ויש גם API. למה דליפה היא לא העניין.

[השבוע הגשתי בשם התנועה לזכויות דיגיטליות ואחרים, ביחד עם עו"ד גלית לובצקי עתירה נגד המאגר הביומטרי; הטקסט הזה הוא לא חלק מהעתירה אלא בתרמחשבות].

כאשר מתכננים מערכת מידע אחד הדברים שברורים הוא השימושים החוקיים במערכת. מתכננים מה המערכת אמורה לעשות, ולא רק מה המערכת יכולה לעשות. לדוגמא, אם אני מקים מערכת נוכחות למקום העבודה שמשתמשת בטביעות אצבע לצורך החתמת שעון, אני מגדיר את השימושים שלי (מתי העובד מגיע, מתי הוא יוצא) ומגדיר איך הממשק יעבוד (קורא טביעות אצבע -> מאגר -> מערכת שמעבדת את הכניסה והיציאה -> הפקת גליון נוכחות). הבעיה מתחילה כשאנשים אחרים "מתלבשים" על המערכת; לדוגמא, אם פתאום לאותה מערכת נוכחות שמחתימה מתי עובדים נכנסים ויוצאים ממקום העבודה תבוא חברה שמציעה שיתוף הסעות ותציע לעובדים שמגיעים יחד לעבודה מאיזורים קרובים לשתף את נסיעותיהם ולחסוך כסף.

על פניו, השימוש שהצעתי הוא מאוד חיובי. הוא נוטל מידע למטרה א' ומשתמש בו למטרה ב', ומייעל לעשרות אנשים את לוח הזמנים. הוא יוצר רווחה מצרפית, מקטין זיהום, מעודד לכידות במקום העבודה.

יש לו שתי בעיות קטנות אבל. הראשונה היא הסכמה. אף אחד לא שאל אותי (העובד) האם מותר למעביד בכלל לקחת את שעות הכניסה והיציאה שלי ממקום העבודה, ולהגיד לעובדים אחרים מתי אני בא ויוצא. אף אחד לא שאל אותי אם אני רוצה להשתתף בפרויקט שיתוף הנסיעות ואף אחד לא שאל אותי אם אני בכלל מוכן לכך שידעו שאני עובד בחברה (העובדים האחרים לא בהכרח מכירים אותי).

השניה היא חוק הגנת הפרטיות. החוק קובע עקרון שנקרא "צמידות המטרה". לפי העקרון הזה, מותר להשתמש במידע רק למטרה לשמה הוא נמסר. מסרתי את שעות הכניסה והיציאה שלי לצורך רישום שעות עבודה? אסור להשתמש במידע הזה כדי למכור לי שירות שיתוף נסיעות.

עכשיו, אנחנו מניחים (לפעמים בצורה שגויה) שעניין ההסכמה קיים תמיד. מי לא ירצה לחסוך כסף? מי לא ירצה שיאספו אותו מהבית לעבודה? מי לא ירצה שהמעביד ידאג לו? ובכן, יש אנשים שאוהבים להגיע לעבודה בשקט לבד. העניין של צמידות המטרה הוא הרבה יותר חשוב. אנחנו לומדים מטעויות של אחרים, ואנחנו יודעים שצמידות המטרה באה להגן עלינו לא מהמקרים של שיתוף נסיעות (שאנחנו יכולים להניח שרצויה) אלא ממקרים לא רצויים.

