הרכשה כפולה

הטענה העיקרית שנשמעת בעד הקמת המאגר הביומטרי היא מניעת הרכשה כפולה. אולם פרופ' אלי ביהם טוען ש-99% מהבעיות אפשר למנוע ללא מאגר. מי צודק?

מהי הרכשה כפולה?

הרכשה כפולה היא הנפקת שתי תעודות זהות שונות לאדם אחד. זה קורה אם אדם מתחזה לאדם אחר ומקבל שתי זהויות מהמדינה. (צריך לשים לב שלא מדובר על הבעיה של הנפקת אותה תעודות זהות פעמיים, זה נפתר בלי קשר למאגר, פשוט מבטלים את התעודה הקודמת. מדובר על שתי תעודות עם שני מספרי זהות שונים, שניתנות לאותו אדם עם אותם מזהים ביומטריים).

למה הרכשה כפולה מסוכנת?

נשמעו טענות שהרכשה כפולה מאפשרת הונאות של הביטוח הלאומי. כמו כן חמי פקר מהמל"ל טוען שהרכשה כפולה היא סיכון ביטחוני.

כיצד המאגר אמור להפחית את הסיכוי להרכשה כפולה?

כאשר מתחזה יבקש תעודה זהות שאינה שלו, טביעת האצבע תושווה לטביעת האצבע שכבר קיימת במאגר ולא יספקו לו תעודה (זה כמובן בנתאי שכבר קיימת טביעת אצבע במאגר).
למה בעצם המאגר לא מונע הרכשה כפולה?

פושע יכול בקלות להערים על משרד הפנים למרות המאגר, להתחזות לאחר, ולקבל תעודה. לא אפרט כיצד, אבל זה פשוט.

כיצד ניתן למנוע הרכשה כפולה בלי המאגר?

כמו שיוודאו את זהות האדם בפעם הראשונה כשבא לבקש תעודה, כך ניתן לעשות גם בפעם השניה מבלי להשתמש במאגר. אם גניבת הזהות התבצעה ללא הסכמה של האדם שהתחזו לו, אז הוא ידווח על כך ברגע שיקבל הביתה מכתב שאומר שפג תוקפה של התעודה הקודמת שלו. כדי לפתור את בעיית ההתחזות בהסכמה מספיק מאגר של תמונות באיכות מופחתת (לא ביומטרי), שיסכל התחזות למי שכבר מסר תמונה.  בקשר למקרה הקיצוני של התחזות בהסכמה לאדם שעוד לא ביקש אף פעם תעודה (הרכשה ראשונה), צריך לזכור שהאדם שמתחזים לו לא יקבל תעודת זהות, כך שאפשר לעלות עליו. אם מגיעים למסקנה שצריך עוד הגנות, אפשר לחקור את כל המקרים שחושדים בהם, וזה עדיין יעלה פחות מלהקים מאגר ולהגן עליו (20 מיליון ש"ח בשנה).

אילו בעיות המאגר לא יפתור?

אם שני אנשים מנסים לקבל את אותה זהות (זה לא הרכשה כפולה לפי ההגדרה למעלה), אפשר למנוע את זה גם בלי המאגר. פשוט התעודה האחרונה שמנופקת מבטלת את כל התעודות הקודמות. איך מונעים התחזות? באותה צורה שמונעים התחזות כשמנפיקים בפעם הראשונה תעודה לאדם (שואלים פרטים אישיים או פותחים בחקירה אם יש חשד).

אם מזייפים נתונים בתעודה (כגון גיל), המאגר לא פותר את הבעיה, אלא השבב המאובטח.

אדם יכול להתחזות למי שעוד לא ביקש תעודה, והמאגר לא ימנע זאת, כי עוד אין בו את המידע הביומטרי הנכון. ההתחזות יכולה להיות עוד יותר מתוחכמת (ולא ניתן פה רעיונות), כך שלא ניתן יהיה לתפוס את המתחזה גם אחרי שבעל הזהות ידווח על הגנבה. מנגד, המדינה והאזרחים יהיו שאננים כי יחשבו שהמאגר "מגן" עליהם. (מתקשר לתגובה של ik_5 )

לסיכום

המאגר אינו מונע הרכשה כפולה. פושעים יצליחו בקלות לקבל שתי תעודות למרות המאגר. מנגד, המאגר עולה לאזרח הישר באובדן פרטיות, סכנה ביטחונית של דליפה, שימוש לרעה בידי פקידים, עלות שלמיליוני ש"ח בשנה וכו'.

