מרץ 20 2014

המאגר הביומטרי אינו עומד בתקני האבטחה הנדרשים

מאת: בשעה 12:00 נושאים: כללי,פניות רשמיות

התנועה לזכויות דיגיטליות פנתה היום לשר הפנים בשל אי-עמידת המאגר הביומטרי בתקני האבטחה הנדרשים

בהתאם לצו המבחן, הרשות הממלכתית לאבטחת מידע (רא״ם) צריכה לאשר כי המאגר הביומטרי עומד בתקניה לפני תחילת תקופת הניסוי. כדי שהמערך הביומטרי יעמוד בדרישות, רא״ם נדרשת לספק אישור כפול: ראשית, אישור כי התצורה (העקרונית) של המערכת מספקת את רמת האבטחה הנדרשת, ושנית, אישור כי המערך עצמו נבדק ונמצא בטוח – לאחר עריכת סקר סיכונים ולאחר שעמד במבדקי חדירות מקצועיים.

ביולי 2013, הרשות הביומטרית מסרה כי ”[…] רא״ם יבצעו ביקורת לבחינת תשתיות חומרה, תוכנה ותשתיות תקשורת אשר תחל ב-9/7/2013, וכן יבוצעו תרגיל תקיפה על המערכת“. בפברואר 2014, הרשות הביומטרית דיווחה כי ”[…] בימים אלו נשלמות ההכנות ברשות האוכלוסין לביצוע סקר סיכונים ומבדקי חדירה בלתי תלויים“, כלומר, כי בדיקות אלו טרם הושלמו.

במילים אחרות, רא״ם אישרה את תצורת המערכת (עמידה בתקן הפיזי), וכי נערכו סקרי סיכונים ומבדקי חדירות החל מיולי 2013 – אך עד היום, בדיקות אלו טרם הסתיימו בהצלחה. ייתכן כי רא״ם אמנם אישרה עקרונית את תחילת ההנפקה, בכפוף להשלמת סקרי סיכונים ומבדקי חדירות, אך המערך הביומטרי נכשל במבדקים אלו, ועתה הרשות הביומטרית עמלה על תיקון הליקויים. אם כך, רק לאחר סיום תיקון כשלי האבטחה הידועים, ”יושלמו ההכנות“ לביצוע סקרי סיכונים ומבדקי חדירות חוזרים. ורק לאחר שהבדיקות החוזרות יושלמו בהצלחה, יעמוד המערך הביומטרי בהוראות צו המבחן.

ליקויים אלו נותנים יתר-תוקף להנחיית השב״כ, המוסד וארגוני ביטחון נוספים לעובדיהם, שלא להצטרף לניסוי הביומטרי, ומסבירים מדוע לאחר פרסום הדו״ח התקופתי, קיומה של הנחייה זו הותר לפרסום. העובדה כי הרשות הביומטרית מתנהלת מזה זמן-מה ללא מנהל אבטחת מידע, מעלה סימני שאלה נוספים, ומקשה על הרשות הביומטרית לעמוד בדרישות האבטחה ובהנחיות רא״ם.

התנועה לזכויות דיגיטליות פנתה היום (20/03/2014) לשר הפנים, בדרישה כי יורה לרשות הביומטרית למסור לאלתר לוועדה המפקחת דו״ח מלא על תוצאות סקרי הסיכונים ומבדקי החדירות שנערכו לפני כחצי שנה ומאז, בו יפורטו כל הליקויים שהתגלו, לוחות זמנים מחייבים לתיקונם, וכן אמות-מידה ברורות להשהיית הניסוי הביומטרי בשל רמת אבטחה לא מספקת. התנועה ביקשה כי סיכום הממצאים יוגשו לעיון הוועדה המשותפת לוועדת החוקה חוק ומשפט, לוועדת הפנים והגנת הסביבה ולוועדת המדע והטכנולוגיה.


עדכון: הרשות לניהול המאגר הביומטרי נדרשה לשלושה ימים שלמים (נצח במונחים תקשורתיים), כדי להעביר את התגובה הבאה לכלכליסט. לשם הקריאות, הפרדנו בין הרעש והצילצולים (באפור), לבין התגובה הממשית (בשחור).

מכתבם של נציגי התנועה לזכויות דיגיטליות משקף, פעם נוספת, חוסר הבנה בסיסי ומוחלט בנושא כה חשוב, אשר מוביל אותם, למרבה הצער, להטעיית הציבור. מערכות הרשות לניהול המאגר הביומטרי נבדקו ונבחנו על ידי הגורמים המקצועיים הרלוונטיים טרם עליית הפרויקט לאוויר. הרשות הממלכתית לאבטחת מידע (רא״ם) אישרה את תחילת הפרויקט כולו על סמך בדיקות ובקרות שבוצעו בהתאם לנהלי רא״ם ועל ידי אנשי המקצוע שלה.

גם לאחר העלייה לאוויר בוצעו סקרים ומבדקים שהסתיימו בהצלחה רבה, ולא העלו כל כשלי אבטחה. בהתאם לנדרש בחקיקה יבוצע סקר סיכונים נוסף, גם במהלך תקופת המבחן. הניסיונות החוזרים ונשנים של קומץ מתנגדי הפרויקט לקשור כותרות של כשלים ברשות לניהול המאגר הביומטרי הינם דמגוגיה לא ראויה ועיוות המציאות ותו לאו. הדוח החצי שנתי שפורסם באופן יזום על ידי רשות האוכלוסין וההגירה והרשות לניהול המאגר הביומטרי, מצביע על מסקנות שונות לחלוטין ממה שהוצג במכתב של התנועה לזכויות דיגיטליות. הדוח מבהיר בצורה שקופה לחלוטין ומפרט נתונים רבים ומעניינים, כאשר בסיכומם מובן הן הצורך במאגר ביומטרי שמשמש כעוגן האמון של התעוד הביומטרי החדש, והן רמת האבטחה הגבוהה שיושמה בו. בסופו של יום אזרחי המדינה מצביעים ברגליהם ומצטרפים לעידן התיעוד הביומטרי החדש, ובכך נהנים משמירה מוגברת על פרטיותם וביטחונם האישי.

חלקה הראשון של התגובה אינו סותר את הרשום במכתבנו, וחוזר על האמור בסעיף 4.12 של הדו״ח התקופתי. אולם, החלק השני של התגובה אינו מופיע בדו״ח, ולא עומד בקנה אחד עם האמור באותו סעיף:

[4.12] בהתאם ללשון הצו עומדת רשות האוכלוסין בהנחיות הרשות הממלכתית לאבטחת מידע, התקבלו מלוא האישורים להתחיל בתקופת המבחן והניסוי מבוצע על פי הנהלים הקיימים. כמו כן, בהתאם ללשון הצו והפרוטוקול, בימים אלו נשלמות ההכנות ברשות האוכלוסין לביצוע סקר סיכונים ומבדקי חדירה בלתי תלויים.

אנו נמתין בסבלנות, עד שהרשות תואיל להעביר לחברי הוועדה המפקחת את דו״חות הממצאים (דו״חות, שהיא סרבה בתוקף להעביר בעבר). אם לא התגלו ליקויים, אין כל מניעה לפרסם את הדו״חות המוכיחים זאת, לא? רק לאחר שהרשות תעביר את פירוט הממצאים, הוועדה המפקחת תוכל לבחון את מידת הדיוק בתגובת הרשות, ואנו נדרוש כי סיכום הממצאים יובא לידיעת הציבור.


עדכון שני: קיבלנו תגובה רשמית מרשות האוכלוסין וההגירה. הרשות מדגישה כי קיימת ההפרדה מלאה בינה לבין הרשות הביומטרית, וכי רא״ם נתנה את האישורים הנדרשים לשם הפעלת הפרויקט. באופן חריג, היא אינה טוענת כי כל הסקרים והמבדקים הסתיימו בהצלחה מלאה. היעדר ההתייחסות לטענתנו בדבר כישלון המערך הביומטרי במבחנים ובמבדקים, בולט שבעתיים לנוכח ההכחשה (המשתמעת) מהודעת דוברת הרשות הביומטרית.

עדכון שלישי: קיבלנו תגובה רשמית מהרשות הביומטרית. עקב ”אי-בהירות בפנייתנו“, הם ישמחו לשוחח עמנו בנושא.

קובץ מצורף: פניית התנועה לזכויות דיגיטליות לשר הפנים, תגובת רשות האוכלוסין וההגירה, תגובת הרשות לניהול המאגר הביומטרי.

כיסוי תקשורתי: כלכליסט: האם יש פרצות במאגר הביומטרי? משרד הפנים כלל לא בדק

לקריאה נוספת: מאקו: מדוע אוסר המודיעין הישראלי על אנשיו למסור טביעות אצבעות לביומטרי?; הארץ: השב"כ והמוסד אוסרים על עובדיהם להצטרף לניסוי המאגר הביומטרי; חדשות iHLS: גופים ביטחוניים חוששים מהמאגר הביומטרי.

סגור לתגובות על המאגר הביומטרי אינו עומד בתקני האבטחה הנדרשים

התגובות סגורות.