אחד כזה קרה לא מזמן עם המאגר הביומטרי של הודו. להודו היה מאגר ביומטרי מרכזי שבא לטפל בעובדה שבהודו לאף אחד אין תעודת זהות או מסמך זיהוי אמין. שם הפרויקט הוא אהדהר. הפרויקט שם היה טיפה יותר "נגיש" מאשר המאגר הביומטרי הישראלי, ובעצם הוא מאפשר לכל אחד מהבנקים והמוסדות הפיננסיים לאמת זהות של אדם באמצעות טביעת האצבע שלו. אלא, שבאה הממשלה בהודו עם שתי תכניות מדאיגות לאחרונה: הראשונה היא תכנית זיהוי מרהיבה; כל מי שירצה לרכוש טלפון סלולרי יצטרך לתת טביעת אצבע. אין יותר מכשירים סלולריים אנונימיים. השניה מדאיגה יותר; לא רק שהיו דליפות מידע מדאיגות מהמאגר (דליפת פרטים אישיים של שחקן קריקט מפורסם) אלא שהמאגר הביומטרי ההודי פותח API (ממשק למפתחי אפליקציות). כל מפתח שירצה לכתוב אפליקציה שמבוססת על המידע הביומטרי בתיאוריה יוכל לבקש זאת.

אז כשאנחנו מדברים על זליגת השימושים בהקשר של המאגר הביומטרי, אנחנו צריכים מראש לחשוב על עשרות האפליקציות שירצו להתלבש על המאגר ולא על מה שמתכונן היום. אותו עקרון שבו מקום העבודה יציע לכם שיתוף נסיעות יגיע גם למאגר הביומטרי, וזה רק עניין של זמן.

העובדה שיש מאגר שמסוגל לאמת (מהר, בזול) זהויות של אנשים היא גן עדן למשווקי סלולר, היא גם דרך לפתור כל מיני בעיות. חשבון פייסבוק? אין בעיה, תתחבר עם המאגר הביומטרי וככה נוודא שזה תמיד אתה ושאף אחד לא פורץ לך לחשבון. רוצה לקנות בסופרמרקט? רק תן טביעת אצבע ונתממשק לחשבון הבנק שלך, אל תשלם יותר במזומן. הבעיה עם החיבוריות המתמדת הזו היא שאף אחד לא חושב על הנזקים, על השימושים לרעה, ועל חוסר ההסכמה של חלק מהאזרחים.

מדוע API כל כך מסוכן? כי אחרי שמידע יוצא דרך הAPI הוא לא ישוב מאובטח. כל מי שיקבל מערכת לאימות הזהות בסך הכל יוכל אחר כך לשמור מאגר ביומטרי נוסף שלו, ואם לכל אחד יש מאגר ביומטרי, לכל אחד יש את טביעת האצבע שלך ואז כל אחד יכול להתממשק ולהזדהות בשמך.

אני לא אומר שזה יקרה מחר בישראל, אבל זה יקרה אם לא נעצור את המאגר.

3 thoughts on “ויש גם API. למה דליפה היא לא העניין.

  1. בישראל יש API למרשם תושבים – זה של ביטוח לאומי
    הוא מאפשר לכל מתכנת (שנרשם ואושר במוסד לביטוח לאומי) להגיש שאילתות עם פרטי אזרח ולקבל אישור אם הם נכונים, ואפילו פרטים מתקנים במידה וחלק קטן מהפרטים שגוי.
    שאילתה שכוללת גם טביעת אצבע בנוסף לפרטי האזרח, ותשובה שהיא "מתאים" או "לא מתאים", היא עקרונית מאותו סוג.
    אם כבר יש לך את נתוני האזרח וכל מה שאתה מקבל הוא אישור אם הכל מתאים או לא, זו לא נראית בעיה של פרטיות או אבטחת נתונים מבחינת המדינה, אלא רק מבחינת המערכת שאספה את הנתונים במקביל למדינה ובודקת את התקינות שלהם.
    אי אפשר לעצור איסוף נתונים פרטי ע"י ביטול המאגר של המדינה. רק את הבדיקה שלהם אפשר לקלקל.

  2. במזל טוב המאגר ההודי נפרץ והודלף השבוע- 180 מיליון טביעות אצבע!!!
    המאגר הוקם במטרה לעזור לבנקים בזיהוי ודאי למניעת גניבת זהות- ועכשיו הפך בן רגע
    מהתרופה למחלה- 180 מיליון קורבנות פוטניציאלים לגניבת זהות בקלי-קלוטו
    בקרוב אצלנו )-:

Comments are closed.