0.
המאגר הביומטרי אינו אלא עוד אחד ממאגרי המידע שמוקמים לאחרונה במדינתנו. מדינת ישראל סובלת מקדחת מאגרי מידע, שכפי שמגדירים זאת אבנר פינצ'וק (הארץ, 07.06.2011 ומיכאל בירנהק (גלובס, 16.07.2008). המאגר הביומטרי כנראה אינו האחרון מבין המאגרים הפוגעניים שיוקמו וברור שאינו הראשון.

0.1
הצורך לנהל מאגרי מידע על אזרחי ישראל, ושאותם מאגרים יהיו בשימוש מתמד, הוא אחד מהמאפיינים של חברת מעקב, בו הפרט אינו אלא נתון. לצורך כך צריך לזכור כמה ישראל חריגה בנוף העולמי; ישראל היא אחת המדינות היחידות בהן יש את המושג "תעודת זהות" ומספר זהות. כאשר תלכו בניכר לפתוח חשבון בנק, יבקשו מכם דרכון, ויחד עם הדרכון יבקשו מכם חשבונות של שירותים על שמכם (נניח, חשמל או ארנונה) על מנת להוכיח כי הנכם מוכרים על ידי רשויות אחרות.

אבל תעודות הזיהוי ומרשם האוכלוסין (שהוא נגע רע משרידי המנדט הבריטי הכובש) אינם המאגרים היחידים שסובלים מקדחת מאגרי המידע; בכדי לנהל חיים מודרניים, אנו מותירים מאחורינו שביל של פירורי מידע שנותרים בכל פעולה שאנו מבצעים: קמנו בבוקר, התלבשנו, צחצחנו שיניים; הפעולה הבאה? יצאנו ורכשנו בבית הקפה מתחת לבית קפה ומאפה ושילמנו בכרטיס אשראי? הפעולה נרשמה במאגר כלשהוא. לא השתמשנו בכרטיס אשראי, אבל העברנו את כרטיס המועדון? גם כן; גם אם איננו חברי מועדון, אך הודענו ברשת החברתית האהובה עלינו שרכשנו שם, הפעולה נרשמה.

0.2
לאחר מכן, בדרך לעבודה, פתחנו את תוכנת הGPS האהובה עלינו, וזו דיווחה לנו על הפקקים בדרך על סמך נתונים פרטיים של משתמשים אחרים. התקשרנו מהטלפון הסלולרי לבוס להגיד שאנו מאחרים, והשיחה, כמו גם נתוני המיקום שלנו באותה שיחה, נרשמה במאגר המידע של חברת הסלולר שלנו על פי חוק נתוני תקשורת. הגענו לבסוף לעבודה, והחתמנו כרטיס; חלק מאיתנו אף מחתימים כרטיס עם טביעת האצבע שלהם. ההחתמה נרשמה גם כן. לאחר מכן, שתינו את הקפה יחד עם עדכונים מאתר החדשות האהוב עלינו, וזה שמר עלינו פרטים מזהים והבין את הרגלי הקריאה שלנו.

0.3
במהלך יום העבודה המעביד גם עוקב אחרינו, בין אם על ידי התקנת מצלמות נסתרות או על ידי טכנולוגיות שנועדו לבדוק את תפוקת העובדים. גם המידע הזה נשמר במאגר.

בדרך חזרה הביתה נסענו דרך כביש שש, שם גם נשמר עלינו מידע מפורט: מתי נסענו ובאיזו מהירות וגם אנו נדרשים להסכים לקבל ממפעילת הכביש דיוורים פרסומיים. ואם בערב נבחר להיות אקולוגיים ולנסוע למקום הבילוי בתחבורה ציבורית, הרי שגם אז כרטיס הרב-קו עוקב אחרינו ורושם במאגר מידע מרכזי את נתוני הנסיעה שלנו (לפחות עד שהנחיה חדשה של משרד המשפטים תכנס לתוקף).

0.5
טוב, תמיד יש את האפשרות לשבת בבית ולצפות בטלויזיה, אבל גם אז הפרטיות שלנו עוד בסכנה: לא רחוק היום עד שממירים חכמים ידווחו לחברת התקשורת מהם הערוצים בהם צפיתם, נכון?

0.6
אז קריאה פסימית של חמש מאות המילים האחרונות מעידה על המצב העגום שלנו ומעלה תהיה אחת: האם יש באמת סיבה להלחם למען הפרטיות שלנו כאשר בכל יום המידע עלינו נשמר בעשרות מאגרי מידע? וזה עוד לפני שמדברים על מאגרי המידע של הבנקים או קופות החולים. אז מה יש לנו לעשות? האם אנחנו צריכים להלחם בטכנולוגיה ולנסות לשנות את החברה שלנו או להכיר במציאות העגומה שלפיה כל פירורי העוגיות שאנו מותירים במהלך היום עשויים לפגוע בנו? המטרה של הקדמה קצרה זו היא להבהיר מהי כמות המידע שנשמר, ומהן הסכנות, כמובן, באגירה המאסיבית של המידע.

0.7
עכשיו, כדי להסביר מהי הסכנה בדליפה של המידע, אפשר לפרק את העניין למספר סכנות: (1) שימוש במידע למטרות כלכליות [לגיטימיות ולא לגיטימיות], כלומר לגרום לכם לרכוש יותר או להוציא מכם כספים במרמה; (2) שימוש במידע למטרות פרסונאליות [לגיטימיות ולא לגיטימיות], כלומר לבצע פעולות בשמכם או להתחזות לכם; (3) שימוש במידע למטרות בטחוניות [לגיטימיות ולא לגיטימיות] כלומר להלחם בפשע או טרור או לבצע מעשי פשע או טרור.

0.7.1
חשוב להבין שהמטרה לשמה נאגר המידע לסיבה הלגיטימית הוא בדרך כלל גם למנוע את הסיכון הלא לגיטימי. לדוגמא, מידע על תנועה של בני אדם בתחבורה ציבורית ומהם האוטובוסים הצפופים ביותר יכול לסייע בתכנון של קווי אוטובוסים, אבל יכול גם לסייע לארגוני טרור לדעת מהם קווי האוטובוס הצפופים ביותר על מנת לתכנן פיגוע. מערכת שמאפשרת זיהוי מול חשבון בנק מסוים, על ידי שמירה של ססמא או טביעת אצבע, מאפשרת גם לזייף את הכניסה לאותו חשבון בצורה לגיטימית. כלומר, ככל שמאגר יותר רגיש, כך יש לאבטח אותו יותר.

0.8
לכן, קדחת מאגרי המידע, כפי שנראה במאמר זה, היא בעייתית במיוחד: היא לא רק מיותרת ונובעת מרצון לשמור מידע מיותר, היא גם מאפשרת בדיוק את הנזקים מהם היא מנסה להמנע.

1.
הדבר הראשון שאני רוצה להגדיר, לצורך המכנה המשותף, הוא את ההגדרה של 'דליפה'; דליפה היא כל גישה שאינה מורשית למאגר, בין אם על ידי האקר איראני שגונב את כל המאגר או חוקר פרטי שמשלם חמישים שקלים לפקיד שיבדוק לו מידע מתוך המאגר. גישה, לצורך העניין היא היכולת לקרוא או לכתוב מידע למאגר. כלומר, דליפה היא היכולת לקרוא או לכתוב מידע למאגר שלא תוכננה כחלק ממטרות המאגר.

דליפה יכולה להיות מצב בו מאגר מידע שמוחזק כחוק ומנוהל בצורה מאוד מאובטחת, עם כל ההגדרות, פשוט נמכר במסגרת עסקים לגורמים עסקיים אחרים שנראים לגיטימיים. דוגמא טובה לכך נחשפה בפברואר 2010: עיריית רמת-גן מכרה מידע לחברת 'קידום' לצורך שיווק (פגיעה מהסוג הראשון). הסיפור הוא כזה: לעירייה, כחוק, יש את מאגר המידע של כל תלמידי בתי הספר. המאגר מאובטח, מוגן ומנוהל כמו שצריך. חברת קידום הגיעה לעירייה והציעה לרכוש ממנה את שמות כל התלמידים; התלמידים, שמעולם לא נתנו את הסכמתם לקבלת מידע שיווקי, גילו שהמידע דלף על אודותיהם והגיע לחברה מסחרית, שניסתה למכור להם מוצרים. אכן, לא מדובר בגניבה של המאגר על ידי האקר איראני או גנב מתוחכם, אבל זוהי דליפה.

