ראיון עם צבי דביר, חבר התנועה לזכויות דיגיטליות

מהו המאגר הביומטרי ומדוע הוא כל כך שנוי במחלוקת?

רמת האבטחה של התיעוד הלאומי הישראלי היא מחדל בטחוני מתמשך. אפשר לזייף תעודת זהות בעזרת מדפסת ביתית ומכשיר למינציה, וכבר שנים מדברים על הצורך להחליף את תעודות הנייר בתעודות חכמות שלא ניתן לזייף. אין מחלוקת בדבר הצורך להנפיק תעודות זהות חכמות, בהן יוצפנו הנתונים הביומטריים של המחזיק. המחלוקת היא האם לצד הנפקת תעודות חכמות המדינה צריכה לשמור את הנתונים הביומטריים המלאים – שתי טביעות אצבע ותמונת פנים – גם במאגר ביומטרי ממשלתי.

הרשות הביומטרית טוענת שהמאגר חיוני להקמת מערך הנפקת זיהוי אמין. אחרת, לכאורה, מה ימנע מאדם להוציא מספר זהויות שונות? בפועל זאת בעיה שלא קיימת ולכן אין צורך במאגר ביומטרי כדי להקים מערך הנפקת תיעוד בטוח. המטרה האמיתית של המאגר היא לשמש ככלי מעקב לשימוש רשויות הביטחון, וזה הכוח המניע להקמת המאגר.

האם נראה לך שהמאבק שלכם יישא פרי?

היעד הוא לצמצם את היקף המידע הביומטרי שיישמר במאגר למינימום האפשרי. יש לנו כבר הצלחה ברורה: הוועדה המייעצת ומפקחת על הניסוי הביומטרי, שהיא הרגולטור המפקח על תקופת המבחן, המליצה להסיר את טביעות האצבע מהמאגר ולהשאיר רק תמונות פנים. זה חצי ניצחון. לדעתי אפשר להפחית את איכות התמונות  כך שישמרו המאגר תמונות כמו ברישיונות הנהיגה. לדעתי זה פתרון מידתי ומספק.

הצורך בתמונה באיכות גבוהה אינו ברור. כדי למנוע התחזויות וגנבות זהות צריך לשמור נתונים ביומטריים מוצפנים בתעודה בלבד, אך אין צורך במאגר. המקרה היחיד בו מאגר ביומטרי מביא יכולת נוספת הוא למניעת "התחזות כפולה": אדם שמגיע ללשכת האוכלוסין ומבקש להוציא תעודה תחת זהות פיקטיבית חדשה, בנוסף לזהות אחרת שכבר יש לו. הרשות הביומטרית נדרשה לבחון את היקף התופעה, ומצאה שבמהלך תקופת המבחן היו עד כה בדיוק אפס מקרים של התחזות כפולה. הצפי העתידי של התופעה הוא מקרים בודדים בשנה. השאלה, שמשרד הפנים מסרב לתת עליה תשובה לציבור, היא מדוע עבור פחות מ-10 מקרים בשנה צריך לפגוע באופן כה חמור בפרטיותם של 8.5 מיליון אזרחי המדינה?

לדעתי ניתן להצטמצם למאגר הכולל תמונות פנים באיכות ביומטרית מופחתת, כמו במאגר רישיונות הנהיגה של משרד התחבורה. ההבדל העיקרי הוא ביכולת החיפוש. מאגר רישיונות הנהיגה מאפשר "אימות ביומטרי", כלומר לאמת שאדם כלשהוא הוא מי שהוא טוען שהוא, על ידי השוואת התמונה מהמאגר לפנים של האדם העומד לפני. לעומת זאת, מאגר הכולל תמונה באיכות גבוהה מאפשר גם "זיהוי ביומטרי", כלומר חיפוש התאמה של תמונה שצולמה ברחוב מול כל התמונות שבמאגר, וזיהוי האדם שבתמונה – ממש כמו בסרטים.

