X

דו"ח של מערך הסייבר הלאומי קובע: כשלים חמורים בזיהוי הביומטרי

דו"ח של מערך הסייבר הלאומי שהתפרסם קובע שבשל התעכבות הטמעה של רכיב הזיהוי, יש כשלים משמעותיים במערך הזיהוי הביומטרי • מלבד כשלי זיהוי במעברי הגבול של התעודות הביומטריות, אין היערכות מתאימה במשטרה והדבר עלול להוביל למעצרי שווא

אסף גולן
, עודכן
0
זיהוי ביומטרי, צילום: Getty Images

ההתנגדות למאגר הביומטרי היתה רבה, ותרחישים על שימוש לקוי, על דליפה, על ניצול לרעה ובעיות אחרות צוינו אין ספור פעמים, וכעת נראה כי התרחישים הרעים מתחילים להתממש ממש כפי שנחזו. 

דו"ח חמור מאד שפרסם מערך הסייבר הלאומי מציג תמונה קשה מאד של מערך הזיהוי הביומטרי בישראל. אחד הכשלים חסרי התקדים שמוזכרים בדו"ח הוא שימוש לקוי של המשטרה בכל הנוגע להתאמת טביעות אצבע עם מערכת הזיהוי הביומטרית. 

במילים אחרות, המצב הנוכחי עלול להוביל לטעות בזיהוי חשודים פוטנציאליים בזירות פשע ואולי אף מעצרים של אנשים לא נכונים. על פי הממונה על היישומים הביומטריים במערך הסייבר הלאומי מתברר שבתקופת המבחן נחשפו אחוזי כישלון גבוהים בביצועי המשטרה בנושא השוואות טביעת האצבע מול תעודות הזיהוי. למעשה מדובר בכשל ממשי שיוביל לא פעם לכך שלא תהיה התאמה בין תעודת הזיהוי הביומטרית לבין טביעת האצבע. 

המציאות הקשה והחמורה הזו חמורה שבעתיים לאור העובדה שמשטרת ישראל בקשה להרחיב את המגע שלה והשימוש שלה במאגר. נתונים אלו הנתונים שפורסמו גררו גל של תגובות קשות: 

ד"ר תהילה שוורץ אלטשולר, מהמכון הישראלי לדמוקרטיה וחברת הנהלה בתנועה לזכויות דיגיטליות אמרה כי "הדו"ח מוכיח שוב שהמאגר הביומטרי הוקם ללא עבודת מטה בסיסית שתכשיר אותו לשמור על זכויות האזרחים. המשמעות של הדברים שהובאו בדו"ח היא שהמשטרה עשויה להאשים אנשים חפים מפשע בפשעים או לזכות עבריינים - על בסיס המאגר. זהו רק קצה הקרחון של הבעיות במאגר". 

עוד צוין כי "בדיון מה-2017.12.12 סוכם שהמשטרה תכין בתוך כחודשיים דרישה מבצעית הנותנת מענה לצרכי המשטרה מול הרשות לניהול המאגר, ותשלח לצוות הפיקוח. עד כה טרם התקבל נוסח הדרישה המבצעית. לאור זאת לא ניתן להתקדם בהקמת ממשק מעין זה, ולפיכך אין למשטרה יכולת לבצע שאילתות אל מול הרשות לניהול המאגר הביומטרי. יש לציין כי על מנת שהממשק בין המשטרה והרשות הביומטרית יכנס לפעולה, אין די בתכנון ובניית ממשק העבודה התואם את הוראות החוק, אלא יש לקבוע תקנות ולאשרן בכנסת. לאור הבעיה באיכות השוואת טביעות אצבע מול תיעוד בניידות במשטרה כמתואר בסעיף לעיל, יש לוודא שממשק השאילתות לא יופעל כמנגנון מפצה לבעיה המתוארת".

אחוזי כישלון גבוהים במעברי הגבול

נקודת תורפה משמעותית נוספת שנמצאה היתה מעברי הגבול של ישראל. בדוח נכתב כי "תהליך הנטילה וההשוואה של טביעות אצבע מול הדרכון, המבוצע בביקורת הגבולות בנתב"ג, סובל מאחוז כישלון גבוה יחסית שמשמעותו דחייה מוטעית של העוברים". 

למערכת שהמדדים שלה אינם עומדים בדרישות, יש משמעויות בתחום התפעולי והביטחוני, והממונה ביקש מרשות האוכלוסין לבצע ניתוח של מקורות הבעיה ולתת לה פתרון. בתגובה, רשות האוכלוסין עדכנה כי מתוכננים מהלכים שונים לצורך בדיקת הנושא. בפועל, על מנת להבין את הסיבות לאחוז הכישלונות הגבוה, יש צורך בשמירת התמונות של הנטילה שנכשלה והצגתן למומחה. ביצוע הליך זה עורר קושי משפטי שכן החוק במתכונתו הקודמת אסר אגירת נתונים ביומטריים שלא במאגר הביומטרי". 

