Intellect or Insanity

0.
בניגוד למלחמות אמיתיות, יש משהו קסום במלחמות סייבר: קבוצה אלמונית מכריזה על מטרה ותאריך יעד, מפרסמת אותו, יוצאת למבצע. אנחנו, בתור הקרבנות מקבלים כתבות בתקשורת עם תמונות אילוסטרציה של האקרים עם כובע גרב מול מקלדת, ומדמיינים את ההאקרים כמו בסרטים בהוליווד: יושבים מאחורי מסך וצועקים משפטים כמו "אני מנסה לעקוף את הFirewall שלו, אבל הוא מתנגד" וכל מיני אנשים מצוות האבטחה של השב"כ והמוסד נלחמים בהאקרים ופורצים להם בחזרה למחשב, אבל האמת העצובה היא שאותם ההאקרים בסך הכל יושבים וצועקים "המלך הוא עירום" ומסבירים כמה אבטחת המידע בישראל היא בדיחה עצובה כשזה נוגע לסקטור הפרטי, והרבה פעמים גם לסקטור הממשלתי.

1.
לפני כשבועיים, גיא לרר ב'צינור לילה' הדגים בצורה פשוטה במיוחד כיצד מאוחסנים שרתי ממשלת ישראל בצורה מביכה; בכתבה, עוד טען לרר, כי השרתים כלל אינם מגובים. הדבר אינו מפתיע. מה שקורה בכל "מתקפת האקרים" כזו הוא בסך הכל הפעולה הפשוטה הבאה: דמיינו לרגע שאתר אינטרנט, בדיוק כמו המחשב שלכם, מריץ מערכת הפעלה וכמה תוכנות. לאותן תוכנות יש בדרך כלל רשימה של פרצות אבטחה ידועות, ולרוב הפרצות שולחים עדכונים. בדרך כלל, אתר אינטרנט שהמנהל שלו משתמש בססמאות חזקות, לא חוזר על אותה הססמא בכל מקום, ודואג לעדכן את התוכנה שלו, לא אמור לדאוג. אבל, בישראל כמו בישראל, תמיד חותכים פינות. באותה הצורה ש"וירוס" הופץ השבוע בפייסבוק וכל המדינה נכנסה להיסטריה כי בסופו של דבר מה שקרה כאן היה בסך הכל תוכנה שמיועדת להפיץ את עצמה והתבססה על התנהגות לא חכמה של משתמשים, שמתקינים כל מה שמבקשים מהם על המחשב, כך גם הפריצות הפעם צפויות להיות.

2.
בפעמים הראשונות כשנפרצו אתרים, כמו במקרה של 0xOmar, פורסמו כרטיסי אשראי ופרטים אישיים של אנשים; לאחר מכן, כבר היה די ברור שמי שהיה צריך להפיק לקחים עשה זאת; לאחר מכן, כאשר האקרים פרצו לזכרו של עימאד מורניה ופרסמו פרטים, הם התבססו בעיקר על פרצת אבטחה אחת בשירות אחד. כך זה בכל סבב, וכל עוד לא מופקים הלקחים בכל המדינה, זה ימשיך להיות: גל האקינג, דליפת מידע, שקט, ועוד גל.

3.
אבל למה זה קורה? בסופו של דבר, פריצה היא פריצה, וזה לא משנה אם מדובר במערך ארוך שמיועד להפיל את גזרת הסייבר הישראלית או פריצה לחנות. אם אתה בעלים של עסק, ופרצו לשכנים שלך כי הוא לא התקין סורגים ומערכת אזעקה, אתה לא תשאיר את החנות שלך בלי אזעקה, נכון? ואם פרצו לך לחנות, וחברת השמירה ששכרת כדי לאבטח את החנות לא ידעה על זה אפילו, אתה בטוח לא תשכור אותה שוב, נכון?

4.
וובכן, לא בטוח, לפחות לא במקרה האחרון, ולפחות לא לגבי מדינת ישראל. לפני כחצי שנה נחשפה פרצת אבטחה חמורה באתר בתי המשפט על ידי ה'האקר' הישראלי, משה הלוי (הלמו). במשך מספר חודשים, לפחות לטענת המדינה, דלה האקר קשה ומסוכן חומר מסווג; נט-המשפט, מערכת מסווגת ומאובטחת, הופעלה על ידי שתי חברות פרטיות. אולם, לא רק שאותן חברות כשלו בהגנה על המידע, אלא גם שכעת, לפחות לפי הדיווח באתר TelecomNews, החברות האלו זכו בפטור ממרכז להתקשרות למספר שנים נוספות להפעלת נט-המשפט.

5.
זו רק דוגמא אחת לחוסר הפקת הלקחים של המדינה בכל הנוגע לאבטחת מידע. מדינה בה ססמאות של גורמים רגישים אינן עומדות בתקנים מקצועיים, מדינה שלא מפיקה לקחים ומדינה שאינה מספקת לאזרחיה הגנה, היא בדיוק המדינה שתספוג התקפת "סייבר" כל כך משמעותית. הבעיה בהתקפת הסייבר היא שמדינת ישראל, ורשויות השלטון שלה, במשך שנים זלזלו באזרח הקטן, וכשמידע שלו דלף או לא אובטח לא עשו כלום. לכן, למדו החברים לתת לכלבים לנבוח, ולהמשיך את מה שעשו עד עכשיו. וכשהמאגר הביומטרי ידלוף? וובכן, זה כבר לא יהיה עניינם.

0.
בשנת 1977, לקראת הבחירות, פתח ראש הממשלה דאז, יצחק רבין במהלך שנקרא "התרגיל המבריק"; לאחר ששניים מחברי סיעת המפד"ל נמנעו בהצבעת אי-אמון בממשלה, רבין פיטר אותם, והגיש את התפטרותו לנשיא המדינה. מרגע ההתפטרות הממשלה הפכה לממשלת מעבר, כך שלא היה ניתן עוד להגיש הצעות אי-אמון, וכהונת הממשלה הובטחה לחצי שנה נוספת. המהלך עצמו, עם כל הביקורת, הוביל למערכת בחירות נהדרת שבסופה הוחלף שלטון ארוך של מפא"י בשלטון של הליכוד. מעניין, אגב, לראות את הציטוט הבא מויקיפדיה, שמזכיר לי משהו אחר מהימים האחרונים:

התחושה במערך הייתה קשה. כבר מתעמולת מערכת הבחירות השתקפה התפישה כי שלטון שאינו של המערך אינו לגיטימי. תפישה זו לא השתנתה עם הבחירות. תחושתם של רבים במערך הייתה כי הבחירות היו "תאונה היסטורית" שנבעה מהצבעת מחאה לד"ש.

1.
אבל על הבחירות לכנסת התשיעית, בחירות המהפך, אין על מה לדבר כעת. יש בעיקר להתמקד במשהו אחר שקרה היום. היום, מפלגת 'עלה ירוק: הרשימה הליברלית' יצאה באוליטמטום מעניין: לדבריה ולידיעתה של התנועה, לא פחות משמונה עשר חברי כנסת מכהנים או מועמדים הנמצאים במקומות ריאליים לא רק שמעשנים מריחואנה, אלא גם מתנגדים למדיניות של אי-הפללה. ההתבטאות של ירון לרמן, יו"ר התנועה, היא רכה יחסית; לדבריו "אני קורא למועמדים ולחברי כנסת מכהנים שצורכים קנאביס, או שצרכו קנאביס בעברם, להתוודות על כך במהרה ולהסביר לציבור מדוע הם סבורים כי ראוי להכתים את שמם של צרכני קנאביס אחרים בתיק פלילי, אך לא את שמם שלהם"; אולם, הכותרות כבר אומרות אחרת. לפחות באתר 'ערוץ 7' הספין הוא כי עלה ירוק יחשפו את שמות חברי הכנסת וכך גם באתר ביזפורטל.

2.
עלה-ירוק היא רשימה ליברלית, שדוגלת בחירויות אזרח ומתנגדת למאגר הביומטרי. הגעתו של לרמן, ביחד עם מומחים אחרים הפכה את המפלגה ממפלגת נישה למפלגה רצינית, שדומה מאוד למפלגות הירוקות בשאר העולם מבחינת אופי לוחמני (רק שבמקום לנקוט בסוציאליזם קיצוני, היא נוקטת בליברטריאניות). הבעיה מתחילה כאשר עלה ירוק פתאום אינה מודעת או אינה מכבדת את זכותם של אותם חברי כנסת לפרטיות.

3.
כלומר, אני מסכים עם עלה ירוק שמדובר בצביעות. חלק ניכר מהעוזרים הפרלמנטריים והעובדים במפלגות מעשנים גראס. זה ידוע וזה מקובל, כיוון שמדובר בהתנהגות נורמטיבית שאינה פוגעת באחרים (עם השלכות בריאותיות, בדיוק כמו אלכוהול וסיגריות); אבל מכאן ועד אאוטינג? וובכן, זה כבר מדאיג. יותר מזה, עלה ירוק מנסים (ואולי גם מצליחים) להכניס כמה חברי כנסת לפאניקה קלה: האם יחשפו אותם, וכיצד זה יצטייר בחברה הפוריטנית שלנו? והתרגיל היותר מבריק? לעלה ירוק ידוע על 18 חברי כנסת, אבל מה אם יש 30? האם ה12 שעלה ירוק לא יודעים עליהם גם יצאו להתוודות?

