שנים בלבד. כעת, כל אחד יוכל לקבל דרכון ל-10 שנים, ולמעשה בוטל התמריץ לאזרחים לתת את טביעת האצבע למאגר.

עם זאת, מבחינה רשמית איסוף טביעות האצבע עדיין יתאפשר, אחרי שמליאת הכנסת אישרה להאריך ב-13 חודשים את הוראת השעה המאפשרת לשמור טביעות אצבע במאגר הביומטרי. במסקנות צוות הבדיקה שהקימה השרה עלה כי קיימים אמצעים טכנולוגיים עם אלגוריתמיקה מפותחת ובשלה לזיהוי פנים, שבאמצעותם ניתן לזהות ולאמת את זהותו של תושב, אך מדובר על מערכת חדשה שהטעמתה והפעלתה המבצעית צפויה לקחת עד כשלוש שנים.

יהונתן קלינגר, היועמ"ש לתנועה לזכויות דיגיטליות, בירך את ההחלטה בעמוד הפייסבוק של המאבק במאגר הביומטרי, "בפועל יפסיק איסוף טביעות האצבע למאגר הביומטרי. חלק משמעותי מסיכון המאגר יתבטל מעכשיו. זו הצלחה אדירה לזכות לפרטיות בישראל, והוכחה שמאבק אזרחי נחוש מביא תוצאות, גם אם במקרה הזה, הוא לקח 12 שנים".

מה זה המאגר הביומטרי?

חוק המאגר הביומטרי הגדיר תהליך הדרגתי שבו יונפקו לכל אזרחי מדינת ישראל תעודות זהות ודרכונים חכמים, בעלי שבבים אלקטרוניים. התעודות החדשות מאפשרות אימות זהות בעליהן באמצעות מידע ביומטרי המורכב משני מאפיינים פיזיולוגיים: תמונה של תווי הפנים ותמונות שתי טביעות של האצבעות המורות.

בנוסף על התעודות עצמן, המידע הביומטרי הגולמי נשמר גם במאגר מידע מרכזי – המאגר הביומטרי הלאומי. הגוף הרגולטורי בישראל האחראי על ניהול המאגר היא רשות המאגר הביומטרי במשרד הפנים.

ייעודו המרכזי והעיקרי של המאגר הביומטרי הוא איתור ומניעת "הרכשה כפולה" וגניבת זהות. יצירת מצב שבו לאדם אחד יש זהות אחת בלבד.בצורה זו ניתן למנוע ממתחזים להנפיק תיעוד "אותנטי" תוך שימוש בשמם של אחרים.

עם זאת למאגר הביומטרי הלאומי ישנן גם מטרות משנה - סיוע לגורמי אכיפת חוק במקרים בהם נדרש זיהוי של נפגעים וחללים או לטובת מניעה או חקירה של עבירות מסוג פשע או עוון.

כאמור, ייעודו המרכזי של המאגר הביומטרי הלאומי הוא מניעת "הרכשות כפולות" וגניבת זהויות. הגדרה זו הנה "סלע המחלוקת" בין המצדדים בנחיצות המאגר בתצורתו הנוכחית לבין המתנגדים. על פי מידע גלוי שפרסמה רשות המאגר הביומטרי הלאומי בעצמה ועל פי דעת מספר מומחים ומובילי דעה, נראה כי תופעת ה"הרכשה הכפולה" הנה זניחה עד בלתי קיימת, וגם אם הנה קיימת, ניתן להתגבר עליה גם ללא שמירת מזהים ביומטריים גולמיים במאגר. עובדה זו מעמידה בספק גדול את נחיצותו קיומו של המאגר או לכל הפחות את אופי שמירת הנתונים שבו, כך לדברי ד"ר הראל מנשרי, מרצה במחלקה למדעי המידע באוניברסיטת בר אילן וראש תחום סייבר במכון הטכנולוגי חולון HIT.

