"הרשות לניהול המאגר הביומטרי הטעתה את הציבור ומסרה מידע מסולף"

האם הרשות לניהול המאגר הביומטרי השמיטה במכוון מידע, ניסתה להטעות את חברי הכנסת והציבור ומסרה מידע מסולף בכל הקשור למאגר? על פי דו"ח שפרסמה התנועה לזכויות דיגיטליות, התשובה לכך חיובית. ברשות מכחישים וטוענים כי מדובר ב-"גיבוב של המצאות ושקרים".

המסמך, שנערך על ידי מומחים בתחום, בוחן את תקופת המבחן של המאגר הביומטרי. הוא מנתח סדרה של סוגיות הקשורות בנחיצות המאגר, תכנונו, בעיות אבטחה ותפוצת מאגרים בעולם. הדו"ח יועבר מחר (ב') לראש הממשלה, לשרים, לחברי הכנסת ולמבקר המדינה.

על פי התנועה, בדו"ח נחשפות שתי בעיות אבטחה חדשות שלא היו ידועות קודם לכן: הראשונה היא שימוש בשירותי אירוח עבור אתר התאוששות מאסון, שמכיל עותק של המידע הקיים ברשות הביומטרית בחברות חיצוניות. במסמך נכתב כי "ב-2013 שכרה הרשות הביומטרית שירותי DR מאינטרנט בינת וב-2014 – מבזק בינלאומי".

כמו כן, התברר בדו"ח כי ברשות הביומטרית אין הפרדה פיזית בין רשתות התקשורת אלא בידול באמצעות תוכנה: "נמצא שימוש ברשת פנימית מבודלת ולא מנותקת. בניגוד להצהרות אנשי הרשות, אין הפרדה פיזית 'Air Gap' אלא בידול לוגי בין הרשתות".

המסמך מנתח סדרה של טענות שהועלו על ידי הרשות הביומטרית באשר למאגר עצמו. כך, לדברי החוקרים, ב-2014 התגלו 71 מקרי התחזות וזיוף שאת 70 מהם ניתן היה למנוע באמצעות תעודה חכמה או ביומטרית, אחד היה נמנע על ידי תשאול מעמיק יותר ומאגר ביומטרי לא היה מונע ולו אחד מהם. עוד מראה הדו"ח כי קיים פער משמעותי בין נתוני הרשות הביומטרית לנתונים בלתי תלויים של מרכז המחקר והמידע של הכנסת באשר לתפוצת מאגרים ביומטריים בעולם. המומחים אף קובעים כי התכנון העקרוני של תצורת המערכת והמאגר שגוי בכמה היבטים, וכי המאגר נאלץ לתמוך באופן פעולה שאינו מקובל בעולם הביומטריה.

החוקרים מצביעים על בעיות אבטחה נוספות, כמו התחלת הנפקה במצב של תת הסמכה לפי נהלי תמ"ר. לדברי המחברים, לא ברור אם היא עומדת בכל נהלי תמ"ר ורא"ם שבשב"כ גם כיום. כן הם מצאו שמבחני הדיוק לוקים בחסר: הרשות ערכה מבחני דיוק על מספר זניח של 16 אלף רשומות במקום על כלל הרשומות בניסוי. כמו כן, הרשות הביומטרית לא בדקה חלופות מקובלות בעולם, ועבור החלופות שנבדקו, חלק מהציונים סותרים את ההיגיון. הציונים חושבו מחדש עבור כלל החלופות והתוצאות שונות בתכלית, כך על פי התנועה לזכויות דיגיטליות.

על פי המומחים, "הדו״ח מנתח ומציג את הכשלים ופערי המידע בדו"חות המפורסמים על ידי הרשות הביומטרית, עד כדי חשש להשמטת מידע מכוונת וניסיון שיטתי להטעות את חברי הכנסת ואת הציבור במידע חלקי ומסולף. הרשות לניהול המאגר הביומטרי לא קיימה את חובתה לערוך ניסוי אמיתי, שיציג בפני חברי הכנסת את המידע הנחוץ לשם קבלת החלטה שקולה בדבר נחיצות המאגר. היא אף לא טרחה לבחון ברצינות שיטות חלופיות לקיום דרישות החוק".

הם הוסיפו כי "כבר עתה ברור כי אין צורך ממשי במאגר ביומטרי. לכן, אין טעם להאריך את תקופת המבחן בשנתיים נוספות. אנחנו קוראים לממשלת ישראל ולחברי הכנסת לבטל את המאגר הביומטרי כבר עתה, ובמקום זאת להיענות לדרישת מבקר המדינה הקודם, מיכה לינדנשטראוס, ולנפק תעודות זהות חכמות".

