הודעה לעיתונות בעקבות פענוח דליפת מרשם האוכלוסין

כבר כמה שנים שמרשם האוכלוסין – הפרטים האישיים של כלל אזרחי ישראל, החיים והמתים – מסתובב לו ברשת. המשטרה טענה כי אין ביכולתה לאתר את מדליף מרשם האוכלוסין. היום הרשות למשפט טכנולוגיה ומידע במשרד המשפטים חשפה כיצד מאגר המידע הרגיש דלף לרשת.

הודעה לעיתונות בעקבות פענוח הדלפת מרשם האוכלוסין

התנועה לזכויות דיגיטליות רואה בפענוח מקרה הדלפת מרשם האוכלוסין הדלקת נורת אזהרה לגביי בטיחותם של מאגר מידע רגישים, ומצרה על כך שהפענוח היה לאחר מעשה ובאיחור של חמש שנים. הפענוח מעלה את השאלה מדוע מערכות האבטחה של משרד הפנים לא התריעו בזמן אמת על הניסיון לשאוב עותק שלם של מאגר המידע הרגיש, והאם באמת הוסקו המסקנות הנדרשות. הפענוח מאשר את הידוע לכל איש אבטחה מידע, והוא כי הסיכון הגדול ביותר למאגרי מידע הוא חריגה שנעשית ע״י אדם שהוא מורשה גישה. לצערנו, הדליפה מוכיחה, שוב, כי מידע, משנאסף, אחת דינו להיחשף.

אנו צופים בדאגה בדהרה של משרד הפנים לעבר מאגר המידע הביומטרי, הכולל מידע רגיש ביותר. מידע ביומטרי לא ניתן להחלפה. לא ניתן להחליף את תווי הפנים, או את טביעת האצבע המורה. היינו רוצים לראות מצד האחראים על מאגר המידע יותר מודעות לדרישות אבטחת המידע המתבקשות מרגישות המאגר. במקום זאת, כל שראינו היא הכחשה גורפת לכך שהייתה כלל דליפה ממשרד הפנים, ומשפטים כוללניים בסגנון „יהיה בסדר“. לדעתנו, הדרך הטובה ביותר להגן על מידע רגיש היא להימנע מאיסופו מלכתחילה. בהעדר פתרון זה, היינו רוצים לראות ניסיון אמיתי לאבטח את המאגר, בתור התחלה ע״י צמצום רשימת מורשי הגישה.

לצערנו, הפיילוט המתוכנן להתחיל בעוד כחודש לא יבחן את רמת אבטחת המחשוב והתקשוב של הפרויקט, או את כדאיותו הביטחונית או הכלכלית, אלא מדדים אמורפיים כמו „שביעות רצון הציבור“, שיבטיחו מראית עין של הצלחה כמעט בכל מקרה. אנו קוראים לציבור להראות את מורת רוחו ע״י סירוב להיכלל במאגר, והתעקשות על הנפקת תעודות נייר מהסוג הישן.

ראו גם כתבתו של עודד ירון, "ההדלפה מוכיחה שצדקנו. המאגר הביומטרי – פצצת זמן".