הדליפה מהסוג הזה כל כך נפוצה, עד שבאוקטובר 2010 נחשפה פרשה מאוד דומה בנוגע לחברת סלקום; זו רכשה מאגר מידע של מתגייסים והצליבה אותו מול מאגר המידע שלה, כדי לגלות מי מלקוחותיה הוא הורה של ילד שעומד להתגייס ולהציע לו הצעות שיווקיות. גם מקרה זה לא נקשר למשפחות פשע או לגורמים עוינים לישראל, אבל הוא בעל השלכות לא מבוטלות על הכיס שלנו.

הדליפה מהסוג הזה היא דליפה מערכתית; לא מדובר על ארגון פשע שסוחר עם ארגון פשע או על ארגון פשע שסוחר עם גוף מסחרי, אלא על שני גורמים שנתפסים על ידי הציבור כלגיטימיים, אשר מבצעים סחר במידע פרטי בלי ידיעת או הסכמת בעלי המידע, ולא למטרות של גורמי המידע.

כלומר, צריך להבין ש'דליפות' מתרחשות כל יום, וחלק מאיתנו בונה חלק מהחיים שלו על דליפות מהסוג הזה. הסיבה לכך היא העדר אבטחה מתאימה, והרבה פעמים הדבר נובע מרשלנות גרידא. לדוגמא, כאשר אני מקבל דואר רשום, הדוור מגיע לביתי יחד עם רשימת המכתבים הרשומים, כאשר אני חותם על קבלת המסמך, אני רואה רשימה שלמה של אנשים אחרים שמקבלים דואר ונחשף למידע הפרטי על אודותיהם. זו גם דליפה של מידע, ואיננו יכולים להמנע ממנה במצב הקיים.

2.
סוג נוסף של דליפות, שאולי מתקרב יותר לדליפה הפלילית שאנחנו מכירים ואוהבים, הוא הדליפה של מכירת מידע; השיטה היא פשוטה: חוקר פרטי או גורם עוין אחר רוצה לברר מידע על אדם מסוים (לדוגמא, לדעת מהי ההכנסה שלו) והוא מוצא פקיד, שבדרך כלל משתכר שכר נמוך ומציע לו, תמורת כסף מסוים (או תוך שהוא סוחט אותו), להעביר לו מידע שהוא שולט בו.

לדוגמא, ב2007 הורשעה עובדת בביטוח לאומי שסחרה במידע פרטי ונחשף כי בכירים בביטוח לאומי ורשות המסים סחרו במידע פרטי. דליפה מהסוג הזה היא דליפה שאינה מערכתית, ואפשר לקרוא לה סחר לא לגיטימי במידע; היא נתפסת כחמורה יותר מהמערכתית, אך הרבה פעמים היא הרבה יותר נקודתית. הסכנה כאן היא פרסונאלית: כלומר, המידע נרכש הרבה פעמים על ידי בעל שחושד שאשתו בוגדת בו, או על ידי גורם שמעוניין לברר את מצבנו הפיננסי. לעיתים רחוקות יותר המידע נרכש על ידי ארגוני פשיעה שמעוניינים למצוא קרבנות יעילים.

3.
הסוג הבא של דליפה הוא זחילת שימושים; מצב זה הוא מצב בו יש אדם שיש לו גישה למאגר למטרה מסוימת, והוא עושה בו שימוש אחר. לדוגמא, ב2009 הורשע עובד מדינה בכך ששלף מידע מתוך מאגר, ועשה בו שימוש לצורך אכיפה של תשלום מס (עשמ 3275/07 שמואל ציילר נ' נציבות שירות המדינה); דליפה מהסוג הזה מוגדרת כזחילת שימושים. זחילת השימושים היא כנראה הדליפה המסוכנת מכל והנפוצה ביותר; לעובדים יש גישה מתמדת למאגרי המידע, והשימוש שלהם הוא בקנה אחד עם מטרות הארגון אשר מחזיק את המידע; השימוש פשוט מנוגד לחוק או לנהלים.

