Intellect or Insanity

במהלך הדיונים על חוק המאגר הביומטרי, אחת השאלות שעלו היתה כיצד יוכיחו אנשים את זהותם לצורך ההכללה במאגר (ראו את הפרוטוקול מיום 12.07.2009). הנחת היסוד היתה כי כיום, אדם המעוניין להנפיק לעצמו תעודת זהות ראשונה (או ליתר דיוק: אוכלוסיית חסרי תעודות הזהות) אינו מצוי במאגרי משרד הפנים כלל, ולכן כל מה שהוא צריך לעשות זה להגיע למשרד הפנים, להצהיר כי הוא בן 16, להביא צילום תעודת זהות של ההרים, והופה: הוא עבר את הרף הדרוש כדי לקבל תעודת זהות ישראלית. אכן, עם כל האבטחה הביומטרית, טכנולוגיות וכדומה, עדיין החוליה החלשה היא ההרכשה הראשונה: בפעם הראשונה שאדם ינפיק תעודה, בין אם הוא מגיע עם תעודה "ישנה" מזויפת, ובין אם אין לו תעודת זהות כלל, הרי שהוא מהווה סיכון שלא יאמן.

אבל, דמוקרטיה היא משטר של סיכונים; והמדינה, שמעריכה שרוב אזרחיה אינם זייפנים או שקרנים, מוכנה לשאת בסיכונים האלה: בין אם מדובר בסיכון ביומטרי או לא, הרי שלפעמים, המציאות מגלה שהמדיניות המקלה כלפי הרכשת זהות נוחה מאוד כאשר אתה משתייך לקבוצה מסוימת, אבל בקבוצה אחרת היא כבר לא כזו.

אמש, אתר 'הארץ' פרסם כי אזרחית ישראלית המתגוררת ברצועת עזה ומעוניינת להגיע לביקור בישראל תדרש לעבור בדיקת רקמות על מנת להוכיח את זהותה. הסיפור, כפי שעולה מהעתירה של עמותת גישה (עתמ 63291-12-12 כתב העתירה, נספחי העתירה,  תשובת המדינה) הוא כזה: העותרת נולדה בישראל בשנת 1965; בגיל צעיר היא נישאה בישראל לתושב רצועת עזה ועברה להתגורר ברצועה. במהלך שנות השמונים, ולקראת לידת בנה הבכור, היא הפקידה את תעודת הזהות שלה בידי המנהל האזרחי וקיבלה תעודת זהות פלשתינאית (אך לא ויתרה על אזרחותה).

לפני זמן לא רב, בעקבות מצבה הרפואי של אמה, רצתה לשוב העותרת לישראל לביקור. מדינת ישראל אינה מתנגדת, כעקרון, לשובה לישראל. אלא, שהיא דורשת שזו תציג את תעודת הזהות שלה, ובהעדר תעודת זהות, מבקשת המדינה כי זו תעבור בדיקת רקמות על מנת להוכיח את זהותה. אגב, על פי חוק מידע גנטי, הבדיקה צריכה להעשות בישראל (סעיף 28ז), כך שלצורך הבדיקה יאלצו לאפשר לאותה נבדקת להכנס לישראל (והחלופה שמציעה המדינה, ליתן דגימה במעבר הגבול, אינה הולמת ממש את הוראות החוק).

אגב, כאן בדיוק הבעיה התמוהה: אם אותה עותרת היתה 'מקטינה ראש' ופונה למשרד הפנים באמצעות טפסים, וטוענת כי אבדה לה תעודת הזהות, הרי שעל פי הנחיות משרד הפנים, יחד עם הצהרה על אבדן תעודת הזהות ושתי תמונות בגודל מסוים, היתה צריכה לצרף מסמך זיהוי כגון תעודת חוגר (אך לא רק); סביר להניח כי במקרה כזה תעודת הזיהוי הפלשתינאית שלה היתה עומדת בדרישות.

במהלך הדיונים על חוק המאגר הביומטרי דובר על תהליך של תשאול; ואני שונא פעלים מרובעים, כי הם מעבירים את האחריות מהמבצע לגורם עלום. תהליך התשאול הוא תהליך פולשני במיוחד בו אדם מתייצב מול פקיד, הפקיד שואל אותו שאלות ממאגרי המידע של המדינה, וכך מוודא שאותו אדם הוא אכן מי שהוא טוען שהוא. עולה השאלה: אם למשרד הפנים יש יכולת כל כך איכותית לתשאל ולקבל את המידע הזה; מדוע כאן לא תתושאל העותרת?

וכאן הנושא המדאיג: אכן, אם היה מאגר ביומטרי, לא היתה בעיה: טביעות האצבע של אותה עותרת היו נותרות והיה ניתן לזהות אותה. אבל, הפתרון הזה היה מתקיים גם אם היה מאגר DNA מרכזי; מנגד, עצם הדרישה הכה מחמירה במקרה שלה לדגימת DNA (ככל הנראה שלא בהתאם לחוק) והמדיניות המקלה של מתן תעודות זהות לכל דורש ללא אימות, לא יכולות לדור יחדיו. לכן, עולה השאלה: האם למשרד הפנים יש נהלים מסודרים להרכשה של זהויות, ואם המדיניות היא ההפקרות, כפי שהיא מופיעה במסמכים הרשמיים, הרי שראוי שהעניין ישונה בהקדם.

מנגד, עומדת אזרחית ישראלית אשר על פי חוק אין לעכב את כניסתה, ואינה מסוגלת להכנס למדינה משום נימוק למעט נימוק טכני שאינה מחזיקה חתיכת נייר. אמה מזהה אותה, משפחתה מזהה אותה, ומדינת ישראל (שהנפיקה לה את מסמך הזיהוי הפלשתינאי) גם מזהה אותה.

[עם הקוראים המאמינים ביישות כלשהיא הסליחה, אבל אאלץ להשתמש באות הקדושה לצורך ההדגמה]. אמש נערך בבית המשפט העליון דיון בעתירה שהגישו פרופ' קרין נהון ומר דורון אופק, יחד עם התנועה לזכויות דיגיטליות והאגודה לזכויות האזרח, כנגד המאגר הביומטרי והפיילוט. אני לא הולך להכנס לעומק העתירה או לסיבות, אלא רק לבעיה טכנית אחת. כזכור (למיטיבי הקריאה בבלוג כאן), בשנת 2009 עבר חוק המאגר הביומטרי, אשר קבע, בין היתר, כי תערך תקופת ניסוי של שנתיים בה תבחן נחיצות המאגר, וזאת על פי צו שיוציא שר הפנים. ביולי 2011 הוציא שר הפנים צו שמתחיל את הניסוי, אלא שבצו היו חסרים מדדים משמעותיים ועיקריים.

בית המשפט העליון, אתמול, הביע ביקורת  על נוסח הצו, ובעקבות ביקורת זו הצהירה המדינה כי תשנה את הצו שיכלול קריטריונים כנדרש. אני לא אכנס לקריטריונים הדרושים, אלא רק לאמירת אגב שהמדינה הביעה בהסכמתה: המדינה אמרה כי עד שיאושר הצו, היא תחל בניסוי שיבוסס על הסכמה של האזרחים, כלומר: ניסוי לא על פי הצו. המשמעות היא כפולה: ראשית, בניסוי כזה הוראות החוק אינן חלות: אין את אבטחת המידע החמורה, אין את הענישה החמורה ואין את הגבלת השימושים הרצינית. ויותר חשוב, הוראות סעיף 11(ג) לחוק קובע כי עובדי הרשות הביומטרית יהיו עובדים רק ברשות, ולא יקחו אף  תפקיד אחר: זה אומר שבניסוי (לא ה-ניסוי) מר גון קמני, ראש הרשות לניהול המאגר הביומטרי, לא יכול לקחת חלק. גם מערכי המחשוב של ניסוי ביומטרי (לא ה-ניסוי) לא יכולים להיות חלק מה-ניסוי או ה-מאגר, כיוון שהדרישה היא שהמאגר יופרד מכל מערכת אחרת.

אבל שנית, ויותר חשוב: זה לא ה-ניסוי אלא ניסוי. העובדה שזה לא ה-ניסוי אומרת כמה דברים חשובים: קודם כל, אי אפשר להשתמש בתוצאוות שלו כדי להחליט האם המאגר הביומטרי נחוץ, ואי אפשר להשתמש במידע ממנו כדי להאגר במאגר הביומטרי. אחר כך, גם אי אפשר להוציא למי שמתנדב למאגר הזה תעודות זהות חכמות, כלומר לאף אחד אין תמריץ להכנס למאגר.

ההנחה של המדינה היא שהסכמתו של אדם לשימוש במידע הביומטרי שלו דיה בכדי לאפשר ניהול של ניסוי; אלא, שלא ברור שכך הדבר: בית המשפט כבר פסק בעניין בן חיים שגם אם אדם נותן הסכמה, זה לא אומר שהמדינה יכולה לעשות שימוש במידע הזה, בהעדר הסמכה בחוק (רעפ 10141/09 אברהם בן חיים נ' מדינת ישראל); כלומר, בניגוד לאדם פרטי, שמרגע שקיבל הסכמה יכול לעשות דברים עם המידע שהסכימו עבורו, המדינה צריכה הסכמה ספציפית כדי לאפשר שימוש במידע על ידה. כלומר, בלי חוק שמסמיך אותה לנהל מאגר ביומטרי, היא לא בטוח יכולה לנהל אותו, ובלי חוק שמסמיך אותה להדפיס תעודות זהות, היא לא יכולה להוציא תעודות זהות ביומטרית.

מה זאת אומרת אי אפשר להוציא תעודות זהות ביומטריות? אחת הבעיות היתה שהמדינה הכריחה את האזרחים שרוצים תעודות חכמות להתנדב למאגר; אחד התיקונים בחוק הוא התיקון לחוק מרשם האוכלוסין הוא שתעודות חכמות שמכילות את המידע הביומטרי יוצאו רק עם מידע מתוך ה-מאגר ה-ביומטרי בתקופת ה-ניסוי. קיומה של ה' הידיעה כאן הוא החלק ה-משמעותי. בחוק כתוב כי הוראות החוק (כלומר, ההוראות שמאפשרות את הנפקת התעודות הביומטריות לפי האמור בסעיף 25 לחוק מרשם האוכלוסין, המידע שצריך להכלל הוא נתונים ביומטריים, והם "יישמרו בשבב באופן שתתאפשר גישה אליהם בהתאם להוראות החוק האמור": כלומר, שתי בעיות: תחולת החוק שמתקן את חוק מרשם האוכלוסין לא תחול על מי שלא נכנס לה-פיילוט על פי ה-צו, ולכן אי אפשר להנפיק לו תעודה, ושנית, המידע צריך להיות לפי הוראות החוק, שלא חל אלא על מי שנרשם לה-פיילוט. לכן, פיילוט הוא לא ה-פיילוט, ואי אפשר להנפיק תעודות זהות חכמות.

