"המאגר הביומטרי חיוני לישראל", קבע דו"ח של רשות המאגר הביומטרי
הרשות פרסמה את הדו"ח לקראת תום הפיילוט שלו, שנמשך בשנתיים האחרונות. ניתוח "כלכליסט" מגלה שהרשות עצמה מציגה בדו"ח אלטרנטיבה פשוטה, וטובה יותר, שתצמצם פגיעה בפרטיותכם. לפי הערכות מומחים, הפיילוט הוא חותמת גומי שנועדה לשמר את קיומה
לקראת תום תקופת הפיילוט בין השנתיים של המאגר הביומטרי פרסמה היום הרשות לניהול המאגר דו"ח מסכם, שקובע חד משמעית שאין בנמצא חלופות טובות יותר למאגר במתכונתו הנוכחית וממליץ להפוך את ההצטרפות אליו לחובה לכלל אזרחי מדינת ישראל.
- המאגר הביומטרי: הישראלים מסרבים לתת את האצבע
- נתוני הלמ"ס: הציבור הישראלי אומר לא למאגר הביומטרי
- המאגר הביומטרי עדיין לא יכול למנוע גניבת זהויות
ואולם, ניתוח "כלכליסט" מעלה שאלות קריטיות לגבי האופן שבו דורגו החלופות השונות ומצביע על כך שבכל הקשור למענה לסוגיה העיקרית שלשמה הוקם המאגר - מניעת הרכשה כפולה - דווקא חלופה נטול מאגר מספקת מענה טוב כמעט כמו המאגר עצמו. למעשה, היא אף שומרת בצורה טובה בהרבה על פרטיות האזרחים. וזאת לפי נתוני הרשות הביומטרית עצמה.
20% זה מספיק
שר הפנים, גלעד ארדן, וראש הרשות לניהול המאגר הביומטרי, גון קמני, הגישו היום לממשלה דו"ח מקיף שמסכם את פעילות המאגר. זאת, לקראת השלמת הפיילוט לבחינת פעילותו שעתיד להסתיים ב-29 ביוני השנה. הדו"ח סוקר בהרחבה את פעילות הרשות והמאגר הביומטרי בתקופת המבחן, דן בחלופות השונות שנבחנו למאגר הביומטרי ובסופו משדר המלצה ברורה: הדרך היחידה למנוע גניבת זהויות (“הרכשה כפולה", בלשון הדו"ח) היא באמצעות המשך הפעלת המאגר הביומטרי במתכונת הנוכחית של תמונת פנים ושתי טביעות אצבע.
לפי נתוני הרשות, נכון ל-15 במרץ שמורים במאגר הביומטרי פרטי של 620 אלף ישראלים שהנפיקו תעודת זהות חכמה, דרכון חכם או שניהם. על סמך נתון זה קשה לשפוט את מיד ההיענות הציבורית למאגר, שכן אין הוא עונה על השאלה כמה ישראלים סרבו להצטרף למאגר ובחרו תחת זאת להנפיק תעודת זהות או דרכון רגילים. ביקשתי מרשות האוכלוסין מידע לגבי המספר הכולל של תעודות שהונפקו, אך עד מועד פרסום הידיעה לא הועבר נתון זה.
בדו"ח החצי שנתי השלישי של הרשות, שפורסם בפברואר ומתייחס לתקופה שבין יולי לדצמבר 2014, נמסר שמתוך 750,733 תעודות זהות ודרכונים שהונפקו בתקופה זו, 31.8% בלבד היו ביומטריות. במילים אחרות: חלק מכריע מהישראלים שהנפיקו תעודה או דרכון חדשים, בסביבות ה-68%, סרבו להצטרף למאגר. שיעור כלל המסרבים כנראה גבוה יותר, שכן הנתון שלעיל לא כולל ישראלים שביקרו בלשכות האוכלוסין שלא במטרה להוציא תעודה חדשה, וסרבו גם אז להצטרף למאגר.
עם זאת, הדו"ח מפברואר מגדיר את שיעור המצטרפים הנמוך כהצלחה, שכן הוא גבוה מהיעד שהוצב לפיילוט: שיעור מצטרפים של 20%. שיעור זה, לדעתי, הינו נמוך עד כדי גיחוך ונראה שנקבע רק על מנת שניתן יהיה לעוברו בקלות ולדווח על הצלחה.
