אתמול הוציאו ראשי המאגר הביומטרי הודעה לעיתונות בה הם מבהירים מדוע המאגר הביומטרי הוא לא אתר קופונים, ואין שום סיכוי בחיים שהוא יפרץ. אני מסכים איתם רק בחצי מהאמירה: המאגר הביומטרי הוא לא אתר קופונים. מעבר לכך שהנסיון של גון קמני, ראש המאגר הביומטרי, בתור הממונה על אבטחת מידע בלאומי קארד היה אמור להרגיע אותנו שהוא, כממונה על אבטחה, בדק, בחן ושמר על כך שאתרי קופונים אשר סלקו את כרטיסי האשראי של לאומי קארד עומדים בתקני אבטחה, ואם הוא לא עשה זאת, מה הוא יעשה עם טביעות האצבע שלנו, עולות כמה תהיות בנוגע לשאלת ההשוואה בין המאגר הביומטרי לאתר קופונים. לצורך הנוחיות בלבד, הנה ההשוואה שלי:
באתר קופונים יש שלושה-ארבעה אנשים עם גישה למאגר המידע, במאגר הביומטרי מדובר על כל שוטר במדינת ישראל וכל עובד של משרד הפנים. כזכור, למאגר הביומטרי תהיה גישה לכל שוטר, לכל עובד של משרד הפנים, לעשרות עובדי הרשות הביומטרית, לשב"כ ולמוסד ולמי יודע מי עוד.
באתר קופונים יש רק את כרטיסי האשראי שלנו, שאפשר להחליף, במאגר הביומטרי יהיו צילומי הפנים שלנו וטביעת אצבע; לא משהו שאפשר להחליף. כן, השאלה היא מה עדיף שידלוף? טביעת האצבע שלנו וצילום הפנים שלנו, שאי אפשר להחליף אם הם הולכים לאיבוד באינטרנט, או את כרטיס האשראי, שמבוטח על פי חוק כרטיסי חיוב?
באתר קופונים יש תקנים בינלאומיים לאבטחת מידע שחייבים לעמוד בהם, כללי אבטחת המידע של המאגר הביומטרי חסויים ואסור לדבר עליו. כן; אתר קופונים הדליף מידע. האתר לא ממש שמר על הבטחון שלנו, אבל איך אפשר לדעת את זה? חברות האשראי אמורות לפקח על עמידה בתקני PCI, סטנדרט בינלאומי ומקצועי שפתוח להערות הציבור. לעומת זאת, חוק המאגר הביומטרי קובע שכללי אבטחת המידע של המאגר יהיו חסויים ולאף אחד לא תהיה האפשרות לצפות בהם.
באתר קופונים אתה לא חייב להרשם, למאגר הביומטרי אתה חייב לתת את טביעת האצבע שלך. נכון, לפעממים העסקאות באתרי הקופונים כל כך משגעות שאתה חייב לרשום עצמך לאתר, כי אף אחד לא יכול לוותר על צימר מפנק בצפון הארץ במחיר כזה, אבל בניגוד למבצעים האטרקטיביים, למאגר הביומטרי אתה חייב להרשם, ואתה לא מקבל צימר בצפון, כמובן.
לאתר קופונים אתה יכול להרשם עם פרטים מזויפים וכרטיס אשראי חד-פעמי, או לשלם בPayPal, במאגר הביומטרי לא. כן; אף אחד לא מכריח אותך לתת לאתר הקופונים את השם האמיתי שלך ואת תעודת הזהות שלך, במיוחד אם אתה משלם עם PayPal או עם כרטיס אשראי חד פעמי שקנית בדואר. אבל במאגר הביומטרי אתה קצת תצטרך את זה; אתה תהיה חייב לתת את הפרטים האמיתיים שלך, ולרשום "ישראל ישראלי" לא תמיד אפשרי.
אז עכשיו, אחרי שהמרגיע הלאומי אמר את שאמר, אני באמת הרבה יותר רגוע. המאגר הביומטרי לא ידלוף כי הוא מאובטח ברמה 11, בדיוק כמו שחשבו מפעילי אתר הקופונים, ובדיוק כמו שחשבו כל אחד מהמנהלים של מאגרי מידע שדלפו.
מעבר לזה, המאגר הביומטרי נשמע כמו אטרקציה הרבה יותר גדולה שתמשוך הרבה יותר נסיונות מהאקרים מנוסים וממומנים היטב ע"י ממשלות מאשר אתר קופונים
זה פשוט לא אתר. ולכן אין כאן עניין להאקרים בכלל, ולכן לא רלוונטי לשאלת אתר הקופונים. בשביל לפרוץ אליו יהיה צורך בבגידה, או ריגול מהזן הג'יימס-בונדי. בלתי אפשרי? ממש לא. אתר קופונים? גם כן ממש לא.
האקרים לא פורצים רק לאתרים. אולי זה מה שאתה מרגיש ביום יום, כשפורצים לאתר כמו ONE או YNET אתה רואה את זה מול העיניים.
פריצות יש לארגונים, לחברות, לגופים ממשלתיים וזה לרוב ממש לא פריצות שקשורות לאתרי האינטרנט של כל מי שציינתי כאן. (דוגמאות יש בלי סוף, אין טעם לפרט)
בין שני הצדדים ששרטטת כאן עובר קו מאד עבה שממש לא דורש מהאקר להיות ג'יימס בונד כדי להשיג מידע כזה או אחר.
לצורך העניין גם מתקן העשרת אורניום זה לא אתר אינטרנט, וגם אליו הצליחו להגיע – אז למאגר הביומטרי לא יצליחו ? זה רק עניין של התמדה ויכולת פיננסית ואני לא חושב שיש בכלל ויכוח שעבור מידע כזה יהיו אלה שישקיעו הרבה מאד כסף כדי להשיג
ועוד הבדל אחד:
עם כרטיס האשראי שלי אפשר לגנוב לי כסף. את האצבע שלי, לעומת זאת, אתה מקסימום יכול לדחוף לתוך התחת.
איתי,
זה היה נכון אלא אם האצבע היתה מה שמשמש אותך להזדהות מול המדינה, כלומר: גנבו לך את האצבע, גנבו לך את הזהות.
למעט כמה משועממים וחוקרי אבטחה- אף אחד לא יטרח לפרוץ את המאגר.
אם המאגר יהיה כמו הפורט נוקס- הרבה יותר פשוט להוציא את המידע ברמת המסירה. כמה סקימרים או עובדים משוחדים ואחרי מספיק שנים יש לך מאגר ממצה. כמו פישינג רק הרבה יותר חזק ואי אפשר להחליף את הפרטים שנגנבו.
אני מקווה שהמאגר הביומטרי לא ישמר ברמה של לאומיקארד.
כתובת האימייל שנתתי באתר לאומיקארד ורק באתר זה הגיעה לידי גורמים פרטיים:
http://israblog.nana10.co.il/blogread.asp?blog=383074&blogcode=8911757
יש כאן ראיון מעולה עם צבי דביר שמסביר בדיוק את הרעות החולות בחוק
https://he.vpnmentor.com/blog/%D7%A8%D7%90%D7%99%D7%95%D7%9F-%D7%A2%D7%9D-%D7%A6%D7%91%D7%99-%D7%93%D7%91%D7%99%D7%A8-%D7%97%D7%91%D7%A8-%D7%94%D7%AA%D7%A0%D7%95%D7%A2%D7%94-%D7%9C%D7%96%D7%9B%D7%95%D7%99%D7%95%D7%AA-%D7%93%D7%99/
—