ד"ר הראל מנשרי (צילום: אליאור רווה)
ד"ר הראל מנשרי | צילום: אליאור רווה

"יש הרבה סיכון במאגר"

"גם אני בחרתי לעשות דרכון רק לחמש שנים, כי לא רציתי לתת את טביעת האצבע שלי", אומר נמרוד וקס, ממייסדי BigID ומנהל פעילות החברה בארץ, הפועלת בתחום ההגנה על הפרטיות. "למעשה, אין יתרון בשמירה על טביעות אצבע וניתן לזהות אנשים רק באמצעות תמונות פנים. אגב, אפילו אין צורך בתמונות שלנו במאגר הביומטרי, מפני שהיום אפשר ללכת לכל מסוף, להציג את הדרכון, והתמונה שמופיעה בו נסרקת ומושווית לפנים שלך".

לדברי וקס, במאגר שמכיל את כל המידע הביומטרי של אזרחי מדינת ישראל יש הרבה סיכון, "המידע הזה זולג החוצה כשיש פריצות, והוא אטרקטיבי להאקרים – גם מדינתיים וגם קרימינליים. בנוסף, יש פתח לשימוש לא אתי בו", הוא אומר. "רק לאחרונה התגלה שרשות האוכלוסין שיתפה תמונות של אזרחים מהמאגר הביומטרי עם גוף ממלכתי אחר בלי אישור. זו פגיעה בזכות שלנו לפרטיות - משתמשים במידע שלנו לא למטרות שעבורן הסכמנו לספק את המידע".

עם זאת, הוא מעודד מההחלטה של ועדת הכנסת: "יש פה צעד נכון מבחינת הכנסת של שמירה על הפרטיות, שמראה את החשיבות של בקרה פרלמנטרית על גופים ממשלתיים".

נמרוד וקס, BigID (צילום: רועי שור, יחצ)
נמרוד וקס, BigID | צילום: רועי שור, יחצ

מה קורה בעולם?

ד"ר מנשרי מסביר כי מדינות רבות בעולם הקימו ומנהלות מאגרים ביומטריים שונים בהם עושים שימוש רשויות, גורמי שלטון ואכיפת חוק רבים. מדינות שונות דוגמות מאזרחיהן ו/או מאזרחים זרים סוגים שונים של ביומטריה – טביעות אצבע, צילום תווי פנים וסריקת קשתית העין – רק אחד מהם, חלק או את כולם. חלק מן המדינות מנהלות מאגר ביומטרי לאומי בדומה לישראל, בו נשמרים מידע גולמי וחלקן מסתפקות במאגרים בהם לא נשמרים נתונים גולמיים, אלא תבניות דיגיטליות המייצגות את המידע הביומטרי.

הודו: במדינת ענק זו קיים מאגר ביומטרי (הנחשב לגדול בעולם) המחזיק מידע על אזרחי המדינה, באופן דומה מאוד למבנה המאגר הביומטרי של ישראלהמאגר נפרץ בתחילת שנת 2018 והמידע נגנב על ידי פורצי מחשב.

ארה"ב: אין מרשם אוכלוסין פדרלי, ואין תעודות זהות כלל-לאומיות. אין בארה"ב מאגר ביומטרי של אזרחי המדינה, ברמה המדינתית של הממשל הפדראלי. במדינות השונות של ארה"ב קיימות תפיסות וגישות שונות לנושא הביומטריה. בהתאם לכך קיימים חוקים שונים וסוגים שונים ומגוונים של מאגרים.

האיחוד האירופי: קיימים מספר מאגרי מידע ביומטריים. מאגרי המידע הביומטריים באיחוד האירופי נועדו בעיקר לצורכי הגירה וביטחון, לכן המידע אשר נמצא בהם הוא בדרך כלל של אזרחים זרים או קבוצות אוכלוסייה המוגדרות כחשודים או עבריינים. דרכונים של אזרחי האיחוד האירופי נדרשים לעמוד סטנדרטי אבטחה וביומטריה שהוגדרו בחוק ייעודי לעניין בשנת 2004. לפי החוק בכל דרכון נשמרים, בתוך אמצעי אחסון דיגיטלי, תמונת פנים ושתי טביעות אצבע. בחוק הדרכונים האירופי הוגדר במפורש כי לא יוקם מאגר אירופאי מרכזי שיכלול נתונים ביומטריים של אזרחי האיחוד האירופי.

עם זאת הוחלט בצרפת, בצו מיוחד, להקים מערכת מרכזית לדרכונים (TES). המערכת נועדה להקל ולייעל את תהליכי ההנפקה והחידוש של דרכונים, וכן היא נועדה לאתר ולמנוע מקרים של זיוף דרכונים וסחר בהם. במערכת נמצאים נתונים ביומטריים זהים לאלו אשר נמצאים בדרכון של כל אזרח. מערכת TES נועדה בהגדרתה למנוע הונאות זהות ולא לטובת חקירות פליליות, לכן המערכת אינה כוללת בתוכה מנגנוני חיפוש בצורה מובנית ואינה נגישה לגורמי משטרה וביטחון באופן שוטף.

אוסטרליה: בדרכונים האוסטרליים נשמרת תמונה דיגיטלית בצורה שהיא machine readable form על גבי שבב ייעודי. התמונה הדיגיטלית נשמרת בנוסף במאגר נתונים של דרכונים אוסטרלים אשר כולל מידע נוסף (שאינו ביומטרי) על מבקש הדרכון או מי שכבר מחזיק בו. ייעודו העיקרי של המאגר הוא למנוע מרמה, גניבת זהות או זיוף דרכונים. לכן המאגר מאפשר לבצע השוואה בין התמונה הדיגיטלית במאגר לבין זו של האדם המבקש להוציא או לחדש דרכון וכן להשוות בין התמונה הקיימת בדרכון לבין זו שבמאגר.

דרכון אירופי (צילום: By Dafna A.meron, shutterstock)
דרכון אירופי | צילום: By Dafna A.meron, shutterstock

איומים על המאגר הביומטרי הלאומי של ישראל

בשנים האחרונות אנו עדים לעלייה חדה בשכיחות אירועי סייבר, תקיפות והזלגת מידע ממאגרים אזרחיים וממשלתיים בעולם. הצפי הוא שמגמה זו תימשך ואף תתעצם. 

המאגר הביומטרי הלאומי, ככל מאגר נתונים, חשוף לאיומי אבטחת מידע העלולים לגרום לזליגה ודלף מידע לידי גורמים עוינים או פליליים.

מספר גדול של מומחים לאבטחת מידע, מדענים, פעילים חברתיים ומשפטנים מתנגדים בתוקף לעמדת הרשות לניהול המאגר הלאומי המצדדת בשמירת הנתונים הביומטריים הגולמיים במאגר. מה גם, ששמירת המידע בצורה גולמית מנוגדת לדרישות בתקנים בינלאומיים לשמירת מידע ביומטרי. 

בין המתנגדים למאגר בתצורתו הנוכחית ניתן למצוא את פרופסור עדי שמיר, מבכירי מדעני המחשב בעולם וחתן פרס ישראל, מממציאי אלגוריתם ההצפנה RSA ופרופסור אלי ביהם מהטכניון – מבכירי הקריפטוגרפים בישראל.

ומה החלופות?

על פי מנשרי, חלופה אחת בה מצדדים לא מעט פעילים חברתיים ומשפטיים היא ביטול המאגר, פשוטו כמשמעו, כי אין בו צורך. הרי על פי חוק, כל אדם מחויב בתשאול ובתחקיר בשלב "ההרכשה הראשונה", כאשר מבקש להנפיק לעצמו תיעוד ביומטרי. בעידן המידע הדיגיטלי הנוכחי , הרשויות בישראל מחזיקות במידע איכותי, מגוון ורב היקף בגינו ניתן יהיה לזהות אדם מצד אחד, ולמנוע אפשרות התחזות מצד שני. 

חלופה טכנולוגית נוספת היא שמירת מאגר ביומטרי ללא מידע גולמי אלא מאגר הכולל אך ורק תבניות דיגיטליות המופקות בצורה מתמטית מן המידע הגולמי. בצורה זו, אין אפשרות לשחזר את המידע הגולמי, גם אם נתוני המאגר דלפו.

"ישראל נמצאת בקו הראשון של חזית הסייבר העולמית ועובדי המאגר הביומטרי הם טובים ומסורים. עם זאת, אין הגנה שלא תיפרץ. לא בכדי, במערכות ביטחוניות שונות ההנחיה היא להימנע מלתת פרטים למאגר. טוב עשתה שרת הפנים בהחלטתה לבטל את הדרישה לטביעת האצבע כתנאי להנפקת תיעוד ל-10 שנים", מסכם מנשרי.