לפי הדו"ח הנוכחי, בתקופת הפעלת הפיילוט נרשמו 113 מקרים שבהם נעצרה ההנפקה מסיבות של אי התאמה בין נתונים ביומטריים של אדם לנתונים שקיימים במאגר מבקשות קודמות שלו ו-20 מקרים שבהם נעצרה הנפקה בגין דימיון בין נתונים ביומטריים של אדם לנתונים של אדם אחר. מקרים אלו עלולים להביא, לדברי הרשות, להרכשה כפולה והם כוללים גם מקרים של "ניסיונות התחזות לצורך קבלת תיעוד במרמה".
ואולם בדו"ח לא נמסר כמה מקרים כאלו היו בפועל. ביקשתי מרשות האוכלוסין לפרט בכמה מקרים מסוג זה מדובר, אך הנתון המבוקש לא הועבר עד למועד פרסום הידיעה. בכל מקרה, גם אם כל המקרים המדוברים היו ניסיונות התחזות פליליים (וסביר שלא זה המצב), עדיין מדובר בשיעור זניח של 0.02% ביחס למספר הישראלים שרשומים במאגר. כלומר, לפי נתוני הרשות עצמה הבעיה העיקרית שמנסה המאגר לפתור - הרכשה כפולה - היא זניחה עד מאוד.
בדיקת אמת או חותמת גומי?
חלק ניכר מהדו"ח המסכם מוקדש לדיון בחלופות השונות שנבדקו לפעילות המאגר. אלו כוללות מאגר של תמונות פנים בלבד או מאגר של טביעות אצבע בלבד, מאגר של תמונת פנים וטביעת אצבע אחת, מאגר המבוסס של שמירת תבניות במקום נתונים גולמיים, מאגר המבוסס על שיטת ההקבצים של חתן פרס טיורינג, פרופ' עדי שמיר (הנתונים לא משוייכים ישירות לאדם, אלא לקבוצה של כמה מאות או אלפי אנשים) ושימוש בתשאול בלבד ללא צורך במאגר מסוג כלשהו.
השיטות השונות דורגו לפי מדדים במשקל משתנה. יכול איתור הרכשה כפולה, שצוינה כמה וכמה פעמים כסיבה העיקרית שבגינה דרוש מאגר ביומטרי קיבלה משקל של 12 נקודות בלבד, זהה למשקל שהוענק ליכולת איתור הזהות הכפולה (כלומר, במקרה שבו זוהתה הרכשה כפולה זיהוי הגורמים שמעורבים בה). מדדים נוספים שנבדקו כוללים מניעת התראות שווא (16 נקודות), מורכבות תפעולית (5), רמת שירות לתושב (6), סיוע למשטרה (5), פרטיות (17) ועלות תקציבית (3). בסיום השקלול הוענק לכל שיטה ציון בסולם של 1 עד 100.
שלא במפתיע, המאגר הביומטרי במתכונתו הנוכחית קיבל את הציון הגבוה ביותר, 80.16, כאשר על הציון הנמוך בתחום הפרטיות (5.36 מתוך 17, הציון הנמוך ביותר מבין החלופות) חיפו ציונים גבוהים במדדים כמו אבטחת מידע (15.56 מתוך 17), יכולת איתור הרכשה כפולה (11.72 מתוך 12), יכולת איתור הזהות הכפולה (12 מתוך 12) ומניעת התראות שווא (16 מתוך 16).
שיטת שמיר קיבלה ציון נמוך של 51.57 עם דירוגים נמוכים בכל המדדים פרט לאבטחת מידע (15.56) ומניעת הרכשה כפולה (11.72). פרט לחלופת המאגר עם תמונת פנים וטביעת אצבע אחת (77.94) או המאגר עם שתי טביעות אצבע בלבד (76.25), כל השיטות האחרות קיבלו ציון קטן מ-66.
הפרטיות שלכם בעדיפות נמוכה
כל החלופות שכוללות מאגר קיבלו דירוג נמוך מאוד (7.82 לכל היותר) במדד הפרטיות. החלופות היחידות שזכו לציונים משביעי רצון, ואפילו מצוינים, במדד הפרטיות הן חלופות התשאול נטולות המאגר שנבחנו. צורת התשאול הנוכחי זכתה לציון פרטיות גבוה במיוחד של 14.03 (יותר מפי 2.5 מאשר המאגר הביומטרי) וחלופת "תשאול מכויל לצו" (כלומר, תשאול מתקדם ועמוק יותר) לציון נאה גם הוא של 13.26. עם זאת, שתי חלופות אלו קיבלו את הציון המשוקלל הנמוך ביותר, 33.86 ו-43.43 בהתאמה.