אם בארזים נפלה שלהבת

קראתי בפוסט של אופק דורון את תגובתו של מנחם, שמביא את דבריו של ראש המלמ"ב בפאנל ב-IDC:

מה חושב המלמ"ב "כשהייתי מחט חטיבת שומרון ב 96 היו בארץ 4 פיגועים שבהם התפצצו המחבלים באוטובוסים ועשרות ישראלים נהרגו. לכל הפיגועים האלה היה משלח אחד שאת זהותו ידענו. צה"ל והשב"כ חיפשו אותו. תוך כדי חיפושים הוא נעצר על ידי משטרת שומרון, בגין עבירת תנועה. הוא הובא למטה המשטרה קיבל דוח תנועה ושוחרר. אם היה מאגר ביוטרי הוא לא היה משוחרר" הציטוט מלא והושמע באוזני.

אבל לו היה קיים מאגר ביומטרי של כלל הישראלים, הפלסטיני הזה לא היה נמצא במאגר! הוא פלסטיני!

המלמ"ב הוא הממונה על הביטחון במשרד הביטחון. למי שלא יודע, זהו תפקיד חשוב מאוד במערכת הביטחון. זה פשוט מזעזע אותי, שהאנשים הבכירים ביותר במערכת הביטחון לא מבינים על מה מדבר חוק המאגר הביומטרי. כמה פעמים צריך לחזור כדי שאנשים יבינו? יש כבר מאגר של פושעים. יש כבר מאגר של עובדים זרים. יש כבר מאגר לשב"כ. "המאגר הביומטרי אינו נחוץ לביטחון המדינה" – חמי פקר, המועצה לביטחון לאומי.

אבל אם בארזים נפלה שלהבת, מה יעשו אזובי הקיר?

מאגר ביומטרי – השוואה לגבי המצב במדינות העולם

ד"ר קרין ברזילי-נהון סוקרת את המאגרים הביומטרים במדינות שונות בעולם. זהו מחקר שערכה לקראת הפאנל שהתקיים בנושא במרכז הבינתחומי בתאריך 12 לאוגוסט 2009. השרוה התחתונה:

"כיום אין אף מדינה מערבית ודמוקרטית שבה יש מאגר מידע ביומטרי ללא הסכמה של כלל אזרחי המדינה או תושביה. ומצב זה לא נוצר במקרה"

שטרית, שקר ואמת

טוקבק (מס' 172) לכתבה ב-ynet , מובא כאן כלשונו:

שטרית: לרשות שדות התעופה מאגר ביומטרי
האמת: אין לרשות שדות התעופה מאגר ביומטרי. למשטרת הגבולות בנתב"ג יש, וזה בכלל של תמונות גב יד שלא יכולות לשמש למעקב או הפללה. מה גם שזה מאגר התנדבותי ולא בכפייה.

שטרית: לצה"ל יש מאגר ביומטרי
האמת: לצה"ל יש טביעות אצבע של חייליו. רוב המאגר אינו ממוחשב. צהל זה לא מדינה דמוקרטית. צה"ל מנוע מלהעביר מידע על חייליו למשטרה. הפרדת רשיות – יש דבר כזה.

שטרית: אנשים נותנים מידע ביומטרי לארה"ב
האמת: בדרכון ביומטרי המידע נמצא על שבב ולא במאגר. מה גם שארה"ב עושה צעדים קיצוניים אלו מתוך פחד מזרים. אזרחי ארה"ב מוגנים על ידי חוקה ואינם אפילו חייבים להוציא תעודת זהות. מאיר שטרית רואה בכל האזרחים חשודים וזו תפיסה אנטי דמוקרטית בלשון המעטה. נקודה נוספת: אנחנו לא חייבים לנסוע לארה"ב – זו רק עוד מדינה שיש לה עבר קשה מאוד בכל הנוגע לזכויות אדם ושווין ושם לפחות האזרחים לומדים מההיסטוריה (עיין ערך מאקרטיזם, שחורים באמריקה, FBI של שנות ה70, ניקסון…) יחי ההבדל הענק.

שטרית: חייבים למנוע זיוף תעודות זהות ורק מאגר ביומטרי יעשה זאת.
האמת: ת.ז חכמה אלקטרונית ללא מידע ביומטרי תמנע 99.9999 אחוז מהזיופים והיא אף יותר בטוחה מתעודה ביומטרית, כי בפריצה שלה אין נזק בלתי הפיך.

