מי מפחד מהמאגר הביומטרי?

החל משבוע שעבר, כל תושב במדינת ישראל יכול לגשת לכל אחת מלשכות האוכלוסין, למסור טביעות אצבע, להצטלם במצלמה דיגיטלית ולבחור אם להנפיק תעודת זהות חכמה במסגרת ניסוי. בעוד קצת פחות משנתיים יסתיים הניסוי. המדינה תחליט אם להמשיך ולשמור את טביעות האצבעות ותמונות פהנים של כולם במאגר מרכזי, או להשמיד את המאגר שקם בימים אלה. אז פרטים אלה יישמרו רק על גבי תעודות ודרכונים חכמים שיונפקו לתושבים ויחליפו את התעודות הישנות. בשלב זה של הניסוי, רק מי שרוצה בכך מצטרף למאגר הביומטרי ומקבל תעודה חכמה, אך מי שמעדיף שלא להצטרף, יכול להנפיק תעודה רגילה בלי למסור פרטים אלה, ובלי להיות במאגר.

נושא המאגר הביומטרי מעורר מחלוקת זה מספר שנים מאז שהוצג כהעצת חוק. התומכים אומרים כי יש להקים מאגר לשם מניעת התחזות והנפקת שתי תעודות לאדם אחד ובשביל להקל על תהליך הזיהוי במקרה של אובדן או גניבה. המתנגדים אומרים כי המאגר מיותר, פוגע בפרטיות, וכי קיימת סכנה שידלוף. לפני כשבועיים התארחה פאינה קירשנבאום ב-ynet וענתה לחלק משאלות הגולשים בנודע למאגר והבטיחה כי הוא מוגן ברמה הגבוהה ביותר. אך המתנגדים לא הגיעו על סיפוקם.

(צילום: אהוד קינן)

המתנגדים משיבים

הבוקר (א') התארח פרופסור אלי ביהם, מומחה לקריפטוגרפיה ודיקן הפקולטה למדעי המחשב בטכניון, ענה לשאלות הגולשים אף הוא, והסביר את עמדתם של המתנגדים למאגר. הנה מבחר חלקי מהתשובות שנתן.

ביהם: אי אפשר להתחיל פורום שכזה בלי לומר כמה מילים החוק הביומטרי: כפי שהחוק קובע, שימושי המאגר הביומטרי יהיו לשני צרכים עיקריים- הראשון לזיהוי אדם בביקורו ברשות האוכלוסין והשני, לזיהוי אדם על ידי המשטרה. בנוסף, מותר גם לרשויות ביטחון להשתמש במאגר באופן שאינו מוגדר בחוק. לכן ברור שהשימוש בטביעת האצבע השמורה בתעודה יהיה נדיר, וההשקה הכרוכה ביצירת תעודות זהות ביומטריות, אינה שווה את הרווח שאמור להיווצר מאיסוף טביעות האצבע.

כל שימוש אחר יעשה על ידי שימוש בחלק הלא- אלקטרוני שבתעודה, כלומר, בהדפסה שעל גבי הפלסטיק בצורה הפשוטה בה אליה אנו רגילים היום- מבט בתעודה והשוואה לאדם המחזיק בה. מכאן, שכאשר נלך לפתוח חשבון בנק, לא נשתמש ביכולות הביומטריות של התעודה. וכאשר נשתמש בתעודה לזיהוי בכל מקום אחר, ברכישת דירה, נטילת הלוואות ועוד, לא נעשה שימוש ביכולות של התעודה. מכך אנו מבינים שכל אותם הסברים של משרד הפנים, המסביר לנו כי התעודה תמנע זיוף זהות וזיוף תעודות אינו רלוונטי למציאות.

אביתר: מה כל כך מסוכן במאגר הביומטרי שאתה מתנגד לו?

ביהם: למאגר הביומטרי סכנות רבות: הסכנה הגדולה ביותר היא הסיכון לדליפה מלאה שלו, כפי שדלף מרשם האוכלוסין מספר רב של פעמים. במקרה של דליפה, כל תביעות האצבע של אזרחי ישראל ידלפו, ויוכלו לשמש פושעים להתחזות אלינו, וגם מדינות זרות לזיהוי ישראלים (למשל, חשבו על מקרה דובאי), שלא להזכיר בכלל איך המאגר יכול לשמש ארגוני טרור.

אבל לא פחות חשוב, החוק מתיר לכל שוטר ברחוב לבקש את פרטיו של אדם, על פי טביעת האצבע שלו. הדבר נועד לזיהוי אדם המסרב להזדהות כלפי השוטר, אבל בפועל יכול לשמש ארגוני פשיעה וחוקרים פרטיים כדי לזהות אנשים על פי טביעת האצבע שלהם -- כפי שהיום הם נגשים למאגרי מס הכנסה, ביטוח לאומי, חשבונות בנק ומידע מקופות חולים.  מכאן ברור שהסיכון בהקמת המאגר גבוה, בעוד, שכפי שהסברתי במבוא, התועלת שהמדינה מקווה להרוויח ממנו -- נמוכה בהרבה.