זאת, בגלל ציונים של אפס מוחלט שקיבלו שתי חלופות התשאול במדדים כמו איתור זהות כפולה, מניעת התראות שווא או מענה למשטרה (מתוך ציון מקסימלי של 5). חלופת התשאול המכויל קיבלה עם זאת ציון גבוה מאוד של 11.4 מתוך 12 במדד איתור הרכשה כפולה (שוב, המדד שצוין כסיבה העיקרית להקמת המאגר), לעומת 0 לחלופת התשאול הנוכחי.
ציון ה-0 במדדי איתור הרכשה כפולה ואיתור הזהות הכפולה ניתן בעקבות טענה שלפיה החלופות המדוברות "לא מאפשרות עמידה בדרישות החוק". כלומר, עולה מהדו"ח שהיכולת של חלופות אלו למנוע גניבת זהות לא נבדקה כלל או נבדקה באופן חלקי, וציון ה-0 ניתן באופן אוטומטי מבלי לבחון את מידת היעילות שלהן. מדד מניעת התראות השווא רלוונטי רק לחלופות שכוללות מאגר כלשהו, ולכן לא הייתה לחלופות התשאול שום אפשרות לקבל בו ציון גבוה מאפס.
לפי הניתוח שלי, המשקל שניתן למדדים השונים, ולכן הציון הסופי שקיבלו החלופות השונות, לא באמת מייצג את החשיבות של מדדים אלו ואת הוואלידיות של החלופות. סוגיית מניעת הרכשות כפולות צוינה בשנתיים האחרונות שוב ושוב כסיבה העיקרית לקיומו של המאגר הביומטרי. “המאגר הביומטרי הוקם במטרה למנוע התחזות וגניבת זהויות", כך לפי אתר הרשות לניהול המאגר.
חרף זאת, המדד הרלוונטי מהווה רק 12% מהציון של כל חלופה, בשעה שלכאורה המשקל שלו צריך להיות גבוה בשיעורים ניכרים. גם המשקל של סוגיית הפרטיות, שהינה ראשונה במעלה, צריך לטעמי להיות גבוה משמעותית מ-17% בלבד. מנגד, מדד כמו איתור זהות כפולה זוכה למשקל יתר שזהה בחשיבותו למדד מניעת הרכשה כפולה, אף שלכאורה מדובר במטרה משנית בלבד. גם מדד מניעת התראות שווא צריך לקבל משקל נמוך הרבה יותר, או אף להימחק לחלוטין, שכן הוא עוסק בסוגיה שאינה רלוונטית לחלופות נטולות מאגר.
מומחי אבטחה: הרשות טועה
מומחים בתחום הסכימו בשיחות עם "כלכליסט" שהנחות אלו לגבי אופן חישוב הציון של החלופות השונות אינן מופרכות ושהן יאפשרו תמונה טובה יותר בכל הקשור לוואלידיות של חלופות נטולות מאגר ביומטרי. על סמך נתוני הרשות ניתן לראות ששינוי של המשקלים בהתאם להנחות שלעיל יעניק לחלופת התשאול המכויל לצו ציון גבוה הרבה יותר, ככל הנראה אף יותר מזה שקיבל המאגר במתכונתו הנוכחית.
"למעשה, הרשות הביומטרית אומרת שהיא לא בדקה את חלופת התשאול בצורה רצינית", אמר ל"כלכליסט" מומחה האבטחה דורון אופק, שעתר לבג"ץ נגד המאגר הביומטרי. "על אף שחלופת התשאול לא נבדקה בצורה רצינית, הנתונים מראים כי חלופת התשאול טובה יותר לאזרחים על פי מדד הפרטיות, וטובה יותר גם על פי מדדים אחרים (מורכבות תפעולית, רמת שירות לאזרח), שאלו הדברים שאמורים להיות חשובים לאזרחים. עם זאת, אנו רואים כי מדדים אחרים זכו לציון 0, דבר שמראה, שוב, כי חלופת התשאול כלל לא נבדקה. נדמה כי בצורה מכוונת מורידים את האפשרות הזאת מעל הפרק, דבר שישפיע ישירות על קבלת ההחלטה בנושא”.