שטרית: עשינו את כל המאמצים לשמור על האיזון הפרטיות
האמת: מנכל חברת HP שתייצר את תעודות הזהות הביומטריות ואחראית על מאגרי משרד הפנים, היה בחקירה של הקונגרס האמריקאי, עקב פרשייה של חדירה לפרטיות וניהול מעקב לא חוקי אחר חברי מועצת המנהלים. בכירים בHP נעצרו לרבות המנכ"לית הקודמת בפרשייה זו.

שטרית: רק מאגר ביומטרי יימנע הרכשה כפולה (שני אנשים עם אותה תעודת זהות)
האמת: מאגר אלקטרוני פשוט בשילוב ת.ז חכמה יכול למנוע כפילות זהות בקלות. בין כה וכה במעמד הראשון של הוצאת תעודת זהות יכולה להיות התחזות. במקרה של זיהוי ביומטרי התחזות כזו תיצור נזק בלתי הפיך לאדם הראשון.

שטרית: מאגר ביומטרי יחסוך מיליארדים
האמת: ת.ז חכמה יכולה לחסוך מיליארדים. מאגר ביומטרי יעלה מילירדים לתחזוקה.

שטרית: עשינו את כל המאמצים לשמור על הפרטיות
האמת: שטרית התעקש בוועדה שהמאגר יהיה מטרת החוק ולמשטרה תהיה גישה אליו. למעשה זו הונאה של האזרח, מוציא תעודת זהות אך למעשה מוסר מידע ביולוגי למשטרה, מידע שיכול לשמש למעקב אחריו, ולהפללתו בעתיד.

שטרית: הבאנו את מיטב המומחים
האמת: כל המומחים שהובאו עובדים בחברות שמשווקות מוצרים ביומטריים. כל המומחים האמיתיים, שהיו בוועדה, והיו בלתי תלויים ביניהם פרופ' אלי ביהם, דורון שקמוני, דורון אופק ואחרים -כולם התנגדו להקמת מאגר.

שטרית: המאגר יהיה מאובח.
האמת: זה בכלל לא הנושא. זו הטעייה מכוונת. הנושא הוא לא אם המאגר מאובטח או לא – הנושא הוא -למה צריך מאגר? (רמז, לא ממש צריך)
מה גם שמאגר, כל כך רגיש, שיכול לשמש לאיתור כל ישראלי בעולם יהיה מטרה ראשונה של אוייבים, עסקים גדולים, האקרים ועוד. אי אפשר לתקן את הנזק של הדליפה.

שטרית: יש הרבה מאגרים ביומטריים בעולם ובישראל
האמת: יש מאגרים. אבל לאף מדינה דמוקרטית אין מאגר ביומטרי של כל אזרחיה, ואין מאגר ביומטרי בכפייה למעט במדינות לא דמוקרטיות או בשימוש נגד פושעים. בית המשפט לזכויות אדם באירופה קבע שמדינות אינן רשאיות להחזיק במידע ביומטרי אפילו של חשודים שזוכו, שכן זהו מידע שיכול לשמש נגדם לפגיעה בפרטיות ובחופש הפעולה והמחשבה. בעיני שטרית – כולנו חשודים.

שטרית: הם מדברים שטויות במיץ.
האמת: פרופסורים, עורכי דין, עוזרת היועץ המשפטי, הרשות ללוחמה בטרור, מומחים לממשל, שרים, חברי כנסת ושרים לשעבר, מנהיגים מימין ומשמאל, עיתונאים, פרשנים ועוד – למעשה כל מביני העניין שאינם קשורים קשר ישיר עם שטרית – כולם אמרו "המאגר מסוכן" או מיותר. כולם. אם כולם מדברים שטויות. זו באמת בעיה.

שטרית: מאגר ביומטרי נחוץ לביטחון המדינה
האמת: המאגר יהיה הדבר המסוכן ביותר לביטחון המדינה וליציבותה. אזרחי ישראל יחיו במדינת משטרה על פי מה שכתוב בחוק כרגע, ללא קשר לשימושים עתידיים. כל ביטחון אישי וחופש שיש ברשות האזרח נשלל ממנו במצב כזה. ברגע שהמידע יהיה בידי אוייב, אזרחי ישראל יהיו נתונים לטרור מסוג חדש. טרור המידע ומהמעקב.