4.
החשש, אגב, הוא שחברי הכנסת יקחו את האולטימטום של עלה ירוק ויצאו להתוודות: במצב כזה, כאשר ארבעה חברי כנסת ליברלים מהליכוד (נניח) יצאו ויתבטאו על עברם (או תחביביהם) הנוכחיים כמעשני גראס, האם מישהו יצביע בכלל לעלה ירוק?

0.
נתחיל בהצהרה גדולה ובעייתית: צו המאגר הביומטרי שאושר היום, שהוא מה שמאשר ומתחיל את הפיילוט של ניסוי המאגר הביומטרי, קובע לשיטתי הסדרים שאינם עומדים בנוסח החוק, ועשוי להביא למצב בו כל עובד משרד הפנים אשר מעורב בניסוי יגמור בכלא. כל עוד הכנסת לא תשנה את המצב הזה, היא לא תוכל להמשיך את הניסוי, ומולידה אותו בחטא (והסיבות המשפטיות מפורטות). כל עוד אנו לא מסתכלים על זה ככה, הצו שהוצא הבוקר הוא בעייתי, ומתחיל ניסוי שתוצאותיו ידועות מראש, הגם שהתאמצו מאוד לגרום לכך שהוא יראה כניסוי למראית עין.

1.
אז אני אתחיל בלהציג את הבעיה בטרמינולוגיה משפטית, לצערי. העניין מסובך וחשוב לשים לב. פרק ג' לחוק הכללת אמצעי זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התש"ע-2009 קובע שורה של הסדרים לגבי מהו התהליך שעוברת טביעת אצבע. הוא מתחיל בסעיף 3, בו עובד משרד הפנים מוסמך לטול טביעות אצבע מאזרחים. האמצעים והנתונים שניטלו מאזרחים "יוצפנו באופן אוטומטי מיד לאחר הנטילה וההפקה, כך שלא יהיו ניתנים לפענוח, קריאה, או שימוש אלא על ידי הרשות או מרכז ההנפקה בהתאם להוראות על פי חוק זה". מעבר לכך, האמצעים שניטלו "לא יאגרו באופן ממוחשב, למעט במאגר הביומטרי, מעבר לנדרש לצורך העברתם לרשות ולמרכז ההנפקה".

כלומר, החוק אומר במפורש, שאסור לשמור מידע על טביעות אצבע או תווי פנים אלא לצורך הכללתו במאגר והנפקת התעודה. סעיף 5(א) מחזק זאת ואומר ש"עובד משרד הפנים או מרכז הנפקה שקיבל אמצעים או נתונים ביומטריים לפי הוראות סימן זה לא יעבירם לכל גורם אחר על אף האמור בכל דין". סעיף 29 לחוק קובע עונשים על התנהגות כזו. לדוגמא, אדם העושה פעולה במאגר הביומטרי שלא כדין, דינו שבע שנות מאסר.

2.
על המדרג הנורמטיבי אין צורך להרחיב. בגדול: חוק הוא מעל תקנה וצו. אם החוק אוסר לעשות משהו, התקנה והצו לא יכולות להרחיב. כלומר, אם כתוב בחוק המאגר הביומטרי שאסור לעשות משהו, לא משנה מה, הצו לא יכול להרחיב. כאן מתחילה הבעיה. בצו הכלל אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, (תקופת מבחן), התשע"א – 2011 יש בעיה קטנה. קוראים לה סעיף 8ב (הנוסח של הצו הוא לא הנוסח הסופי, אלא הנוסח שהיה בדיון ביום ג'). הסעיף קובע כי (שוב, לא נוסח סופי, אלא מהשינויים שראיתי על המסמך בדיון היום) כי:

בתקופת המבחן יבוצעו בדיקות יזומות בהן יינטלו פעם נוספת מתושבים שיסכימו לכך, בנוסף על אמצעי זיהוי ביומטריים שניטלו מהם לצורך הנפקת מסמך זיהוי, אמצעים ביומטריים , שיופקו מהם נתונים ביומטריים, כמפורט בפרוטוקול המבחן, במטרה לבחון את הנושאים הנבדקים הקבועים בסעיף 9(ב), על פעולות לפי סעיף זה יחולו הוראות החוק וכל ההוראות לפיו, לרבות הוראות צו זה; הסכמת תושב לנטילת אמצעים לפי סעיף זה תינתן במפורש למטרה לה מיועדת נטילת האמצעים

3.
מה זה אומר? זה אומר שמשרד הפנים, או הרשות הביומטרית רוצים לאסוף טביעות אצבע שוב מאדם ולבצע השוואה מול המאגר הביומטרי. אלא, שהרצון הזה (שהוא באמת חשוב) פשוט לא עומד בהוראות החוק. החוק קובע מה מותר לעשות עם המאגר: מותר לאחסן בו מידע, מותר להעביר ממנו תוצאות זיהוי למשטרה ולשב"כ, אבל לא כתוב בשום מקום שמותר לבצע בו בדיקות. נכון, זה נשמע אבסורדי, אבל הנסיון לבצע בדיקת אבטחה על המאגר היא עבירה על החוק כיוון שלאף אחד אין את הסמכות לקבל את זה. עובד משרד הפנים שמשתף פעולה עם מערך בדיקות האבטחה עשוי למצוא עצמו בכלא.

4.
וזו האבסורד והפארסה של חוק בשקל. חייבים לתקן את החוק הזה כדי שהפארסה תסתיים. חייבים לעצור את המאגר הביומטרי.

תאחלו לי בהצלחה מחר, יש פריימריס.

לא מזמן דיברתי כאן על הבעיות של מרצ עם אבטחת מידע: באותו המקרה מרצ רצתה לארגן עצומה אינטרנטית ולצורך כך ביקשה מהחותמים על העצומה את הססמא לחשבון הדואר האלקטרוני שלהם כדי לבצע שליחה בשמם. בעיית האבטחה לא עמדה בראש סדר העדיפויות של המפלגה, וזו הגיבה כאן בבלוג כי "בהתייעצות מוקדמת עם מתכנתי ווב המתנדבים אצלנו הם הבטיחו לנו כי הכול כשורה. אך כאמור אנו בתהליך ביקורת". בעקבות ביקורת ציבורית הוחלט להפסיק עם ההתנהגות הבעייתית הזו.

אבל, מרצ היא רק דוגמא אחת למה קורה כשפוליטיקאים בוחרים לבצע החלטות בצורה שהם לא מבינים בה. אתמול היה לי את התענוג לשבת עד חצות הליל במוסד לבירור עתירות במפלגת העבודה בדיון של מספר עתירות שונות. בתמצית, כל העתירות הוגשו כנגד החלטה של ועדת הבחירות המרכזית של מפלגת העבודה לקיים הצבעה בבחירות למזכירי מחוזות באמצעות האינטרנט. בחירות אלה הן אזוטריות יחסית, ולא משמעותיות בגודלן: מדובר על בחירות בהן מועצות סניף בוחרות מי יהיה מזכיר המחוז, שהוא תפקיד סמלי וייצוגי (ומהווה, לעיתים, מקפצה לכנסת). העותרים, אזי נגר, דוד מגן ושמוליק מזרחי, השתייכו כנראה למחנות שונים במפלגת העבודה (אני לא יודע מי מהם קשור למי, אבל זה לא נראה במיוחד כאילו מדובר בחונטה אחת).

תהליך ההצבעה שהוצג במפלגה הוא כזה:

המצביעים, יקבלו לביתם במהלך השבוע הבא דף הנחיות וקוד סודי אשר ישמשו אותם לצורך ההצבעה באינטרנט.  כאמצעי זהירות נוסף, בנוסף לקוד הסודי, ידרשו החברים להזין פרט זיהוי נוסף, אשר לא יופיע במכתב – והוא 6 הספרות האחרונות של אמצעי התשלום אשר שימש אותם לתשלום אגרת הבחירות.  חבר שלא יקבל את הקוד הסודי לביתו או לא זוכר את פרטי אמצעי התשלום שלו– יוכל לפנות במהלך יום הבחירות למרכז תמיכה טלפוני (03-7283606), ולאחר שזהותו תאומת יקבל במישרין את הקוד שמשמש להצבעה.  המערכת תאפשר הצבעה אחת מכל בית. במקרים חריגים, בהם חברים מספר בני משפחה, יש לפנות ביום הבחירות למרכז התמיכה לצורך מתן אישור הצבעה חריג.

כלומר, הדרך של מפלגת העבודה לאמת אדם באמצעות האינטרנט ולוודא שהוא מי שמצביע, יש עליו להשתמש בשני אמצעי זיהוי: קוד זיהוי שנשלח לו בדואר (רגיל, כזה שכל אחד יכול לגנוב לו מהתיבה) ושש ספרות אחרונות של כרטיס האשראי (שהוא פרט שלא קשה לדלות על אנשים אם אתה, נניח, עובד בפיצירה שכונתית, או אפילו רק גנבת מאגר מידע קטן).