אם אתה רוצה לזהות מפגינים בהפגנה, אי אפשר לעשות זאת עם תמונות באיכות ביומטרית מופחתת. אבל מאגר תמונות באיכות ביומטרית גבוהה יאפשר למשטרה לזהות את המפגינים גם מבלי שיציגו תעודת זהות. ומה הבעיה עם זה? נניח שאני מורה בבית ספר תיכון, ממוצא אתיופי, עובד מדינה. אני יודע שקיימת טכנולוגיה שמאפשרת לזהות אותי ברחוב ולדעת שהפגנתי, ואני חושש שזה עלול לעשות לי בעיות עם ההנהלה. זה בהחלט יכול להרתיע אותי מלהשתתף בהפגנה נגד אלימות משטרתית. גם אם בפועל לא נעשה שום שימוש במאגר, עצם הידיעה שהיס"מניקים מצלמים את המפגינים, תגרום לי לחשוב פעמיים אם להגיע ולהפגין. זה אפקט מצנן שקיים גם אם לא נעשה ולא יעשה שום שימוש כזה במאגר. ואם ייעשה שימוש במאגר, ואדגיש שהחוק מתיר זאת, זו כבר פגיעה אנושה באיזון הדמוקרטי.

אני מניח שרוב הישראלים יהיו בעד המאגר הביומטרי, כמנגנון הגנה מפני טרור?

ההנחה שלך שגויה בשתי רמות. ראשית, 75% מהאזרחים שמגיעים ללשכות האוכלוסין מסרבים להנפיק תיעוד ביומטרי. רק 25% מסכימים להשתתף בניסוי הביומטרי, וזה למרות מאמצי המדינה לעודד את האזרחים להוציא תיעוד ביומטרי. שנית, איך בדיוק המאגר יכול להגן בפני טרור, אם הוא כולל רק נתונים של אזרחי המדינה? רוב הטרוריסטים אינם אזרחי המדינה. מי שאינו אזרח ישראל ונכנס למדינה באופן מסודר, פרטיו הביומטריים נאגרים במאגר ביומטרי נפרד של מעו"ז מאז שנת 2005. מחבל שמסתנן למדינה לא נמצא במאגר זרים ולא במאגר הביומטרי, ולכן המאגר הביומטרי לא יכול להגן מפני טרור.

ישנם הטוענים שהמאגר הביומטרי אינו מאובטח כראוי. תוכל להסביר מדוע?

אתה יודע שהרשות הביומטרית טוענת שבעצם המענה לשאלה הזו אנחנו עלולים לסכן את אבטחת המאגר?

אם הכל היה תקין, הרשות הביומטרית לא הייתה פועלת חצי שנה בלי ממונה אבטחת מידע. לא צריך להסביר את החומרה של דליפת המאגר הביומטרי, ולכן הוא צריך להיות מאובטח "ברמה 11 מתוך 10". אני בספק אם בפועל המאגר באמת מאובטח כראוי. למשל תוכנית הגיבוי למקרה אסון של הרשות הביומטרית (Disaster Recovery Plan) מתבססת על הפעלת המאגר בחוות שרתים של חברות מסחריות. זה אומר שיש מערכת שלמה, שאמנם כרגע ריקה מנתונים, אבל במקרה של אסון כל הנתונים הביומטריים יועברו אליה. זה וקטור תקיפה מסוכן ביותר: פורץ יכול להיכנס למתקנים ולפגוע מבעוד מועד באבטחת המאגר, כך שכאשר אתר הגיבוי יופעל, תהיה לו גישה מסוימת, וזאת בעיית אבטחה ממשית. כדי שהמערכת תהיה מאובטחת, גם אתר הגיבוי צריך להיות בשליטת הרשות הביומטרית.

נציגת הממונה על היישומים הביומטריים הצהירה בפומבי ובפני הפרוטוקול שדליפה של המאגר אפשרית. אז מי אני שאטען אחרת? זאת ועוד, אם המאגר כה מאובטח, מדוע המוסד והשב"כ ממליצים לעובדיהם שלא להיכנס למאגר הביומטרי? לכן, כל אזרח ישראלי צריך לשאול את עצמו: אם עובדי המוסד והשב"כ מפחדים להיכנס למאגר, למה שאני ומשפחתי נתנדב לניסוי הביומטרי?

לקריאת דו"ח המומחים.

אנא שתפו מאמר זה וסייעו להגדיל את המודעות לנושא.