הצעתו של עדי שמיר לניוון המאגר הביומטרי

ההצעה של עדי שמיר כפי שפורסמה ב-ynet.

בתמצית, ההצעה מציעה לשמור קבוצות של זהויות מול קבוצות של מידע ביומטרי. כלומר הקישור לא יהיה אחד לאחד אלא מאה למאה.

יתרונות ההצעה:

1. לא ניתן לזהות אנשים באמצעות המאגר. (ניתן לאמת זהות אבל לא לזהות one to many). זה טוב לפרטיות. בעל המאגר יכול לקבל רק קבוצה של מאה זהויות בהינתן טביעת אצבע.

חסרונות ההצעה:

1. אין פיתרון לסכנה לביטחון המדינה. מי שישים ידו על המאגר עדיין יוכל יהיה לדעת מי ישראלי, כי יהיה לו מאגר של כל טביעות האצבעות והפנים של כל הישראלים.

2. אפשר יהיה להשתמש במרשם האוכלוסין, ב-facebook וב-face.com כדי ליצור מאגר זהויות של אחד לאחד. זה אפשרי מפני שהמאגר מכיל תמונות. הממשלה תוכל לעשות את זה, ואחרי שהמאגר ידלוף כל אחד יוכל לעשות את זה. חשוב שהתמונות במאגר ישמרו בנפרד מטביעות האצבע, וגם עם מפתח נפרד של מאה למאה לזהויות.

3. כל העלויות הגבוהות של הקמת ותחזות המאגר נשארות. אם היתרונות לא גדולים, אז למה?

4. זיהוי גופות יהיה קצת יותר קשה כי צריך יהיה לבדוק את כל מאה הזהויות.

5. לא ניתן להוציא אנשים שימותו מהמאגר.

6. פרופ' אלי ביהם אמר בהפגנה שעדיף בלי ביומטריה בכלל. הסיבה היא שכשנתחיל לתת טביעות אצבע בכל מקום, אי אפשר יהיה למנוע הקמת מאגר מקביל, מלא וחשאי, שיש עליו פחות ביקורת. למשל, הבנק יוכל להקים מאגר של האנשים שבאים להזדהות מולו. אותו דבר לגבי המדינה: יש סיכוי, אולי קטן יותר, שהמדינה תקים מאגר מקביל שאין עליו הגבלות.

הערה לגבי HASH: עד כמה שידוע לי (אינני מומחה הצפנה) לא ניתן להשתמש ב-HASH רגיל על מידע ביומטרי (כי מידע  ביומטרי משתנה בכל דגימה). לעומת זאת יש תחום חדש שנקרא Biometric Encryption שמאפשר להצפין כמאה ביטים של מפתח על-ידי מידע ביומטרי, כך שאפשר לשחזר את המפתח רק באמצעות דגימה ביומטרית תואמת מאוחר יותר. אבל יש עם זה שתי בעיות. אחת, זה חדש ולא נוסה בקנה מידה גדול. שתיים, לא בטוח שטביעות אצבע ופנים יספיקו, יכול להיות שיצטרכו תמונת קשתית כדי שהמידע הביומטרי יהיה עשיר יותר, וקשתית זה לא בתוכנית המקורית של משרד הפנים.

השבוע בעיתונות

מדינת ישראל מאפשרת מעבר ודליפת אינפורמציה בין רשויות יותר מכל מדינה אחרת בעולם. – יורם גבאי, לשעבר ממונה על הכנסות המדינה. כתבה בכלכליסט.

נציבת הפרטיות בקנדה מזהירה מפני חוק המאגר הישראלי. כתבה ב ynet.

כתבה של הדיילי מייל: תעודת הזיהוי הביומטרית של בריטניה נפרצה, שונתה וזויפה.

הכתבה של הדיילי מייל מראה שעם או בלי ביומטריה יהיו זייפנים. חשוב לי להוסיף שהעניין הוא, שעם ביומטריה שופטים בבית המשפט יחשבו שהמערכת "לא ניתנת לפריצה" וירשיעו את המופללים. לתופעה זו קוראים "תחושת ביטחון מוטעית" (false sense of security). צריך להבין שלא משנה כמה אבטחה נוסיף, תעודה יכולה להיות רק "כלי תומך החלטה" ולא אמצעי שאפשר להרשיע בגללו אדם מעל לכל ספק. כל ניסיון להגביר את האבטחה צריך שיהיה כדאי כלכלית, וצריך שתהיה סיבה אמיתית שדורשת הגברת האבטחה. כיום יש זיופי ת"ז כי אין שבב דיגיטלי בתעודה, ולא מפני שאין ביומטריה.

שיחה על החוק הביומטרי

א: שמעת שהולכים להעביר חוק שכלנו נצטרך לתת טביעת אצבע ותווי פנים למדינה? זה איום ונורא, יעקבו אחרי כולנו.

ב: אז מה? מי שנכנס לארה"ב צריך כבר היום לתת טביעת אצבע.

א:  אבל ארה"ב לא אוספת טביעות אצבע מאזרחיה, אלא רק מתיירים.  אין כזה מאגר באף מדינה מערבית דמוקרטית.

ב: זה יעזור למלחמה בפשע. 

א: מה הקשר לפשע? יש כבר בישראל מאגר טביעות אצבע של פושעים. למה לקחת מחפים מפשע?

ב: אבל ככה ימצאו פושעים שלמשטרה אין עדיין טביעות אצבע שלהם.

א: הסיכוי שהמשטרה תפענח פשע כזה הוא קטן. מה שיקרה באמת זה שכולנו נהפך לחשודים כל פעם שימצאו טביעת אצבע דומה לשלנו בזירת פשע.

ב: לי אין מה להסתיר. שיאגרו מה שהם רוצים.

א: השלב הבא יהיה שבכל פעם שתרצה לכתוב טוקבק תצטרך להזדהות עם טביעת האצבע. לא תהיה אנונימיות. כל פעם שמצלמה תזהה את הפנים שלך, ישמר תיעוד של איפה היית ועם מי. לממשלה יהיה כלי חזק וזול והיא תשתמש בו כמה שיותר. 

ב: אם זה יעזור להלחם בטרור אז שיעשו מאגר.

א: איך להילחם בטרור? המאגר הוא של ישראלים, לא של פלסטינים.

ב: גם של ערבים ישראלים. המדינה מפסידה היום מיליארד ש"ח בשנה בגלל מתחזים שמרמים את הביטוח הלאומי. המאגר הזה ימנע את זה.

א: לא צריך את המאגר. מה שצריך זה את התעודות החכמות. כבר לפני עשרים שנה היו צריכים לשפר את תעודת הזהות. אבל בשביל זה לא צריך מאגר.

ב: בסך הכל הרווח שלנו יהיה יותר גדול מההפסד.

א: אם מדברים על רווח, אז בוא נלך אחרי הכסף. מי שירוויח זה חברת HP וחברת OTI, שזכו במכרז של משרד הפנים.

ב: יש ועדה של הכנסת שהקשיבה לכל המומחים. אם חברי הכנסת החליטו שלממשלה יהיה את המאגר, אז מבחינתי זה בסדר. 

א: מה שהיה בועדה זה שערוריה. זאת ועדה מיוחדת שהקים ח"כ שטרית והוא היחיד שהצביע בכל דיוני הועדה. הבעיה היא שח"כ שטרית מת להעביר את החוק מאז שהוא היה שר הפנים וחתם על החוזה עם HP. אין פה שום ביקורת של הכנסת כלפי הממשלה.

ב: מה כל כך מפריע לך במאגר?

א: קודם כל הוא ישמש את הממשלה להיכנס לנו לחיים, ואחרי שיפרצו אליו, זה יהיה סכנה לביטחון המדינה. טרוריסטים ברחי העולם יוכלו להשתמש בו כדי לצוד ישראלים ברחוב.

ב: מה פתאום יפרצו אליו? משרד הפנים יגן עליו. 

א: דו"ח מבקר המדינה 2009 קבע שמשרד הפנים התרשל באבטחת מידע ובגלל זה מרשם האוכלוסין כבר דלף. 

ב: זה ישתנה. מקימים שם רשות חדשה וסודית בשביל זה, והאבטחה תהיה ברמה הכי גבוהה.

א: מספיק מרגל אחד כמו ואנונו שהוציא תמונות מהכור האטומי, ונגמר הסיפור. פעם אחת וזהו. אזרחי המדינה לא יוכלו להחליף את טביעות האצבעות שלהם.

ב: עם פרנואידיות כזאת לא היו מקימים אף מאגר בשב"כ ובמוסד.

א: השב"כ והמוסד עוקבים אחרי אויבי המדינה. אני אויב המדינה? למה מלכתחילה לבזבז עשרות מיליוני שקלים בשנה כדי לעקוב אחרי?