עכשיו, יש כאן עוד נושא קטן ופעוט: אחת הסיבות לכך שבחירות נערכות בקלפי, כאשר יש ועדת קלפי שבודקת את תעודת הזהות של מי שמצביע, ושהוא מצביע לבד, כאשר אף אחד לא מסתכל על מה שהוא מצביע, היא כדי למנוע קבלני קולות. כלומר, בשיטה שמפלגת העבודה מציעה, קבלן הקולות השכונתי ילך לכל הבוחרים, יאסוף את הטפסים שלהם מהבית (בהסכמה, כמובן) יפתח את הדפדפן שלו ויצביע בשמם (כן, הוא יצטרך להתנתק בין הצבעה להצבעה, כדי להחליף כתובת IP, תהליך של דקה וחצי).

כלומר, מערכת ההצבעות של מפלגת העבודה (שאפשר לראות כאן) היא כזו שלא מאפשרת בחירות חשאיות ואישיות: אכן, יכול להיות שהמערכת לא יודעת מי הצביע לאיזה מועמד (ובכך מונעת זיופים על ידי המערכת עצמה) אבל היא לא כזו שמאפשרת גם למנוע קבלני קולות, או מצב שאדם גונב את טפסי ההצבעה ומצביע בשם אדם אחר. על כך העיד ארוכות אמש בעתירה גיא מזרחי, כאשר הסביר שני דברים משמעותיים: הראשון הוא שמועמד פלוני יכול להודיע לכל הבוחרים שלו להצביע בשעה מסוימת, ולאחריה להתחיל עם מתקפת DDoS (התקפת מניעת שירות מבוזרת) כך שאף אחד אחר לא יוכל להצביע לאף אחד מהמועמדים. השני הוא שמי שממש רוצה יכול להשתיל סוסים טרויאינם על המחשב של המצביעים (מדובר על קבוצה מצומצמת) ולשנות את ההצבעה שלהם בזמן אמת.

אלה הם רק שניים מהתרחישים האפשריים שגיא הציג אמש והסיבה מדוע אי אפשר לקיים בחירות באמצעות האינטרנט בצורה הזו; הדבר לא אומר שכל בחירות אלקטרוניות הן פסולות, אלא שבצורה הנוכחית הן נתונות לזיופים ולקבלנות כולות.

למרות כל זאת, החליט הבוקר המוסד לבירור עתירות של מפלגת העבודה לדחות את העתירות ולאפשר את המשך הבחירות (החלטה 43/12 של המוסד לבירור עתירות). ההחלטה הקצרה קובעת כי "הבאנו בחשבון כי קיים פוטנציאל לסיכון בעריכת בחירות באופן זה. יחד עם זאת, לא השתכנענו כי גם בשיטת הבחירות הנהוגה כיום ניתן לנטרל סיכונים מסויימים … לאחר ששמענו את עדויותיהם של המומחים שדיברו בפני ההרכב, אנו ממליצים בפני המוסדות הרלוונטיים לבחון האם יש מקום לשפר את המערכת שנבחרה. כפי שהוצע במסגרת הדיון. בעיקר אנו מדגישים את החשיבות שבהנגשת הקלפי הנודדת למקסימום בוחרים".

מה שמדהים כאן הוא השיח של "הטכנולוגיה חייבת להמשיך להתקדם". כלומר, המפלגה טוענת שיש לצעוד עם הקדמה. ואכן, חלק ניכר מהעותרים (שככל הנראה אני לא משתייך למחנה הפוליטי שלהם) הם ותיקי המפלגה, כאלה שטענו כי לאוכלוסיות מסוימות אין נגישות לרשת ולכן הדבר פוגע בזכותם לבחור (ואני מסכים איתם). אבל, כאן הדיון הוא לא טכנופובי אלא ההפך: הדיון הוא על כיצד לאמץ את הטכנולוגיה, וכיצד לא לגרום לכך שמי שיכול להשתלט על הבחירות יעשה זאת.

צריך לזכור שמה שמתאים לכוכב נולד לא תמיד מתאים לבחירת נציגים במערכת דמוקרטית שאמורה לקבוע עבור הציבור נהלים, חקיקה ותקנונים.

קצת עצוב לי שכך המפלגה מתנהלת, כי זה מסביר, בסופו של דבר, מדוע המאגר הביומטרי הצליח לעבור.

[עם הקוראים המאמינים ביישות כלשהיא הסליחה, אבל אאלץ להשתמש באות הקדושה לצורך ההדגמה]. אמש נערך בבית המשפט העליון דיון בעתירה שהגישו פרופ' קרין נהון ומר דורון אופק, יחד עם התנועה לזכויות דיגיטליות והאגודה לזכויות האזרח, כנגד המאגר הביומטרי והפיילוט. אני לא הולך להכנס לעומק העתירה או לסיבות, אלא רק לבעיה טכנית אחת. כזכור (למיטיבי הקריאה בבלוג כאן), בשנת 2009 עבר חוק המאגר הביומטרי, אשר קבע, בין היתר, כי תערך תקופת ניסוי של שנתיים בה תבחן נחיצות המאגר, וזאת על פי צו שיוציא שר הפנים. ביולי 2011 הוציא שר הפנים צו שמתחיל את הניסוי, אלא שבצו היו חסרים מדדים משמעותיים ועיקריים.

בית המשפט העליון, אתמול, הביע ביקורת  על נוסח הצו, ובעקבות ביקורת זו הצהירה המדינה כי תשנה את הצו שיכלול קריטריונים כנדרש. אני לא אכנס לקריטריונים הדרושים, אלא רק לאמירת אגב שהמדינה הביעה בהסכמתה: המדינה אמרה כי עד שיאושר הצו, היא תחל בניסוי שיבוסס על הסכמה של האזרחים, כלומר: ניסוי לא על פי הצו. המשמעות היא כפולה: ראשית, בניסוי כזה הוראות החוק אינן חלות: אין את אבטחת המידע החמורה, אין את הענישה החמורה ואין את הגבלת השימושים הרצינית. ויותר חשוב, הוראות סעיף 11(ג) לחוק קובע כי עובדי הרשות הביומטרית יהיו עובדים רק ברשות, ולא יקחו אף  תפקיד אחר: זה אומר שבניסוי (לא ה-ניסוי) מר גון קמני, ראש הרשות לניהול המאגר הביומטרי, לא יכול לקחת חלק. גם מערכי המחשוב של ניסוי ביומטרי (לא ה-ניסוי) לא יכולים להיות חלק מה-ניסוי או ה-מאגר, כיוון שהדרישה היא שהמאגר יופרד מכל מערכת אחרת.

אבל שנית, ויותר חשוב: זה לא ה-ניסוי אלא ניסוי. העובדה שזה לא ה-ניסוי אומרת כמה דברים חשובים: קודם כל, אי אפשר להשתמש בתוצאוות שלו כדי להחליט האם המאגר הביומטרי נחוץ, ואי אפשר להשתמש במידע ממנו כדי להאגר במאגר הביומטרי. אחר כך, גם אי אפשר להוציא למי שמתנדב למאגר הזה תעודות זהות חכמות, כלומר לאף אחד אין תמריץ להכנס למאגר.

ההנחה של המדינה היא שהסכמתו של אדם לשימוש במידע הביומטרי שלו דיה בכדי לאפשר ניהול של ניסוי; אלא, שלא ברור שכך הדבר: בית המשפט כבר פסק בעניין בן חיים שגם אם אדם נותן הסכמה, זה לא אומר שהמדינה יכולה לעשות שימוש במידע הזה, בהעדר הסמכה בחוק (רעפ 10141/09 אברהם בן חיים נ' מדינת ישראל); כלומר, בניגוד לאדם פרטי, שמרגע שקיבל הסכמה יכול לעשות דברים עם המידע שהסכימו עבורו, המדינה צריכה הסכמה ספציפית כדי לאפשר שימוש במידע על ידה. כלומר, בלי חוק שמסמיך אותה לנהל מאגר ביומטרי, היא לא בטוח יכולה לנהל אותו, ובלי חוק שמסמיך אותה להדפיס תעודות זהות, היא לא יכולה להוציא תעודות זהות ביומטרית.

מה זאת אומרת אי אפשר להוציא תעודות זהות ביומטריות? אחת הבעיות היתה שהמדינה הכריחה את האזרחים שרוצים תעודות חכמות להתנדב למאגר; אחד התיקונים בחוק הוא התיקון לחוק מרשם האוכלוסין הוא שתעודות חכמות שמכילות את המידע הביומטרי יוצאו רק עם מידע מתוך ה-מאגר ה-ביומטרי בתקופת ה-ניסוי. קיומה של ה' הידיעה כאן הוא החלק ה-משמעותי. בחוק כתוב כי הוראות החוק (כלומר, ההוראות שמאפשרות את הנפקת התעודות הביומטריות לפי האמור בסעיף 25 לחוק מרשם האוכלוסין, המידע שצריך להכלל הוא נתונים ביומטריים, והם "יישמרו בשבב באופן שתתאפשר גישה אליהם בהתאם להוראות החוק האמור": כלומר, שתי בעיות: תחולת החוק שמתקן את חוק מרשם האוכלוסין לא תחול על מי שלא נכנס לה-פיילוט על פי ה-צו, ולכן אי אפשר להנפיק לו תעודה, ושנית, המידע צריך להיות לפי הוראות החוק, שלא חל אלא על מי שנרשם לה-פיילוט. לכן, פיילוט הוא לא ה-פיילוט, ואי אפשר להנפיק תעודות זהות חכמות.

