המחזה האבסורדי: שטרית ואישור הפיילוט הביומטרי

לפני מספר חודשים פרץ לתודעה הישראלית מחזה חדש מבית היוצר של רועי צ'יקי ארד ויונתן לוי, הז'אנר התיאטרלי של ארד ולוי היה מיוחד: לראשונה, הם לקחו פרוטוקול של ועדת כנסת והפכו אותו למחזה, "אנרגיות טובות" שמו. רק על ידי צפיה במחזה מגלה אזרח ישראלי שחקיקה אינה בהכרח תהליך שהציבור רוצה להיות מעורב בו וכאשר קוראים את טקסט המחזה מגיעים להבנה שישראל היא מדינה שכובשת עצמה בתוך האבסורד.

דווקא בתוך החלל שנוצר, שוחרר בשבוע שעבר פרוטוקול של ועדת הפנים מיום 02.06.2011, אותה ועדה שהתכנסה ודנה באישור הפיילוט של המאגר הביומטרי. התהליך, שארך ארבע שעות בהן הכנסת נדרשה לשמוע את דעתם של מומחים על כיצד יש להקים מאגר ביומטרי ועל כיצד יש לבחון את הצלחתו, תועד בוידאו כולו ועשרות אלפי אזרחים צפו בו בדאגה. אלא, שקריאה של הטקסט נותנת לנו פרספקטיבה על כמה אבסורדי הולך להיות המאגר הביומטרי אם זו רמתם של מקבלי ההחלטות שמאשרים אותו.

לצורך ההבנה: בחודש דצבמר 2009 התקבל חוק המאגר הביומטרי; החוק הוא פשרה שהתקבלה בגלל לחץ ציבורי רב שקבעה כי תחל תקופת ניסוי של שנתיים שבמהלכה תבחן את אופן היישום של החוק, נחיצות המאגר, המידע שיש לשמור במאגר ואופן השימוש בו [סעיף 41 לחוק, זהירות: קובץ PDF]. אז, כיוון שהובטח לנו שבמהלך השנתיים בהן יערך הניסוי יבחן המחוקק את הנושאים האלה, שמתי פעמי לכנסת לפני כחודש לדיון. הקריאה של הפרוטוקול, היום, מאפשרת לנו לראות בדיוק כיצד המדינה, שמקבלת מאיתנו את המידע הרגיש ביותר שלנו: טביעות האצבע, הולכת להתייחס אליו. הציטוטים שמובאים כאן שונו במעט כדי לשמור על רצף לוגי, אבל משמעות הציטוט לא הוחלפה והם לא הוצאו מהקשרם.

אז קודם כל נשאל עצמנו כיצד מודדים את הצלחת הניסוי, כיוון שבתום אותם שנתיים אמורה הכנסת לבוא ולהקשיב לגורמים המקצועיים. וובכן, הצו שהתקבל לא הגדיר מדדים. כשעמדנו על כך בדיון, זה נשמע בערך כך:

יהונתן קלינגר: איפה מופיע בצו המדדים?
נעמה פלאי: —זה לא נכון יהיה לכתוב את זה בצו.
היו"ר מאיר שטרית: אפשר למחוק את הסעיף.
נעמה פלאי: אפשר למחוק.
היו"ר מאיר שטרית: ונגמר העניין.
יהונתן קלינגר: אבל אז אין לך מדדים להצלחה.

