האם המערך הביומטרי עומד בתקני האבטחה הנדרשים?

האם המערך הביומטרי עומד בתקני האבטחה הנדרשים?

התנועה לזכויות דיגיטליות פנתה היום לשר הפנים ולשרת המשפטים בדרישה לשהות את הניסוי הביומטרי, וזאת בשל חשש ממשי כי הניסוי החל מבלי שהתקבלו האישורים כי כלל המערכים המקשורים עומדים בדרישות האבטחה הנדרשות לפי חוק.

סעיף 10א(א) לצו הניסוי קובע כי

רשות האוכלוסין והרשות [לניהול המאגר הביומטרי] יוודאו טרם תחילת תקופת המבחן כי כל מערכי הטכנולוגיה, התפעול והמערך הביומטרי למימוש מטרות תקופת המבחן עומדים בתקנים וברמת האבטחה של הרשות הממלכתית לאבטחת מידע במשרד ראש הממשלה ושל נוהלי רשות האוכלוסין והרשות.

דהיינו, הצו מטיל על הרשות לניהול המאגר הביומטרי ועל רשות האוכלוסין את החובה לוודא את עמידת כלל המערכים בתקני האבטחה של רא״ם טרם מועד תחילת הניסוי. לא די שהמערך הביומטרי לבדו יעמוד בתקנים המחמירים, אלא נדרש כי גם מערכי העזר – הטכנולוגי והתפעולי – יעמדו בתקנים המחמירים. זאת מכיוון שכשלי אבטחה במערכי העזר מקרינים על רמת האבטחה של המערך הביומטרי בכללותו.

המערך הביומטרי מקושר לשתי מערכות מחשוב טכנולוגיות (מערכת ממיל״א ומערכת אביב), והמערך התפעולי מתבסס על הרשת הפנימית של מנהל האוכלוסין. הניסוי הביומטרי החל ביום 08/07/2013, אך שבוע קודם לכן פורסמו מסמכים המעלים ספק רב אם כלל המערכים אכן עומדים בדרישות הצו (ראו: צינור לילה, הארץ, מאקו נקסטר, אנשים ומחשבים, הבלוג של דורון אופק). מהמסמכים עולה חשש ממשי, כי על־אף החובה החוקית לוודא לפני תחילת הניסוי את עמידת כלל המערכים בתקני האבטחה המחמירים, הניסוי החל טרם הסתיימו הבדיקות הנדרשות, וממילא הליקויים שהתגלו בבדיקות שנערכו, ככל שנערכו, טרם תוקנו – וזאת בניגוד לצו ולנהלים הרלוונטיים.

התנועה לזכויות דיגיטליות פנתה לשר הפנים ולשרת המשפטים בדרישה להורות על השהייה מיידית של המשך הניסוי הביומטרי, וזאת עד שהרשות לניהול המאגר הביומטרי ורשות האוכלוסין יעמדו בחובות המוטלות עליהן בהתאם לצו: דהיינו, כי יתקבל אישור מטעם רא״ם בדבר עמידת כלל המערכים – ובכללם המערכים הטכנולוגיים והתפעוליים הנלווים – בתקנים וברמת האבטחה הנדרשת לפי נהליה, וכי כל הליקויים אשר התגלו בבדיקות שנערכו בשבועות האחרונים, תוקנו לשביעות רצונה, טרם תחילת הניסוי.
 

עדכון (14/08/2013): רבקי דב״ש, ראש רמו״ט (בפועל) ענתה כי החובה לבחון ולאשר כי הפרויקט הביומטרי עומד ברמת אבטחת המידע הנדרשת נתונה בידי גורמים ברשות האוכלוסין, ולכן יש להמתין למתן תשובה משר הפנים האמון על ביצוע הוראות החקיקה בעניין זה.

עדכון (28/08/2013): יוגב שמני, מנהל אגף מערכות מידע ברשות האוכלוסין וההגירה, טען בתגובה כי כל הטענות בדבר ליקויים ”לכאורה“ שהעלנו במכתבנו אינן מבוססות, ”ואף מדגישות [את] חוסר [ה]הבנה [שלנו] לגבי יישום חוק הביומטריה (התש״ע 2009) בכלל, ו[את] חשיבותם של היבטי אבטחת המידע בפרט“.

קובץ מצורף: פניית התנועה לזכויות דיגיטליות; מכתב תשובה מאת רבקי דב״ש; מכתב תשובה מאת יוגב שמני.