כלומר, רק מי שיצטרף לה-ניסוי יוכל לקבל תעודות חכמות; ולכן משרד הפנים לא יוכל לצאת בניסוי אלטרנטיבי באמת. מעבר לזה, משרד הפנים לא יוכל לאגור את המידע בה-מאגר ה-ביומטרי, אלא רק במאגר ביומטרי אחר (כלומר, המידע לא יוכל להיות מוצלב אחר כך); גם סעיף 29 לחוק מנוסח כך: "העורך השוואה בין אמצעי זיהוי ביומטריים שניטלו מאדם או נתוני זיהוי ביומטריים שהופקו מהם, לבין אמצעים או נתונים ביומטריים שבמסמך זיהוי, בלא סמכות לפי חוק זה, דינו – מאסר שלוש שנים". שימו לב: ההשוואה היא בין כל אמצעי זיהוי ביומטריים לבין מסמך זיהוי; כלומר, לעובדי משרד הפנים אין יכולת להנפיק מסמכים ביומטריים שלא על פי חוק המאגר הביומטרי, ללא קשר לשאלה האם ניתנה הסכמה על ידי הנסיינים.

כלומר, ניסויו של משרד הפנים הוא לא ה-ניסוי, ולכן הוא לא מאפשר בחינה אמיתית; אם אלו יצאו באמת בניסוי שאינו ה-ניסוי, הרי שהדבר יהיה מנוגד לחוק (לא שזה הפריע להם עד היום), וזה עשוי לגרום לפגיעה עוד יותר אנושה באזרחים.

שבע עשיריות האגורה; זה המחיר ששווה הפרטיות של כל אחד מאיתנו, וזה המחיר ששילם יוסף ויטמן, אשר כנראה יורשע במסגרת הסדר טיעון על הדלפת מרשם האוכלוסין ומכירה שלו בעבור כמה מאות שקלים ללקוח. ויטמן ישלם קנס של 50,000 ש"ח (0.71 אגורות לכל אזרח במדינה לערך) וירצה עבודות שירות (חמישה חודשים).

כזכור, לפני כשנה הודיעה הרשות למשפט, טכנולוגיה ומידע כי היא פענחה את פרשת דליפת מרשם האוכלוסין, שהוגדרה כחמורה בתולדות המדינה ומבקר המדינה הגדיר את דליפתו כנזק בלתי הפיך למדינה. אז בכמה מוערך הנזק הבלתי הפיך? אפס נקודה שבע אגורות. עכשיו, אני רוצה להכניס דברים לפרופורציה בבקשה. במהלך הדיונים על חוק המאגר הביומטרי אבנר פינצ'וק ואנוכי נלחמנו חזק על מנת להכניס שינויים בחוק שיטילו סנקציות על מי שידליף את המאגר. על פי סעיף 29 בחוק המאגר הביומטרי, ישנו עונש של שבע שנות מאסר על מי שעושה שימוש במידע שלא ברשות; חמש שנות מאסר למי שמדליף מידע ביומטרי פרטני, ושנת מאסר למי שלא מאבטח מידע מספיק טוב.

אז תאמרו: אוקי, יש הבדל משמעותי בין חמישה חודשי עבודות השירות לשבע שנות המאסר האימתניות שהטילו על מי שידליף את המאגר הביומטרי (שלא נדבר על שנת המאסר למי שיתרשל בהגנה עליו); אלא, שהעבירות על פי חוק הגנת הפרטיות נושאות גם הן עונש של חמש שנות מאסר.

כלומר; ורק כדי להבין את הבדיחה, אני אפנה אתכם לדיון של ישיבת המדע והטכנולוגיה בעניין החוק הביומטרי מיום 20 יולי2009; בתחילה, ההצעה היתה ענישה של שלוש שנים על הדלפה. ואז חברנו מאיר שטרית עבד לטובה:

מאיר שטרית:       משרד המשפטים? אני רוצה להחמיר את הענישה על מי שמוסר או מגלה אמצעים ביומטריים, נתונים ביומטריים, תוצאות זיהוי או מידע חסוי. אני רוצה להחריף את הענישה מאוד. אני חושב שזה כלל יסודי, אנשים לא צריכים להפר את היסודות. זה אחד הדברים הבסיסיים, שאדם יידע שהוא מסתכן אם הוא מפר, והענישה היא חמורה מאוד. מה עם עשר שנים? על פשע, עשר שנים

…

אביטל שטרנברג:         אני חושבת שהענישה שקבועה פה היא ענישה ראויה.

היו"ר מאיר שטרית:         אני חושב שאת אומרת עד שלוש שנים, השופט נותן בסוף שנה. כשאת אומרת עד עשר שנים, השופט ייתן שלוש שנים.

אביטל שטרנברג:         אנחנו קובעים את חומרת הענישה לפי מה שאנחנו חושבים שראוי שיהיה, לא לפי מה שהשופט—

היו"ר מאיר שטרית:         אנחנו חושבים שראוי שיהיה ענישה הרבה יותר חמורה. אני חושב שאם אנחנו רוצים להגן על הפרטיות של אנשים במאגר טביעות האצבעות שלהם בתעודת הזהות כדי שלא ידלפו, אני בעד ענישה הרבה יותר מרחיקת לכת, כדי שיהיה ברור מה השדר שהכנסת משדרת. אנחנו לא רוצים שיעשו שימוש לרעה במאגר הזה בשום צורה שהיא.

אביטל שטרנברג:         אני חושבת שעבירה של שלוש שנות מאסר וקוהרנטיות בענישה ביחס לחוק סדר הדין הפלילי (סמכויות אכיפה, חיפוש בגוף ונטילת אמצעי זיהוי) זה דבר מאוד מאוד חשוב וראוי לקבוע—

כלומר, משרד המשפטים הנהדר רצה שעבירת הדלפת המאגר הביומטרי תהיה עבירה של שלוש שנות מאסר, ותסתיים בדרך כלל (לפי המפתח כאן של עסקאת הטיעון) בחודשיים-שלושה של עבודות שירות. זה היחס של המדינה למידע הפרטי שלנו, וזה מה שיקרה בעתיד. זה היה ברור כבר למי שקרא את פסק הדין בעניין עשמ 3275/07 שמואל ציילר נ' נציבות שירות המדינה בו בית המשפט העליון לא הטיל עונש מאסר על מי ששלף מידע ממחשבי מס הכנסה, זה יהיה ברור גם כשאתם תראו מה קורה עם מאגרים אחרים.

כשהמאגר הביומטרי ידלוף , והוא ידלוף, אנחנו נדע מי לא עשה מספיק כדי להרתיע פושעים.

אכן, הגזֵרה והגזֵרה לגזֵרה ידועות הן בחיי המעשה ובמשפט המודרני בפעולות הבאות למנוע את סכנת המדרון החלקלק: שמה שנראה לנותן הוראה או הסכמה כדבר ראוי עלול לשמש לבעלי כוונות לא טהורות, ולעתים אף לתמימים, פתח שראשיתו קופו של מחט וסופו פתחו של אולם, למעשים שאינם ראויים וגם לעבֵרות. וראוי שתהא מוטלת לפתחם של מקבלי ההחלטות בימינו השאלה: איזו היא דרך שיבור לו האדם כדי שלא יידרדר במדרון זה? (אליקים רובינשטיין, על סכנת המדרון החלקלק, אבל מומלץ לקרוא את הכל).

0.
המדרון החלקלק הינו, בסופו של דבר, השלמה עם התדרדרות מוסרית; יש מצב שלאף אחד לא נח עמו, אך הוא דרוש לצורך טיפול בעוולה גדולה יותר, ולכן משלימים עמו (בין אם בחוק ובין אם בעצימת עיניים), לאחר מכן מעוניינים לבצע את אותה פעולה לא נוחה, אבל לצורך עוולה פחות גדולה, ולבסוף משלימים עם הפעולה הלא נוחה לצורך עניינים מיותרים ופעוטים. זהו המדרון החלקלק: מצב בו כל ויתור קטן מוביל לויתורים גדולים בסופו של דבר, שאיננו יכולים לחיות עמם בסוף.

1.
כזהו הסיפור של חוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת) (או בשמו הרלוונטי, חוק נתוני תקשורת); החוק, להזכירכם, מאפשר למשטרה ולכל מיני רשויות חקירה אחרות לקבל נתוני GPS על המיקום שלכם, את רשימת השיחות שלכם ואנשי הקשר ששוחחתם איתם, את רשימת האתרים שגלשתם בהם, את כתובת הIP בבית שלכם ועוד, והכל מסיבות בעייתיות; כזכור, החוק פוגע בחסיון עורך דין-לקוח וחסיונות מקצעויים אחרים, מאפשר גם שימוש ללא צו שיפוטי והכל למטרות פסולות בדרך כלל.