כלומר, הצו החשוב שאמור היה לבדוק כיצד אפשר להגדיר את ההצלחה במדדים שניתן לראות אם הניסוי הצליח לא ממש מכיל מדדים; אוקי, הכל היה בסדר, אבל באחד הרגעים התעקש אבנר פינצ'וק, נציג האגודה לזכויות האזרח, לוודא שהפיילוט באמת ישקף מדגם מייצג של האוכלוסיה בישראל, וזה מה שקרה:

אבנר פינצ'וק: אני רוצה שיוודאו שיש פה מדגם מייצג.
היו"ר מאיר שטרית: למה מדגם מייצג?
אבנר פינצ'וק: כי כל מחקר, אדוני—
היו"ר מאיר שטרית: עם כל הכבוד, זה לא מחקר. תסלח לי, זה לא מחקר ולא הולכים לעשות שום מחקרים, הולכים לעשות פיילוט וולונטרי למי שמעוניין להירשם במאגר הביומטרי ולקבל תעודה ביומטרית. זה הכל. זה לא מדגם מייצג, לא מחקרים—

אוקי, אז לא מדובר במחקר שאמור לבדוק את נחיצות העניין וגם לא את המדדים, אז לפחות בואו נצוק תוכן למשתנים המדעיים שאנחנו אמורים לא לבדוק ולא לפי מדדים: לרגע אחד ניסינו לדבר עם שטרית על בדיקת הנחיצות, וזה מה שיצא:

היו"ר מאיר שטרית: לא, החוק לא מטרתו לבחון את הנחיצות. החוק הוא להקים מאגר.

לבסוף, כשנסינו להכניס קצת מתודולוגיה מדעית פנימה, זה מה שיצא:

יהונתן קלינגר: כמו  כל ניסוי צריך לעשות גם קבוצת ביקורת וגם קבוצת מבחן ולכן צריך להגדיר את זה אולי גם פה איכשהו.
היו"ר מאיר שטרית: מה זה קבוצת ביקורת?

למרות שברור לנו מה החוק אומר, יושב ראש הועדה די היה סגור על עצמו שהוא לא חייב לערוך ניסוי:

היו"ר מאיר שטרית: הניסוי נועד לבחון את הפקת התעודות הביומטריות, לא אם לעשות מאגר או לא לעשות מאגר.

אז כפי שאנחנו רואים, ועדה בכנסת התכנסה לשמוע כיצד יש לערוך תכנית ניסוי ולפקח על הממשלה. במקום זה, קיבלנו הצהרה שלא מדובר בתכנית ניסוי, שאין קבוצת ביקורת ושאין מדדים להצלחה. כלומר, עוד שנתיים, כשיצטרכו לבדוק אם הפיילוט יצליח, לא ידעו איך לבדוק את זה.

[עד כאן פורסם במקור בטמקא] אז כיצד יפעל המאגר הביומטרי בתקופת הניסוי? אם נלך לפי התקנות והצו (שאגב, אין גרסא סופית שלהם אלא רק גרסאות בניסוח), תערך בחינה במשך שנתיים לפחות, שלאחריה ידרש אישור של שר הפנים, בהתייעצות עם שר המשפטים, לאחר שקיבל את המידע הרלוונטי לגבי הצלחת תקופת המבחן, לקבל את אישור הכנסת להחיל את הוראות החוק על כלל אזרחי ישראל (סעיף 41 לחוק). ומהן אותן הוראות לתקופת המבחן?

במהלך תקופת המבחן, מי שיחפוץ (כלומר אזרחי ישראל אשר דעתם נטרפה עליהם) יוכל לתת למשרד הפנים עותק מטביעות אצבעותיו אשר יכללו במאגר מידע מרכזי ויהיו נגישים לפקידי ממשלה נבחרים, וכן ישמרו על תעודה דיגיטלית שתנתן לאזרח. התעודה האלקטרונית, כמובן, נועדה על מנת להקטין את מספר הזיופים האפשרי, אך לאור נסיונות שהתרחשו לאחרונה, ספק אם כך יקרה באמת. לדוגמא, בשנת 2006 הצליחו מספר האקרים להעתיק את הדרכונים הביומטריים של האיחוד האירופי, ובשנת 2008 הצליחו האקרים אחרים לזייף דרכון ביומטרי בשמו של אלביס פרסלי.