אלא, שלתפוס 'מדליפים' מהסוג הזה בדרך כלל קשה ביותר: הרי הגורם שצריך לבקר על זחילת השימושים הוא הגורם אשר נהנה מההדלפה: רשות המסים, במקרה הזה, אמנם צריכה להתנער מהעובד הסורר ששלף מידע על נישומים, אבל היא גם מרוויחה כסף מכך שהוא הגדיל את הכנסותיה מגביית מסים.

זחילת שימושים כזו התרחשה גם עם מאגר הDNA המשטרתי. במקרה מעניין שנדון לאחרונה על ידי בית המשפט העליון עלתה שאלה הנוגעת להרשעות על סמך ראיות DNA: הסיפור היה פשוט, במסגרת חקירת רצח מסוימת, התבקש אדם לתת דגימת DNA מתוך הסכמה עם המשטרה שהראיה תשמש אך ורק לצורך חקירת הרצח; לאחר שהדגימה הגיעה למעבדה, מצאה אחת השוטרות כי הדגימה תואמת לדגימה אחרת שנמצאה בזירת אונס, על סמך ראיות אלה, הורשע האנס. בית המשפט העליון פסל את הראיה משימוש (עפ 4988/08 איתן פרחי נ' מדינת ישראל) אך הותיר את ההרשעה על כנה.

כאן המקרה היה מעניין ביותר: חוקרת המשטרה אמרה שלא היתה "הצלבה" בין מאגרי המידע, אלא שהיא בעצמה זכרה את אלל הDNA וביצעה את ההצלבה בראשה. אכן, המקרה הזה הוא מקרה בו אנס יושב מאחורי סורג ובריח, אך מעניין לדעת כמה 'הצלבות בראש' נערכות עם מידע אחר שנמסר למשטרה, וזו אומרת שלא תעשה בו שימושים לרעה.

4.
הסוג הרביעי של דליפה הוא פרצת האבטחה; במקרה כזה לא נמכר מידע בזדון, או סתם תוך מניעים כלכליים אלא פשוט המידע לא מוגן טוב מספיק ואדם בעל כישורים מסוימים יכול להשתמש בו. דוגמאות לנושא זה ניתן למצוא ברשת למכביר, אבל דומה שהותרתן של תעודות פטירה ברחוב על ידי בתי חולים, או זריקה של גליונות ציונים ברחוב הם רק קצה הקרחון של הרשלנות בהגנה על מידע פרטי. שני המקרים התרחשו באוקטובר 2009, חודשיים לפני שחוק המאגר הביומטרי התקבל בכנסת, ועדיין הם לא העידו למחוקק על הסכנות בדליפה של מידע או בחוסר היכולת להגן עליו.

מקרה נוסף שהתרחש בחודש יולי 2008 היה פרצת אבטחה באתר בית החולים איכילוב שאפשרה צפיה בפרטים רפואיים של כל מטופל; במקרה אחר, חודש לאחר מכן, פרצת אבטחה באתר האינטרנט של שאול מופז אפשרה לכל אחד לצפות בספר המתפקדים של מפלגת קדימה.

סוג זה של דליפה, שנקרא פרצת אבטחה הוא שונה לגמרי: הוא לא נובע מזדון, אלא מתכנון לקוי. בדרך כלל הוא גם לא ניתן למניעה; גם תכנון טוב אינו חסין לפרצות אבטחה; לאחרונה הציעה גוגל מיליון דולר למי שיצליח למצוא פרצות אבטחה בדפדפן האינטרנט כרום. המטרה כמובן היתה להראות כמה הדפדפן בטוח, אך לא עברו מספר דקות מאז שהחלה התחרות ועד שהצליחו האקרים, עם מיליון דולר של מוטיבציה בכיס, למצוא פרצה.

