מלחמת מומחים: התקווה והסכנה שבפרויקט המאגר הביומטרי
האם בכלל צריך מאגר ביומטרי? מה שווה אבטחתו? האם ניתן להדליף ממנו מידע או להטעות את השלטונות בעזרתו? הפגשנו את יורם אורן, היועץ הטכני של רשות המאגר ואת דורון אופק, מומחה מחשוב שהוא ממתנגדיו הגדולים לדיון סוער בנקודות הטעונות ביותר של הפרויקט
פרויקט המאגר הביומטרי הינו מהלך רחב ומורכב מאוד, שהפיילוט שלו החל לאחרונה. אם יוכתר בהצלחה, יחויב כל ישראלי במסירת נתונים ביומטריים לרשות ממשלתית אשר תנפיק עבורו תעודות חכמות למיניהן. ואולם, גורמים מקצועיים רבים סוברים כי מבנה המאגר מהווה איום על פרטיות האזרח ודליפת מידע ממנו עשויה לסייע לעבריינים ואף להפליל חפים מפשע.
כמו בכל סוגיה בעלת חשיבות עמוקה והשלכות על כל אחד ואחת מאזרחי ישראל, ראוי להעמיד את המאגר במרכזו של שיח תקשורתי מעמיק שיתבסס על עובדות וטיעונים מוצקים ולא על סיסמאות נבובות. "כלכליסט" הפגיש שניים מהמומחים הגדולים בתחום האבטחה הביומטרית לדיון סוער בשמונה נקודות עקרוניות. שניהם מחזיקים בידע רב ממקור ראשון על המאגר הביומטרי ותפעולו.
את תומכי המאגר מייצג יורם אורן, מומחה אבטחה בעל שם עולמי שעיסוקו מתן שירותי ייעוץ ותכנון מערכות אבטחת מידע בתחום הביומטריה, שימש כיועץ הטכני של פרויקט תעודות הזהות החכמות והמאגר הביומטרי וליווה מקרוב את השלבים השונים בהקמתו.
את המתנגדים למאגר מייצג דורון אופק, אחד מהעותרים לבג"ץ נגד הקמת המאגר (לצד פרופ' קרין נהון, התנועה לזכויות דיגיטליות והאגודה לזכויות האזרח) ובעל חברה המספקת שירותי תשתית אפליקציות ועוד לגופים פרטיים וציבוריים, בהם צה"ל ומשרדי ממשלה. כאחד המתנגדים הבולטים להקמת המאגר, הוא הקדיש חלק ניכר מזמנו ללמידת וחקירת הנושא.
בפער שבין התשובות שלהם נמצא עתיד הפרטיות של כל אזרחי ישראל. מי מהם צודק? קיראו והחליטו בעצמכם.
1. למה צריך מאגר?
אורן: "תעודות הזהות והדרכונים החכמים הם ברמה שזייפנים לא רוצים להתעסק איתם. אבל איפה הפרצה הבאה? התשובה המתבקשת היא: מה מפריע לי לקבל שני דרכונים ושתי תעודות זהות בשני שמות שנים. המאגר מונע את האפשרות הזו”.
אופק: "השאלה הבסיסית היא מה היקף הבעיה שהמאגר הביומטרי אמור לפתור. לכאורה, צריך את המאגר כדי למנוע 'התחזות כפולה'. אם זאת מכת מדינה, דיינו. אבל מה אם מדובר בתופעה בהיקף זניח? האם גם במקרה זה זה שווה את המחיר של פגיעה בפרטיות, את העלות הכספית הגבוהה לאבטחת וניהול המאגר, את כל הסיכונים הביטחוניים? כדי לבחון את נחיצות המאגר, צריך לאסוף נתוני אמת בדבר היקף עבירות זיוף הזהות, ובמיוחד היקף עבירות של הפקת תיעוד כפול מזויף. רשות האוכלוסין לא בחנה את היקף הזיופים של התחזות כפולה. גם במהלך תקופת הניסוי, רשות האוכלוסין לא מתעתדת לבחון את ההיקף הצפוי של הרכשות כפולות”.
אורן: "אין באמת נתונים על ההיקף, ממספר סיבות. אף אחד לא מתנדב לספר שיש לו יותר מזהות אחת. בנוסף, המשטרה לא מתייגת עבירות זיוף זהות ככאלו, אלא כעבירות רמאות או נוכלות. דורון מתעלם מניהול הסיכונים ומנסה להכניס את הבעיה של מחר לפתרונות של אתמול. כמה אירועים של זיופי זהות יהיו אם לא תבדוק? רמת האמון בתיעוד החדש תהיה הרבה יותר גבוהה. האם נכון לחיות עם הפירצה שמאפשרת לפושע להשיג תיעוד חסין זיופים אך כזה שהושג במרמה?”
אופק: "אני לא מבין את הטיעון 'אין לנו נתונים כי זה פשע'. המשטרה אוספת סטטיסטיקות של פשיעה מסוגים שונים ומשונים, ואם משרד הפנים או רשות האוכלוסין היו דורשים מידע על היקף עבירות הזיוף, כולל פילוג של עבירות של זיוף תעודה ”פשוט“ לעומת זיוף ”תיעוד כפול“, הם היו מקבלים את המידע. המשמעות של תשובת מר אורן היא שהם בונים פתרון יקר ומסובך שפוגע בפרטיות בלי בכלל לדעת אם קיימת בעיה. יכול להיות שכל הבעיה של "הרכשה כפולה" היא בעיה של 10, 20 או 50 איש בכל ישראל. אבל בשביל זה, משרד הפנים הולך לבנות את אחד הדברים היקרים, המסוכנים והפוגעניים ביותר שמדינה יכולה לעשות לאזרחיה. בנוסף, מר אורן מטעה. הוא אומר ש"רמת האמון בתיעוד החדש תהיהי הרבה יותר גבוהה". אני מסכים לזה, אבל זה לא קשור למאגר הביומטרי אלא להיותה של התעודה חכמה ובעלת אמצעי מיגון שונים”.
2. האם נכונה הטענה כי רק ישראל מפעילה מאגר ביומטרי מנדטורי לאזרחים?
אורן: "בצרפת אין תעודות זהות מנדטוריות, אבל בדרכון מפעילים מאגר ביומטרי. לבריטים יש מאגר ביומטרי של פנים בנושא דרכונים. בארה"ב, רישיון הנהיגה הוא המקבילה בפועל לתעודת זהות. שם מפעילים מאגרים ביומטריים ב-36 מדינות, רובם של תמונות פנים. במדינות הגדולות כמו קליפורניה וטקסס יש גם 10 טביעות אצבע. 26 מדינות בארה"ב נותנות גישה לרשויות אכיפת חוק. בשוויץ יש מאגר ביומטרי לכל מי שמקבל דרכון שמחובר לכל משרד ממשלתי. בפינלנד יש מאגר ביומטרי לדרכון ולתעודות זהות. בספרד מאגר לתעודות זהות ולדרכונים. במקסיקו יש מאגרים לתעודות זהות, לדרכונים ולניהול פנקס בוחרים (מזדהים בעת ההצבעה בקלפי). בהודו יש מאגר של 10 אצבעות, פנים וקשתיות העין. המאגר לא חובה, אבל החיים מאוד קשים אם לא מצטרפים אליו. יש שם כבר יותר מ-200 מיליון אזרחים, המאגר הגדול בעולם”.
אופק: "צריך להבחין בין מאגרים וולונטריים לבין מאגרי חובה. הבדיקות שלנו מראות כי במדינות שונות קיימים מאגרים שונים. גם בישראל יש מאגרים ביומטריים (משרד התחבורה, מאגרים לזרים ולפלסטינים). ובכל זאת מדינת ישראל לא שמה אותם על אותו מישור כמו מאגר החובה לאזרחים אותו היא רוצה להקים. כך לא ניתן לשים על אותו מישור חלק מהמאגרים שאורן טוען שקיימים. באירופה, רובם המכריע של המאגרים שהחלו בהקמתם פעילותם הופסקה והקמתם בוטלה, למעט בספרד שבה הנושא נמצא בדיון. כמו כן יש בדיקת התיכנות של מאגר שכזה בהודו ובקניה. כמעט בכל הדוגמאות שהביא אורן המצב השתנה או שמדובר במאגרים וולנטרים. ישראל היא המוקום היחידי שבו מדובר במאגר חובה".
אורן: "לי ידועים דברים אחרים. הייתי אישית בהודו ועשיתי סיור מקיף במאגר שלהם. גם שם ננקטה שיטה וולונטרית, אבל לא תוכל לפתוח חשבון בנק בלי להיות במאגר, לא תוכל להנות מתשלומי רווחה ועוד. באירופה אכן היו מקרים של ירידה ממאגר מרכזי אבל הסיבות היו בדרך כלל תקציביות (אנגליה) או מסחרה פוליטית (הולנד). בשוויץ המאגר לדרכונים אושר במשאל עם. זה שבארצות הברית המאגרים של משרד התחבורה בכל מדינה אינם חובה זה פשוט לא רלוונטי כי חייך יהיו קשים מאד בלי רישיון נהיגה ולכולם (בגיל המתאים) יש כזה. מי שלא כשיר לנהוג מקבל "non-drivers driving license" כי הוא צריך אמצעי זיהוי ביום יום".
אופק: "אני מוכן שחיי יהיו קשים מאוד ובלבד שלא יחייבו אותי. בתשובתו, מאשר מר אורן שהמאגרים הללו אינם מאגרי חובה על פי חוק במדינות השונות. שזה בדיוק מה שאנחנו אמרנו. מר אורן טוען שיש בעיות בדמוקרטיות השונות בעולם: בעיות תקציביות באנגליה (כאילו שאלנו הכסף זורם ברחובות), מסחרה פוליטית בהולנד (כי אצלנו מסחרה פוליטת זה משהו שלא קיים). בהודו יש פחות מארבע מליון אנשים בפיילוט, זה משהו שניתן לקרוא לו בדיקת היתכנות. באנגליה לא ירדו מהמאגר מסיבות כלכליות, אלא עקב התנגדות אזרחית ברורה וקולנית. זה היה אחרי שהם זרקו 4.6 מיליארד ליש״ט על הפרויקט. בנוסף, הייתה להם בעיה עם התשאול הראשוני (איך לזהות שהאדם שבא להוציא תעודה הוא אכן מי שהוא טוען שהוא)”.
3. איך מאובטח המאגר?
אורן: "אבטחת המאגר מתבססת על כמה עקרונות, שרובם מקובעים בחקיקה. המאגר מנותק מהעולם ולא מחובר לרשת. מסלול הכנסת המידע הוא חד-כיווני וברמה הפיסית. למאגר יש ממשקים מאוד צרים. אפשר להציג לו נתונים ביומטרים וזהות, ולשאול האם הם תואמים. המאגר יכול לענות: א. לא מכיר, להכניס למאגר. ב. זו הזהות האמיתית. ג. אני מכיר בזהות אחרת. אין שאילתה כמו 'תן לי את טביעות האצבע של יורם אורן'. שאילתה אפשרית נוספת: 'הנה נתונים ביומטריים, תביא את מספרי הזהות של האדם שהכי דומה להם'. כדי להוסיף עוד שכבת אבטחה, המאגר מכיל מעט מאוד מידע – לא שם, כתובת, דנ"א או תמונת שיניים – רק תמונה, טביעת שתי אצבעות ומספר מזהה שאינו מספר הזהות. אם רוצים להצמיד בין נתון ביומטרי לזהות של מישהו צריך לעבור למערכת אחרת בלתי-תלויה, שנמצאת תחת ניהול רשות האוכלוסין ושלא אותם אנשי IT מתעסקים בה”.
אופק: "אנשי משרד הפנים טוענים שהמאגר מנותק, ובכך לכאורה סותמים את פיו של הציבור בלי להסביר כיצד זה מוגן. עצם ניתוקו של המאגר אינו דרך להגן על המידע ולאבטח אותו. צריכים להיות כלים ושיטות שמופעלים באותו מקום מנותק לכאורה, ועל זה המומחים לא עונים. הטענה שכאילו המאגר הינו חד-כיווני היא טענה שקרית. אילו היה היתה נכונה, מדינת ישראל לא היתה יכולה לעשות במאגר את השימושים שהיא טוענת שהיא תעשה בו".
אין זה משנה אם המספר שמוצמד למידע הביומטרי הוא מספר תעודת הזהות או מספר אחר - המספר הזה הוא הקשר שבין המידע הביומטרי למידע המזהה. אם נצלם את מר אורן בהפגנה, ניקח את הצילום ונפנה איתו לרשות הביומטרית, הרשות תמצא את הצילום ותספק שני אינדיקטורים. האחד הוא שהאדם קיים במאגר והשני הוא מספר מזהה שצמוד לתמונה. את המספר המזהה נריץ במערכת אביב (שדלפה לרשת) ונקבל את שאר הפרטים על מר אורן”.
אורן: "המאגר מסווג כ'סודי ביותר', ולכן הפרטים הטכניים של אבטחתו אינם מפורסמים. בכל מקרה המנגנונים שמופעלים מאושרים ומקובלים על הרשות הממלכתית לאבטחת מידע (רא”ם, המסונפת לשב”כ). זה שדורון לא מכיר את זה עדיין לא אומר שלא נעשתה שם עבודה טובה. התהליך החד כיווני אושר על ידי רא"ם כך שלהגדיר את זה "טענה שקרית" זה ממש ללא בסיס. מערכת 'אביב' (מרשם האוכלוסין) מעולם לא דלפה לרשת. יש שתי 'בועות' מופרדות של המערכת, אחת היא המרשם המלא, והשנייה היא לטובת כל אותם גורמים שהחוק מתיר להם או מחייב אותם לגשת למידע הזה. אותם גורמים רואים נגזרת קטנה של המרשם והדליפה הייתה מגורם שכזה (עובד קבלן במשרד הרווחה; ע"כ) ולא ממשרד הפנים, אבל את מי זה מעניין?”
אופק: "מר אורן מודה שהוא זורק חול בעיני הציבור. ראשית הוא אומר שהכול מנותק וכאשר מעמתים אותו עם הטיעון הזה הוא משנה טקטיקה וטוען שזה 'סודי ביותר'. אגב, מר אורן לא טורח לספר שהשב"כ אסר על עובדיו להצטרף לפיילוט. לגבי ההליך החד כיווני, תקשורת מחשבים, פרוטוקול TCP, לעולם יהיו דו כיווניים. פשוט אין אפשרות אחרת. בסיסי נתונים, מערכות הפעלה, ושאר תקשורת המידע עובדים עם הפרוטוקול הזה בצורה סדירה. בנוגע לדליפת מערכת 'אביב', צר לי אך אינני יודע היכן חיים אנשי משרד הפנים ובאיזו בועה הם מבלים את חייהם. מרשם האוכלוסין דלף לרשת. הדבר ידוע לכל ובית המשפט שפט אדם על כך. האם אנשי משרד הפנים ממשיכים לטעון שרק הם יודעים הכול?”
4. איך מתבצע איסוף הנתונים הביומטריים והעברתם למאגר?
אורן: "בנקודת האיסוף הנתונים מרוכזים בקובץ חתום בעל הצפנה א-סימטרית. המידע נשלח למאגר, שרק שם אפשר לפענח את ההצפנה. המידע נמחק מידית ממקום האיסוף עם ההעברה למאגר. עמדת הפקיד לא יודעת לפענח את ההצפנה. הרשת באמצעותה מועבר המידע מוגנת עם מצפנות על כל קווי התקשורת עם קווי VPN. כדי להגיע למידע הביוטמרי צריך לשבת שם בעת הצילום, במיקרו שניות לפני שהמידע מוצפן ומועבר למחשב”.
אופק: "אורן פותח את תשובתו במילים 'בנקודת האיסוף', ודי מהר ממשיך הלאה. אני בוחר להתעכב עליהן. אותה נקודת איסוף היא המחשב של פקיד משרד הפנים. אותו מחשב מחובר לרשת המשרדית אליה מחוברים מאות מחשבים. כל זה על תשתית ציבורית IPVPN של בזק (לא תשתית פרטית שמשרד הפנים רכש, אלא קווים רגילים שעליהם גם עובר האינטרנט שלנו). לרשת ניגשים מדי יום עשרות אלפי אנשים: אנשי משרד הפנים בלשכות וברשות השונות (האוכלוסין, הביומטרית) ועוד אלפי ספקים, טכנאים ואנשי תקשורת. גם אני, אם אגיע למשרד הפנים ואחבר רכיב בגודל של קופסת סיגריות, אוכל ולהתחבר לרשת הזו עם המחשב הנייד שלי .
על הרשת זו עוברים הנתונים הביומטריים. כל אחד יכול להקליט את התקשורת, ובהמשך לנסות לעשות בה שימוש. המידע נשאר ברשת למשך פרק זמן של מספר ימים, עד לאחר הנפקת התעודה, ורק אז נמחק. מבחינת האקר, זה נפלא. יש זמן שבו אפשר לקחת את המידע בנחת”.
אורן: "התיאור של דורון איננו מתאים למציאות. כל קווי התקשורת מוצפנים היטב, עם אמצעים שרא"ם אישרו ויש ניטור שוטף של הרשת. זה שדורון לא מכיר את מבנה הרשת ומה מופעל בה לא נותן לו אפשרות לקבוע קטגורית שהכל שם לא תקין. אכן יש שמירה של נתונים מוצפנים למספר ימים עד שהדרכון או תעודת הזהות הונפקו ונבדקו. אם דורון יודע לטפל בהצפנה הזו (שתוכננה על ידי בכירי המתמטיקאים של מערכת הביטחון) אני עוזב הכל ונכנס איתו לשותפות על זה”.
אופק: "מר אורן טוען שהכל מוצפן וכלל לא עונה למה שאני כתבתי. מדובר בקווי IPVPN שכל אחד יכול לרכוש מבזק ושמעבירים את המידע על הרשת הציבורית. באותה נשימה הוא מציין שאני צודק לגבי שמירת נתונים על הרשת למספר ימים, אך טורח לציין שהם מוצפנים. הייתי שמח להזמין את מר אורן לאחד הקורסים שאני עושה מעת לעת באוניברסיטה, שם הוא היה יכול לראות ביחד עם הסטודנטים שיש מגוון של דברים שניתן לעשות עם מידע, גם כאשר הוא מוצפן”.
5. האם עובד של הרשות לניהול המאגר הביומטרי יכול להדליף את המאגר?
אורן: "הסיכון המהותי הוא הסיכון מבפנים, אבל יש כלים להתמודד איתו. המאגר מנוהל ברמה של סודי ביותר, וזה מקובע בחקיקה. זה כולל סינון ביטחוני מעמיק לאנשים שם, וסדרה של אמצעי ניטור ובקרה. יש מאגרים ביומטריים (למשל, מאגר טביעות האצבע של משרד הרווחה; ע"כ) שמנוהלים בלי שום הסדרה חוקית ובלי פיקוח. ומצד שני יש מאגר שעליו שמו הרבה חומות שמקובועות ברמה של חקיקה. האם זה נותן 100% אבטחה? לא. האם זה עונה לצורך? בעיני כן. העבודה במאגר היא ברובה אוטומטית (למשל, הזנה מידע שהתקבל, וקבלת מענה מתאים/לא מתאים). עובד לא יכול לדפדף ולעלות רשומה אחרי רשומה. עובד גם לא יכול להדליף את המאגר בכוחות עצמו. הוא יכול רק לגשת למידע מוצפן לא מספיק שיתנו לך את הקבצים של הדאטה בייס, צריך גם מפתחות צופן ומידע נוסף. זה קואליציה של כמה גורמים בעלי כוונות זדון, שיש סבירות נמוכה שיצליחו”.
אופק: "כלומר, אנחנו צריכים לקוות שהתוקף יעובד לפי הנהלים. אמרו דברים דומים על מרשם האוכלוסין והוא דלף הרבה פעמים. אורן צודק לגבי המאגרי הביומטריים האחרים, וצריך חוק נגדם. אם המאגר לא נותן 100% אבטחה, זה אומר שאפשר להדליף "רק" את פרטיהם של יורם אורן ובני משפחתו? הוא שואל אם זה עונה לצורך. לאיזה צורך בדיוק?”
אורן: "הנחת יסוד היא תמיד שתוקף לא משחק לפי הכללים. להשוות מערכת בסיווג 'בלמ"ס' (מרשם האוכלוסין; ע"כ) למערכת בסיווג 'סודי ביותר' זה לא לעניין ולא רציני. הנהלים למערכות 'סודי ביותר' אינם פומביים ואינם ניתנים לפרסום, אז ראוי לשאול ולא לקבוע קטגורית כמו שדורון עושה. בעבר ביקשנו מרא"ם להציג את הדברים מול קבוצה מצומצמת של אנשי מקצוע אבל הם פסלו את זה בגלל השלכות הרוחב של החשיפה. התמונות שלי, של אשתי ושל שתי בנותיי נמצאות אצל האמריקאים, כולל דגימות של עשר טביעות אצבע של כולנו. כנראה שזה ממש לא בעיה בשבילי. גם חלק נכבד מהמתנגדים היו בארצות הברית ולא הייתה להם בעיה עם זה”.
6. האם ניתן "לעבוד" על המאגר ולהנפיק תעודה תחת זהות בדויה?
אורן: "יש שתי דרכים שבהן יכול פושע להוציא זהות בדויה גם עם המאגר: התחזות למישהו שידוע בוודאות שלא יגיע (למשל, חצי מיליון איש שלא גרים כאן אבל מופיעים במרשם האוכלוסין), או להגיע לפני שבעל הזהות האמיתי מספיק להצטרף למאגר. מבחינת הפושע, זה שהוא צריך לוותר על זהותו האמיתית זה דבר כבד, לא מדובר במשהו טריוויאלי. מנגד, אתה אולי לא תדע מה השם שלו, אבל אתה תדע שיש לו זהות אחת ומהן טביעות האצבע והפנים שלו. המאגר מונע זהויות כפולות. האם זה 100% חסין? זה לא, אבל אין שום מדינה שמצליחה להגיע ל-100%”.
אופק: "אי אפשר להגיע ל-100%. אבל המצב היום הוא לא 0%. יכול להיות שבשורה התחתונה התועלת תהיה שיפור מ-99.2% ל-99.4%? משתמע מזה שלפרטיות שלנו יש מחיר (לא ממש גבוה). הוויכוח על המחיר המדויק הוא משני. וזה בהנחה שהפושע לא מגיע לתחנת ההרכשה עם מדבקות אצבע עליהן מוטבעות טביעות אצבע של אדם זר לחלוטין. צריך להזכיר איך מנחם גולן הצליח לעבוד על מערכת הדיגום הביומטרית בנתב"ג".
אורן: "מקרה מנחם גולן איננו רלוונטי כי הוא לא 'עבד' על המערכת הביומטרית שם (בתו הזדהתה מול המערכת והעבירה לו את פתקית אישור היציאה שיש למסור לאיש הביטחון בנקודות המעבר; ע"כ), ובכל מקרה היא איננה מבוססת על טביעות אצבע. האמת, כמו תמיד, היא בפרטים הקטנים.
אופק: "האמת היא שמר אורן מתייחס כל פעם לנקודות שנוחות לו, ורק אליהן, בצורה נקודתית וצרה. חלק מהטענה שלנו היא שהפרויקט הזה צריך להיבחן במאקרו ולא רק במיקרו, שיש לו השלכות רחבות ויש לא מעט רכיבים. בכל פעם שמוצאים בעיה או חור אבטחה, מיד המערכת טוענת 'זה לא במאגר זה בגורם X'. כשהפרטיות שלנו תידלוף או תיפגע, או אם ייעשה בה שימוש לא ראוי, זה לא באמת משנה לנו אם זה שייך לרא"ם, למשרד הפנים, למערך ההנפקה או לפרוייקט ממיל"א”.
7. אחת הטענות שמועלות נגד המאגר היא שהוא אינו עומד בתקן ISO 24745 שמסדיר את הפעילות של מאגרים ביומטריים.
אורן: "תקן ISO הוא תקן בינלאומי בדרגה הכי גבוהה שאפשר. אלו בדרך כלל תקנים מאוד פרקטיים. אבל פה הייתה להם התחלקות. שמו תקן שהוא קצת חזון. במקרים אחרים נעשה במאגר הרבה יותר ממה שהתקן דורש".
אופק: "אורן שם עצמו לשופט. לא היתה לכותבי התקן שום התחלקות. התקן מדויק, אמין, נכתב על ידי אנשים מהשורה הראשונה בעולם, נבדק על ידי עמיתיהם ואומץ על ידי ארגוני התקינה. אך יש בעיה אחת קטנה: הוא אומר שאסור לעשות את מה שמשרד הפנים עושה. לכן נטען שהייתה התחלקות. יש מספר סעיפים בתקן בעלי חשיבות מיוחדת בתחום השמירה על הפרטיות. יש סעיף שמנחה לשמור מידע ביומטרי בצורה שלא ניתן ליצור ממנה את הדגימה המקורית; סעיף אחר מורה על שמירה בצורה בה לא ניתן להגיע מהמידע הביומטרי למידע פרטי אחר.הדברים הללו ואחרים לא קיימים במאגר והם אף סותרים את התכנון שלו”.