לא המאגר היחיד

חתוכה: גם ככה יש מאגררים. מה זה משנה?

ביהם: יש מגוון רחב של מאגרי מידע המשמשים את הרשויות והאירגונים השונים במדינה, כגון בנקים, קופות חולים, מס הכנסה ועוד. מאגרי מידע אלה הינם חיוניים לתפקוד השוטף של אותם אירגונים לטובת הציבור וכמובן שחובה על אותן אירגונים להגן עליהם ככל יכולתם. אבל אלה מאגרים שבאמת צריך אותם.

אולם במקרה של המאגר הביומטרי, מדובר במאגר שריווחו קטן מהפסדו וסיכוניו גדולים. אין בו צורך אמיתי, ואפילו שר הפנים לשעבר, רוני בראון, אמר ברבים שכאשר הביאו לו את ההצעה להקים מאגר ביומטרי הוא טען שאין בו צורך וכי אסור להקימו.

מאגרים אחרים שהזכרת, כגון המאגר הביומטרי של לשכת האוכלוסין או מאגרים ביומטריים של קופות החולים, נזקם דומה לזה של המאגר הביומטרי וכנראה שהם אף מוגנים בצורה פחות טובה ממנו. לטעמי, אסור להצטרף למאגרים הללו, וחבל שבלשכת האוכלוסין שוכחים לספר שאין זה חובה.  אבל ההבדל הגדול הוא שהמדינה תרצה בעוד שנתיים לחייב את כולנו לתת את טביעת האצבע כאשר באחרים הדבר התנדבותי לחלוטין.

באשר למאגר הצבאי, שהתגייסתי לצה"ל נתתי את טביעות האצבע בדיו על נייר, כך שהיכולת הטכנית היתה בהינתן שם של אדם, או מספר אישי, ניתן היה להשוות את טביעת האצבע שלו לזו שניתנה עם הגיוס. לצערי, כיום, המאגר הצבאי מאפשר גם את הכיוון ההפוך- בהינתן טביעת אצבע ניתן לגלות את זהות האדם, וזה בניגוד מוחלט למה שהובטח לי בזמנו. 

לא חייבים?

הייטק: מספיק עם החכמולוגיות, מאגר ביומטרי הכרחי לסטנדרט עולמי!

ביהם: אתה צודק לגבי הסטנדרט אבל טועה לגבי התוכן: בבריטניה נמחק המאגר הביומטרי בשנת 2010. זמן מה לאחר מכן ביטלה האסיפה המחוקקת הצרפתית את הכוונה להקים מאגר כזה. בהולנד מחקו את המאגר הביומטרי. בגרמניה לא הקימו אפילו מאגר, וכל טביעה שומרים על תעודה ספציפית. בארה"ב לא רק שאין מאגר ביומטרי, אין אפילו תעודת זהות.

לדוגמה, הסיבה בגרמניה שלא להקים מאגר ביומטרי, היא ההסטוריה הגרמנית והשימושים שעשו שם במידע שהיה במרשם התושבים בזמן מלחמת העולם השניה, ונדמה לי שההיסטוריה הגרמנית הזו היא בעצם ההיסטוריה שלנו.

לגבי התקן: אין שום צורך במאגר ביומטרי כדי לעמוד בתקן. קראת נכון, ואני אכתוב את זה שוב כדי להדגיש: אין שום צורך במאגר ביומטרי כדי לעמוד בתקן. ניתן לשמור את טביעת האצבע על הדרכון, כפי שהדבר נעשה בדרכונים הבריטיים והגרמניים- מדינות אשר לא עושות שימוש במאגרים ביומטריים.  

למה חפים מפשע צריכים לחשוש?

עובר אורח: אם אתה לא פושע, מה יש לך לפחד שלממשלה תהיה טביעת אצבע?

ביהם: פרטיות האזרח חשובה הרבה יותר מפתרון בעיות טכניות של זיהוי פושעים. במדינות בהן עוקבים אחרי האזרחים, התנהגותם של האזרחים שונה לגמרי מבמדינות דמוקרטיות. אם נסכים לפרסום כל מידע פרטי שיש לנו, זה כולל פרטים רבים שאיננו מעוניינים לפרסם. כגון: מה הצבענו בבחירות - מידע חסוי עפ"י חוק, וזכותנו שאף אחד אחר לא ידע - מדוע שמדינת ישראל לא תחזיק את המידע הזה במאגר?

