אך לפני מספר שבועות חשפנו כאן ב-"ישראל היום" כי הרשות לניהול המאגר הביומטרי החזיקה לכאורה עותק גיבוי של המאגר בשרתים של חברת "בזק בינלאומי", זאת בניגוד להוראת החוק המסדיר את פעילותה, האומר כי השמירה על הנתונים הביומטריים תתקיים "בדרך שתבטיח הגנה מפני דליפת מידע מהמאגר או פריצה אליו, וכן מפני העברה, חשיפה, מחיקה, שימוש, שינוי או העתקה בלא רשות כדין", ועוד קובע החוק כי הגישה אליו "תיעשה באופן שיצמצם ככל הניתן את מספר המורשים כאמור, ואת היקף המידע הנגיש".
כעת ממסמך אחר שהגיע לידי "ישראל היום" עולה כי הרשות לניהול המאגר הביומטרי בחרה שוב לכאורה להתעלם מהוראת החוק המחמירה, שלא נקבעה בכדי.
הפעם, זוהי חוות דעת מקצועית המבקשת להכיר בחטיבת הפרויקטים של HP (כיום חברה נפרדת בשם (HPE כספק יחיד, לתפקיד רגיש אף יותר מזה של מערך גיבוי – הפעם מדובר על תחזוקת השרתים של המאגר הביומטרי עצמו, באתר הראשי של הרשות.
השירותים הנדרשים לרשות כוללים שירות תחזוקה ותיקונים ל-"כלל הרכיבים הפיזיים" מתוצרת HPE, ייעוץ, גישה למאגר מידע אלקטרוני, סקירה ועזרה בתכנון פעילויות השירות, ניהול עדכוני קושחה לכל סביבת השרתים ומערך האחסון וכוללת גם שני בעלי תפקידים: מנהל אתר לקוח עבודה, ומומחה חומרה ייעודי. עובדים אלה לא יהיו עובדי מדינה.
עצם תיאור השירותים הנדרשים על ידי הבקשה להתקשרות כספק יחיד, מדאיגים: המשמעות היא שגוף טכנולוגי חיצוני, חברת HPE, תקבל גישה לכאורה לשרתים המאחסנים את טביעות האצבע ותמונות הפנים של כולנו, ותספק גם עדכוני קושחה לאותם שרתים – כאשר עדכוני קושחה כשלעצמם יכולים להוות פרצה, אם גורם זר או או עוין יכלול באותם עדכונים וירוס או נוזקה שתאפשר לגוף זר גישה לנתונים הרגישים ביותר של אזרחי ישראל.
דורון אופק, מנכ"ל SuSe ישראל מסביר כי תרחיש כזה אפשרי, ונוזקה שכזו יכולה לאגור את המידע, לבלבל את הנתונים הרגישים או בהנחה ומדובר במערכת "מבודדת אוויר" שלא מחוברת לרשת – אפשר להוציא את המידע החוצה בעדכון הקושחה הבא. את הבעיה הזו, מסביר אופק, אפשר לפתור באמצעות נוהל פשוט: כל מדיה המשמשת לעדכון מושמדת, ולא עוזבת את שטחי המתקן.
מדוע דווקא HP?
על חוות הדעת להתקשרות בסכום של קצת למעלה ממיליון שקלים (320,112 דולר) חתום שייקה כץ, מנהל הטכנולוגיה (CTO) של הרשות. בהערת צד לחוות הדעת יועצת משפטית של משרד הפנים, עו"ד נאוה אושר מעלה כמה תהיות מוצדקות:
"האם יש כיום התקשרות עם החברה לקבלת שירותי- data center care? האם בפעם הקודמת גם אושר להתקשר עם החברה כספק יחיד לצורך קבלת השירותים האמורים? האם תמיד המערכות יהיו של חברת היולט פאקארד? האם יש כוונה להחליפם? האם גם בהמשך נפרסם ספק יחיד לקבלת השירותים? מה הצפי לעתיד?", תוהה היועצת המשפטית במשרד הפנים.
לא ברור אם אושר קיבלה תשובות לשאלות הקשות שלה – אבל הן בהחלט מוצדקות בתוקף תפקידה, וכמי שאמורה לפקח על תקינות ההליך.
בשולי הדברים יצוין כי חטיבת הפרויקטים של HP (כיום HPE) היא בין המרוויחות הגדולות מפרויקט הזיהוי הביומטרי של ישראל, אם לא המרוויחה הגדולה ביותר ממנו. זאת, כמי שסיפקה למדינה את תעודות הזהות החכמות עצמן לצד ציוד ההרכשה ללשכות משרד הפנים. היקף ההתקשרות להנפקת תעודות הזיהוי החכמות שחתם עליו שר הפנים מאיר שטרית ב-2008 לבדו, היה אז בהיקף של 230 מיליון שקלים.
תגובות
ממשרד הפנים נמסר בשם הרשות לניהול המאגר הביומטרי: "ההתקשרות עם חב' hp כספקית חשכ"ל (החשב הכללי – נ.ל.), הינה באישור מנהל הרכש הממשלתי וועדת המכרזים הבין משרדית (כספקית שרתים ותחזוקה). נדגיש שוב, כי הגישה לנתוני המאגר ניתנת רק לבעלי אישורים מקרב עובדי רשות המאגר הביומטרי הקבועים. רשות המאגר הביומטרי הלאומי תמשיך לפעול על פי החוק, תוך שמירה על כל הקשור באבטחת מידע ופרטיות האזרחים".
תגובת HPE לא התקבלה עד מועד הפרסום.
עוד חשיפות ועיתונות טכנולוגיה חוקרת - בערוץ הטלגרם שלנו
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו