התנועה לזכויות דיגיטליות מפרסמת דו״ח מומחים על כשלי הרשות הביומטרית

דו״ח המומחים של התנועה לזכויות דיגיטליות:
חשש להשמטת מידע מכוונת וניסיון להטעות את חברי הכנסת והציבור במידע מסולף באשר למאגר הביומטרי

בין המומחים אשר השתתפו בכתיבת הדו״ח פרופ׳ אלי ביהם, צבי דביר, פרופ׳ קרין נהון, דורון שקמוני, דורון אופק ועוה״ד יהונתן קלינגר

התנועה לזכויות דיגיטליות פרסמה היום (יום שני, 15/06/2015) דו״ח מומחים הבוחן את תקופת המבחן של המאגר הביומטרי. הדו״ח מנתח סדרה של סוגיות הקשורות בנחיצות המאגר הביומטרי, תכנונו, בעיות אבטחה ותפוצת מאגרים בעולם. הדו״ח נכתב ע״י קבוצת מומחים בהם פרופ׳ אלי ביהם (הפקולטה למדעי המחשב, מקים מרכז הסייבר, הטכניון), פרופ׳ קרין נהון (אוניברסיטת וושינגטון, המרכז הבינתחומי), צבי דביר (מהנדס אלגוריתמים, יזם היי-טק), דורון שקמוני (מומחה אבטחת מידע וסייבר, חבר ועדת המומחים העולמית של ICANN), דורון אופק (מומחה לאבטחת מידע וסייבר) ועו״ד יהונתן קלינגר (היועמ״ש לתנועה לזכויות דיגיטליות).

במסמך נחשפות שתי בעיות אבטחה חדשות שלא היו ידועות קודם לכן: הראשונה, שימוש בשירותי אירוח עבור אתר התאוששות מאסון, המכיל עותק של המידע הקיים ברשות הביומטרית בחברות חיצוניות. על פי המסמך ”בשנת 2013 הרשות הביומטרית שכרה שירותי (DR) גיבוי מידע למקרי אסון מחברת אינטרנט בינת בע״מ, ובשנת 2014 מחברת בזק בינלאומי בע״מ“.

השניה, התברר כי ברשות הביומטרית אין הפרדה פיזית בן רשתות התקשורת אלא בידול באמעות תוכנה: ”[נמצא] שימוש ברשת פנימית מבודלת ולא מנותקת. בניגוד להצהרות אנשי הרשות אין הפרדה פיזית ’Air Gap‘ אלא בידול לוגי בין הרשתות“.

המסמך מנתח סדרה של טענות שהועלו ע״י הרשות הביומטרית באשר למאגר עצמו:

  • בדיקת הנחיצות: בשנת 2014 התגלו 71 מקרי התחזות וזיוף. המסמך מראה כי 70 מהם ניתן היה למנוע באמצעות תעודה חכמה או ביומטרית, אחד היה נמנע ע״י תשאול מעמיק יותר ואף לא אחד היה נמנע ע״י מאגר ביומטרי.
  • תפוצת מאגרים: הדו״ח מראה כי על פי קיים פער משמעותי בין נתוני הרשות הביומטרית לבין נתונים בלתי תלויים של מרכז המחקר והמידע של הכנסת באשר לתפוצת מאגרים ביומטריים בעולם.
  • תכנון המערכת הביומטרית: המומחים קובעים כי התכנון העקרוני של תצורת המערכת ותצורת המאגר שגוי בכמה היבטים, וכי המאגר נאלץ לתמוך באופן פעולה שאינו מקובל בעולם הביומטריה.
  • בעיות אבטחה: המסמך קובע כי הרשות הביומטרית החלה את ההנפקה במצב של תת הסמכה לפי נהלי תמ״ר, ולא ברור אם היום עומדת בכל נהלי תמ״ר ורא״ם.
  • מבחני דיוק לוקים בחסר: הרשות ערכה מבחני דיוק על מספר זניח של 16,000 רשומות במקום על כלל הרשומות בניסוי.
  • חלופות ומתן ציונים למדדים: הרשות הביומטרית לא בדקה חלופות מקובלות בעולם, ועבור החלופות שנבדקו חלק מהציונים סותרים את ההגיון. הציונים חושבו מחדש עבור כלל החלופות והתוצאות שונות בתכלית.

במכתב המצורף לדו״ח כותבים המומחים כי:

… דו״ח המומחים מנתח ומציג את הכשלים ופערי המידע בדוחות המפורסמים על ידי הרשות הביומטרית, עד כדי חשש להשמטת מידע מכוונת וניסיון שיטתי להטעות את חברי הכנסת ואת הציבור במידע חלקי ומסולף… הרשות לניהול המאגר הביומטרי לא קיימה את חובתה לערוך ניסוי אמיתי, שיציג בפני חברי הכנסת את המידע הנחוץ לשם קבלת החלטה שקולה בדבר נחיצות המאגר הביומטרי. היא אף לא טרחה לבחון ברצינות שיטות חלופיות לקיום דרישות החוק… כבר עתה, ברור כי אין צורך ממשי במאגר ביומטרי. לכן, אין טעם להאריך את תקופת המבחן בשנתיים נוספות. לכן, אנו קוראים לממשלת ישראל ולחברי הכנסת לבטל את המאגר הביומטרי כבר עתה.

במקום המאגר הביומטרי, אנו ממליצים להיענות לדרישת מבקר המדינה הקודם, ולנפק תעודות זהות חכמות. בד בבד, נמליץ לעבות ולשפר את תהליכי התשאול בזמן ההרכשה הראשונית ועוד יותר בזמן הרכשות שניוניות (אבדן תעודות), כפי שנעשה במקומות אחרים, ולבחון את האפשרות להשתמש בשיטה הבלגית, המקשה מאוד על התחזויות בלשכות האוכלוסין.

 
לקריאת הדו״ח המלא: התנועה לזכויות דיגיטליות – דו״ח מומחים

כיסוי תקשורתי:
כלכליסט: ”המאגר הביומטרי כבר נמצא בשרתי חברות פרטיות“
הארץ: דו״ח מומחים: סכנה לדליפת מידע מהמאגר הביומטרי; ”מטעים את המחוקקים ואת הציבור“
מאקו: מומחים לאבטחת מידע: המאגר הביומטרי מיותר, מטעים את הציבור
נענע10: המלצה: לגנוז את פרויקט המאגר הביומטרי ”בהיעדר צורך אמתי ובשל הסיכון לביטחון המדינה“
החיבור: דו״ח מומחים עצמאי קובע: המאגר הביומטרי מיותר
אנשים ומחשבים: ”הרשות לניהול המאגר הביומטרי הטעתה את הציבור ומסרה מידע מסולף“
ערוץ 7: הבטיחו הגנה על המידע הביומטרי. אז הבטיחו.