לכל הפחות, הניתוח שלעיל מצביע על הפלואידיות של נתונים מספריים ועל הקלות שבה ניתן לתמרן אותם כדי להגיע למסקנות הרצויות למעבד הנתונים. יש בכך די כדי לעורר ספקנות רבה בכל הנוגע לטענות תומכי המאגר באשר להיותו הפתרון ההגיוני היחיד למניעת גניבת זהות. זאת, במיוחד לאור הכתוב בדו"ח עצמו שלפיו המשקלים השונים נקבעו באמצעות ועדה שבראשה עמד הממונה על היישומים הביומטריים במשרד ראש הממשלה, ולא על ידי גורם אובייקטיבי וחיצוני לחלוטין.
אין זה מפתיע, לפיכך, שהדו"ח מגיע למסקנה שהמאגר הביומטרי במתכונתו הנוכחית הוא החלופה הטובה ביותר. “השילוב של תיעוד ביומטרי חכם שאינו ניתן לזיוף יחד עם שימוש במאגר ביומטרי יאפשר חבילת אבטחה והגנה מלאה על זהות אזרחי מדינת ישראל ויאפשר הנפקת תיעוד בעל רמת מהימנות הולמת למטרותיו", נכתב. "תקופת המבחן וחובותיה בוצעו במלואן ובהצלחה רבה תוך יישום מלא של כל דרישות החוק... תוצאות מבחני הנחיצות והחלופות... מובילים בצורה חד משמעית למסקנה בדבר הצורך ביישום מאגר ביומטרי שיאפשר מניעת התחזות וגניבת זהות ויספק לתיעוד החכם את רמת המהימנות הנדרשת. האפשרות המומלצת במסגרת תום תקופת המבחן הנה החלה של החוק על כלל התושבים במהלך הדרגתי של מספר שנים כפי שיקבע שר הפנים בצו”.
"הבחינה נועדה לשמר את קיום הרשות עצמה"
החלטה בדבר המשך פעילותו של המאגר עתידה להתקבל עד תום תקופת הפיילוט, ב-29 ביוני. החלופות האפשרויות הן הפיכת המאגר הביומטרי לחובה, שהצטרפות אליו תהיה הדרך היחידה להנפיק תעודת זהות או דרכון, החלה הדרגתית והפיכת המאגר לחובה בלו"ז קצוב, הארכת הפיילוט בשנתיים נוספות או פשוט פקיעה על הצו הקיים שתביא בפועל להפסקת פעילות המאגר ומחיקתו לחלוטין עד ה-29 ביוני 2017.
בתנועה לזכויות דיגיטליות, שמובילה את המאבק במאגר הביומטרי, מזהירים עתה ממחטף שיביא להמשך פעילותו של המאגר. "במהלך תקופת הניסוי הרשות הביומטרית איחרה בכל מועד אפשרי להגשת דיווחים, ועשתה ככל שניתן להמנע מדיון על נחיצות המאגר הביומטרי", אמר היועץ המשפטי של התנועה, עו"ד יהונתן קלינגר, בהודעה לעיתונות. "הדו"ח קובע כי המאגר הביומטרי 'נחוץ' כיוון שהוא הפתרון היחיד שעונה על המבחנים שהרשות הביומטרית קבעה לעצמה.
"בחינה לא רצינית, שטוענת כי יש היקף משמעותי של זיופי זהויות ללא ביסוס ממשי למספרים, שטוענת כי שיטת התשאול פותרת 'רק' 95% מזיופי הזהות, וששיטה אחרת אינה טובה דיה כי היא לא תעזור למשטרה, היא בחינה מוטה, שכל מטרתה היא לשמר את חייה של הרשות הביומטרית. שר הפנים, שמכהן בממשלת מעבר, מנסה להעביר מחטף בממשלה ובכנסת בטרם נסתיימו המגעים הקואליציונים. לאחר מינוי הוועדות, ובהתאם לקואליציה שתתגבש, ימונה שר פנים אחר שיכול שיהפוך את ההחלטה. על כן, אנו קוראים לחברי הכנסת להצביע נגד אישור המאגר”.