כלומר, רק מי שיצטרף לה-ניסוי יוכל לקבל תעודות חכמות; ולכן משרד הפנים לא יוכל לצאת בניסוי אלטרנטיבי באמת. מעבר לזה, משרד הפנים לא יוכל לאגור את המידע בה-מאגר ה-ביומטרי, אלא רק במאגר ביומטרי אחר (כלומר, המידע לא יוכל להיות מוצלב אחר כך); גם סעיף 29 לחוק מנוסח כך: "העורך השוואה בין אמצעי זיהוי ביומטריים שניטלו מאדם או נתוני זיהוי ביומטריים שהופקו מהם, לבין אמצעים או נתונים ביומטריים שבמסמך זיהוי, בלא סמכות לפי חוק זה, דינו – מאסר שלוש שנים". שימו לב: ההשוואה היא בין כל אמצעי זיהוי ביומטריים לבין מסמך זיהוי; כלומר, לעובדי משרד הפנים אין יכולת להנפיק מסמכים ביומטריים שלא על פי חוק המאגר הביומטרי, ללא קשר לשאלה האם ניתנה הסכמה על ידי הנסיינים.

כלומר, ניסויו של משרד הפנים הוא לא ה-ניסוי, ולכן הוא לא מאפשר בחינה אמיתית; אם אלו יצאו באמת בניסוי שאינו ה-ניסוי, הרי שהדבר יהיה מנוגד לחוק (לא שזה הפריע להם עד היום), וזה עשוי לגרום לפגיעה עוד יותר אנושה באזרחים.

0.
המאגר הביומטרי אינו אלא עוד אחד ממאגרי המידע שמוקמים לאחרונה במדינתנו. מדינת ישראל סובלת מקדחת מאגרי מידע, שכפי שמגדירים זאת אבנר פינצ'וק (הארץ, 07.06.2011 ומיכאל בירנהק (גלובס, 16.07.2008). המאגר הביומטרי כנראה אינו האחרון מבין המאגרים הפוגעניים שיוקמו וברור שאינו הראשון.

0.1
הצורך לנהל מאגרי מידע על אזרחי ישראל, ושאותם מאגרים יהיו בשימוש מתמד, הוא אחד מהמאפיינים של חברת מעקב, בו הפרט אינו אלא נתון. לצורך כך צריך לזכור כמה ישראל חריגה בנוף העולמי; ישראל היא אחת המדינות היחידות בהן יש את המושג "תעודת זהות" ומספר זהות. כאשר תלכו בניכר לפתוח חשבון בנק, יבקשו מכם דרכון, ויחד עם הדרכון יבקשו מכם חשבונות של שירותים על שמכם (נניח, חשמל או ארנונה) על מנת להוכיח כי הנכם מוכרים על ידי רשויות אחרות.

אבל תעודות הזיהוי ומרשם האוכלוסין (שהוא נגע רע משרידי המנדט הבריטי הכובש) אינם המאגרים היחידים שסובלים מקדחת מאגרי המידע; בכדי לנהל חיים מודרניים, אנו מותירים מאחורינו שביל של פירורי מידע שנותרים בכל פעולה שאנו מבצעים: קמנו בבוקר, התלבשנו, צחצחנו שיניים; הפעולה הבאה? יצאנו ורכשנו בבית הקפה מתחת לבית קפה ומאפה ושילמנו בכרטיס אשראי? הפעולה נרשמה במאגר כלשהוא. לא השתמשנו בכרטיס אשראי, אבל העברנו את כרטיס המועדון? גם כן; גם אם איננו חברי מועדון, אך הודענו ברשת החברתית האהובה עלינו שרכשנו שם, הפעולה נרשמה.

0.2
לאחר מכן, בדרך לעבודה, פתחנו את תוכנת הGPS האהובה עלינו, וזו דיווחה לנו על הפקקים בדרך על סמך נתונים פרטיים של משתמשים אחרים. התקשרנו מהטלפון הסלולרי לבוס להגיד שאנו מאחרים, והשיחה, כמו גם נתוני המיקום שלנו באותה שיחה, נרשמה במאגר המידע של חברת הסלולר שלנו על פי חוק נתוני תקשורת. הגענו לבסוף לעבודה, והחתמנו כרטיס; חלק מאיתנו אף מחתימים כרטיס עם טביעת האצבע שלהם. ההחתמה נרשמה גם כן. לאחר מכן, שתינו את הקפה יחד עם עדכונים מאתר החדשות האהוב עלינו, וזה שמר עלינו פרטים מזהים והבין את הרגלי הקריאה שלנו.

0.3
במהלך יום העבודה המעביד גם עוקב אחרינו, בין אם על ידי התקנת מצלמות נסתרות או על ידי טכנולוגיות שנועדו לבדוק את תפוקת העובדים. גם המידע הזה נשמר במאגר.

בדרך חזרה הביתה נסענו דרך כביש שש, שם גם נשמר עלינו מידע מפורט: מתי נסענו ובאיזו מהירות וגם אנו נדרשים להסכים לקבל ממפעילת הכביש דיוורים פרסומיים. ואם בערב נבחר להיות אקולוגיים ולנסוע למקום הבילוי בתחבורה ציבורית, הרי שגם אז כרטיס הרב-קו עוקב אחרינו ורושם במאגר מידע מרכזי את נתוני הנסיעה שלנו (לפחות עד שהנחיה חדשה של משרד המשפטים תכנס לתוקף).

0.5
טוב, תמיד יש את האפשרות לשבת בבית ולצפות בטלויזיה, אבל גם אז הפרטיות שלנו עוד בסכנה: לא רחוק היום עד שממירים חכמים ידווחו לחברת התקשורת מהם הערוצים בהם צפיתם, נכון?

0.6
אז קריאה פסימית של חמש מאות המילים האחרונות מעידה על המצב העגום שלנו ומעלה תהיה אחת: האם יש באמת סיבה להלחם למען הפרטיות שלנו כאשר בכל יום המידע עלינו נשמר בעשרות מאגרי מידע? וזה עוד לפני שמדברים על מאגרי המידע של הבנקים או קופות החולים. אז מה יש לנו לעשות? האם אנחנו צריכים להלחם בטכנולוגיה ולנסות לשנות את החברה שלנו או להכיר במציאות העגומה שלפיה כל פירורי העוגיות שאנו מותירים במהלך היום עשויים לפגוע בנו? המטרה של הקדמה קצרה זו היא להבהיר מהי כמות המידע שנשמר, ומהן הסכנות, כמובן, באגירה המאסיבית של המידע.

0.7
עכשיו, כדי להסביר מהי הסכנה בדליפה של המידע, אפשר לפרק את העניין למספר סכנות: (1) שימוש במידע למטרות כלכליות [לגיטימיות ולא לגיטימיות], כלומר לגרום לכם לרכוש יותר או להוציא מכם כספים במרמה; (2) שימוש במידע למטרות פרסונאליות [לגיטימיות ולא לגיטימיות], כלומר לבצע פעולות בשמכם או להתחזות לכם; (3) שימוש במידע למטרות בטחוניות [לגיטימיות ולא לגיטימיות] כלומר להלחם בפשע או טרור או לבצע מעשי פשע או טרור.

0.7.1
חשוב להבין שהמטרה לשמה נאגר המידע לסיבה הלגיטימית הוא בדרך כלל גם למנוע את הסיכון הלא לגיטימי. לדוגמא, מידע על תנועה של בני אדם בתחבורה ציבורית ומהם האוטובוסים הצפופים ביותר יכול לסייע בתכנון של קווי אוטובוסים, אבל יכול גם לסייע לארגוני טרור לדעת מהם קווי האוטובוס הצפופים ביותר על מנת לתכנן פיגוע. מערכת שמאפשרת זיהוי מול חשבון בנק מסוים, על ידי שמירה של ססמא או טביעת אצבע, מאפשרת גם לזייף את הכניסה לאותו חשבון בצורה לגיטימית. כלומר, ככל שמאגר יותר רגיש, כך יש לאבטח אותו יותר.

0.8
לכן, קדחת מאגרי המידע, כפי שנראה במאמר זה, היא בעייתית במיוחד: היא לא רק מיותרת ונובעת מרצון לשמור מידע מיותר, היא גם מאפשרת בדיוק את הנזקים מהם היא מנסה להמנע.

1.
הדבר הראשון שאני רוצה להגדיר, לצורך המכנה המשותף, הוא את ההגדרה של 'דליפה'; דליפה היא כל גישה שאינה מורשית למאגר, בין אם על ידי האקר איראני שגונב את כל המאגר או חוקר פרטי שמשלם חמישים שקלים לפקיד שיבדוק לו מידע מתוך המאגר. גישה, לצורך העניין היא היכולת לקרוא או לכתוב מידע למאגר. כלומר, דליפה היא היכולת לקרוא או לכתוב מידע למאגר שלא תוכננה כחלק ממטרות המאגר.

דליפה יכולה להיות מצב בו מאגר מידע שמוחזק כחוק ומנוהל בצורה מאוד מאובטחת, עם כל ההגדרות, פשוט נמכר במסגרת עסקים לגורמים עסקיים אחרים שנראים לגיטימיים. דוגמא טובה לכך נחשפה בפברואר 2010: עיריית רמת-גן מכרה מידע לחברת 'קידום' לצורך שיווק (פגיעה מהסוג הראשון). הסיפור הוא כזה: לעירייה, כחוק, יש את מאגר המידע של כל תלמידי בתי הספר. המאגר מאובטח, מוגן ומנוהל כמו שצריך. חברת קידום הגיעה לעירייה והציעה לרכוש ממנה את שמות כל התלמידים; התלמידים, שמעולם לא נתנו את הסכמתם לקבלת מידע שיווקי, גילו שהמידע דלף על אודותיהם והגיע לחברה מסחרית, שניסתה למכור להם מוצרים. אכן, לא מדובר בגניבה של המאגר על ידי האקר איראני או גנב מתוחכם, אבל זוהי דליפה.

הדליפה מהסוג הזה כל כך נפוצה, עד שבאוקטובר 2010 נחשפה פרשה מאוד דומה בנוגע לחברת סלקום; זו רכשה מאגר מידע של מתגייסים והצליבה אותו מול מאגר המידע שלה, כדי לגלות מי מלקוחותיה הוא הורה של ילד שעומד להתגייס ולהציע לו הצעות שיווקיות. גם מקרה זה לא נקשר למשפחות פשע או לגורמים עוינים לישראל, אבל הוא בעל השלכות לא מבוטלות על הכיס שלנו.