5.
הסוג החמישי של דליפה הוא אבדן מידע; כאן מדובר על מצב בו מידע שאינו מוגן מוצא מתוך מאגר המידע למטרה מסוימת, אך הולך לאיבוד בדרך. כך, לדוגמא, בשנת 2005 הלך לאיבוד כונן USB עם מידע רפואי של 120,000 חולים בהוואי, ב2006 הלך לאיבוד כונן USB עם מידע צבאי רגיש, ב2010 כונן נייד עם מידע על מבוטחים רפואיים הלך לאיבוד ובאוגוסט 2011 חברה שנשכרה לצורך בקרה על בדיקת הגנת הפרטיות איבדה מידע רגיש על 4,500 חולים.

אכן, אבדן מידע הוא משהו שמתרחש לעיתים תכופות כאשר מידע מוצא על התקנים ניידים, ובמיוחד כאשר הוא לא מוצפן. כאן אין כוונה זדונית, אלא רשלנות גרידא וחוסר טיפול במידע.

6.
עכשיו, כשהבנו את חמשת סוגי הדליפות, אני רוצה להכנס לסוגיית המאגר הביומטרי ולשאול האם אפשר באמת לומר שהוא יהיה מאובטח. בתהליך החקיקה ניסו לא אחת לטעון שהמאגר עצמו יהיה מוגן וינקטו בו את כל האמצעים על מנת להגן עליו מדליפה. אלא, שההגדרה של דליפה תמיד הוצגה רק כסוג הקלאסי של דליפה: הגעה של המאגר לאינטרנט בצורה מלאה. בשום מקום לא ניסו להסביר איך יוגן המאגר מפני שימוש לרעה של אלה שקיבלו את הסמכות להשתמש בו (כזכור, כל שוטר יוכל לגשת למאגר).

גם אם נקח בתור הנחה שתערך בקרת גישה ויתועד כל מקרה בו עובד של המאגר יגש למידע, עדיין ישנם מספר כשלים עיקריים: הראשון הוא בכך שגישה, כאמור, היא גם כתיבה וגם קריאה במאגר. נכון להיום מנסים למכור לנו את הטענה שהמאגר הביומטרי יגן עלינו מפני גניבת זהויות וזיוף של תעודות זהות, אלא שכל פקיד במשרד הפנים יוכל להכניס זהות למאגר.

כלומר, המאגר יהיה מאובטח ברמה 11, הוא יוגן על ידי האמצעים הטובים ביותר בשוק, אבל עדיין: יש לו נקודת כשל אחת: כל פקיד במשרד הפנים שרוצה להכניס את בן הדוד שלו ששילם מספר שקלים בזהות בדויה יוכל לעשות זאת, כי על תהליך הכניסה הראשון למאגר אין ביקורת.

כלומר, דליפה מהסוג השני, מתחייבת להתרחש: או על ידי שוטר שמקבל משכורת נמוכה שישוחד על מנת להעביר מידע לגורמי פשע, או על ידי פקיד משרד הפנים שישוחד כדי להכניס זהויות בדויות למאגר. הנקודה החלשה, של הדליפה מהסוג השני, אינה מטופלת בארכיטקטורה של המאגר.

7.
שלא יהיה ספק, המאגר ידלוף בכל דרך אפשרית: כל אחת מחמש הדרכים תתרחש לאורך זמן ארוך מספיק. הסכנה לכך תהיה משמעותית כיוון שלא יהיה ניתן להשתמש יותר בזיהוי ביומטרי כלל וכלל, כשם שכיום אי אפשר להשתמש במספר הזהות שלנו כאמצעי זיהוי מול גורמים אחרים. אלא, שעד שהמאגר ידלוף במלואו ויגיע לאינטרנט יגרמו לנו הרבה נזקים בדרך כי אנחנו נסתמך על המאגר: אנחנו נאמין שהמידע הביומטרי שלנו מאובטח, ושאף אחד לא עושה בו שימוש, כשבפועל מה שיקרה הוא שימוש לרעה, התחזות וניצול.

[פורסם במקור ב'ארץ אחרת']