בין המומחים שהשתתפו בהכנת הדו"ח נמנים פרופ' אלי ביהם מהפקולטה למדעי המחשב בטכניון ומקים מרכז הסייבר במוסד זה; צבי דביר, מהנדס אלגוריתמים ויזם היי-טק; פרופ' קרין נהון מאוניברסיטת וושינגטון ומהמרכז הבינתחומי בהרצליה; דורון שקמוני, מומחה אבטחת מידע וסייבר, חבר ועדת המומחים העולמית של ICANN; דורון אופק, מומחה אבטחת מידע וסייבר; ועו"ד יהונתן קלינגר, היועץ המשפטי של התנועה לזכויות דיגיטליות.

"כל אחד יכול לכתוב דו"ח כאוות נפשו"

מהרשות לניהול המאגר הביומטרי נמסר בתגובה כי "מהפנייה של ה-'מתנגדים' בבקשת תגובה אנחנו מבינים שלא כך נעשה. נכתב 'דו"ח מסכם' שלא הועבר לעיון הרשות או להתייחסותה, אלא לתקשורת. מעיון בדו"ח עולה כי מדובר בגיבוב של שקרים, הטעיות והמצאות. מסמך שלם בעל מראית עין 'מכובדת' שכולו רצוף במסקנות שגויות מוטעות ומטעות בצורה מכוונת. המסמך כולל שימוש במידע מהימן ומקצועי שפרסמה הרשות, תוך עיוותו בניסיונות להציגו כמידע מוטעה. 'דו"ח המתנגדים' למעשה אומר: 'הוועדה המייעצת שמונתה בחוק לפקח על התנהלות תקופת המבחן וכל הגופים המקצועיים שבוחנים את פעילות הפרויקט באופן הדוק מזה מעל שנתיים לא יודעים דבר ואינם מבצעים את עבודתם. לפיכך אנחנו, קבוצת חברים חדורי מוטיבציה, נספק לציבור את הנתונים ה-'אמיתיים". כל גורם יכול לכתוב דו"חות והצעות ולהמציא סיכומים כאוות נפשו".

לדברי הרשות, היא "מסיימת בימים אלה ארבע שנות פעילות מאומצות ומורכבות ביותר, הכוללות מגוון משימות ופעולות להקמת מערך מחשוב ותהליכים תומכים להקמת מאגר ביומטרי, שמאפשר מניעת גניבת הזהות וההתחזות".

על פי אנשי הרשות, "הפעילות בשנתיים האחרונות במסגרת תקופת המבחן בוצעה בליווי ובכפוף לפיקוח ובקרה הדוקים של מספר גופים רשמיים. באחרונה העבירו גופים אלה דו"חות מסכמים. כולם המליצו חד משמעית על הקמת מאגר ביומטרי וקבעו כי הוכחה נחיצותו, תקופת המבחן הסתיימה בהצלחה ומולאו כל החובות כנדרש, כולל בחינת חלופות מלאה וכולל ההבהרה שתיעוד חכם ללא מאגר לא נותן מענה מספק לנזקי תופעת ההתחזות וגניבת הזהות, שהינה תופעה רחבה".

הם ציינו בין הגופים את המטה ללוחמה בטרור, גורמי הביטחון הרלוונטיים, הממונה על היישומים הביומטריים, שיגיש דו"ח בימים הקרובים, רשות האוכלוסין, המשטרה והוועדה המייעצת שמונתה לפיקוח על התנהלות תקופת המבחן. הוועדה כוללת בין היתר את הסטטיסטיקן הממשלתי (מנהל הלשכה המרכזית לסטטיסטיקה), ראש המטה ללוחמה בטרור, ראש רמו"ט, הממונה על היישומים הביומטריים במשרד ראש הממשלה ונציג ציבור.

"הרשות הגישה לפני כחודשיים דו"ח מסכם לשר הפנים, לראש הממשלה ולכנסת", הוסיפו. "הוא מסכם את תקופת המבחן ומפרט את כלל הפעולות והנושאים שבוצעו. מן הראוי היה שה-'מתנגדים יקראו בעיון את הדו"ח, יבינו שבוצעה עבודה מקצועית, מקיפה ומהימנה ביותר, ובמידה שיחפצו בכך – יעלו שאלות מקצועיות וענייניות. על אף הצעותינו לאותם 'מתנגדים' להיפגש ולקבל תשובות לנושאים המטרידים אותם, לא זכינו לתיאום פגישה כזו מעולם".