הפיילוט עצמו יהווה בדיחה לא מצחיקה מסיבה אחרת לגמרי: הנתונים יורכשו פעם אחת במאגר, ביום אחד, על ידי בחירה של תמונה אחת אשר עומדת בהוראות התקנות הנוגדות לאיכות ((1) לפי עקרונות תקן ISO19794, פרק 5) אבל לא יבדקו באחזור. כלומר, בניגוד לחברות מסחריות כמו Face.com אשר מייצרים פרופיל על סמך מספר תמונות, כאן הפרופיל נוצר על סמך תמונה אחת באיכות טובה בלבד. כלומר, לא מבקשים מאותו אדם לבוא שבוע לאחר מכן לבדוק האם המידע מאפשר זיהוי שלו. בעיה זו, שחלה גם על טביעות האצבע וגם על צילומי הפנים, יכולה להיות ההסבר הראשון מדוע לדעתי יכשל המאגר הביומטרי: כיוון שאיכות המידע לא יאפשר אחזור: כאשר לא נוצר פרופיל איכותי מספיק (במיוחד בתמונות הפנים) הרי שהמידע לא יאפשר אחזור, זיהוי או אימות זהות ולכן לא יהיה טעם במידע זה.

לאחר מתן טביעת האצבע והתמונה, בפועל, נגמר הקשר של אותו אזרח עם מערכת פיילוט. אלא, שלמרות שמדובר בניסוי, הולכת להתקיים חובה ממשית של כל פקידי משרד הפנים לעודד אזרחים להצטרף לניסוי. למרות היתרונות הטכנולוגיים, ההצטרפות לניסוי היא מסוכנת בעידן בו מידע דולף חדשות לבקרים ובו מדינות מאבדות מידע רגיש של אזרחים כעניין שבשגרה.

על השאלה מדוע מאגר ביומטרי מסוכן למדינה אין צורך לדון שוב. בקצרה: המטרה המוצהרת של הקמת מאגר ביומטרי היא מניעה של זיופי תעודות זהות; אלא, שעל מנת למנוע זיופים אין צורך במאגר ביומטרי אלא די בתעודות זהות אלקטרוניות שהן כמעט בלתי ניתנות לזיוף טכנולוגיות. מעבר לכך, רשויות החוק הודו כבר כי הסיבה היחידה בגללה דרוש מאגר ביומטרי הוא כדי להעביר למשטרה טביעות אצבעות של אזרחי המדינה. כן, אנחנו מדברים על אותה משטרה שמשתמשת באלימות מופרזת כנגד מפגינים מימין ומשמאל, כנגד עובדים זרים, כנגד ערביי ישראל וכנגד פעילים חברתיים.

כמו כן, סיבה נוספת להתנגד לזיהוי ביומטרי ולמאגר הביומטרי היא כי מרגע שטביעת האצבע שלכם הופכת להיות פריט המידע שמזהה אתכם, הרי שכל מי שמקבל גישה למידע הזה יכול להתחזות לכם כלפי שאר הציבור; שימוש בטביעת אצבע כמערכת מזהה וכאמצעי זיהוי היא הבעיה הרעה ביותר של מערכת אימות זהות. מדובר באימות מבוסס מידע אחד של "Who You Are" שנדיף ונותר בכל מקום. המידע ניתן להעתקה בקלות וניתן לזיוף בקלות יותר מאשר כל מידע אחר.

אז אחרי שעברו את "מדוע לא צריך מאגר ביומטרי בשתי פסקאות או פחות", השאלה שעולה היא כיצד אתם, כאזרחים, יכולים להתנגד למאגר: קודם כל, חשוב שתבינו שהמדינה הולכת לנסות לשכנע אתכם בכל דרך אפשרית בשנים הקרובות לתת לה את טביעת האצבע שלכם; פקידי משרד הפנים מחוייבים, על פי צו המבחן, להציע לכם להצטרף למאגר. כן, בדיוק כשם שקופאית בסופר מחויבת על ידי המעביד החינני שלה להציע לכם להצטרף למועדון הלקוחות, כך גם הפקיד במשרד הפנים מחויב, בכל פעולה, להציע לכם להצטרף לניסוי.