דוגמא אחרת: מאגר DNA, שגם הוא יעזור למצוא פושעים ולזהות אנשים, אך השלכותיו הרפואיות ובעקיפין, על סכומי הביטוח שהאזרח משלם, אינן קבילות. דוגמא אחרת, אקטואלית - שמשרדי הממשלה מתכננים להקים - היא איסוף מקום הרכב של כל אזרח בכל רגע נתון, ובכך להשלים יכולת מעקב מלאה אחרי האזרחים. כשנתעורר, והמדינה תדע עלינו המון, המצב יהיה חמור בהרבה ממה שכתוב בספר 1984 של אורוול.

למה לא רק תעודה?

ואם הוא ידלוף?

דרור: כולם מדברים כל הזמן על החששות שהמאגר ידלוף אבל לא ראיתי בשום מקום מישהו שמתייחס לשאלה מה יקרה אם הוא ידלוף ומה אפשר לעשות עם המידע הזה.

ביהם: הדבר בעל משמעות חמורה ביותר לביטחון המדינה – כל מדינת אויב תרצה עותק של המאגר שיאפשר לה לבדוק האם אדם הנכנס אליה הוא אזרח ישראלי. אם יהיה להם עותק, כל אזרח, עיתונאי או מרגל ישראלי שיגיע למדינת האויב עם דרכון זר - יזוהה מיד כישראלי על פי טביעות אצבעותיו, ולכן מיד ייחשד כמרגל.

מאגר זה גם יאפשר לאויב לייצר זיופי טביעות אצבע שישכנעו את ביקורת הגבולות ומשרד הפנים בדבר אזרחותו הישראלית של כל מרגל זר. וגם ארגוני טרור ישמחו להשתמש בנתונים הללו, למשל, לזיהוי חיילים שהשתתפו בפעולות צבאיות כנגדם - צריך לזכור שהמאגר, מכיל גם מידע על תווי פנים ולא רק טביעות אצבע.

אנשים פרטיים וגופים אזרחיים ואף מערכות ביטחוניות מגנים על הכניסה למחשביהם על ידי ביומטריית טביעות אצבעות. דליפת המאגר הביומטרי תגרום לאיבוד מיידי של כל האבטחה, ותאפשר לכל אחד להיכנס למחשבים האישיים או הביטחוניים המוגנים כך

ומה החלופה?

מקס: האם אתה יכול לפרט אלטרנטיבות למאגר הביומטרי? כלומר שיטה שתחליף את הת"ז הנוכחי בת"ז שקשה יותר לזייף ולדעתך תהיה בטוחה.

ביהם: האלטרנטיבה שאני מציע היא תעודת זהות חכמה, כפי שמציע משרד הפנים, אך ללא טביעות אצבע בכלל, וללא מאגר. כפי שעניתי קודם, תעודות זהות חכמות מספיקות כדי לוודא שלא יהיו זיופים.

יעקב נרש: איך תמנע זיוף בלי מאגר שיוודא שלא ניסו להרשם כבר?

ביהם: תעודות הזהות, כפי שהן בעשורים האחרונים, הם בושה וחרפה למדינת ישראל. כבר כשהתחילו להנפיק אותן, ניתן היה לזייפן בקלות, ולמעשה כיום אפשר לזייף אותן בעזרת מדפסת ביתית. הטכנולוגיה של תעודות זהות חכמות, כפי המוצע על ידי משרד הפנים, היא טכנולוגיה בטוחה שאינה ניתנת לזיוף, ללא כל צורך בטביעות אצבע לשם כך. טכנולוגיה זאת, היא אותה הטכנולוגיה המשמשת כרטיסי SIM של טלפונים סלולריים. אם נאבד תעודה -- משרד הפנים יכול לייצר תעודה חדשה, ולבטל את הישנה. מאותו הרגע, לא ניתן להשתמש בתעודה הישנה, במידה שיקראו אותה אלקטרונית. כמובן, לא ניתן לזייף תעודה כזאת בהשקעה של פחות ממיליארדי דולרים.

אי לכך, על ידי שימוש מושכל בתעודות חכמות, ללא תביעת אצבע, לא יהיו תעודות מזויפות, ולכל אדם תהיה תעודה אחת בלבד, בלי יכולת לקבל אחת נוספת תקפה, או לזייף אחת נוספת.

ובאשר למישהו שמנסה להירשם פעמיים, בשתי זהויות שונות, הרי גם היום משרד הפנים מתמחה בלוודא שבן אדם לא מקבל שתי תעודות תחת שני שמות שונים, ומעולם לא שמעתי מהמשרד נתונים הטוענים שיש יותר משלושה אנשים במדינה שהצליחו בכך. בשביל שלושה אנשים, לא משקיעים מאות מיליוני שקלים ופוגעים בפרטיות של כל האזרחים.