הדליפה מהסוג הזה היא דליפה מערכתית; לא מדובר על ארגון פשע שסוחר עם ארגון פשע או על ארגון פשע שסוחר עם גוף מסחרי, אלא על שני גורמים שנתפסים על ידי הציבור כלגיטימיים, אשר מבצעים סחר במידע פרטי בלי ידיעת או הסכמת בעלי המידע, ולא למטרות של גורמי המידע.

כלומר, צריך להבין ש'דליפות' מתרחשות כל יום, וחלק מאיתנו בונה חלק מהחיים שלו על דליפות מהסוג הזה. הסיבה לכך היא העדר אבטחה מתאימה, והרבה פעמים הדבר נובע מרשלנות גרידא. לדוגמא, כאשר אני מקבל דואר רשום, הדוור מגיע לביתי יחד עם רשימת המכתבים הרשומים, כאשר אני חותם על קבלת המסמך, אני רואה רשימה שלמה של אנשים אחרים שמקבלים דואר ונחשף למידע הפרטי על אודותיהם. זו גם דליפה של מידע, ואיננו יכולים להמנע ממנה במצב הקיים.

2.
סוג נוסף של דליפות, שאולי מתקרב יותר לדליפה הפלילית שאנחנו מכירים ואוהבים, הוא הדליפה של מכירת מידע; השיטה היא פשוטה: חוקר פרטי או גורם עוין אחר רוצה לברר מידע על אדם מסוים (לדוגמא, לדעת מהי ההכנסה שלו) והוא מוצא פקיד, שבדרך כלל משתכר שכר נמוך ומציע לו, תמורת כסף מסוים (או תוך שהוא סוחט אותו), להעביר לו מידע שהוא שולט בו.

לדוגמא, ב2007 הורשעה עובדת בביטוח לאומי שסחרה במידע פרטי ונחשף כי בכירים בביטוח לאומי ורשות המסים סחרו במידע פרטי. דליפה מהסוג הזה היא דליפה שאינה מערכתית, ואפשר לקרוא לה סחר לא לגיטימי במידע; היא נתפסת כחמורה יותר מהמערכתית, אך הרבה פעמים היא הרבה יותר נקודתית. הסכנה כאן היא פרסונאלית: כלומר, המידע נרכש הרבה פעמים על ידי בעל שחושד שאשתו בוגדת בו, או על ידי גורם שמעוניין לברר את מצבנו הפיננסי. לעיתים רחוקות יותר המידע נרכש על ידי ארגוני פשיעה שמעוניינים למצוא קרבנות יעילים.

3.
הסוג הבא של דליפה הוא זחילת שימושים; מצב זה הוא מצב בו יש אדם שיש לו גישה למאגר למטרה מסוימת, והוא עושה בו שימוש אחר. לדוגמא, ב2009 הורשע עובד מדינה בכך ששלף מידע מתוך מאגר, ועשה בו שימוש לצורך אכיפה של תשלום מס (עשמ 3275/07 שמואל ציילר נ' נציבות שירות המדינה); דליפה מהסוג הזה מוגדרת כזחילת שימושים. זחילת השימושים היא כנראה הדליפה המסוכנת מכל והנפוצה ביותר; לעובדים יש גישה מתמדת למאגרי המידע, והשימוש שלהם הוא בקנה אחד עם מטרות הארגון אשר מחזיק את המידע; השימוש פשוט מנוגד לחוק או לנהלים.

אלא, שלתפוס 'מדליפים' מהסוג הזה בדרך כלל קשה ביותר: הרי הגורם שצריך לבקר על זחילת השימושים הוא הגורם אשר נהנה מההדלפה: רשות המסים, במקרה הזה, אמנם צריכה להתנער מהעובד הסורר ששלף מידע על נישומים, אבל היא גם מרוויחה כסף מכך שהוא הגדיל את הכנסותיה מגביית מסים.

זחילת שימושים כזו התרחשה גם עם מאגר הDNA המשטרתי. במקרה מעניין שנדון לאחרונה על ידי בית המשפט העליון עלתה שאלה הנוגעת להרשעות על סמך ראיות DNA: הסיפור היה פשוט, במסגרת חקירת רצח מסוימת, התבקש אדם לתת דגימת DNA מתוך הסכמה עם המשטרה שהראיה תשמש אך ורק לצורך חקירת הרצח; לאחר שהדגימה הגיעה למעבדה, מצאה אחת השוטרות כי הדגימה תואמת לדגימה אחרת שנמצאה בזירת אונס, על סמך ראיות אלה, הורשע האנס. בית המשפט העליון פסל את הראיה משימוש (עפ 4988/08 איתן פרחי נ' מדינת ישראל) אך הותיר את ההרשעה על כנה.

כאן המקרה היה מעניין ביותר: חוקרת המשטרה אמרה שלא היתה "הצלבה" בין מאגרי המידע, אלא שהיא בעצמה זכרה את אלל הDNA וביצעה את ההצלבה בראשה. אכן, המקרה הזה הוא מקרה בו אנס יושב מאחורי סורג ובריח, אך מעניין לדעת כמה 'הצלבות בראש' נערכות עם מידע אחר שנמסר למשטרה, וזו אומרת שלא תעשה בו שימושים לרעה.

4.
הסוג הרביעי של דליפה הוא פרצת האבטחה; במקרה כזה לא נמכר מידע בזדון, או סתם תוך מניעים כלכליים אלא פשוט המידע לא מוגן טוב מספיק ואדם בעל כישורים מסוימים יכול להשתמש בו. דוגמאות לנושא זה ניתן למצוא ברשת למכביר, אבל דומה שהותרתן של תעודות פטירה ברחוב על ידי בתי חולים, או זריקה של גליונות ציונים ברחוב הם רק קצה הקרחון של הרשלנות בהגנה על מידע פרטי. שני המקרים התרחשו באוקטובר 2009, חודשיים לפני שחוק המאגר הביומטרי התקבל בכנסת, ועדיין הם לא העידו למחוקק על הסכנות בדליפה של מידע או בחוסר היכולת להגן עליו.

מקרה נוסף שהתרחש בחודש יולי 2008 היה פרצת אבטחה באתר בית החולים איכילוב שאפשרה צפיה בפרטים רפואיים של כל מטופל; במקרה אחר, חודש לאחר מכן, פרצת אבטחה באתר האינטרנט של שאול מופז אפשרה לכל אחד לצפות בספר המתפקדים של מפלגת קדימה.

סוג זה של דליפה, שנקרא פרצת אבטחה הוא שונה לגמרי: הוא לא נובע מזדון, אלא מתכנון לקוי. בדרך כלל הוא גם לא ניתן למניעה; גם תכנון טוב אינו חסין לפרצות אבטחה; לאחרונה הציעה גוגל מיליון דולר למי שיצליח למצוא פרצות אבטחה בדפדפן האינטרנט כרום. המטרה כמובן היתה להראות כמה הדפדפן בטוח, אך לא עברו מספר דקות מאז שהחלה התחרות ועד שהצליחו האקרים, עם מיליון דולר של מוטיבציה בכיס, למצוא פרצה.

5.
הסוג החמישי של דליפה הוא אבדן מידע; כאן מדובר על מצב בו מידע שאינו מוגן מוצא מתוך מאגר המידע למטרה מסוימת, אך הולך לאיבוד בדרך. כך, לדוגמא, בשנת 2005 הלך לאיבוד כונן USB עם מידע רפואי של 120,000 חולים בהוואי, ב2006 הלך לאיבוד כונן USB עם מידע צבאי רגיש, ב2010 כונן נייד עם מידע על מבוטחים רפואיים הלך לאיבוד ובאוגוסט 2011 חברה שנשכרה לצורך בקרה על בדיקת הגנת הפרטיות איבדה מידע רגיש על 4,500 חולים.

אכן, אבדן מידע הוא משהו שמתרחש לעיתים תכופות כאשר מידע מוצא על התקנים ניידים, ובמיוחד כאשר הוא לא מוצפן. כאן אין כוונה זדונית, אלא רשלנות גרידא וחוסר טיפול במידע.

6.
עכשיו, כשהבנו את חמשת סוגי הדליפות, אני רוצה להכנס לסוגיית המאגר הביומטרי ולשאול האם אפשר באמת לומר שהוא יהיה מאובטח. בתהליך החקיקה ניסו לא אחת לטעון שהמאגר עצמו יהיה מוגן וינקטו בו את כל האמצעים על מנת להגן עליו מדליפה. אלא, שההגדרה של דליפה תמיד הוצגה רק כסוג הקלאסי של דליפה: הגעה של המאגר לאינטרנט בצורה מלאה. בשום מקום לא ניסו להסביר איך יוגן המאגר מפני שימוש לרעה של אלה שקיבלו את הסמכות להשתמש בו (כזכור, כל שוטר יוכל לגשת למאגר).

גם אם נקח בתור הנחה שתערך בקרת גישה ויתועד כל מקרה בו עובד של המאגר יגש למידע, עדיין ישנם מספר כשלים עיקריים: הראשון הוא בכך שגישה, כאמור, היא גם כתיבה וגם קריאה במאגר. נכון להיום מנסים למכור לנו את הטענה שהמאגר הביומטרי יגן עלינו מפני גניבת זהויות וזיוף של תעודות זהות, אלא שכל פקיד במשרד הפנים יוכל להכניס זהות למאגר.

כלומר, המאגר יהיה מאובטח ברמה 11, הוא יוגן על ידי האמצעים הטובים ביותר בשוק, אבל עדיין: יש לו נקודת כשל אחת: כל פקיד במשרד הפנים שרוצה להכניס את בן הדוד שלו ששילם מספר שקלים בזהות בדויה יוכל לעשות זאת, כי על תהליך הכניסה הראשון למאגר אין ביקורת.

כלומר, דליפה מהסוג השני, מתחייבת להתרחש: או על ידי שוטר שמקבל משכורת נמוכה שישוחד על מנת להעביר מידע לגורמי פשע, או על ידי פקיד משרד הפנים שישוחד כדי להכניס זהויות בדויות למאגר. הנקודה החלשה, של הדליפה מהסוג השני, אינה מטופלת בארכיטקטורה של המאגר.

7.
שלא יהיה ספק, המאגר ידלוף בכל דרך אפשרית: כל אחת מחמש הדרכים תתרחש לאורך זמן ארוך מספיק. הסכנה לכך תהיה משמעותית כיוון שלא יהיה ניתן להשתמש יותר בזיהוי ביומטרי כלל וכלל, כשם שכיום אי אפשר להשתמש במספר הזהות שלנו כאמצעי זיהוי מול גורמים אחרים. אלא, שעד שהמאגר ידלוף במלואו ויגיע לאינטרנט יגרמו לנו הרבה נזקים בדרך כי אנחנו נסתמך על המאגר: אנחנו נאמין שהמידע הביומטרי שלנו מאובטח, ושאף אחד לא עושה בו שימוש, כשבפועל מה שיקרה הוא שימוש לרעה, התחזות וניצול.

[פורסם במקור ב'ארץ אחרת']

מפעם לפעם עולה ההצעה להעביר את סמכויות השיטור, בחלק מהעבירות לפחות, לידי הרשויות המקומיות הנבחרות. בין ההצעות הרגילות היו לתת לפקחים העירוניים סמכויות מעצר; אבל כל פעם עולה הצעה אחרת. אני, אישית ואידיאולוגית, חושב שההצעה היא בעייתית, אבל מה שקרה לאחרונה בטבריה מדגים בדיוק את הבעיה: החלטות על חקירות שמונעות משיקולי פוליטיקה מקומית יביאו ללא יותר מדיקטטורה מוניציפלית.

לפני מספר שבועות פורסם ב'הארץ' סיפור מעניין: פעיל חברתי נעצר לאחר שפרסם בפייסבוק תמונה של ראש עיריית טבריה, מר זוהר עובד (שכנגדו יש כתב אישום) יושב בבית קפה. החשד היה, כמובן, שהצילום הוא הטרדה. השבוע, שוב מפרסם 'הארץ', פעילים אחרים בטבריה נעצרו לאחר שכתבו סטטוס בפייסבוק; האחד כתב כי בקרוב ראש העיר ימצא בבית הכלא והשני כתב כי לכל כלב מגיע יומו; שתי התבטאויות מדאיגות פוליטית, אך לא פליליות או מאיימות. המשטרה, בתגובה, עצרה אותם ונטלה את טביעות אצבעותיהם (לפי 'הארץ'). כמו כן, המשטרה ביקשה לאסור עליהם לפרסם דבר נגד ראש העיר במשך 15 ימים.

הפתרון הפבלובי של המשטרה, לאסור על פרסומים באינטרנט כתנאי לשחרור ממעצר היא לא יותר ממדאיגה (וטורו של עוזי בנזימן בנוגע לפרשת 'בחדרי חרדים' מדגים זאת). אבל הדאגה השניה היא כזו: מדוע, לעזאזל, השקיעה המשטרה מאות שקלים באיסוף טביעת אצבע ממי שנחשד כי כתב סטטוס בפייסבוק? האם זו עומדת להקים מאגר ביומטרי של בלוגרים וכותבי סטטוסים רק כדי להתריע אותם ולהשפילם?

להזכירכם, על פי חוק סדר הדין הפלילי (סמכויות אכיפה – חיפוש בגוף ונטילת אמצעי זיהוי) למשטרה אכן יש סמכות לטול טביעות אצבע ולאחסן אותן במאגר שלה; המאגר הזה, שאינו קשור במיוחד למאגר הביומטרי, נועד לסייע לה בזיהוי חשודים. אלא, שהתגובה האוטומטית, של נטילת טביעות אצבע מכל מי שנחקר אי פעם. אלא, שלפי סעיף 11כב יש גם על המשטרה חובה למחוק את הנתונים האלה אם 'תתקבל החלטה' שלא להעמיד אדם לדין; כלומר, כל עוד המשטרה ממסמסת את ההחלטה הזו, היא תוכל לשמור טביעות אצבע של אדם שכתב סטטוס בפייסבוק, רק על כך, ולעשות שימוש במידע הזה.

האיומים המרומזים של המשטרה כאן, לפיהן אדם שנחשד חותם על התחייבויות שלעולם לא יעברו ביקורת שיפוטית, על מנת להשתחרר לביתו, כאשר ידוע לכולם כי לא יוגש לעולם כתב אישום, היא בדיוק השחיתות המוסדית ממנה צריך להרחיק את ראשי הערים. אלה, מראש, כבר מעורבים דיו בחשדות לפלילים, והעובדה שהם יוכלו להשתמש במשטרה כשוט על מנת להרתיע אנשים מלפעול נגדם היא מדאיגה עוד יותר. אבל זו בעיה ראשונה, הבעיה השניה בכפיפות הזו היא החשש מהפגיעה בחירות הביטוי.

הסכנה האמיתית היא האיום הלא מרומז של "תכנסו כבר עכשיו למאגר של פושעים"; הרי המצאות ברשימה של נחקרים, חשודים ונאשמים, השפלה, מעצר וכל הפעילויות האלה אינן נורמטיביות, הן נושאות קלון חברתי והן משפילות. האיום של המשטרה, שלפעילות פוליטית יש מחיר של קלון והשפלה, כמו גם המצאות ברשימה של חשודים מיידיים לכל עבירה, היא הסכנה. הרי, אם יקרה משהו לראש עיריית טבריה אותם כותבי סטטוסים יהיו הראשונים בחקירה, אפילו שהם בסך הכל הביעו מחאה בצורה פומבית ולגיטימית. ומי יודע, במדינה בה אחוזי ההרשעה הם כמעט מאה אחוזים, אני לא רואה דרך להתחמק ממאסר.

[ב26.12.2011 יערך ערב 12 דקות מספר 4 בו ידברו רבים וטובים כולל עפרה ריזנפלד, שרית בן שמחון, נועה מנהיים, שי פוקס, ארנה קזין ואנוכי. אני ארצה על גניבת זהות. כאן תוכלו למצוא את הטקסט של ההרצאה (והמצגת), אבל אני אשמח אם תגיעו בכל מקרה; בפני קוראי הבלוג הקבועים אני מתנצל מראש על השטחיות של הפוסט]

0.
מי גנב את הזהות שלי? אולי התרחיש הנוראי ביותר שאדם יכול לעבור בימים אלה הוא גניבת זהות, באחד-עשרה הדקות וחמישים השניות הקרובות [בהן אדבר כמאה מילים לדקה, לא יותר] אדבר על הסוגיה של מה זה בכלל גניבת זהות, כיצד מבצעים את זה, איך אפשר להמנע מזה ואיך אפשר לקבל את הזהות שלך בחזרה. אז אני אתחיל בהסבר קצר, הדרך שבה אנחנו מזדהים היום כלפי אנשים אחרים היא לא פורמאלית במיוחד. לדוגמא, אתם לא ביקשתם לראות את תעודת הזהות שלי, לא ביקשתם לשאול האם אני יהונתן קלינגר ומה מקצועי, נכון? אנחנו מזדהים אחד מול השני באמצעות עוגנים; אחד מהם הוא תעודת הזהות שלנו, אבל יש עוד דרכים שאנחנו מזדהים. מול הבנק שלנו, אנחנו מזדהים עם כרטיס אשראי, מול ספקית הדואר האלקטרוני שלנו אנחנו מזדהים בשם משתמש וססמא ומול חברים, כשאנחנו מתקשרים, אנחנו מזדהים עם מספר הטלפון שלנו.

1.
מה היא גניבת זהות? גניבת זהות, בסופו של דבר, היא מצב שבו אנחנו משיגים שליטה על אחד מהאמצעים בו אנחנו מזדהים מול העולם ומשתמשים בו כדי לבצע פעולות ולייצר נכסים והתחייבויות שמבוססים על השליטה הזו. לדוגמא, "סתם גניבה" של כרטיס האשראי היא לא גניבת זהות, אבל מצב שבו אני גונב למישהו את כרטיס האשראי שלו, נרשם לספקית אינטרנט עם שמו ועם כרטיס האשראי שלו ואז מוריד פורנוגרפית קטינים, כך שאם יתפסו מישהו וישאלו את ספקית האינטרנט מי העבריין, הם יתנו את הפרטים של הקרבן, ולא שלי.

2.
גניבת זהות בעולם האמיתי; אז בוא נדבר לרגע על מהי גניבת זהות בעולם האמיתי: בעולם האמיתי גונבים לנו את הזהות לא אחת למטרות פיננסיות, בעיקר העברה של נכסים. אם מישהו מצליח לזייף, לדוגמא, את תעודת הזהות שלכם, הוא יכול לגשת לטאבו ולהעביר על שמו את בית המגורים שלכם, הוא יכול גם לפתוח חשבון בנק על שמכם ולקחת משכנתא על אותו בית מגורים ולקחת את הכסף, לגנוב אותו באלגנטיות החוצה, ובמקום להחזיר להעלם. במצב כזה, אתם נותרים עם חוב לבנק של מאות אלפי שקלים ובלי הבית שלכם. אבל זה המצב הקיצוני, כאמור.

3.
גניבת זהות בעולם הוירטואלי; בעולם הוירטואלי גניבת זהות הרבה יותר פשוטה, בין היתר כי הרבה יותר קל להתחזות. אני אתן דוגמא, כשאתם נרשמים לפייסבוק, באמת מוודאים כתובת דואר אלקטרוני כדי לדעת שאתם לא ספאמרים, אבל האם מוודאים שהתמונה המחמיאה שהעלתם והשם שהזנתם באמת שלכם? לא ממש. כלומר, כל אחד יכול למצוא תמונה שלי באינטרנט ולפתוח חשבון בפייסבוק על שמי, ואז לפנות לאנשים ולומר שזה אני, נכון? אוקי, ואז מה? אז הוא יכול להתחיל לבצע פעולות בשמי ולייצר התחייבויות אחרות, גם לא פיננסיות. אם הוא רוצה גם להשתלט על חשבון שלי, הוא יכול לעשות זאת בצורה קלה יחסית מכאן.

4.
דוגמאות לדרכים לגניבת זהות; אז בואו נסביר רגע איך עושים את זה, ונפריד את האינטרנט מהעולם האמיתי למרות שאין באמת הבדל. אבל חשוב לי להבהיר, אנחנו לא מדברים על רשימה סופית של כל מקרי גניבת הזהות, יש הרבה דרכים הרבה יותר זדוניות והרבה פחות חוקיות שלא מתוארות כאן.

4.1
עולם אמיתי: בעולם האמיתי קל מאוד לגנוב את הזהות של האדם בגלל האמון והבטחון היחסי שיש לנו שאף אחד לא מצותת לנו ולא מחטט לנו בדברים. אנחנו כולנו זורקים לזבל קבלות וחשבונות ישנים, ולא מבינים שבפרטים האלה יש לא מעט פרטים שיכולים לזהות אותנו. לדוגמא, בחשבון כרטיס האשראי יכולות להופיע ארבע הספרות האחרונות של כרטיס האשראי (שזה, לדוגמא, מה שדורשים ממך בחברת הטלפון כדי להזדהות, ומספיק כדי לקנות עוד קו אם אתה לקוח קיים או לבקש לנייד את הטלפון), אבל בקבלות שחלק מבתי העסק מדפיסים יש גם מספר כרטיס אשראי מלא; אבל כרטיס אשראי זה רק אחד: אנחנו פולטים כל יום לא מעט מידע, החל מזה שאנחנו נותנים בטלפון את מספר כרטיס האשראי שלנו לבחור שאנחנו מזמינים ממנו פיצה, וגם את מספר הזהות והכתובת (ומי מונע ממנו אחר כך להתקשר להוט ולהזמין ממיר, חבילת VOD וטלפון קווי הביתה עם המידע הזה?) ועד לזרוק לזבל מידע על מתי קיבלנו זימון לתורים בקופת חולים או מידע על ציונים בבתי ספר.

אל תשכחו שבישראל מרשם התושבים בכלל דלף לאינטרנט, כך שמספר הזהות שלכם, הכתובת שלכם ועוד מופיעים במאגרים שנחשבים פומביים וכל אדם יכול לגשת אליהם. כלומר, רוב המידע שדרוש לגנוב את הזהות שלכם כבר באינטרנט. בקרוב, כמובן, גם המידע הביומטרי שלכם יהפוך להיות דרך לזהות אתכם בדיוק כמו כרטיס האשראי, וכל אדם שיקבל גישה לטביעת האצבע שלכם יוכל גם לזהות אתכם.

דרך נוספת ופופולרית היא לכייס אדם, לגנוב את כרטיס האשראי שלו ואז להתקשר אליו ולומר לו שמדברים ממחלקת האבטחה של הבנק; לומר שאתם חושדים שהארנק שלו נגנב (הוא יבדוק ויגלה שזה נכון) ולבקש ממנו לאמת את זה על ידי כך שהוא יתן לכם את המספר הסודי של כרטיס האשראי (זה נחוץ כדי לרוקן לו את חשבון הבנק, בסופו של דבר).

4.2
אינטרנט: טוב, אז אם לגנוב את הפרטים בצורה מוחשית לא היה מפחיד מספיק, נדבר לרגע על האינטרנט. באינטרנט הרבה יותר קל לגנוב את הזהות באמצעות סוג הונאה שנקרא Phishing, פישינג, או דיוג, הוא מצב שבו מישהו מתחזה לאדם אחר וגורם לך לתת לו מידע סודי באמצעות ההתחזות הזו. בדוגמא שאני מציג כאן, לדוגמא, אני שולח למישהו קישור לעמוד שאני טוען שאפשר לראות בו את משה קצב מתאבד או נותן לו דרך לראות את רוני דואני בעירום (אבל זה עובד גם עם בר רפאלי בעירום); החבר לוחץ על הקישור ורואה שהוא צריך לתת את שם המשתמש והססמא לפייסבוק. אלא, שלמרות שהאתר שמציג את המידע אינו פייסבוק בכלל, אני שומר את המידע שהוא הכניס אצלי בשרת, והולך עם החשבון שלו. עכשיו, אם השתלטתי לו על החשבון, אני יכול לבצע כל מיני פעולות (ופייסבוק היא רק דוגמא אחת, אני יכול להשלט לו על חשבון הבנק, חשבון PayPal או דואר אלקטרוני). [עוד על הנושא בפוסט מקיף של ים מסיקה].

כאן הגולש התמים מגיע לעמוד:

עכשיו, הוא מתבקש לעשות לייק על העמוד כדי להראות רצינות:

כעת, הוא מגיע לעמוד שנראה כמו עמוד הכניסה לפייסבוק. הגולש התמים חושב שהוא נזרק פשוט בטעות מפייסבוק, אבל בעצם מדובר באתר מתחזה. הדרך לראות זאת היא להסתכל בשורת הכתובת של הדפדפן:

עכשיו, הוא נתן לי את הפרטים וקיבלתי את השליטה בחשבון הזה ואני יכול לבצע איתו פעולות. לדוגמא, אני יכול לשלוח את אותו הקישור לכל אחד מהחברים שלו ולקבל את המידע הזה, או שאני יכול גם לבצע פעולות עם החשבון כמו להצביע בסקרים או להעביר את כל האסימונים בפוקר.

אבל זה לא מספיק, כי זה בסך הכל אסימונים או סקרים; מה עם כסף? וובכן, אני יכול גם לדלות מידע מהחשבון ולסחוט את בעל החשבון. אני יכול לבקש ממנו לא מעט כסף על מנת להשיב את החשבון שלו, או להודיע לו שאם הוא לא ישלם לי סכום לא מבוטל אני אשלח לאשתו את ההודעות שהוא שלח לבחורה שלמדה איתו בתיכון.

5.
מה אפשר לעשות? אז מה אפשר לעשות בשביל להמנע מגניבת זהות? הדבר הראשון הוא לא לאפשר לשום גורם להיות מי ששולט בזהות שלך; כלומר, שכרטיס האשראי שלך לא יספיק כדי לזהות אותך, כלומר להחזיק שני כרטיסי אשראי, אחד לגורמים רציניים ואחד לעסקאות חד-פעמיות או אינטרנטיות. במצב כזה, גם אם אדם מקבל את המספר (דוגמאת שליח הפיצה) הוא לא יכול לעשות יותר מדי. מה עוד? לא לתת פרטים לאנשים שמתקשרים ומזדהים בתור נציגי שירות של חברות, גם אם אתה בקשר עסקי איתם, כל עוד לא ביקשת שהם יתקשרו. כלומר, אם יתקשרו מ"סלקום" ויגידו שיש להם מבצע מיוחד ללקוחות עסקיים, הם באותה המידה יכולים להיות גנב זהות שיקח את המידע הזה וישתמש בו כדי לקנות טלפונים, ולא להיות סלקום. העובדה שאדם ברחוב לבוש במדים של סלקום לא נותן לו הצדקה, בסופו של דבר, להחזיק את כרטיס האשראי שלכם.
באינטרנט צריך תמיד לבדוק באיזה אתרים אתה גולש, ואם אתה רואה עמוד שדורש ממך פרטי התחברות, כדאי מאוד לבדוק האם החיבור מאובטח (https) או לא, ואם כן, האם אתה גולש בעמוד הנכון.

חוץ מזה, לא לתת פרטים לזרים, אף פעם, כמובן.

0. אבסטרקט
[ביום רביעי הקרוב אני ארצה כחלק מקבוצת המחקר של LiSS בכנס באוניברסיטת חיפה. זו ההרצאה שלי]. מאז 2003 ועד היום, ממשלת ישראל עבדה קשות על מנת לחוקק את חוק המאגר הביומטרי והצוים והתקנות לפיו. אולם, המאגר הביומטרי שיוקם הוא לא המאגר הביומטרי היחיד בישראל ולא יהיה המאגר היחיד שלרשויות שלטוניות יש גישה אליו. בהרצאתי הקצרה, אני אציג גישה שונה, ואשאל האם חוק המאגר באמת היה נחוץ ומה הסיבה לבחירה באקט תחיקתי כאשר הקימו את המאגר. בעת שאעשה כן, אבחן האם החוק דרוש כיוון שהאמנה החברתית נשברה או כיוון שזה היה אקט מגלומני מתוך רצון לעצור כל גישה אלטרנטיבית למאגר.

1. חוקי מאגרי מידע, פרטיות.
ראשית, אנחנו צריכים להבין כיצד מאגרי מידע ממשלתיים עובדים. נסתכל על חוק הגנת הפרטיות ונבין שזה חל גם על הסקטור הציבורי ולא רק על הפרטי; מעבר לכך, סעיף 23ד לחוק מאפשר לכל אדם את הזכות לדעת, בעת שהוא מוסר מידע לרשויות, מה השימושים שיעשו עם המידע וסעיף 23ג מאפשר לרשויות שלטוניות את העברת המידע בין רשות אחת לאחרת בעת שהדבר נחוץ על פי חוק או לצורך מילוי פעילותו של אותו הגוף. לבינתיים, אם זה היה רצון המחוקק, היה הוא יכול להקים מאגר מידע ולהפעיל אותו בהתאם לחוק הגנת הפרטיות, אך הוא לא היה יכול לחייב את האזרחים לתת את פרטיהם הביומטריים.

אז מה כן היה יכול המחוקק לעשות? הוא היה יכול לשנות את חוק מרשם האוכלוסין. חוק מרשם האוכלוסין הוא חוק שמסדיר את ניהול המרשם הישראלי (שכמו שראינו כבר,הודלף בעבר לאינטרנט); סעיף 2 לחוק הוא סעיף טכני לחלוטין, שכותב מהם השדות במסד הנתונים שירשמו, ואותם יש חובה לספק. במצב כזה, תיקון של החוק שיוסיף את סעיף "טביעת האצבע" היה יכול לטפל בבעיה, ללא כל תיקון חקיקה נוראי וארוך.

אולם, המחוקק הישראלי החליט להעביר חוק בן 30 עמודים, שמתאר לפרטי-פרטים את השימושים במידע. בכדי להבין מדוע, הבה נצייר כיצד מאגרים אחרים עובדים.

2. מאגרים ממשלתיים וחקיקה.
ראשית הבה נראה מהם המאגרים שחוקקו ומה לא; מאיר שטרית, יזם המאגר הביומטרי אמר בזמנו שבישראל יש מספיק מאגרים ביומטריים“. אולם, אם נבחן את הטענה שלו נמצא פרספקטיבה אחרת, כזו שאומרת מי נדרש ומתי נדרש אדם לספק את המידע הפרטי שלו בצורה רצונית למאגר המידע.

מהם בעצם המאגרים שהוסדרו בחקיקה? ראשית, יש לנו את חוק איסור הלבנת הון שהקים מאגר רגיש במיוחד, לאחריו יש את חוק מרשם האוכלוסין שלא הקים מאגר, אבל הרשה את איסוף המידע, מאגר הDNA המשטרתי (חוק סדר הדין הפלילי (סמכויות אכיפה – חיפוש בגוף החשוד)), והמרשם הפלילי (חוק המרשם הפלילי ותקנות השבים).

מנגד, יש לא מעט מאגרי מידע שמכילים מידע רגיש ואישי כמו המאגרים הסטטוטוריים, לרבות מאגר העובדים הזרים, מאגר בעלי רשיונות הנהיגה שלטענת משרד התחבורה, למרות שמכיל מידע ביומטרי אינו מאגר ביומטרי, ומעבר לכך, משרד התחבורה מעביר את המידע הזה למשרד הפנים), יש גם את מאגר המובטלים של לשכת התעסוקה, שמכיל מידע על טביעות אצבע ולסיום יש את מאגר המידע של משרד התחבורה בנוגע לשימוש בכרטיסי רב-קו והאזרחים המחזיקים אותם.