למעשה הרשות מודה בקביעה וענתה כי "אחוז הכישלונות באימות טביעת אצבע, אכן גבוה מהצהרות היצרן. הדבר נובע מהשוני בין עבודה בתנאי שדה לא אופטימליים לבין מדידת היצרן במעבדה. לדעת הרשות, חלק מהטעויות נובע מהנחת אצבע לא מיומנת של התושבים. יחד עם זאת, מבחינה מבצעית תפעולית, מכיוון שיש הסתמכות גם על זיהוי פנים (זיהוי זה עומד באיכות הנדרשת) ותושבים הנכשלים בבדיקת טביעות אצבע מופנים לבדיקת בקרי הגבול, ולכן זוהי בעיה בעדיפות נמוכה".

בעיה נוספת שהתגלה היתה קשורה לאישורים שהוצגו על ידי אפוטרופסים ואנשים אחרים כשבעל התעודה עצמו לא היה נוכח בגלל קשיים רפואיים. בכל הנוגע לכך התברר בדוח כי "מהביקורים בלשכות והשיח שהתקיים עם מנהליהן, לא ברור האם עומדים לרשות הלשכות כלים מתאימים לוודא או לברר את האותנטיות של אישורים אלה". כלומר של נציגי האדם ובעצם יתכן לייצר תעודת זהות מוטעית במתכוון על ידי צד שלישי.

מהסיורים הגלויים שנערכו בלשכות עולה כי לדעתם של נותני השירות קיים קושי בניסוח או בחירת השאלות הנוגעות למגזרים מסוימים, בפרט למגזר הבדואי. נמצא ששאלות הנוגעות לבני משפחה, אינן תואמות את מאפייני מגזר זה ומקשות על תהליך הזיהוי של באי הלשכות. כמו כן, התגלה קושי בתשאול הנשען על שמות בתי ספר, שכן במקרים רבים שמות אלה משתנים עם השנים ואינם תואמים לזיכרונו של

התושב מתקופת לימודיו, וזאת בנוסף לבעיות הנובעות מפערים באיות ופערי שפות. פערים בתשאול עלו גם בהקשר של עולים חדשים.

"חוסר מקצועיות שערורייתי"

כזכור בעבר (2016) הגישה התנועה לזכויות דיגיטליות לגולשים עתירה לבג"ץ נגד המאגר. בעתירה נכתב כי "בניגוד לכל מדינות העולם המערבי, רק בישראל ייאספו טביעות אצבע ותמונות פנים של כלל אזרחי המדינה ויאגרו אותן", זאת "בניגוד לדעתם של 74 מדעני אבטחת המידע וההצפנה הטובים בישראל, מנסה שר הפנים למכור לכם שהמאגר הזה מאובטח, ושהוא לא ידלוף לעולם". 

עוד ציינו בתנועה כי גם מאגרים מאובטחים חשופים לפריצות. "לאחר שמאגר עובדי המדינה של הממשל האמריקאי נפרץ ויותר מ- 20 מיליון טביעות אצבע ופרטים אישיים של עובדי המדינה דלפו, ולאחר שיאהו, Ebay ו-Target נפרצו אף הם, חבל ששר הפנים לא מבין כי אף אחד לא חסין", עוד נכתב בעתירה כי "אפילו משרד ראש הממשלה אומר ש'דליפת מידע ממאגר ביומטרי עלול לגרום לפגיעה בפרטיות, לפגיעה פיזית, כלכלית ובמקרי קיצון להפללת אנשים בפשע, ולפגיעה בביטחון המדינה וניהולה התקין'", אמרו בתנועה.

צבי דביר, מראשי התנועה לזכויות דיגיטליות הגיב לדו"ח של המערך: 

"העובדה שכבר חמש שנים שהמאגר הביומטרי פועל ללא מערכת השוואה אמינה היא עדות לחוסר מקצועיות שערורייתי. לפי דו"ח הפיקוח, שנה וחצי לאחר סיום הפיילוט הרשות הביומטרית ממשיכה להשתמש במערכת זמנית, שפותחה כפתרון אד-הוק בתחילת תקופת המבחן. 

מבקר המדינה קבע שלא ניתן לבסס החלטות הנוגעות לתכולת המאגר הביומטרי כל עוד המערכת הקבועה לא פועלת. הרשות הבטיחה שהמערכת תפעל לכל המאוחר בתחילת 2017, ונראה שגם בתחילת 2019 הטמעת מערכת לא צפויה להסתיים. אנחנו מצפים מהרשויות לספק הסבר בנוגע לכישלון בהטמעת המערכת, ולבחון את ההשפעה שיש לכך על איכות ההשוואה של המאגר הביומטרי".

 

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
המאגר הביומטרימערך הסייבר הלאומיפרטיות

כדאי להכיר