האם יש פרצות במאגר הביומטרי? משרד הפנים כלל לא בדק
התנועה לזכויות דיגיטליות גילתה בדו"ח של רשות המאגר הביומטרי סעיף מטריד, לפיו פיילוט הפרויקט החל ללא סקרי סיכונים או מבחני עמידות. התנועה פנתה לשר הפנים והזהירה: הנתונים שנאספו ממאות אלפי ישראלים אינם מאובטחים
- "משרד הפנים לא מילא אחר הוראות בג"ץ בנוגע לפרסום המאגר הביומטרי"
- מהרחם למחשב: חדר הלידה של המאגר הגנטי הישראלי
- פיילוט המאגר הביומטרי: חצי מהישראלים סירבו להצטרף
המאגר הביומטרי החל את תקופת המבחן בת השנתיים שלו בסוף יוני 2013, ולפי נתוני רשות האוכלוסין וההגירה והרשות לניהול המאגר הביומטרי עד סוף דצמבר הצטרפו אליו קרוב ל-192 אלף ישראלים, מספר שככל הנראה גדל מאז.
ואולם, חרף העובדה שהמאגר מכיל פרטי זיהוי רגישים - טביעות אצבע ותמונות פנים - של רבבות רבות של אזרחים עולה שלמאגר טרם נערכו הבדיקות הראויות על מנת להבטיח את עמידותו לתקיפות מצד גורמים עיונים.
המידע בסוגיה זו הופיע בדו"ח שפרסמה הרשות לניהול המאגר בחודש שעבר, אך רק עתה זוכה לתשומת לב אחרי שזוהה על ידי התנועה לזכויות דיגיטליות, שמובילה את ההתנגדות למאגר. “בהתאם ללשון הצו עומדת רשות האוכלוסין בהנחיות הרשות הממלכתית לאבטחת מידע, התקבלו מלוא האישורים להתחיל בתקופת המבחן והניסוי מבוצע על פי הנהלים הקיימים", נכתב בדו"ח. "כמו כן, בהתאם ללשון הצו והפרוטוקול, בימים אלו נשלמות ההכנות ברשות האוכלוסין לביצוע סקר סיכונים ומבדקי חדירה בלתי תלויים”.
"הנתונים שנאספו אינם שמורים כיאות"
במכתב שנשלח לסער תוקפת התנועה לזכויות דיגיטליות את סעיף זה: “לא מובן כיצד האמור בחלקה הראשון של הפסקה מתיישב עם חלקה השני. רא"ם (הרשות לאבטחת מידע; ע"כ) דורשים ביצוע סקר סיכונים ומבדקי חדירות כתנאי למתן אישור כי המערך נבחן ונמצא עומד ברמת האבטחה הנדרשת. לא די בהשלמת ההכנות לביצוע סקר סיכונים ומבדקי חדירות, אלא נדרש ביצועם בפועל ותיקון ליקויי האבטחה המתגלים. כל עוד לא הסתיימו מבדקי החדירות בהצלחה, לא ניתן לומר כי נתוניהם של האזרחים שהתנדבו לניסוי הביומטרי שמורים כיאות".
"לכן, המשך הניסוי הביומטרי במתכונתו הנוכחית, מהווה סכנה ביטחונית ופגיעה בפרטיות המתנדבים. אנו תוהים כיצד הגורמים המפקחים התירו את המשך הניסוי, מבלי שהמערך הביומטרי יעמוד בתקני האבטחה הנדרשים - תוך הפקרת ביטחונם של אזרחי ישראל”.
מהרשות לניהול המאגר הביומטרי נמסר בתגובה: "מכתבם של נציגי התנועה לזכויות דיגיטליות משקף, פעם נוספת, חוסר הבנה בסיסי ומוחלט בנושא כה חשוב, אשר מוביל אותם, למרבה הצער, להטעיית הציבור. מערכות הרשות לניהול המאגר הביומטרי נבדקו ונבחנו על ידי הגורמים המקצועיים הרלוונטיים טרם עליית הפרויקט לאוויר. הרשות הממלכתית לאבטחת מידע (רא"ם) אישרה את תחילת הפרויקט כולו על סמך בדיקות ובקרות שבוצעו בהתאם לנהלי רא"ם ועל ידי אנשי המקצוע שלה".
"גם לאחר העלייה לאוויר בוצעו סקרים ומבדקים שהסתיימו בהצלחה רבה, ולא העלו כל כשלי אבטחה. בהתאם לנדרש בחקיקה יבוצע סקר סיכונים נוסף, גם במהלך תקופת המבחן. הניסיונות החוזרים ונשנים של קומץ מתנגדי הפרויקט לקשור כותרות של כשלים ברשות לניהול המאגר הביומטרי הינם דמגוגיה לא ראויה ועיוות המציאות ותו לאו. הדוח החצי שנתי שפורסם באופן יזום על ידי רשות האוכלוסין וההגירה והרשות לניהול המאגר הביומטרי, מצביע על מסקנות שונות לחלוטין ממה שהוצג במכתב של התנועה לזכויות דיגיטליות. הדוח מבהיר בצורה שקופה לחלוטין ומפרט נתונים רבים ומעניינים, כאשר בסיכומם מובן הן הצורך במאגר ביומטרי שמשמש כעוגן האמון של התעוד הביומטרי החדש, והן רמת האבטחה הגבוהה שיושמה בו. בסופו של יום אזרחי המדינה מצביעים ברגליהם ומצטרפים לעידן התיעוד הביומטרי החדש, ובכך נהנים משמירה מוגברת על פרטיותם וביטחונם האישי".
בניגוד לנאמר בתגובת הרשות, מהדו"ח שפורסם על ידה עולה, למעשה, שמרבית המבקרים בלשכות האוכלוסין מסרבים להצטרף למאגר הביומטרי, וששיעור תעודות הזהות והדרכונים החכמים שמונפקים עומד על פחות ממחצית מכלל תעודות הזהות והדרכונים שמונפקים.