אורן: "אם דורון מכיר מוצר מסחרי שעושה את מה שכתוב שם ונבחן כבר בפרויקטים בהיקף גדול - הוא מוזמן להצביע עליו. אני מכיר את התקן מזמן וגם מכיר חלק מהמעורבים בכתיבתו. אני עומד על דעתי בנושא”.
אופק: "זה יפה שמר אורן מתהדר בהיכרות עם חלק מכותבי התקן. אגב, אחת מכותבות התקן העבירה בזמנו מכתב למדינת ישראל שלפיו יש להימנע מיישום של המאגר הביומטרי כפי שהוא מתוכנן בחוק. אין מוצר מסחרי שנבחן בפרויקט גדול כי אין פרויקטים כאלו שכן שמדינות שונות נסוגו מהתוכניות שלהן בנושא".
8. אחת מהאפשרויות שמצוינת בתקן היא להמיר את המידע הביומטרי הגולמי לתבנית קבועה וייחודית שתאפשר זיהוי של האדם, אך בלי לשמור את המידע הרגיש עצמו. מדוע אופציה זו לא יושמה במאגר?
אורן: "המעבר הזה הוא הגביע הקדוש של הביומטריה. משהו שלא קיים במציאות. למה? כי מידע ביומטרי הוא ביטים שמשתנים כל הזמן. פעם שמת את האצבע ככה, פעם אחרת. הדרך להוציא ממידע ביומטרי משתנה בביטים קבועים יכולה לעבוד באוכלוסיות מאוד קטנות, אבל לא כשמדובר על אוכלוסיה גדולה. טביעות אצבע אפשר לסווג למשפחות (לופ ימינה, לופ שמאלה וכו') אבל זה סיווג לא מספיק טוב כדי לזהות. אי אפשר לקחת נתונים ביומטריים ולגרום להם להיות מספיק הדירים (חוזרים על עצמם) כדי שהשיטה הזו תעבוד. זה תיאורטי, אין פתרון מעשי בשוק. אין לזה תקדים בפרויקט אחר בהיקפים לאומיים”.
אופק: "האם זה תיאורטי? ראשית, יש תקן. שנית, יש עבודות מחקריות רבות במיצוי חתימה מאפיינת (תבנית) מתוך נתונים 'אמורפיים' כמו טביעות אצבע או תמונת פנים. האם זה מעשי? בשביל זה נקבעה בחוק תקופת הניסוי, בה על רשות האוכלוסין לבחון חלופות למאגר. שמירת תבניות במקום נתונים ביומטריים מלאים היא בברור חלופה שיש לבחון. אבל חתימה מאפיינת אינה מאפשרת זיהוי חד-חד-ערכי של אדם באמצעות טביעת האצבע, ולכן מנוגדת לתורת ההפעלה של הלוט"ר, לפיה "על המדינה לספק זיהוי חד-חד-ערכי לאזרחיה ולתושביה".
אורן: "אם דורון מכיר מוצר כזה אשמח לשמוע. אני מכיר מחקרים כאלו מ-2004 ואפילו קודם. אין בזה ממש ואנחנו לא שם. אגב, המרת דגימה ביומטרית משתנה למידע קבוע ויציב היא גם חרב פיפיות, כי במקום מספר שעות לחיפוש זהות במאגר גדול, הזמן מצטמצם למספר שניות לכל היותר. בעיה נוספת מעולם המידענות: אם 'מסתערים' על תיבת החיפוש של גוגל עם כמה מילות מפתח עולות תמיד תוצאות. האם הן רלוונטיות תמיד? בהחלט לא.
אופק: "אם מר אורן טוען שיש בעיה, ואני מבין שהוא טוען כך, הרי שצריך לעצור את הפרויקט. מצד אחד הוא אומר שזה בעייתי, מצד שנ כל מומחי הפרטיות בעולם (ובכלל זה כותבי התקן) מדברים על בעיה גדולה בפרטיות שיוצרת השיטה שמנסים ליישם אצלנו. אפילו אם לא הייתי אזרח ישראלי, הייתי חושב שיש כאן משהו לא נורמלי ושיש לעצור מיד את הפרויקט”.