3. אז מדוע מחוקקים מאגרי מידע?
אנו יכולים לראות שלמרות שמספר מאגרים חוקקו בגלל הטבע הרגיש שלהם (נניח, הלבנת הון), אין הבדל מהותי בין רגישות המידע במאגרים מחוקקים ללא-מחוקקים; אין הבדל משמעותי בין המידע הפיננסי (הלבנת הון) לבין פרטים ביומטריים של עובד זר. אנחנו יכולים גם לומר שהחקיקה לא הגיעה בגלל הטבע הלא-וולונטרי של המידע; לאדם אין את הבחירה החופשית להיות מובטל או לא לנסוע הן ברכב והן בתחבורה ציבורית. אף אחד מהמאגרים הלא-מחוקקים אינו בהכרח וולונטרי, הם פשוט פונים לצרכים ספציפיים שמעמידים את האדם ה"מסכים" בפינה קשה ודורשים מהם לתת את הפרטים האישיים שלהם מעמדת נחיתות: האדם הוא מובטל, או שהוא מחפש עבודה בישראל, או שהוא רוצה לנסוע בישראל ברכב או באוטובוס. כל אלה הן פעולות בסיסיות שאדם לא יכול להסתדר בלעדיהן.

4. מדוע חקיקה?
כעת, נצא מהנחה תיאורטית שההקמה של המאגר הביומטרי היתה יכולה להעשות תוך חקיקה קצרה יותר. היתה אפשרות רק לשנות את חוק הדרכונים, מתוך הנחה שלרוב הישראלים יש דרכון, ולהחזיק את המידע הביומטרי ש"דרוש" לצורך הוצאת הדרכון; הממשל היה יכול גם ללכת באותה בדרך שמשרד התחבורה הלך, ולדרוש את מתן טביעות האצבע ואחסנתם. אלא, שהבחירה לחוקק את המאגר התקיימה, ומדוע?

הסיפור האמיתי הוא חוק הגנת הפרטיות, אבל לא הדרישה למתן "הסכמה מדעת" לפגיעה בפרטיות או הסעיף שדורש ליידע את האדם על זכויותיו, אלא בגלל סעיף 23ג. הבה נבחן את הסעיף:

ג. מסירת המידע מותרת, על אף האמור בסעיף 23ב, אם לא נאסרה בחיקוק או בעקרונות של אתיקה מקצועית –
(1) בין גופים ציבוריים, אם נתקיים אחד מאלה:
(א) מסירת המידע היא במסגרת הסמכויות או התפקידים של מוסר המידע והיא דרושה למטרת ביצוע חיקוק או למטרה במסגרת הסמכויות או התפקידים של מוסר המידע או מקבלו;
(ב) מסירת המידע היא לגוף ציבורי הרשאי לדרוש אותו מידע על פי דין מכל מקור אחר;
(2) מגוף ציבורי למשרד ממשלתי או למוסד מדינה אחר, או בין משרדים או מוסדות כאמור, אם מסירת המידע דרושה למטרת ביצוע כל חיקוק או למטרה במסגרת הסמכויות או התפקידים של מוסר המידע או מקבלו;
אולם לא יימסר מידע כאמור שניתן בתנאי שלא יימסר לאחר.

וובכן, צריך לקרוא את הסעיף בזהירות, למרות שלכאורה מדובר על היתר גורף למתן המידע. יכול היה לקום מאגר מידע ביומטרי כלל ארצי, אבל במצב כזה למשטרה (ולשאר כוחות הבטחון) לא היתה יכולה להנתן הגישה למידע. מדוע? בהתחשב בכך שסעיפים 23ג(א)(1) ו23ג(א)(2) לא מאשרים את זה. החוק אומר במפורשות שלמשטרה תהיה הסמכות לדרוש את המידע במקור. אולם, המשטרה לא רשאית להכריח אדם לתת את פרטיו הביומטריים סתם כך ולהקים מאגרים, ומשרד הפנים לא היה מוסמך בחוק להעביר מידע כזה למשטרה.

כלומר, בניגוד למאגרים אחרים, ניוד המידע והניתוק בינו לבין הסיבה לאיסופו היא מה שהביא לצורך האמיתי בחקיקה.

5. פסילת גורמים אחרים.
כעת, אנו יכולים לתהות האם זו באמת הסיבה; האם יש יד נעלמה שדרשה זו. הסיבה היחידה להסביר חקיקה באורך 30 עמודים היא לבחון את החלופות שעמדו מול הממשלה: הממשלה דחתה את הצעת עדי שמיר, להקים מאגר מידע לא מזהה ואת הבחירה להמנע מלאחסן הן את טביעות האצבע והן את תמונות הפנים שלו (כאשר בבירור נאמר על ידי משרד הפנים שהם אינם זקוקים הן לצילום פנים והן לטביעת אצבע,על ידי יורם אורן שהבהיר שניתן להשיג מאגר אמין גם ללא שתיהן). כלומר, למחוקק עמדו לפחות שתי אלטרנטיבות שלא סתדרו את הגישה למאגר שמונע הרכשה כפולה ולא מכיל מידע כל כך רגיש, אבל הוא בחר לדחות זאת.

פסילת האפשרות של ניהול המאגר ללא חקיקה יכולה להיות חלק מהדיון אחר כך כאשר ידון חוקתיות החוק בבתי המשפט, אבל זה לא העקרון. הבחירה בין חקיקה לבין בניית ארכיטקטורה אחרת מובאת אך ורק כדי לאפשר את המעקב, וזה העקרון.

6. סיכום
אנו יודע שהמחוקק יכל היה לבחור לא לחוקק מאגר (או להקים אותו מבלי לחוקק), ושהוא היה יכול להקים את המאגר מהר יותר, ללא כל פיילון ואף לכפות אותו על האזרחים. אך במצב כזה, המשטרה וגורמי אבטחה אחרים לא היו יכולים לקבל גישה למאגר. לכן, ההסתכלות על החקיקה חייבת להעשות דרך המשקפת הזו: של מטרת החוק והיא הקמת מאגר משטרתי של כל אזרחי ישראל.

[פורסם במקור באנגלית]

לפני מספר חודשים פרץ לתודעה הישראלית מחזה חדש מבית היוצר של רועי צ'יקי ארד ויונתן לוי, הז'אנר התיאטרלי של ארד ולוי היה מיוחד: לראשונה, הם לקחו פרוטוקול של ועדת כנסת והפכו אותו למחזה, "אנרגיות טובות" שמו. רק על ידי צפיה במחזה מגלה אזרח ישראלי שחקיקה אינה בהכרח תהליך שהציבור רוצה להיות מעורב בו וכאשר קוראים את טקסט המחזה מגיעים להבנה שישראל היא מדינה שכובשת עצמה בתוך האבסורד.

דווקא בתוך החלל שנוצר, שוחרר בשבוע שעבר פרוטוקול של ועדת הפנים מיום 02.06.2011, אותה ועדה שהתכנסה ודנה באישור הפיילוט של המאגר הביומטרי. התהליך, שארך ארבע שעות בהן הכנסת נדרשה לשמוע את דעתם של מומחים על כיצד יש להקים מאגר ביומטרי ועל כיצד יש לבחון את הצלחתו, תועד בוידאו כולו ועשרות אלפי אזרחים צפו בו בדאגה. אלא, שקריאה של הטקסט נותנת לנו פרספקטיבה על כמה אבסורדי הולך להיות המאגר הביומטרי אם זו רמתם של מקבלי ההחלטות שמאשרים אותו.

לצורך ההבנה: בחודש דצבמר 2009 התקבל חוק המאגר הביומטרי; החוק הוא פשרה שהתקבלה בגלל לחץ ציבורי רב שקבעה כי תחל תקופת ניסוי של שנתיים שבמהלכה תבחן את אופן היישום של החוק, נחיצות המאגר, המידע שיש לשמור במאגר ואופן השימוש בו [סעיף 41 לחוק, זהירות: קובץ PDF]. אז, כיוון שהובטח לנו שבמהלך השנתיים בהן יערך הניסוי יבחן המחוקק את הנושאים האלה, שמתי פעמי לכנסת לפני כחודש לדיון. הקריאה של הפרוטוקול, היום, מאפשרת לנו לראות בדיוק כיצד המדינה, שמקבלת מאיתנו את המידע הרגיש ביותר שלנו: טביעות האצבע, הולכת להתייחס אליו. הציטוטים שמובאים כאן שונו במעט כדי לשמור על רצף לוגי, אבל משמעות הציטוט לא הוחלפה והם לא הוצאו מהקשרם.

אז קודם כל נשאל עצמנו כיצד מודדים את הצלחת הניסוי, כיוון שבתום אותם שנתיים אמורה הכנסת לבוא ולהקשיב לגורמים המקצועיים. וובכן, הצו שהתקבל לא הגדיר מדדים. כשעמדנו על כך בדיון, זה נשמע בערך כך:

יהונתן קלינגר: איפה מופיע בצו המדדים?
נעמה פלאי: —זה לא נכון יהיה לכתוב את זה בצו.
היו"ר מאיר שטרית: אפשר למחוק את הסעיף.
נעמה פלאי: אפשר למחוק.
היו"ר מאיר שטרית: ונגמר העניין.
יהונתן קלינגר: אבל אז אין לך מדדים להצלחה.

כלומר, הצו החשוב שאמור היה לבדוק כיצד אפשר להגדיר את ההצלחה במדדים שניתן לראות אם הניסוי הצליח לא ממש מכיל מדדים; אוקי, הכל היה בסדר, אבל באחד הרגעים התעקש אבנר פינצ'וק, נציג האגודה לזכויות האזרח, לוודא שהפיילוט באמת ישקף מדגם מייצג של האוכלוסיה בישראל, וזה מה שקרה:

אבנר פינצ'וק: אני רוצה שיוודאו שיש פה מדגם מייצג.
היו"ר מאיר שטרית: למה מדגם מייצג?
אבנר פינצ'וק: כי כל מחקר, אדוני—
היו"ר מאיר שטרית: עם כל הכבוד, זה לא מחקר. תסלח לי, זה לא מחקר ולא הולכים לעשות שום מחקרים, הולכים לעשות פיילוט וולונטרי למי שמעוניין להירשם במאגר הביומטרי ולקבל תעודה ביומטרית. זה הכל. זה לא מדגם מייצג, לא מחקרים—

אוקי, אז לא מדובר במחקר שאמור לבדוק את נחיצות העניין וגם לא את המדדים, אז לפחות בואו נצוק תוכן למשתנים המדעיים שאנחנו אמורים לא לבדוק ולא לפי מדדים: לרגע אחד ניסינו לדבר עם שטרית על בדיקת הנחיצות, וזה מה שיצא:

היו"ר מאיר שטרית: לא, החוק לא מטרתו לבחון את הנחיצות. החוק הוא להקים מאגר.

לבסוף, כשנסינו להכניס קצת מתודולוגיה מדעית פנימה, זה מה שיצא:

יהונתן קלינגר: כמו  כל ניסוי צריך לעשות גם קבוצת ביקורת וגם קבוצת מבחן ולכן צריך להגדיר את זה אולי גם פה איכשהו.
היו"ר מאיר שטרית: מה זה קבוצת ביקורת?

למרות שברור לנו מה החוק אומר, יושב ראש הועדה די היה סגור על עצמו שהוא לא חייב לערוך ניסוי:

היו"ר מאיר שטרית: הניסוי נועד לבחון את הפקת התעודות הביומטריות, לא אם לעשות מאגר או לא לעשות מאגר.

אז כפי שאנחנו רואים, ועדה בכנסת התכנסה לשמוע כיצד יש לערוך תכנית ניסוי ולפקח על הממשלה. במקום זה, קיבלנו הצהרה שלא מדובר בתכנית ניסוי, שאין קבוצת ביקורת ושאין מדדים להצלחה. כלומר, עוד שנתיים, כשיצטרכו לבדוק אם הפיילוט יצליח, לא ידעו איך לבדוק את זה.

[עד כאן פורסם במקור בטמקא] אז כיצד יפעל המאגר הביומטרי בתקופת הניסוי? אם נלך לפי התקנות והצו (שאגב, אין גרסא סופית שלהם אלא רק גרסאות בניסוח), תערך בחינה במשך שנתיים לפחות, שלאחריה ידרש אישור של שר הפנים, בהתייעצות עם שר המשפטים, לאחר שקיבל את המידע הרלוונטי לגבי הצלחת תקופת המבחן, לקבל את אישור הכנסת להחיל את הוראות החוק על כלל אזרחי ישראל (סעיף 41 לחוק). ומהן אותן הוראות לתקופת המבחן?

במהלך תקופת המבחן, מי שיחפוץ (כלומר אזרחי ישראל אשר דעתם נטרפה עליהם) יוכל לתת למשרד הפנים עותק מטביעות אצבעותיו אשר יכללו במאגר מידע מרכזי ויהיו נגישים לפקידי ממשלה נבחרים, וכן ישמרו על תעודה דיגיטלית שתנתן לאזרח. התעודה האלקטרונית, כמובן, נועדה על מנת להקטין את מספר הזיופים האפשרי, אך לאור נסיונות שהתרחשו לאחרונה, ספק אם כך יקרה באמת. לדוגמא, בשנת 2006 הצליחו מספר האקרים להעתיק את הדרכונים הביומטריים של האיחוד האירופי, ובשנת 2008 הצליחו האקרים אחרים לזייף דרכון ביומטרי בשמו של אלביס פרסלי.

הפיילוט עצמו יהווה בדיחה לא מצחיקה מסיבה אחרת לגמרי: הנתונים יורכשו פעם אחת במאגר, ביום אחד, על ידי בחירה של תמונה אחת אשר עומדת בהוראות התקנות הנוגדות לאיכות ((1) לפי עקרונות תקן ISO19794, פרק 5) אבל לא יבדקו באחזור. כלומר, בניגוד לחברות מסחריות כמו Face.com אשר מייצרים פרופיל על סמך מספר תמונות, כאן הפרופיל נוצר על סמך תמונה אחת באיכות טובה בלבד. כלומר, לא מבקשים מאותו אדם לבוא שבוע לאחר מכן לבדוק האם המידע מאפשר זיהוי שלו. בעיה זו, שחלה גם על טביעות האצבע וגם על צילומי הפנים, יכולה להיות ההסבר הראשון מדוע לדעתי יכשל המאגר הביומטרי: כיוון שאיכות המידע לא יאפשר אחזור: כאשר לא נוצר פרופיל איכותי מספיק (במיוחד בתמונות הפנים) הרי שהמידע לא יאפשר אחזור, זיהוי או אימות זהות ולכן לא יהיה טעם במידע זה.

לאחר מתן טביעת האצבע והתמונה, בפועל, נגמר הקשר של אותו אזרח עם מערכת פיילוט. אלא, שלמרות שמדובר בניסוי, הולכת להתקיים חובה ממשית של כל פקידי משרד הפנים לעודד אזרחים להצטרף לניסוי. למרות היתרונות הטכנולוגיים, ההצטרפות לניסוי היא מסוכנת בעידן בו מידע דולף חדשות לבקרים ובו מדינות מאבדות מידע רגיש של אזרחים כעניין שבשגרה.

על השאלה מדוע מאגר ביומטרי מסוכן למדינה אין צורך לדון שוב. בקצרה: המטרה המוצהרת של הקמת מאגר ביומטרי היא מניעה של זיופי תעודות זהות; אלא, שעל מנת למנוע זיופים אין צורך במאגר ביומטרי אלא די בתעודות זהות אלקטרוניות שהן כמעט בלתי ניתנות לזיוף טכנולוגיות. מעבר לכך, רשויות החוק הודו כבר כי הסיבה היחידה בגללה דרוש מאגר ביומטרי הוא כדי להעביר למשטרה טביעות אצבעות של אזרחי המדינה. כן, אנחנו מדברים על אותה משטרה שמשתמשת באלימות מופרזת כנגד מפגינים מימין ומשמאל, כנגד עובדים זרים, כנגד ערביי ישראל וכנגד פעילים חברתיים.

כמו כן, סיבה נוספת להתנגד לזיהוי ביומטרי ולמאגר הביומטרי היא כי מרגע שטביעת האצבע שלכם הופכת להיות פריט המידע שמזהה אתכם, הרי שכל מי שמקבל גישה למידע הזה יכול להתחזות לכם כלפי שאר הציבור; שימוש בטביעת אצבע כמערכת מזהה וכאמצעי זיהוי היא הבעיה הרעה ביותר של מערכת אימות זהות. מדובר באימות מבוסס מידע אחד של "Who You Are" שנדיף ונותר בכל מקום. המידע ניתן להעתקה בקלות וניתן לזיוף בקלות יותר מאשר כל מידע אחר.

אז אחרי שעברו את "מדוע לא צריך מאגר ביומטרי בשתי פסקאות או פחות", השאלה שעולה היא כיצד אתם, כאזרחים, יכולים להתנגד למאגר: קודם כל, חשוב שתבינו שהמדינה הולכת לנסות לשכנע אתכם בכל דרך אפשרית בשנים הקרובות לתת לה את טביעת האצבע שלכם; פקידי משרד הפנים מחוייבים, על פי צו המבחן, להציע לכם להצטרף למאגר. כן, בדיוק כשם שקופאית בסופר מחויבת על ידי המעביד החינני שלה להציע לכם להצטרף למועדון הלקוחות, כך גם הפקיד במשרד הפנים מחויב, בכל פעולה, להציע לכם להצטרף לניסוי.

בתקופת הניסוי, ברור, המאגר לא ידלוף. הוא לא ידלוף כי הוא לא יהיה משמעותי מספיק על מנת להחזיק מידע ששווה לגנוב מצד אחד וכיוון שהגישה בו תהיה מצומצמת (הצו קובע כי הוראות החוק המאפשרות גישה למשטרה, לדוגמא, לא יחולו). לכן, הגישה אליו תהיה הרבה יותר מוגבלת. בתום אותם שנתיים, לאחר שיוכלו פקידי הממשלה לבוא ולומר "המאגר לא דלף, הנה כל הפראנואידים טעו", רק אז יפתח המאגר ודלתותיו לעשרות אלפי עובדי מדינה, אשר יעשו בו שימוש חינני.

לצורך הבנת העניין, צריך לזכור שמבחינה אבטחתית, דליפה של המאגר כוללת כל שימוש לא מורשה בו או הגעה של מידע למי שאינו רשאי לעשות כן. במדינה כמו ישראל, בה כולם מכירים את כולם ובה חלק ניכר מעבירות המשמעת בשירות המדינה הן על העברת מידע שלא כדין, הרי שהסיכוי שהדבר יקרה הוא בלתי אפשרי. רק לשם ההבנה, על מנת לקבל תעודת זהות ביומטרית, יעברו כל המבקשים תהליך תשאול. בתהליך זה הם ישאלו לגבי מידע המאוחסן עליהם במחשבי המדינה. לעובדי משרד הפנים תהיה גישה לא רק לשאלות אלא גם למידע לצורך התשאול. כלומר, כל עובדי משרד הפנים, על מנת להקים את המאגר הביומטרי, יקבלו גישה למידע לא פחות רגיש, שכולל כמעט כל פרט מידע שנמצא בידי המדינה.

לכן, לא צריך להיות מומחה אבטחה בכדי לקבל מידע רגיש על אדם, די בכך שקרוב משפחה של אותו אדם יהיה עובד במשרד הפנים וניתן לקבל מידע מכל מחשב ממשלתי. כעת, אם המאגר הביומטרי לא ידלוף, לא נורא, אבל מה הנזק אם המאגר הזה ידלוף? המאגר יכיל, לדוגמא, מידע כמו ציוני בגרות של אדם, קרובי משפחתו, דיווחים שלו לרשויות המס, אשפוזים בבתי חולים. בעצם, כספת דיגיטלית של מידע פרטי, שאין עליה הגבלות גישה, שכולה קמה לצורך הקמת מאגר מידע רגיש יותר.

על סידורי האבטחה למידע הזה, אגב, לא הסכימו לפרט בדיון בועדת הכנסת הנוגע אליהם:

היו"ר מאיר שטרית: תסלח לי אבל אתה טועה בעניין, מה לעשות? יש סידורי אבטחה סביב כל המידע.
יהונתן קלינגר: מה הם? איפה הם מופיעים פה?
היו"ר מאיר שטרית: הם לא מופיעים פה, הם לא צריכים להופיע פה, אנחנו לא דנים פה בסידורי אבטחה של משרד הפנים, עם כל הכבוד. אם יש לך שאלות לעניין, תפנה למשרד הפנים, תפנה לממשלה, תשאל אותם.

כלומר, מטרת התקנות לפחות לפי שטרית, לא היתה לדון בסידורי האבטחה. ואכן כן, התקנות לא דנות באבטחה או בדברים מסוג זה, הן דנות בתקנים לפיהם צריכה להיות איכות המידע הביומטרי ובדרכים לטפל בהרכשה של מידע. אלא, שאותם תקנים ודרכים לא מאפשרים לציבור בכלל להבין כיצד נערכת כאן בחינה.

אחד ממדדי הניסוי הוא גם כמה אנשים לא הצטרפו למאגר מתוך כלל האנשים; האנשים האלה צריכים להיות אתם: החל מהאחד בנובמבר זו חובתכם האזרחית ללכת ללשכות משרד הפנים ולהוציא תעודות חדשות לא-ביומטריות, כדי שהסירוב שלכם לקבלת תעודה ביומטרית יספר וכדי שבעוד שנתיים כאשר המדינה תבחן את נחיצות המאגר היא תגלה שאף אחד לא רוצה אותו.

מעבר למדד הזה, לצערנו, אין שום דרך לבחון האם הניסוי הצליח. לא דליפה של המידע, לא פריצות אבטחה, לא שיקולים תקציביים, כל דבר אחר פשוט לא ישפיע על ההצלחה של הניסוי או לא לפי החוק היבש. ההתנגדות הציבורית היא הדרך היחידה, וכל מי שמבין מעט בנושא חייב להתנגד ולעבוד על מנת לסכל ככל יכולתו ובאמצעים חוקיים בלבד את המאגר.

פריצה למאגר, ככל שהיה תהיה אפשרית, אינה הדרך הנכונה לטפל בבעיה שלו, היא רק תייצר אנטגוניזם. עם כל הרצון הטוב של חלק מהפעילים, המאגר לא יפרץ בצורה שיהיה זמין ברשת בקובץ כמו מרשם האוכלוסין, המאגר יפרץ בצורה שמספר אנשים יוכלו לקבל גישה אליו על ידי מקורבים ועל ידי בעלי תפקידים מפוקפקים. הפריצה הזו מסוכנת פי כמה כי הם יקבלו גישה לגרסא שמתעדכנת תמידית ולא לקובץ ספציפי מתאריך ספציפי כמו מרשם התושבים.

אם תתנו את טביעות האצבע שלכם, שאתם עשויים למצוא את עצמכם בעוד שנתיים עם מאגר ביומטרי, שכמו כל מאגר מידע אחר של מדינת ישראל, הופך את הפרטיות שלנו להפקר מיום ליום.

[פורסם בגליון אוגוסט של Digital Whisper]

הערכת מרכז המחקר והמידע של הכנסת כי הקמת המאגר הביומטרי, לרבות כח האדם שלו, יועצים ורשיונות תוכנה לא תעלה יותר מחמישים מיליון ש"ח היא לא יותר מבדיחה, וחבל שמרכז המחקר והמידע של הכנסת בחר להסתמך רק על נתונים שסופקו לו על ידי משרד הפנים ולא טרח לערוך מחקר השוואתי על מנת לראות מה המצב במדינות העולם (כמו בריטניה, בה הוערך המאגר בחמישה וחצי מיליארד ליש"ט). מדינת ישראל, הרי, אינה מנוסה במיוחד בפתרונות מחשוב גרנדיוזיים; לשם הדוגמא, פרויקט מרכב"ה למחשוב משרדי הממשלה החל בהערכת עלויות של 375 מיליון ש"ח וכבר מזמן עבר את כפליים הסכום, במערכת נט-המשפט למחשוב בתי המשפט הושקעו כחצי מיליארד ש"ח וזו עדיין אינה מתפקדת כראוי ולמרות זאת חרגה בהיקפים גדולים מהתקציב המיועד, ואף מערכות צבאיות דומות ננטשו. ככלל, רוב פרויקטי המחשוב הממשלתי בישראל כשלו וחרג מהתקציב, והרבה פעמים מתכנון לקוי.

מנגד, עומדת הצעה אופטימית של משרד הפנים, לפיה במיליון ש"ח בלבד עבור הקמת מערך המחשוב הראשוני (ועוד כ-719,000 ש"ח עבור "תוכנת השוואה ביומטרית", כלומר משרד הפנים כבר בחר את התוכנה); בסכום זה לא יוכל משרד הפנים לתת את המאגר המאובטח ברמה 11 כפי שהבטיח לנו מאיר שטרית, אלא עדיף שישים כבר את הקבצים על שרת שיתופי בחוות השרתים של נטוויז'ן כדי שכל האקר וארגון טרור יוכל להעתיק את המאגר.

מדינת ישראל לא צריכה להיות שאננה. אכן, אני התנגדתי למאגר ביומטרי ועדיין מתנגד. אבל, אם מקימים מאגר כזה, יש לעשות זאת בצורה הטובה ביותר: אם נסתכל על כמות הגורמים שצריכים לקבל גישה למאגר הביומטרי: משרד הפנים, משרד החוץ, משטרת ישראל, שירותי הבטחון, מערך ההנפקה של תעודות הזהות ועוד כמה גורמים חשאיים, הרי שלא ניתן להקים מערך נפרד (כדירשות החוק), אשר יהיה מופרד מכל מערכת המחשוב, בבונקר מאובטח ומגובה, אשר מאפשר את חיפוש המידע והשימוש בו, בתקציב כזה.

דווקא אני, שהתנגד למאגר, מוכן להלחם בכל תוקף שזה יקבל את התקציב הראוי לו, כל עוד הוא מוקם. עם כל הכבוד, בחמישים מיליון שקל עדיף כבר למסור את טביעות האצבע שלנו ישר לחמאס.

[פורסם בTheMarkerIT]

צילומי האבטחה מדובאי בהם מוצגים מי שנטען שהינם סוכני מוסד באים במועד הרע ביותר, והמאוחר מדי, בה הם יכלו לבוא, עד שדומה כאילו המוסד (אם בכלל ערך את הפעולה) דאג לכך שהעמדה שלו בנושא שאסור היה לו להביע דעה תהיה ברורה מעבר לכל ספק סביר.

דמיינו, כעת, שיש לנו מאגר ביומטרי של מלוא אזרחי ישראל שמכיל את כל צילומי הפנים של ישראלים וניתן לחפש בו לפי תווי פנים. ולכל שוטר, לא משנה מה דרגתו, יש יכולת לגשת למאגר הזה ולהצליב מידע מתוכו. בעצם, אותו מומחה מחשבים מטעם החמאס יכול היה לקחת את התמונות, ובמקום להשתמש במודיעין הנוכחי שלהם, להשתמש בטכנולוגיות זיהוי פנים אזרחית ולמצוא מיהם סוכני המוסד. לא משהו מופרך במיוחד, לא משהו לא אפשרי, ולא משהו שהחמאס לא יחשוב על לעשות.

אבל אין סכנה שהמאגר ידלוף. כלומר, ברור שיש סכנה שהמאגר הביומטרי ידלוף, אבל למה שמישהו ירצה לפרוץ אותו, כדברי ח"כ מאיר שטרית. הרי זה לא כאילו שאפשר באמצעות הפריצה להוכיח שישראל אחראית על חיסול מחמוד אל-מבחוח או למצוא מיהם הסוכנים.

השקת מערכת הזיהוי הביומטרי החדשה בנתב"ג שמיועדת לזיהוי תורים (תודה! עודד סלע) עשויה להיות הדגמה למדרון החלקלק של השימוש בביומטריה. לכאורה, ולמרות שאין שום קשר למערכת הביומטרית שתקום או לא של המאגר הביומטרי, המערכת עצמה יכולה להיות מסוכנת, יכולה להיות בעייתית ויכולה לגרום לנזק לא מבוטל לעולם. חשוב להבין, ועל כך עומד אסף שניידר במעריב, מערכת האבטחה הישראלית בשדות התעופה ושיטת הסלקציה (שנגועה באפליה אינהרנטית, שעל כך בג"צ עוד יתן דעתו בבג"צ 4797/07 האגודה לזכויות האזרח נ' רשות שדות התעופה<) היא ככל הנראה השיטה היעילה ביותר, אשר גם העולם מעוניין לאמץ.

אכן, לא מעט סטארטאפים ישראלים נוטלים מרחוק מידע על אנשים במרחב הציבורי לצורך אפיון וזיהוי ואוגרים מידע ביומטרי לצרכים שנראים מיותרים ולא תמיד מדויקים. כך, לדוגמא, הסטארטאפ של אהרון זאבי-פרקש, מאפשר זיהוי ביומטרי של 99.9%, מה שאומר שעדיין במדינה כמו ישראל הזיהוי יאפשר שגיאות של 0.1% מהאוכלוסיה: כ7,500 אנשים יתאימו למאפיינים הביומטריים שלך. אבל עדיין, לחלופה האנושית לעולם לא יהיה תחליף: תחושת הבטן שלנו, הפחד, ההרגשה, אלה (גם אם הם שגויים) לא יוכלו להחליף את הטכנולוגיה.

אם נקח את ארצות הברית כדוגמא, נראה שכשלי אבטחה גורמים לרכישת עוד טכנולוגיות ועוד כח אדם שיפעיל את הטכנולוגיה ושנעשה נסיון להסתיר את נהלי האבטחה וכשליה. ומדוע? כי רשות האבטחה בתעופה בארצות הברית אינה מבוססת על הגיון, אלא על נתונים טכניים, שלעיתים הינם חסרי הגיון או לא קשורים לפיגועים.

אז נכון, גם למומחי תעופה אין חוש הומור, אבל הקמה של מאגר ביומטרי ברשות שדות התעופה, מאובטח ווולונטרי ככל שיהיה, יגרום יותר נזק לתועלת. אני לא מדבר כלל על האיזון בין הזכות לפרטיות לזכות לשוויון באפליה שנגרמת על ידי הסלקטורים (שזו צריכה להתאזן על ידי עובדי רשות שדות התעופה; אבל לכך נטפל בהזדמנות אחרת) אלא על הנזק והתועלת שנגרמים בפגיעה בפרטיות, אגירה של מידע וניהול לצורך קיצור תורים. הרי גם לשכת התעסוקה מחזיקה מאגר וולונטרי שנועד לקצר תורים, וכבר הוכח שהטכנולוגיה לא עמידה לפריצות וזיופים קלים במיוחד. אז מה ניתן לעשות?

ישראל הולכת בדרך הלא נכונה: במקום לטפל בבעיה של כח אדם, היא מנסה לפתור את הכל על ידי טכנולוגיה. אם היא לא תשנה את המצב, הרי שהכל יתדרדר מהר מהרגיל ולא יהיה מה לעשות.

בנימה אחרת, חברת OTI הולכת להטמיע תעודות זהות ביומטריות במדינה עלומת שם.