חברי הכנסת עוסקים יום יום בכניסה לחייהם של בני אדם: מחוקקים חוקים בנושא בטיחות בדרכים מבלי שהם מומחים לתעבורה, מחוקקים חוקים בנושאי בריאות מבלי שיש לכולם את ההבנה בבריאות הציבור ואפילו מתערבים בנושאי אבטחת מידע מבלי שקיבלו את ההכשרה המתאימה. האם בגלל רק שהם מייצגים את רצון העם הם צריכים להחליט?
חוק שרשרת של הסכמות בין גופים שלטוניים בנוגע לארכיטקטורה שתפעיל את המאגר. החוק עצמו מתאר את התהלכים שעובר אדם ומנוסח בצורה רשלנית מעט. אולם, הבעיה העיקרית היא בכמות האנשים להם תהיה הגישה למאגר. למרות שלל ההצהרות של מחוקקים כי המאגר יהיה מאובטח ברמה 11, סביר להניח שאנו לא היינו מסכימים לכך אם היינו יודעים כי לכמה עשרות אלפי אנשים תהיה גישה למאגר המדובר, וסביר להניח שאף אחד לא היה מאמין שמאגר אליו יש גישה לעשרות אלפי אנשים לא יפרץ לעולם.
על פי החוק, ידרשו בקרוב מלוא אזרחי ישראל לתת למדינה לאחסן בצורה דיגיטלית עותק מצילום הפנים שלהם וסריקה של שתי אצבעותיהם המורות. המידע ישמר במאגר ביומטרי, אליו תהיה גישה למטרות שיפורטו ועל ידי אנשים שיפורטו. בעוד שלשיטתי המאגר עצמו מהווה פגיעה בפרטיות, הרי שגם אם המאגר לא מהווה פגיעה בפרטיות, האפשרויות לניצול לרעה ופגיעה באזרח הן מהותיות. ניצול לרעה הינו מהות החוק, אשר מנוסח כגבינה שוויצרית חקיקתית ומאפשר יצירת הסדרים רעים שלא יכולים להפתר.
ומי האנשים שיכולים לגשת למאגר? רשאית, עובדי משרד הפנים. החוק מזכיר נטילה של אמצעי זיהוי; הוא מסמיך את עובדי משרד הפנים לטול מידע ביומטרי מאזרחי המדינה, וקובע כי האמצעים יועברו לרשות להכללתם במאגר ולמרכז ההנפקה כדי להנפיק לאדם תעודה ביומטרית.
מעבר לעובדי משרד הפנים, גם למרכז ההנפקה, גוף שמוסדר על ידי סעיף 4, ואינו מוגדר בחוק כרשות ממשלתית, ואין כל חובה שיהיה כזו, ישנה גישה למאגר. מעבר לכך, ואולי הצעד האירוני ביותר הוא שנהלי אבטחת המידע שמופיעים בחוק לא מסדירים יתר על המידה את היכולת לפקח עליו, כי מרכז ההנפקה הופיע לראשונה רק בדיון מיום 12.07.2009. באותו הדיון, לפתע, התברר כי משרד החוץ, שעד כה הנפיק מסמכי נסיעה רשמיים (דרכון דיפלומטי) לא יוכל לעשות זאת, אלא שהכל יהיה חייב לעבור דרך אותו מרכז הנפקה. באותו הדיון עלתה שאלת ה"גישה" למאגר בפעם הראשונה, כאשר אנשי משרד הפנים סתרו את עצמם והסבירו כי אין גישה למאגר, אך יש גישה למאגר:
היו"ר מאיר שטרית: אנחנו מדברים על הרכשה ראשונה. בהרכשה ראשונה כשאדם בא, נותן טביעת אצבעות שלו, מצלמים את הפנים שלו.
יהונתן קלינגר: והרכשה ראשונה תתבצע בקונסוליות, ולכן כן תצטרך להיות איזה שהיא גישה למאגר.
היו"ר מאיר שטרית: אין לאף אחד גישה למאגר.
ניסים אליאסף: גם למשרד הפנים אין גישה למאגר. אם הכוונה של גישה למאגר זה באון ליין, גם למשרד הפנים אין גישה באון ליין.
יהונתן קלינגר: למשרד הפנים יש, לפי סעיף 13.
ניסים אליאסף: אין גישה באון ליין.
נירה לאמעי: אז איך מעבירים את ההרכשות מהקונסוליות?
ניסים אליאסף: אנחנו אמרנו שנבוא ונציג את זה אחרי שיש לנו—
(…)
יהונתן קלינגר: אז אני שואל, איך אתה מונע הרכשה כפולה בקונסוליות בחוץ לארץ?
ניסים אליאסף: מביאים את הביומטריה לארץ בדרך של דיפ, כמו שהוא אמר, ומעבירים את זה למאגר ובודקים ש—
יהונתן קלינגר: כלומר הכל יבוצע בדואר, דואר דיפלומטי אבל דואר.
עופר ישי: לא בהכרח בדואר. יש היום מערכת תקשורת מסוימת בין משרד החוץ לבין משרד הפנים, ופה אנחנו נכנסים לשיטת המימוש, אז כמו שנאמר פה, זה יכול להיות בצורה של מדיה מגנטית ואופ ליין, זה יכול להיות באיזה שהיא העברה מוצפנת ומוסדרת כפי שקיים היום לנושאים אחרים. בסופו של דבר זה יגיע וזה יגיע למשרד ה… היום התקשורת היא בין משרד הפנים למשרד החוץ ומשם זה יעבור למאגר, ואז תיעשה הבדיקה, ואם יתגלה שיש כפילות, אז לא ינפיקו לו את הדרכון הנוסף. זו הכוונה פה.
יהונתן קלינגר: אתה אומר שתהיה תקשורת מול משרד הפנים ומשם מול המאגר?
עופר ישי: כן. אני מסייג את דבריי, כמו שנאמר פה ממשרד הפנים, אז הם רוצים לבדוק את זה, אז יש פה מספר דרכים של מימוש, זה לא משנה את התהליך העקרוני, זה יגיע בין אם זה דרך משרד הפנים או ישירות, זה לא משנה, זה יגיע ותתבצע הבדיקה, זה מה שנאמר פה. ולא באון ליין.
מעבר לכך, ההגדרה של מערך ההנפקה הוספה רק בדיון של 19.07.2009, לאחר שהתברר כי הצעת החוק המקורית כלל לא כללה יכולת להקים מערך כזה. השאלה של כיצד מערך ההנפקה "ניגש" למאגר ולמידע הביומטרי על מנת להנפיק את תעודת הזהות היא גם שאלה שטרם נפתרה, אבל טלאי החוק אמורים לכסות עליה. בדיון מיום 09.07.2009 עלתה הסוגיה לראשונה, כאשר בקריאה ראשונה של החוק, הבינו אנשי משרד הפנים כי החוק כלל לא מייצג את הארכיטקטורה שהם רצו ליישם:
היו"ר מאיר שטרית: מסתבר שמה שכתוב בחוק זה אחרת, שהוא לא מעביר שום דבר למרכז ההנפקה אלא הוא מעביר רק לרשות. הרשות מעבירה את האמצעים למשרד הפנים שהוא מעביר אותם למרכז ההנפקה לצורך ההנפקה. אתה אומר שמיום שהרשות מעבירה לך את הנתונים, אתה צריך עשרה ימי עבודה.
נסים אליאסף: לא, מה שאני אומר שאנחנו רוצים שלמאגר יהיו כמה שפחות ערוצים החוצה. לכן מכיוון שהמידע נשמר במשרד הפנים, ברגע שנוטלים את הביומטריה, אז אנחנו מצפינים אותה מיד ואנחנו רוצים לשלוח את זה לשני המקומות במקביל.
היו"ר מאיר שטרית: אתה חוזר על דבר אחר ממה שאומר ישי. תחליטו מה נכון.
נסים אליאסף: זה מה שאנחנו מבקשים.
המידע שמוצא מהאזרח נאגר בשני מקומות: על התעודה ובמאגר הביומטרי; הן בתעודה והן במאגר נשמרים הן האמצעים הביומטריים (תמונות מקור) והן הנתונים הביומטריים (חתימות או HASH). כלומר, המידע, לפחות לכאורה, במאגר ובתעודה אמור להיות זהה.
מערכת הגישה למאגר מסובכת, וכוללת מספר גישות למאגר, בצו בית משפט וללא צו בית משפט. ראשית, ללא כל צו וללא הגבלה על גישה הינה הגישה לפי סעיף 21. סעיף 21 מסביר כי הרשות "תאפשר להן [לרשויות הבטחון – י.ק] גישה למאגר הביומטרי". השאלה מהי גישה היא לא שאלה פשוטה; וככל הנראה חשאיותה של הגישה (שגם לא מתקיימת למשרד החוץ, כאמור)
בדיון שנערך בועדה ביום 20.07.2009 אלה היו ההסברים:
היו"ר מאיר שטרית: בסדר, אור השמש לא מתאים לדברים סודיים.
(…) יהונתן קלינגר: מה זה גם 'תעביר מידע מתוך המאגר'? זה יכול להיות מכל המאגר.
איתן כבל: מר גבע עדיין באמצע הדברים שלו ואחרי זה נתייחס, כי אני עדיין לא נחה דעתי.
דני גבע: הסעיף הזה בעצם מנוסח אחרי שנבדקו כל האפשרויות האחרות ועל מנת לאפשר לנו לסבול לפי הצרכים שלנו. מה שאני רוצה לומר זה שמה שאנחנו יוצרים פה, עם הנפקת התעודות הביומטריות והקמת המאגר, זה משהו חדש שלא היה קיים קודם. המצב החדש שנוצר, במצב הזה אנחנו חייבים להמשיך ולפעול למילוי תפקידנו וייעודנו.
(…)
נירה לאמעי: כשהם אומרים 'תאפשר להם גישה למאגר', הכוונה היא שיוכלו פשוט להיכנס למקום שבו נמצא… יהיו להם הרשאות גישה למאגר? כשאומרים 'תאפשר להם גישה', הרי זה לא רק להעביר להם—
היו"ר מאיר שטרית: לא בתקשורת.
נירה לאמעי: אז מה זה תאפשר להם גישה למאגר?
ניסים אליאסף: יכולים לבוא למאגר, לקבל מידע.
(…)
ניסים אליאסף: למאגר לא יהיה תקשורת.
היו"ר מאיר שטרית: אז אולי תשנו את המלה 'גישה'.
נירה לאמעי: אז מה זה גישה?
דני גבע: לא משנה מה זה גישה, המלה 'גישה' חייבת להישאר, כי בחנו את כל האפשרויות—
היו"ר מאיר שטרית: תסביר.
דני גבע: אדוני, יש דברים שאני לא יכול לפרט.
כלומר, עומדת כאן גישה ששירות הבטחון אינו מסוגל לפרט, ולפיה הוא דורש גישה למאגר הביומטרי. מעבר לסעיף 21, שמאפשר גישה, החוק מאפשר לשוטרים לטול אמצעי זיהוי מאדם הנמצא לפניו ולהשוותם מול מידע במאגר. גם כאן, הדרך בה ההשוואה תבוצע אינה ודאית; גם כאן, הורגע הציבור כאילו אין גישה למאגר על ידי המשטרה. בדיון מיום 07.07.2009 נאמר כי:
היו"ר מאיר שטרית: אני מבין שבעיקרון מה שכתוב בחוק לפחות שבאותה רשות מאגר של טביעות אצבעות ותעודות זהות מופרדים בשני מאגרים נפרדים. יש הפרדה בין טביעת אצבע לבין תעודת זהות וכל אחד מהם מהווה מאגר נפרד.
יורם אורן: כן. הייתה כאן התייחסות די ברורה של כמה אנשים כאילו המאגר הזה הוא און-ליין, אבל המאגר לא יהיה און-ליין.
היו"ר מאיר שטרית: הוא לא מחובר לשום רשת.
יורם אורן: הוא לא מחובר לשום רשת. יש אליו ערוץ כניסה חד-כיווני שאנחנו נוכל לתאר את פרטיו בפורום מצומצם. יש ממנו ערוץ יציאה טלפוני בלבד. המאגר הזה יודע להחזיר אחת משלוש תשובות אפשריות, ושוב, נוכל לפרט את זה. אין במאגר פרטים מזהים והמאגר הוא אנונימי לחלוטין. מפעילי המאגר לא יכולים למשל להצמיד טביעת אצבע למספר זהות וגם לא לשם. יש שם עוד כמה הגנות שלא ראוי לפרט אותן כאן.
(…)
היו"ר מאיר שטרית: איך זה עובד? מה עושה השוטר שצריך לקבל זהות?
נסים אליאסף: הוא מעביר את טביעת האצבע אלינו, למאגר. המאגר לא חשוף לאינטרנט, כלומר, לא חשוף לתקשורת בכלל אלא הוא בפני עצמו. לוקחים את טביעת האצבע ובודקים אותה מול המאגר. במידה שיש זיהוי כזה, יש איזשהו קוד שאנחנו יודעים אותו ודרך הקוד הזה פונים למערכת אחרת. המערכת האחרת בטלפון תיתן את השם שלו.
היו"ר מאיר שטרית: זאת אומרת, זה מה שאני אומר מהתחלה ואתם מנסים לתקן אותי שלא לצורך. כאשר המשטרה צריכה לפנות לזיהוי אדם, זה השימוש היחידי שהמשטרה עושה בקשר לאדם בלתי מזוהה, היא פונה לרשות, לגוף אחר ברשות, הרשות בודקת אם הטביעה הזאת בכלל מופיעה במאגר, אם יש אדם כזה במאגר. אם זה אדם שבא מחוץ לארץ, הסתנן לארץ ולא יודעים מי הוא.
(…)
נירה לאמעי-רכלבסקי: מה זה מעביר את הבקשה לטביעה? כל טביעה? את הקוד הדיגיטלי של הטביעה?
נסים אליאסף: הוא מעביר תמונה של טביעת האצבע.
נירה לאמעי-רכלבסקי: הוא מעביר את זה בתקשורת או ברשת?
יורם אורן: הוא מעביר את זה בתקשורת.
מעבר לגישה זו הקיימת למשטרה, שהיא לא און-ליין, אך באורח פלא יכולה לקבל טביעות אצבע באמצעות הטלפון, מוסמך בית המשפט, בצו, לאשר העברה של "נתונים או אמצעים ביומטריים הכלולים במאגר הביומטרי" (ולא תוצאות זיהוי, אלא יכול שיהיה מספר נתונים של מספר אנשים רב, או קבוצה), לצורך חקירת עבירות, מניעתן או לצורך העברת המידע לרשויות אכיפה מחוץ לישראל (סעיף 17). כלומר, מקרים בהם רשויות חקירה כמו הFBI ידרשו מישראל את מלוא המאגר (שנכנס תחת ההגדרה של "נתונים או אמצעים ביומטריים הכלולים במאגר הביומטרי), ישראל תתן או תהיה חשופה לסנקציות דיפלומטיות.
כלומר, וכפי שניתן לראות, המאגר הביומטרי מיישם בצורה ייחודית את המילה "גישה"; במיוחד בשים דגש על מדיניות אבטחת מידע סבירה. כמות האנשים להם תהיה גישה כלשהיא למאגר (בין אם כתיבה בלבד או קריאה בלבד) היא עצומה וכוללת לא מעט: מלוא פקידי משרד הפנים, כל שוטר במשטרת ישראל, כל עובדי שירות הבטחון וכל שוטר במשטרה הצבאית. מעבר לכך, יכולים, הן באמצעות סעיף 21 לחוק והן באמצעות סעיף 17, להווצר מאגרים נוספים אשר לא יהיו כפופים לאותן סנקציות הקיימות בחוק על מעבירי המידע מהמאגר. בצורה כזו, ומבחינה אבטחתית, המאגר הביומטרי יהיה חור של גישה.
השאלה "מהי גישה" היא שאלה משפטית שצריכה התייחסות נקיה. המילה Access מוגדרת על ידי מיליון מירים-וובסטר כחירות או יכולת להשיג או לעשות שימוש במשהו. גישה, תחת ההגדרה הזו, אינה מסוג הדברים שראוי לאפשר לעובדי מדינה, ובמיוחד לא לעשרות אלפים מהם. רק סקירה קצרה של מספר פעולות שביצעו אנשים בעלי גישה למידע רגיש לאחרונה יכולה להסביר זאת ולהסביר מדוע הפראנויה נגד המאגר ככל הנראה מוצדקת. שמואל ציילר, עובד במס הכנסה, הורשע לאחר שהשתמש במידע ממאגרי מס הכנסה שלא כדין, חברת נקודת שיווק וסחר בע"מ נקנסה ב167,000 ש"ח לאחר שהשתמשה במאגר התושבים שלא כדין, מיכאל ברונפמן, שהועסק כעובד קבלן במשרד התמ"ת והעביר מידע מסחרי ואישי תמורת כסף, ודי לקרוא אחת לכמה חודשים פסקי דין של בית הדין למשמעת של נציבות שירות המדינה כדי לראות שאחת העבירות הפופולריות ביותר היא הפרת סודיות במאגרי מידע ושימוש במידע. רק במקבץ שפורסם בחודש ספטמבר 2009 ומכסה חודשיים של פעילות, ניתן למצוא חמש החלטות הנוגעות לשימוש במידע פנימי (שמינית מסך כל ההחלטות).
ברור שאותה אווירה, בה גורמים אזרחיים וממשלתיים יהיו בעלי גישה, נקודות הכשל והיכולות לאבטח את המאגר יהיו אפסיות. בעוד שמאיר שטרית טוען כי המאגר עשוי להפרץ, אך אין לאדם אינטרס לעשות זאת, כל בר-דעת מבין שמערכת אליה יש גישה לעשרות אלפי אנשים אינה יכולה להיות מוגנת. כשם שאחת הסיבות לכך שמעולם לא אותר מדליף מרשם האוכלוסין (וכן, זה המרשם ולא הקבצים שהגיעו למפלגות) היא שלמידע היתה גישה למספר רב של גורמים, גם כאן תעלה אותה טענה בדיוק לאחר שהמידע ידלוף לרשת.
עכשיו, מה נותר לעשות? בשנתיים הקרובות החוק לא יבוא למימוש סופי אלא יוחל על בסיס בחירה בלבד. במידה והניסוי הביומטרי לא יצליח, כי לא מספיק ירשמו, כי המידע ידלוף, כי כל דבר אחר יביא אותם לכדי הגיון, אז נוכל עוד לשמור על מידע בטוח, על פרטיות ועל העתיד שלנו.
קלינגר,
השאלה היא יותר פשוטה.
תשכח רגע מהמאגר. האם לשוטר (ולכל אחד אחר שהוגדר בחוק, אפילו לפקח העירוני או לשומרים במקומות מסוימים), מותר לקחת תביעת אצבע ולהשוות אותה בעזרת סורק (או כל מכשיר אחר) מול התעודה של הנבדק? לוודא שאכן מדובר באותו אדם?
כן.
נו, אז בבקשה. אם התעודה אינה מזויפת (ו*לרוב המוחלט* של האוכלוסיה תהיה תעודה אמיתית), כל אחד מאותם בעלי הסמכויות לבדוק (ואנחנו כאן מדברים כבר על מאות אלפים ולא עשרות) וכל אחד שמתחזה לבעלי סמכויות לבדוק (מה שלא צריך לעשות, מספיק רק להתנדב במשטרה), יכול בעזרת מכשיר מותאם לזכור את כל מה שהוזן לתוכו וליצור מאגר פרטי משל עצמו. טיפין טיפין ובפעולה קבוצתית ניתן להגיע לפלח משמעותי באוכלוסיה.
כדי למנוע את כל הוויכוחים הטכניים (שהיו בפעם שעברה שהעליתי את הנקודה הזו), אז לא צריך לפרוץ לשום מכשיר ולא להעתיק שום האש. מספיק להכין מכשיר מזויף שמצלם ומקליט הכל בצורה פיזית (ויש המון שיטות לכך. בין אם מכשיר שלם שנראה כמו הדבר האמיתי, או רק פאנל שמולבש על המכשיר האמיתי (כמו כספומט) שמצלם פיזית את המסך של המכשיר וכל טביעות האצבע עוברות דרכו, ויש עוד דרכים רבות אחרות…).
ל ?
אבל למה לעבוד כל כך קשה ? טכנולוגיה זה לעצלנים עם שכל:
יש שוד בנק ואתה אחראי על החקירה: קח ממצלמות האבטחה באיזור את התמונות של כל מי שהיה שם בשלושת הימים האחרונים, ובקש את שמותיהם ותביעות האצבע שלהם מהמאגר. יש לך עכשיו כמה שנים (עד סיום המשפט) לשחק עם מידע בלתי מוצפן (כי אתה משתמש בו על בסיס יומיומי בצורתו הבלתי מוצפנת) על אלפי אנשים. גם אם עדי שמיר "טישטש" אותו זה לא עוזר, יש לך שנים כדי למחוק את הטשטוש באמצעות ז"פ סטנדרטי. בינתיים השגת מידע בימוטרי מלא וגלוי על אלפי אנשים שיושב שלוש שנים בתחנת המשטרה, וזאת רק בגלל פשע אחד. כנראה שעם עוד כמה פשעים במהלך תקופה זו, אנו מדברים על 100 אלף.
למרבה הצער, מתישהו יואב (היומנאי) שכח את המחשב פתוח על המאגר המקומי כשלאשתו היו צירים עם התאומים (רגע – אתה לא היית שוכח ? אני כן !), ועורך דין של משפחת פשע מקומית בדיוק עבר שם עם דיסק-און-קי.
שים לב שאף עובד מדינה לא עשה שום דבר לא חוקי. יואב אמנם רשלן, אבל הוא שוטר, לא גיבור-על מהמאגר, ובכל זאת אכלנו אותה.
דוד,
בוודאי, אבל אני דיברתי על התסריט הגרוע ביותר לפושעים. נניח שהמאגר התבטל, כמו שקלינגר רוצה שיקרה (הוא הרי לא מתנגד לשימוש בביומטריה עצמה, בזיהויים אזרחיים), ונניח שאין לך שום קשרים פסולים לאף שוטר, ונניח שכל השוטרים במדינה הם צדיקים גמורים ומומחים זהירים לאבטחת מידע. אפילו במקרה הגרוע ביותר- כנופיה של עולים חדשים שלא מכירה בארץ אף אחד, יכולה להקים מאגר משל עצמה. עלות ההשקעה במקרה כזה, לא רלוונטית, שכן הכל שאלה של ביקוש והיצע, ולמבקשים במקרה הזה יש תקציבים קולוסליים.
במציאות, תהיה עמדת בדיקה כזו אצל כל בית עסק (שדורש ת"ז). שכן כל הקטע והנזק המרכזי בגניבת זהות, זה כשמשתמשים בה במוסדות כלכליים. כמו בנקים. אחרת מה הטעם לתעודה מפוצצת כזו אם אתה לא יכול לאמת אותה?
בסופו של דבר כל עניין הגישה נהיה מסובך, וגם מי שתהיה לו פרוצדורה לקבל גישה למאגר יעדיף לחסוך לעצמו זמן ולהוריד את המאגר בביטורנט כמו כולם (או את שני המאגרים, למרות שאני נוטה להאמין שגרסת הביטורנט תהיה יותר נוחה גם כי היא תכיל את שניהם בזיפ אחד).
טביעות אצבע אינן רק לשם זיהוי. מי שצובר מומחיות בתחום יודע שטביעת אצבע = DNA. אבל….
DNA זה עניין מורכב. לימוד אורגני של מולקולות בגוף האדם הוא עניין מורכב ולעניות דעתי – אינ סופי. יענו זה בחיים לא יגמר.
כל מולקולה בגוף האדם עושה הכל. ה כ ל. A עם B עושה לשון, גובה ועניין בבעלי חיים. A עם C עושה ספורט ועניין בפאראפסיכולוגיה. אולי. ואולי בעוד 10 שנים יגלו שהיתה טעות וזה לא עניין בפאראפסיכולוגיה אלא במשאבי אנוש. דיייייייייי.
מה בוזגלו רוצה?