2.
כעת, אחרי שכמעט שנים עברו מחקיקת החוק, פתאום באה המדינה ומבקשת עוד. כלומר, עד עכשיו החוק עמד בביקורת ציבורית, לא היה שקוף והיה בעייתי. פתאום, המשטרה ורשויות אחרות הבינו שהדבר לא מספיק, וכעת תזכיר חוק שמפורסם על ידי משרד המשפטים רוצה גם את היד, אבל גם את הריאה הימנית שלכם. על פי תזכיר החוק, עולות מספר נקודות בעייתיות: הראשונה היא קבלת נתוני זיהוי של אדם ללא כל צו שיפוטי, השניה היא הרחבת הרשויות שזכאיות לאותו מידע והשלישית היא מתן אפשרות לערעור על החלטה שסורבה (לנוסח התזכיר; היום כנראה אדון רק בראשונה.

3.
אתחיל עם הראשונה. משרד המשפטים מבקש לקבל נתוני זיהוי, כלומר מי עומד מאחורי כתובת IP או מאחורי מספר טלפון ללא כל צו שיפוטי; הסיבה? לטענת משרד המשפטים "בנוגע לנתוני זיהוי (שם, טלפון וכתובת), מוצע כי כל הרשויות המנויות בתוספת הראשונה והשניה יוכלו לקבל פרטים אלו אף ללא צו שופט, כיון שמדובר בסוג מידע שמידת הפגיעה בפרטיות הגלומה בו היא מזערית, ונחיצותו לצורך חקירת עבירות היא רבה". יכול להיות שמשרד המשפטים לא קורא החלטות של בית המשפט העליון, אבל הדבר נראה לי לא הגיוני. לא אחת פסק בית המשפט העליון כי דווקא הפגיעה בפרטיות בחשיפת זהותו של אדם מאחורי כתובת IP היא מהפגיעות החמורות ביותר בפרטיות.

אותה שאלה של "מי האדם" כבר נדונה לא אחת, ובתי משפט פסקו שאין חובה להזדהות סתם כך בפני שוטר (תפ 14037-03-09 מדינת ישראל נ' יצחק ניסים), אז על איזו פגיעה מזערית לפרטיות מדובר? רוצה המשטרה לזהות אותנו בצורה מתמדת, שתתכבד ותחדל להורות לשוטריה להסתובב ללא תגי זיהוי או פנים חשופות.

4.
המשנה לנשיאה דאז, אליעזר ריבלין, פסק בפרשת רמי מור כי "ניתן לומר כי במידה רבה האנונימיות עושה את האינטרנט למה שהוא, ובלעדיה ייגרע מן החופש במרחב הווירטואלי. ככל שתתרחב האפשרות לעלות על העקבות הנותרים בחלל הווירטואלי, יש לצפות לשינוי מהותי בדפוסי ההתנהגות של המשתמשים" (רעא 4447/07 רמי מור נ' ברק אינטרנט). אכן, יכול להיות שמשרד המשפטים לא חושב כך, אבל נתוני זיהוי (השאלה מי עומד מאחורי כתובת IP) הם שאלה לא פחות חשובה משאלות של "איפה נמצא אדם" או "עם מי דיבר אדם".

5.
המרחק בין השאלה "מי עומד מאחורי כתובת IP" אינה שונה מהשאלה "מי עומד מאחורי טביעת אצבע" שנדונה במאגר הביומטרי או אפילו שאלת "מי עומד מאחורי תמונה". הסכנה המהותית בחשיפה מסוג כזה אינה מדרון חלקלק, אלא ביטול של חוק נתוני תקשורת והפיכת המידע האישי להפקר וזמין. כבר ראינו לא מעט על הקלות של העברת מידע לפי חוק נתוני תקשורת ומדובר בהליך חד-צדדי בו לקרבן (או מי שמבוקשים נתוני התקשורת שלו) אין בכלל אפשרות להלחם על זכויותיו. הסכנה כאן היא ממשית, אמיתית וגדולה בהרבה מהמטרה הלא מכובדת. כבר זכור שמשטרת ישראל לא יישמה נהלי אבטחת מידע ראויים, לפי דו"ח מבקר המדינה, וזו בדיוק הסכנה.

6.
בהערת אגב, אחד השינויים הוא ההצעה לאפשר גם לקבל מידע על מי שהוא קרבן של עבירה; הבעיה כאן היא שגם כאן, המשטרה תוכל לקבל את המידע ללא ידיעת ו\או הסכמת הקרבן. כלומר, נתוני התקשורת (רשימת שיחות הטלפון של הקרבן, המיקום הגיאוגרפי שלו ועוד) יצטרכו להחשף בפני המשטרה, ללא כל ידיעה או הסכמה. מדוע? הדבר לא מובן. תרצה המשטרה לקבל מהקרבן מידע, תבקש ממנו בנימוס. אם הוא יסרב, שתתן לו את ההזדמנות להסביר לבית המשפט מדוע.

7.
נתוני תקשורת הוא חוק רע, הוא אולי לא התחיל ככזה, אבל הוא הופך להיות משהו רע מאוד.

0.
המאגר הביומטרי אינו אלא עוד אחד ממאגרי המידע שמוקמים לאחרונה במדינתנו. מדינת ישראל סובלת מקדחת מאגרי מידע, שכפי שמגדירים זאת אבנר פינצ'וק (הארץ, 07.06.2011 ומיכאל בירנהק (גלובס, 16.07.2008). המאגר הביומטרי כנראה אינו האחרון מבין המאגרים הפוגעניים שיוקמו וברור שאינו הראשון.

0.1
הצורך לנהל מאגרי מידע על אזרחי ישראל, ושאותם מאגרים יהיו בשימוש מתמד, הוא אחד מהמאפיינים של חברת מעקב, בו הפרט אינו אלא נתון. לצורך כך צריך לזכור כמה ישראל חריגה בנוף העולמי; ישראל היא אחת המדינות היחידות בהן יש את המושג "תעודת זהות" ומספר זהות. כאשר תלכו בניכר לפתוח חשבון בנק, יבקשו מכם דרכון, ויחד עם הדרכון יבקשו מכם חשבונות של שירותים על שמכם (נניח, חשמל או ארנונה) על מנת להוכיח כי הנכם מוכרים על ידי רשויות אחרות.

אבל תעודות הזיהוי ומרשם האוכלוסין (שהוא נגע רע משרידי המנדט הבריטי הכובש) אינם המאגרים היחידים שסובלים מקדחת מאגרי המידע; בכדי לנהל חיים מודרניים, אנו מותירים מאחורינו שביל של פירורי מידע שנותרים בכל פעולה שאנו מבצעים: קמנו בבוקר, התלבשנו, צחצחנו שיניים; הפעולה הבאה? יצאנו ורכשנו בבית הקפה מתחת לבית קפה ומאפה ושילמנו בכרטיס אשראי? הפעולה נרשמה במאגר כלשהוא. לא השתמשנו בכרטיס אשראי, אבל העברנו את כרטיס המועדון? גם כן; גם אם איננו חברי מועדון, אך הודענו ברשת החברתית האהובה עלינו שרכשנו שם, הפעולה נרשמה.

0.2
לאחר מכן, בדרך לעבודה, פתחנו את תוכנת הGPS האהובה עלינו, וזו דיווחה לנו על הפקקים בדרך על סמך נתונים פרטיים של משתמשים אחרים. התקשרנו מהטלפון הסלולרי לבוס להגיד שאנו מאחרים, והשיחה, כמו גם נתוני המיקום שלנו באותה שיחה, נרשמה במאגר המידע של חברת הסלולר שלנו על פי חוק נתוני תקשורת. הגענו לבסוף לעבודה, והחתמנו כרטיס; חלק מאיתנו אף מחתימים כרטיס עם טביעת האצבע שלהם. ההחתמה נרשמה גם כן. לאחר מכן, שתינו את הקפה יחד עם עדכונים מאתר החדשות האהוב עלינו, וזה שמר עלינו פרטים מזהים והבין את הרגלי הקריאה שלנו.

0.3
במהלך יום העבודה המעביד גם עוקב אחרינו, בין אם על ידי התקנת מצלמות נסתרות או על ידי טכנולוגיות שנועדו לבדוק את תפוקת העובדים. גם המידע הזה נשמר במאגר.

בדרך חזרה הביתה נסענו דרך כביש שש, שם גם נשמר עלינו מידע מפורט: מתי נסענו ובאיזו מהירות וגם אנו נדרשים להסכים לקבל ממפעילת הכביש דיוורים פרסומיים. ואם בערב נבחר להיות אקולוגיים ולנסוע למקום הבילוי בתחבורה ציבורית, הרי שגם אז כרטיס הרב-קו עוקב אחרינו ורושם במאגר מידע מרכזי את נתוני הנסיעה שלנו (לפחות עד שהנחיה חדשה של משרד המשפטים תכנס לתוקף).

0.5
טוב, תמיד יש את האפשרות לשבת בבית ולצפות בטלויזיה, אבל גם אז הפרטיות שלנו עוד בסכנה: לא רחוק היום עד שממירים חכמים ידווחו לחברת התקשורת מהם הערוצים בהם צפיתם, נכון?

0.6
אז קריאה פסימית של חמש מאות המילים האחרונות מעידה על המצב העגום שלנו ומעלה תהיה אחת: האם יש באמת סיבה להלחם למען הפרטיות שלנו כאשר בכל יום המידע עלינו נשמר בעשרות מאגרי מידע? וזה עוד לפני שמדברים על מאגרי המידע של הבנקים או קופות החולים. אז מה יש לנו לעשות? האם אנחנו צריכים להלחם בטכנולוגיה ולנסות לשנות את החברה שלנו או להכיר במציאות העגומה שלפיה כל פירורי העוגיות שאנו מותירים במהלך היום עשויים לפגוע בנו? המטרה של הקדמה קצרה זו היא להבהיר מהי כמות המידע שנשמר, ומהן הסכנות, כמובן, באגירה המאסיבית של המידע.

0.7
עכשיו, כדי להסביר מהי הסכנה בדליפה של המידע, אפשר לפרק את העניין למספר סכנות: (1) שימוש במידע למטרות כלכליות [לגיטימיות ולא לגיטימיות], כלומר לגרום לכם לרכוש יותר או להוציא מכם כספים במרמה; (2) שימוש במידע למטרות פרסונאליות [לגיטימיות ולא לגיטימיות], כלומר לבצע פעולות בשמכם או להתחזות לכם; (3) שימוש במידע למטרות בטחוניות [לגיטימיות ולא לגיטימיות] כלומר להלחם בפשע או טרור או לבצע מעשי פשע או טרור.

0.7.1
חשוב להבין שהמטרה לשמה נאגר המידע לסיבה הלגיטימית הוא בדרך כלל גם למנוע את הסיכון הלא לגיטימי. לדוגמא, מידע על תנועה של בני אדם בתחבורה ציבורית ומהם האוטובוסים הצפופים ביותר יכול לסייע בתכנון של קווי אוטובוסים, אבל יכול גם לסייע לארגוני טרור לדעת מהם קווי האוטובוס הצפופים ביותר על מנת לתכנן פיגוע. מערכת שמאפשרת זיהוי מול חשבון בנק מסוים, על ידי שמירה של ססמא או טביעת אצבע, מאפשרת גם לזייף את הכניסה לאותו חשבון בצורה לגיטימית. כלומר, ככל שמאגר יותר רגיש, כך יש לאבטח אותו יותר.

0.8
לכן, קדחת מאגרי המידע, כפי שנראה במאמר זה, היא בעייתית במיוחד: היא לא רק מיותרת ונובעת מרצון לשמור מידע מיותר, היא גם מאפשרת בדיוק את הנזקים מהם היא מנסה להמנע.

1.
הדבר הראשון שאני רוצה להגדיר, לצורך המכנה המשותף, הוא את ההגדרה של 'דליפה'; דליפה היא כל גישה שאינה מורשית למאגר, בין אם על ידי האקר איראני שגונב את כל המאגר או חוקר פרטי שמשלם חמישים שקלים לפקיד שיבדוק לו מידע מתוך המאגר. גישה, לצורך העניין היא היכולת לקרוא או לכתוב מידע למאגר. כלומר, דליפה היא היכולת לקרוא או לכתוב מידע למאגר שלא תוכננה כחלק ממטרות המאגר.

דליפה יכולה להיות מצב בו מאגר מידע שמוחזק כחוק ומנוהל בצורה מאוד מאובטחת, עם כל ההגדרות, פשוט נמכר במסגרת עסקים לגורמים עסקיים אחרים שנראים לגיטימיים. דוגמא טובה לכך נחשפה בפברואר 2010: עיריית רמת-גן מכרה מידע לחברת 'קידום' לצורך שיווק (פגיעה מהסוג הראשון). הסיפור הוא כזה: לעירייה, כחוק, יש את מאגר המידע של כל תלמידי בתי הספר. המאגר מאובטח, מוגן ומנוהל כמו שצריך. חברת קידום הגיעה לעירייה והציעה לרכוש ממנה את שמות כל התלמידים; התלמידים, שמעולם לא נתנו את הסכמתם לקבלת מידע שיווקי, גילו שהמידע דלף על אודותיהם והגיע לחברה מסחרית, שניסתה למכור להם מוצרים. אכן, לא מדובר בגניבה של המאגר על ידי האקר איראני או גנב מתוחכם, אבל זוהי דליפה.

הדליפה מהסוג הזה כל כך נפוצה, עד שבאוקטובר 2010 נחשפה פרשה מאוד דומה בנוגע לחברת סלקום; זו רכשה מאגר מידע של מתגייסים והצליבה אותו מול מאגר המידע שלה, כדי לגלות מי מלקוחותיה הוא הורה של ילד שעומד להתגייס ולהציע לו הצעות שיווקיות. גם מקרה זה לא נקשר למשפחות פשע או לגורמים עוינים לישראל, אבל הוא בעל השלכות לא מבוטלות על הכיס שלנו.

הדליפה מהסוג הזה היא דליפה מערכתית; לא מדובר על ארגון פשע שסוחר עם ארגון פשע או על ארגון פשע שסוחר עם גוף מסחרי, אלא על שני גורמים שנתפסים על ידי הציבור כלגיטימיים, אשר מבצעים סחר במידע פרטי בלי ידיעת או הסכמת בעלי המידע, ולא למטרות של גורמי המידע.

כלומר, צריך להבין ש'דליפות' מתרחשות כל יום, וחלק מאיתנו בונה חלק מהחיים שלו על דליפות מהסוג הזה. הסיבה לכך היא העדר אבטחה מתאימה, והרבה פעמים הדבר נובע מרשלנות גרידא. לדוגמא, כאשר אני מקבל דואר רשום, הדוור מגיע לביתי יחד עם רשימת המכתבים הרשומים, כאשר אני חותם על קבלת המסמך, אני רואה רשימה שלמה של אנשים אחרים שמקבלים דואר ונחשף למידע הפרטי על אודותיהם. זו גם דליפה של מידע, ואיננו יכולים להמנע ממנה במצב הקיים.

2.
סוג נוסף של דליפות, שאולי מתקרב יותר לדליפה הפלילית שאנחנו מכירים ואוהבים, הוא הדליפה של מכירת מידע; השיטה היא פשוטה: חוקר פרטי או גורם עוין אחר רוצה לברר מידע על אדם מסוים (לדוגמא, לדעת מהי ההכנסה שלו) והוא מוצא פקיד, שבדרך כלל משתכר שכר נמוך ומציע לו, תמורת כסף מסוים (או תוך שהוא סוחט אותו), להעביר לו מידע שהוא שולט בו.

לדוגמא, ב2007 הורשעה עובדת בביטוח לאומי שסחרה במידע פרטי ונחשף כי בכירים בביטוח לאומי ורשות המסים סחרו במידע פרטי. דליפה מהסוג הזה היא דליפה שאינה מערכתית, ואפשר לקרוא לה סחר לא לגיטימי במידע; היא נתפסת כחמורה יותר מהמערכתית, אך הרבה פעמים היא הרבה יותר נקודתית. הסכנה כאן היא פרסונאלית: כלומר, המידע נרכש הרבה פעמים על ידי בעל שחושד שאשתו בוגדת בו, או על ידי גורם שמעוניין לברר את מצבנו הפיננסי. לעיתים רחוקות יותר המידע נרכש על ידי ארגוני פשיעה שמעוניינים למצוא קרבנות יעילים.

3.
הסוג הבא של דליפה הוא זחילת שימושים; מצב זה הוא מצב בו יש אדם שיש לו גישה למאגר למטרה מסוימת, והוא עושה בו שימוש אחר. לדוגמא, ב2009 הורשע עובד מדינה בכך ששלף מידע מתוך מאגר, ועשה בו שימוש לצורך אכיפה של תשלום מס (עשמ 3275/07 שמואל ציילר נ' נציבות שירות המדינה); דליפה מהסוג הזה מוגדרת כזחילת שימושים. זחילת השימושים היא כנראה הדליפה המסוכנת מכל והנפוצה ביותר; לעובדים יש גישה מתמדת למאגרי המידע, והשימוש שלהם הוא בקנה אחד עם מטרות הארגון אשר מחזיק את המידע; השימוש פשוט מנוגד לחוק או לנהלים.

אלא, שלתפוס 'מדליפים' מהסוג הזה בדרך כלל קשה ביותר: הרי הגורם שצריך לבקר על זחילת השימושים הוא הגורם אשר נהנה מההדלפה: רשות המסים, במקרה הזה, אמנם צריכה להתנער מהעובד הסורר ששלף מידע על נישומים, אבל היא גם מרוויחה כסף מכך שהוא הגדיל את הכנסותיה מגביית מסים.

זחילת שימושים כזו התרחשה גם עם מאגר הDNA המשטרתי. במקרה מעניין שנדון לאחרונה על ידי בית המשפט העליון עלתה שאלה הנוגעת להרשעות על סמך ראיות DNA: הסיפור היה פשוט, במסגרת חקירת רצח מסוימת, התבקש אדם לתת דגימת DNA מתוך הסכמה עם המשטרה שהראיה תשמש אך ורק לצורך חקירת הרצח; לאחר שהדגימה הגיעה למעבדה, מצאה אחת השוטרות כי הדגימה תואמת לדגימה אחרת שנמצאה בזירת אונס, על סמך ראיות אלה, הורשע האנס. בית המשפט העליון פסל את הראיה משימוש (עפ 4988/08 איתן פרחי נ' מדינת ישראל) אך הותיר את ההרשעה על כנה.

כאן המקרה היה מעניין ביותר: חוקרת המשטרה אמרה שלא היתה "הצלבה" בין מאגרי המידע, אלא שהיא בעצמה זכרה את אלל הDNA וביצעה את ההצלבה בראשה. אכן, המקרה הזה הוא מקרה בו אנס יושב מאחורי סורג ובריח, אך מעניין לדעת כמה 'הצלבות בראש' נערכות עם מידע אחר שנמסר למשטרה, וזו אומרת שלא תעשה בו שימושים לרעה.

4.
הסוג הרביעי של דליפה הוא פרצת האבטחה; במקרה כזה לא נמכר מידע בזדון, או סתם תוך מניעים כלכליים אלא פשוט המידע לא מוגן טוב מספיק ואדם בעל כישורים מסוימים יכול להשתמש בו. דוגמאות לנושא זה ניתן למצוא ברשת למכביר, אבל דומה שהותרתן של תעודות פטירה ברחוב על ידי בתי חולים, או זריקה של גליונות ציונים ברחוב הם רק קצה הקרחון של הרשלנות בהגנה על מידע פרטי. שני המקרים התרחשו באוקטובר 2009, חודשיים לפני שחוק המאגר הביומטרי התקבל בכנסת, ועדיין הם לא העידו למחוקק על הסכנות בדליפה של מידע או בחוסר היכולת להגן עליו.

מקרה נוסף שהתרחש בחודש יולי 2008 היה פרצת אבטחה באתר בית החולים איכילוב שאפשרה צפיה בפרטים רפואיים של כל מטופל; במקרה אחר, חודש לאחר מכן, פרצת אבטחה באתר האינטרנט של שאול מופז אפשרה לכל אחד לצפות בספר המתפקדים של מפלגת קדימה.

סוג זה של דליפה, שנקרא פרצת אבטחה הוא שונה לגמרי: הוא לא נובע מזדון, אלא מתכנון לקוי. בדרך כלל הוא גם לא ניתן למניעה; גם תכנון טוב אינו חסין לפרצות אבטחה; לאחרונה הציעה גוגל מיליון דולר למי שיצליח למצוא פרצות אבטחה בדפדפן האינטרנט כרום. המטרה כמובן היתה להראות כמה הדפדפן בטוח, אך לא עברו מספר דקות מאז שהחלה התחרות ועד שהצליחו האקרים, עם מיליון דולר של מוטיבציה בכיס, למצוא פרצה.

5.
הסוג החמישי של דליפה הוא אבדן מידע; כאן מדובר על מצב בו מידע שאינו מוגן מוצא מתוך מאגר המידע למטרה מסוימת, אך הולך לאיבוד בדרך. כך, לדוגמא, בשנת 2005 הלך לאיבוד כונן USB עם מידע רפואי של 120,000 חולים בהוואי, ב2006 הלך לאיבוד כונן USB עם מידע צבאי רגיש, ב2010 כונן נייד עם מידע על מבוטחים רפואיים הלך לאיבוד ובאוגוסט 2011 חברה שנשכרה לצורך בקרה על בדיקת הגנת הפרטיות איבדה מידע רגיש על 4,500 חולים.

אכן, אבדן מידע הוא משהו שמתרחש לעיתים תכופות כאשר מידע מוצא על התקנים ניידים, ובמיוחד כאשר הוא לא מוצפן. כאן אין כוונה זדונית, אלא רשלנות גרידא וחוסר טיפול במידע.

6.
עכשיו, כשהבנו את חמשת סוגי הדליפות, אני רוצה להכנס לסוגיית המאגר הביומטרי ולשאול האם אפשר באמת לומר שהוא יהיה מאובטח. בתהליך החקיקה ניסו לא אחת לטעון שהמאגר עצמו יהיה מוגן וינקטו בו את כל האמצעים על מנת להגן עליו מדליפה. אלא, שההגדרה של דליפה תמיד הוצגה רק כסוג הקלאסי של דליפה: הגעה של המאגר לאינטרנט בצורה מלאה. בשום מקום לא ניסו להסביר איך יוגן המאגר מפני שימוש לרעה של אלה שקיבלו את הסמכות להשתמש בו (כזכור, כל שוטר יוכל לגשת למאגר).

גם אם נקח בתור הנחה שתערך בקרת גישה ויתועד כל מקרה בו עובד של המאגר יגש למידע, עדיין ישנם מספר כשלים עיקריים: הראשון הוא בכך שגישה, כאמור, היא גם כתיבה וגם קריאה במאגר. נכון להיום מנסים למכור לנו את הטענה שהמאגר הביומטרי יגן עלינו מפני גניבת זהויות וזיוף של תעודות זהות, אלא שכל פקיד במשרד הפנים יוכל להכניס זהות למאגר.

כלומר, המאגר יהיה מאובטח ברמה 11, הוא יוגן על ידי האמצעים הטובים ביותר בשוק, אבל עדיין: יש לו נקודת כשל אחת: כל פקיד במשרד הפנים שרוצה להכניס את בן הדוד שלו ששילם מספר שקלים בזהות בדויה יוכל לעשות זאת, כי על תהליך הכניסה הראשון למאגר אין ביקורת.

כלומר, דליפה מהסוג השני, מתחייבת להתרחש: או על ידי שוטר שמקבל משכורת נמוכה שישוחד על מנת להעביר מידע לגורמי פשע, או על ידי פקיד משרד הפנים שישוחד כדי להכניס זהויות בדויות למאגר. הנקודה החלשה, של הדליפה מהסוג השני, אינה מטופלת בארכיטקטורה של המאגר.

7.
שלא יהיה ספק, המאגר ידלוף בכל דרך אפשרית: כל אחת מחמש הדרכים תתרחש לאורך זמן ארוך מספיק. הסכנה לכך תהיה משמעותית כיוון שלא יהיה ניתן להשתמש יותר בזיהוי ביומטרי כלל וכלל, כשם שכיום אי אפשר להשתמש במספר הזהות שלנו כאמצעי זיהוי מול גורמים אחרים. אלא, שעד שהמאגר ידלוף במלואו ויגיע לאינטרנט יגרמו לנו הרבה נזקים בדרך כי אנחנו נסתמך על המאגר: אנחנו נאמין שהמידע הביומטרי שלנו מאובטח, ושאף אחד לא עושה בו שימוש, כשבפועל מה שיקרה הוא שימוש לרעה, התחזות וניצול.

[פורסם במקור ב'ארץ אחרת']

לפני כחודשיים, בדיון שנערך בועדת המדע והטכנולוגיה בעקבות ההאקרים הסעודים העלתי הצעה מסוימת:

יהונתן קלינגר: הדבר השני הוא על מה שאנחנו קוראים לו מספר תעודת זהות.

היו"ר רונית תירוש: לא צריך לתת תעודת זהות כשאני קונה פיצה.
יהונתן קלינגר: לא צריך לתת תעודת זהות בשביל להעביר את עסקת האשראי בכלל.
…
יהונתן קלינגר: לא מדויק? השאלה היא האם אפשר לאסור, לא על חברות האשראי, אלא על גורמים אחרים לבקש מידע שהוא לא ניתן להחלפה?

היו"ר רונית תירוש: שאלה מצוינת. לא ניתן תשובה כרגע. אבל, אני בסיכום אבקש תשובה. זה הפרט הכי מזהה.

יהונתן קלינגר: ברור, וזו השאלה שצריכה לעלות כאן: האם אפשר לאסור על אגירה של מידע מסוים שהוא מיותר?

לכן, את ההנחיה של הרשות למשפט, טכנולוגיה ומידע המצמצמת את השימוש במספר הזהות במאגרי מידע היא מאוד מבורכת. הפרשנות הפשוטה והפשטנית היא לקרוא לאיסור גורף על השימוש בתעודות זהות; אבל זה לא העניין. העניין הוא עמוק יותר. בכל יום מבקשים מאיתנו את מספר הזהות בשביל מה שאני לא יכול לקרוא לו אלא שטויות. מספר הזהות, כזכור, נועד לזהות אותנו מול רשויות השלטון ולייצר מערכת שמאפשרת זיהוי חד-ערכי (כלומר שאדם לא ירשם למערכת יותר מפעם אחת) ומערכת שמאפשרת הצלבה מול מאגרים ממשלתיים לאותה זהות חד-ערכית.

עכשיו, מי מבקש מאיתנו את תעודת הזהות? גורמים שונים שלא ממש צריכים זיהוי חד-ערכי, וגורמים שלא צריכים להצליב את המידע מול רשויות שלטון. לדוגמא, חברת ביטוח; כשאנחנו ממלאים טפסים לקבלת שירותי ביטוח אנחנו נותנים את מספר הזהות שלנו. עכשיו נקח לצורך הדוגמא, ביטוח דירה. לי יש דירה, יש לה כתובת ואף אחד לא חושש שהיא יכולה להיות יותר מדירה אחת. בא סוכן, ומבטח לי את הדירה. כיצד הוא מזהה את הדירה? על סמך הכתובת שלה. לי, בעל הפוליסה, הוא נותן ביטוח ומזהה אותי. עכשיו, מדוע הוא צריך את מספר הזהות שלי? האם זה כדי להצליב מידע עליי מרשויות השלטון? לא ממש, במיוחד כי אסור לו לקבל מידע מהמרשם הפלילי (ראו את חוק המרשם הפלילי), ולצורך ביטוח דירה הם לא ממש צריכים גישה למידע הרפואי שלי בקופות החולים. אז מדוע הם מבקשים תעודות זהות?

כך גם כאשר אני נרשם לשירותיה של חברת טלפון סלולרי. מדוע היא צריכה את מספר הזהות שלי כדי לזהות אותי? האם לא יהיה יותר קל לשמור על מספר לקוח?

כעת, טוען חיים רביה (ובצדק) כי המדינה עושה זאת מאוחר מדי, וכי היא הולכת רק נגד השוק הפרטי ולא נגד הממשלה. לדבריו "קודם שפונים למגזר הפרטי יראוי שנבין אם וכיצד המדינה ורשויותיה עומדים בדרישותיה של הרשות. אדרבא, ימציאו לציבור דו"ח בעניין זה. אחרי הכל, דליפת המידע הגדולה בהיסטוריה של מדינת ישראל לא התרחשה בסקטור הפרטי אלא מתוך מאגרי המידע הממשלתיים הרגישים ביותר".

עו"ד רביה אמנם צודק (וYnet עשו מכך כותרת ראשית); אבל הבעיה היא אחרת: מספר הזיהוי שלנו נועד לזהות אותנו מול המדינה, ולא מול שום דבר אחר. אכן, למדינה יש חובה לאבטח את המידע שבשליטתה ולעשות הכל כדי להגן עליו. אבל העובדה שארגונים אחרים 'רוכבים' על מספר הזהות שהמדינה נותנת היא שגורמת לכך שהמספר הזה יהיה בעל ערך אפסי.

כעת, לפתרון אפשרי, שמבוסס על מתווך ביניים שיכול לייתר את הצורך במספרי זהות: אם מספר הזהות הוא רכוש של המדינה, ואמור לשמש רק לזיהוי מולה, יש שתי אפשרויות: הראשונה היא לייצר "רשמי זהות" שיספקו לנו זהות שאינה מדינתית (משהו באיזור ה"גורם מאשר" של חתימה דיגיטלית); אותם גורמים יוכלו לאמת את הזהות מול חברות מסחריות (קופות חולים, חברות ביטוח וכדומה). במצב כזה, גם אם דולף מידע, במקרה הרע ביותר אותו גורם יכול (א) לדעת מיהם הגורמים שאימתו את הזהות (כי הם אימתו את המידע מולו) ו(ב) יכול לשלול את הזהות ולייצר זהות חדשה. כלומר, אם דלפו המספרים הפרטיים של אדם מסוים, אפשר לשלוח הודעה לכל מי שהשתמש בהם, ולתת להם את הזהות החדשה.

בצורה כזו, גם, לא ממש נצטרך את המאגר הביומטרי, כמובן. הרי מדוע "מזייפים" כל כך הרבה זהויות? כדי להנות מהמידע שנמצא על אותם אנשים במערכות חוץ ממשלתיות ובמערכות ממשלתיות. מרגע שאנחנו מנתקים בין המידע במערכות הממשלתיות והלא ממשלתיות, הרי שאנחנו גם מפחיתים את הנזק בגניבת זהות: תגנב הזהות הממשלתית שלי, במקרה הגרוע ביותר יבצעו פעולות מול הממשלה, אך לא מול הבנק שלי. תגנב הזהות החוץ-ממשלתית שלי? לא יהיה נורא, יש ביטוח כמו בכרטיס אשראי.

עכשיו, ההחלטה להפחית את השימוש במספרי הזהות היא נכונה; היא נכונה כי היא בדיוק תקטין את הנזק שלנו. הבעיה היא שכל אחד מהארגונים ששומר את מספר הזהות שלנו ינסה למצוא הצדקה מדוע הוא צריך אותה. הרי אין אפשרות לצפות שחברות הביטוח, מועדוני הלקוחות של רשתות השיווק, עיריות ועוד גורמים יפסיקו להשתמש במספר הזהות שלנו מספיק מהר, לא?

אתמול הוציאו ראשי המאגר הביומטרי הודעה לעיתונות בה הם מבהירים מדוע המאגר הביומטרי הוא לא אתר קופונים, ואין שום סיכוי בחיים שהוא יפרץ. אני מסכים איתם רק בחצי מהאמירה: המאגר הביומטרי הוא לא אתר קופונים. מעבר לכך שהנסיון של גון קמני, ראש המאגר הביומטרי, בתור הממונה על אבטחת מידע בלאומי קארד היה אמור להרגיע אותנו שהוא, כממונה על אבטחה, בדק, בחן ושמר על כך שאתרי קופונים אשר סלקו את כרטיסי האשראי של לאומי קארד עומדים בתקני אבטחה, ואם הוא לא עשה זאת, מה הוא יעשה עם טביעות האצבע שלנו, עולות כמה תהיות בנוגע לשאלת ההשוואה בין המאגר הביומטרי לאתר קופונים. לצורך הנוחיות בלבד, הנה ההשוואה שלי:

באתר קופונים יש שלושה-ארבעה אנשים עם גישה למאגר המידע, במאגר הביומטרי מדובר על כל שוטר במדינת ישראל וכל עובד של משרד הפנים. כזכור, למאגר הביומטרי תהיה גישה לכל שוטר, לכל עובד של משרד הפנים, לעשרות עובדי הרשות הביומטרית, לשב"כ ולמוסד ולמי יודע מי עוד.

באתר קופונים יש רק את כרטיסי האשראי שלנו, שאפשר להחליף, במאגר הביומטרי יהיו צילומי הפנים שלנו וטביעת אצבע; לא משהו שאפשר להחליף. כן, השאלה היא מה עדיף שידלוף? טביעת האצבע שלנו וצילום הפנים שלנו, שאי אפשר להחליף אם הם הולכים לאיבוד באינטרנט, או את כרטיס האשראי, שמבוטח על פי חוק כרטיסי חיוב?

באתר קופונים יש תקנים בינלאומיים לאבטחת מידע שחייבים לעמוד בהם, כללי אבטחת המידע של המאגר הביומטרי חסויים ואסור לדבר עליו. כן; אתר קופונים הדליף מידע. האתר לא ממש שמר על הבטחון שלנו, אבל איך אפשר לדעת את זה? חברות האשראי אמורות לפקח על עמידה בתקני PCI, סטנדרט בינלאומי ומקצועי שפתוח להערות הציבור. לעומת זאת, חוק המאגר הביומטרי קובע שכללי אבטחת המידע של המאגר יהיו חסויים ולאף אחד לא תהיה האפשרות לצפות בהם.

באתר קופונים אתה לא חייב להרשם, למאגר הביומטרי אתה חייב לתת את טביעת האצבע שלך. נכון, לפעממים העסקאות באתרי הקופונים כל כך משגעות שאתה חייב לרשום עצמך לאתר, כי אף אחד לא  יכול לוותר על צימר מפנק בצפון הארץ במחיר כזה, אבל בניגוד למבצעים  האטרקטיביים, למאגר הביומטרי אתה חייב להרשם,  ואתה לא מקבל צימר בצפון, כמובן.

לאתר קופונים אתה יכול להרשם עם פרטים מזויפים וכרטיס אשראי חד-פעמי,  או לשלם בPayPal, במאגר הביומטרי לא. כן; אף אחד לא  מכריח אותך לתת לאתר הקופונים  את השם האמיתי שלך ואת תעודת הזהות שלך, במיוחד אם אתה משלם עם PayPal או עם כרטיס אשראי חד פעמי שקנית בדואר. אבל במאגר הביומטרי אתה קצת תצטרך את זה; אתה תהיה חייב  לתת את הפרטים  האמיתיים שלך, ולרשום "ישראל ישראלי"  לא תמיד אפשרי.

אז עכשיו, אחרי שהמרגיע הלאומי אמר את שאמר, אני באמת הרבה יותר רגוע. המאגר  הביומטרי לא ידלוף כי הוא מאובטח ברמה 11, בדיוק כמו שחשבו מפעילי אתר הקופונים, ובדיוק כמו שחשבו כל אחד מהמנהלים של מאגרי מידע שדלפו.