בתקופת הניסוי, ברור, המאגר לא ידלוף. הוא לא ידלוף כי הוא לא יהיה משמעותי מספיק על מנת להחזיק מידע ששווה לגנוב מצד אחד וכיוון שהגישה בו תהיה מצומצמת (הצו קובע כי הוראות החוק המאפשרות גישה למשטרה, לדוגמא, לא יחולו). לכן, הגישה אליו תהיה הרבה יותר מוגבלת. בתום אותם שנתיים, לאחר שיוכלו פקידי הממשלה לבוא ולומר "המאגר לא דלף, הנה כל הפראנואידים טעו", רק אז יפתח המאגר ודלתותיו לעשרות אלפי עובדי מדינה, אשר יעשו בו שימוש חינני.

לצורך הבנת העניין, צריך לזכור שמבחינה אבטחתית, דליפה של המאגר כוללת כל שימוש לא מורשה בו או הגעה של מידע למי שאינו רשאי לעשות כן. במדינה כמו ישראל, בה כולם מכירים את כולם ובה חלק ניכר מעבירות המשמעת בשירות המדינה הן על העברת מידע שלא כדין, הרי שהסיכוי שהדבר יקרה הוא בלתי אפשרי. רק לשם ההבנה, על מנת לקבל תעודת זהות ביומטרית, יעברו כל המבקשים תהליך תשאול. בתהליך זה הם ישאלו לגבי מידע המאוחסן עליהם במחשבי המדינה. לעובדי משרד הפנים תהיה גישה לא רק לשאלות אלא גם למידע לצורך התשאול. כלומר, כל עובדי משרד הפנים, על מנת להקים את המאגר הביומטרי, יקבלו גישה למידע לא פחות רגיש, שכולל כמעט כל פרט מידע שנמצא בידי המדינה.

לכן, לא צריך להיות מומחה אבטחה בכדי לקבל מידע רגיש על אדם, די בכך שקרוב משפחה של אותו אדם יהיה עובד במשרד הפנים וניתן לקבל מידע מכל מחשב ממשלתי. כעת, אם המאגר הביומטרי לא ידלוף, לא נורא, אבל מה הנזק אם המאגר הזה ידלוף? המאגר יכיל, לדוגמא, מידע כמו ציוני בגרות של אדם, קרובי משפחתו, דיווחים שלו לרשויות המס, אשפוזים בבתי חולים. בעצם, כספת דיגיטלית של מידע פרטי, שאין עליה הגבלות גישה, שכולה קמה לצורך הקמת מאגר מידע רגיש יותר.

על סידורי האבטחה למידע הזה, אגב, לא הסכימו לפרט בדיון בועדת הכנסת הנוגע אליהם:

היו"ר מאיר שטרית: תסלח לי אבל אתה טועה בעניין, מה לעשות? יש סידורי אבטחה סביב כל המידע.
יהונתן קלינגר: מה הם? איפה הם מופיעים פה?
היו"ר מאיר שטרית: הם לא מופיעים פה, הם לא צריכים להופיע פה, אנחנו לא דנים פה בסידורי אבטחה של משרד הפנים, עם כל הכבוד. אם יש לך שאלות לעניין, תפנה למשרד הפנים, תפנה לממשלה, תשאל אותם.

כלומר, מטרת התקנות לפחות לפי שטרית, לא היתה לדון בסידורי האבטחה. ואכן כן, התקנות לא דנות באבטחה או בדברים מסוג זה, הן דנות בתקנים לפיהם צריכה להיות איכות המידע הביומטרי ובדרכים לטפל בהרכשה של מידע. אלא, שאותם תקנים ודרכים לא מאפשרים לציבור בכלל להבין כיצד נערכת כאן בחינה.

אחד ממדדי הניסוי הוא גם כמה אנשים לא הצטרפו למאגר מתוך כלל האנשים; האנשים האלה צריכים להיות אתם: החל מהאחד בנובמבר זו חובתכם האזרחית ללכת ללשכות משרד הפנים ולהוציא תעודות חדשות לא-ביומטריות, כדי שהסירוב שלכם לקבלת תעודה ביומטרית יספר וכדי שבעוד שנתיים כאשר המדינה תבחן את נחיצות המאגר היא תגלה שאף אחד לא רוצה אותו.

מעבר למדד הזה, לצערנו, אין שום דרך לבחון האם הניסוי הצליח. לא דליפה של המידע, לא פריצות אבטחה, לא שיקולים תקציביים, כל דבר אחר פשוט לא ישפיע על ההצלחה של הניסוי או לא לפי החוק היבש. ההתנגדות הציבורית היא הדרך היחידה, וכל מי שמבין מעט בנושא חייב להתנגד ולעבוד על מנת לסכל ככל יכולתו ובאמצעים חוקיים בלבד את המאגר.

פריצה למאגר, ככל שהיה תהיה אפשרית, אינה הדרך הנכונה לטפל בבעיה שלו, היא רק תייצר אנטגוניזם. עם כל הרצון הטוב של חלק מהפעילים, המאגר לא יפרץ בצורה שיהיה זמין ברשת בקובץ כמו מרשם האוכלוסין, המאגר יפרץ בצורה שמספר אנשים יוכלו לקבל גישה אליו על ידי מקורבים ועל ידי בעלי תפקידים מפוקפקים. הפריצה הזו מסוכנת פי כמה כי הם יקבלו גישה לגרסא שמתעדכנת תמידית ולא לקובץ ספציפי מתאריך ספציפי כמו מרשם התושבים.

אם תתנו את טביעות האצבע שלכם, שאתם עשויים למצוא את עצמכם בעוד שנתיים עם מאגר ביומטרי, שכמו כל מאגר מידע אחר של מדינת ישראל, הופך את הפרטיות שלנו להפקר מיום ליום.

[פורסם בגליון אוגוסט של Digital Whisper]

9 תגובות ל-“המחזה האבסורדי: שטרית ואישור הפיילוט הביומטרי

  1. Hello, and thank you for this great article.
    i think it would be a good idea to add the biometric law to the current wave of protest going on
    and have the public more aware of it.

    good job

  2. תקרא את זה ותבין שפשוט עובדים עלינו.

    http://it.themarker.com/tmit/article/16476

    " צו המאגר הביומטרי שאושר על-ידי הכנסת לפני חודשיים אמנם קובע כי המאגר הביומטרי בישראל יוקם תחילה כפיילוט לשנתיים בלבד, אך רשות האוכלוסין וההגירה מחפשת מפעיל למערכת הזיהוי הביומטרי לתקופה של חמש שנים כבר עתה"

  3. שלום יהונתן,

    כתבת ש"רשויות החוק הודו כבר כי הסיבה היחידה בגללה דרוש מאגר ביומטרי הוא כדי להעביר למשטרה טביעות אצבעות של אזרחי המדינה".

    עם זאת, זכור לי במפורש, שמאיר שטרית הציג את הטענה שלמאגר יש תפקיד וחשיבות בהליך הזיהוי עצמו, כבסיס נתונים שמשווים אליו את המידע בתעודה האלקטרונית.
    נרמז מכך, שתעודה ללא מאגר ניתנת לזיוף בצורה קלה יותר מתעודה ללא מאגר.
    אשמח להתייחסות לטענה זו ולאמירתו של מאיר שטרית בנושא זה.

  4. תיקון לפוסט שמעל.
    צ"ל "שתעודה ללא מאגר ניתנת לזיוף בצורה קלה יותר מתעודה בצירוף מאגר"

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *