גון קמני, הרשות לניהול המאגר הביומטרי: "אין קשר בין דליפת כרטיסי האשראי למאגר הביומטרי"
"המאגר הביומטרי הוא הפתרון היחיד שיכול לתת לתושבי ישראל שקט וביטחון שזהותם לא תיגנב", אמר קמני ● לדבריו, "כל ישראלי שטס לארה"ב נותן טביעות אצבע וצילום פנים ביומטרי - לא שמענו עדיין על אף ישראלי שנמנע מכך"
"הניסיון לקשר בין דליפת פרטי כרטיסי אשראי מאתרי קניות וקופונים ברמת אבטחה נמוכה וללא פיקוח – לבין המאגר הביומטרי, נובע במקרה הטוב מחוסר הכרת המציאות והעובדות", קובע גון קמני, מנהל הרשות לניהול המאגר הביומטרי. לדבריו, המאגר הביומטרי הוא היחיד שיכול להבטיח לתושבי המדינה שקט נפשי וביטחון שזהותם לא תיגנב.
קמני אמר את הדברים בעקבות הצהרות פוליטיקאים שקמו נגד הקמת המאגר הביומטרי, תוך קישור בינו ובין דליפת פרטי כרטיסי האשראי הגדולה מהשבוע שעבר. יו"ר מפלגת העבודה, ח"כ שלי יחימוביץ', אמרה כי "הלילה הוכח שהטענה שמאגר המידע הביומטרי בלתי ניתן לדליפה היא חסרת שחר ולמידע אינטימי זה יש אין סוף הזדמנויות לדלוף גם לידי גורמים עוינים, פליליים או סתם תאבי בצע. אני קוראת לראש הממשלה לעצור עוד הבוקר את יישומו של חוק הכללת אמצעי הזיהוי הביומטריים במסמכי הזיהוי ובמאגרי המידע. החוק הביומטרי שועט קדימה ומסכן את פרטיותם, שלומם וכספם של ישראלים רבים".
השר מיכאל איתן אמר, כי "את מספרי כרטיסי האשראי שנפרצו ניתן להחליף, אך מה נעשה כאשר ייפרץ המאגר הביומטרי? נחליף את הפרצופים של אזרחי המדינה? נצרוב לכולנו טביעות אצבע חדשות? כל אדם סביר צריך להביא בחשבון שהמאגר הביומטרי ייפרץ אף הוא".
בתגובה לדברים אלה ואחרים, אמר קמני, כי כל החששות מפני פריצת האקרים לאתרים שונים היו ידועים בזמן הדיונים על המעבר לתיעוד חכם והקמת המאגר הביומטרי. הוא ציין, כי בשל ההכרה ברגישותם של הנתונים הביומטריים אשר ייאספו במסגרת הנפקת התיעוד החכם, כנסת ישראל חוקקה את חוק הביומטריה (2009) ובמסגרתו הוקמה במשרד הפנים רשות ממלכתית ייעודית – הרשות לניהול המאגר הביומטרי. תפקידה של הרשות, הסביר, הוא לנהל ולאבטח את מאגר הנתונים הביומטריים.
לדברי קמני, "בניגוד לאתרי אינטרנט שהתמחותם בתחום הספורט או הקופונים – בהם לא הושקעו משאבי אבטחה ברמה לאומית, המאגר הביומטרי מוגדר, על פי חוק הביומטריה, כ-'סודי ביותר' ומאובטח בהתאם על פי כללי האבטחה המחמירים ביותר של גופי הביטחון. חוק הביומטריה קובע כללים רבים ומפורטים המבטיחים את השמירה ואת ההגנה על המידע שבמאגר".
המאגר, הבטיח קמני, "יישמר בנפרד מכל מאגר אחר ומכל רשת מחשבים או רשת תקשורת ולא תהיה אליו גישה באמצעות האינטרנט. כך, האקרים לא יוכלו לפרוץ אותו. כל תהליכי העבודה והעובדים ברשות לניהול המאגר הביומטרי מפוקחים ומבוקרים על ידי הרשות לאבטחת מידע בשב"כ וכן על ידי ועדות הכנסת הרלוונטיות".
קמני הוסיף, כי "הגישה למאגר תותר למספר מצומצם בלבד של בעלי תפקידים שעברו, ועוברים באופן תדיר, ביקורת של גופי הביטחון. מעבר לכך, במאגר יישמרו, בצורה מוצפנת, אך ורק תמונת תווי פנים ותמונות של טביעת שתי אצבעות, ותו לא. אין במאגר הביומטרי פרטים נוספים, כגון שם, כתובת או אפילו מספר זהות".
"עם ההתקדמות הטכנולוגית הקיימת", הוסיף קמני, "אנו רואים כי העולם סביבנו מתקדם לכיוון של אימות זהות אזרחים תוך שימוש בטכנולוגיה ביומטרית. בצרפת, שוויץ, פינלנד ומדינות נוספות, כבר קיימים ומנוהלים מאגרי נתונים ביומטריים של מחזיקי תעודות זהות, רישיונות נהיגה או דרכונים של אזרחי אותן המדינות".
קמני סיים באומרו, כי "בשנים האחרונות, כל ישראלי שטס לארה"ב נתן ללא כל חשש טביעות של כל אצבעותיו, הצטלם צילום ביומטרי ונתוניו נכנסו למאגר האמריקני. איש לא התלונן על כך ואיש לא נמנע מלטוס לארה"ב בשל כך. זאת, למרות שהחוק האמריקני מקל הרבה יותר ומתיר שימושים שונים בנתונים שנאספו".
גוון, לא שנעת על אחד ??? אז הנה אני הראשון, לא מוכן לנסוע לארה"ב בגלל שהם דורשים טביעות אצבע, אם אתה רוצה אני אביא לך ת.ז. כדי שלא יהיה לך ספק שיש אנשים שמתנגדים לכך!!! גוון, לכמה שנים אתה מוכן לשבת בכלא כאשר המאגר הביומטרי ייפרץ ? אם אין שום סיכוי לכך, ממה אתה מפחד, תרשום את עצמך ואת שטרית בכלא העירוני למאסר עולם!!! אין שאלה ואין ספק שצריך במדינת ישראל שנת 2012 אמצעי זיהוי הרבה יותר משוכללים ומאובטחים, אבל לא בדרך ששטרית מציע. לא הוכח שיש צורך במאגר הביומטרי ולא הוכח שיש צורך בשבב RFID שישולב בתעודות, אפשר לייצר אמצעי זיהוי הרבה יותר מאובטחים בלעדיהם, ומצד שני כאשר יש מאגר ביומטרי ושבב RFID סכנת והשלכת הפריצה הרבה יותר גבוהות
גם מחשבי הכור האירני לא היו מחוברים לאינטרנט. האם ידוע לך מה עשה סטקסנט? או שמא שכחת או מעדיף להתעלם? על מנת לחסוך ממך מאמץ מיותר להיזכר, אני אזכיר לך. אחד הדברים היה לחבר אותם לאינטרנט בשביל שיקבלו עדכונים שוטפים של התולעת.
מר קמני אני דורש תגובה ספציפית שלך: מדוע לא כפיתם תקן pci על העסקים שעושים שימוש בשרותי סליקה של לאומי כארד עד עכשיו? מה דעתך על אמירתו הבאה של משה בסול? צריך להסתכל על תג המחיר בעיניים פקוחות, ולקבל החלטה שהקידמה והיתרונות שהיא מעניקה אכן מצדיקים את המחיר, אך שלא יהיה ספק - גם המאגר הביומטרי ייפרץ מתישהו; כולו או חלקו. זה יכול להיות מבצע מתוחכם שייקח שנים להבין מי, מתי ואיך זה נעשה, אבל זה יכול להיות גם כתוצאה מסתם טעות מינורית של חוסר תשומת לב. http://www.themarker.com/news/1.636185
מר גון קמני שלום, נתחיל עם ה"קשר" - צודק אין קשר, כמו גם שאין קשר בין זה שאתה ראש הרשות לניהול המאגר הביומטרי והעובדה שאתה "מגן" על הפרויקט ביומטרי... כידוע לך, אין דבר כזה באבטחת מידע "מוגן ב 100%" הכל עניין של מוטיבציה(רצון), זמן ומשאבים (כסף). כך שלגבי האבטחה רמה לאומית... זה שטויות במיץ... ושלא נדבר על הנדסה חברתית... לגבי אתרי הספורט והקופונים, בהם לדבריך לא הושקעו משאבי אבטחה ברמה לאומית, אנא הרשה לי לציין כי אותם אתרי קופנים עושים שימוש בשרותי סליקה של חברות האשראי האמורות לעמוד בתקן PCI.... אה רגע... נכון, רק השנה הם התחילו לעבוד על זה.... ולגבי ההגדרה "סודי ביותר", גם המחשב הנייד של האלוף משנה בצבא הוגדר כסודי ביותר כשהכיל מידע "סודי ביותר ביותר ביותר" על תוכניות אסטרטגיות של חיל מסויים 10 שנים קדימה... נחש מה, זה לא עזר... והאלוף משנה כבר לא אלוף ואפילו לא משנה.. ואתה יודע שיש עוד עשרות מקרים דומים כגון "שרת הצפצה", "ענת קם" וכו'.... ובוא נודה, דעתך, היא לא כל כך אובייקטיבית... אתה מסכים איתי?
מה עם ההצעה לפצל את מאגר המידע לשניים שנפלה מחוסר הבנה/ידע?! מזמין להמר תוח כמה זמן יזלוג המאגר הידען חלם
שלום למר. גון קמני... אם תפקח על המאגר הביומטרי כפי שפיקחת על יישום תקן ה PCI בארגון הקודם בו עבדת, אני מציע בחום שתשים בכניסה למשרדים אצלכם את השלט "חשובה לנו הגנת הפרטיות! אבל היום לא! וגם מחר כנראה שגם שלא.." ולמכן הסר ספק, אנא עיין בתקן PCI... חובתך היתה לוודא כי כל הארגונים המקושרים למערכות האשראי אכן מוגנים באופן מספק. מכיוון שלא חסרות מערכות לתפארת מדינת ישראל שרחוקות שנות דור מהתקן, כל ההבטחות שלך הם "מס שפתיים" ולא יותר.
לתת טביעת אצבע בארצות הברית בביקורת הגבולות אין לאף אחד בעיה, אבל פה כולם יוצאים נגד. אני מבינה שמדובר במאגר שמוגדר "סודי ביותר" עם אבטחת מידע קפדנית ובלי חיבור לשום רשת חיצונית. אני חושבת שיותר מסוכן שיגנבו לי את הזהות ויפיצו צ'קים שלי בשוק האפור מאשר שטביעת האצבע שלי תהיה במאגר.
לא מבין אם מר קמני פחות מבין או יותר מסובב את השומעים אבל הבעיה אינה הזיהוי הביומטרי אלא קיום מאגר שכזה. אם ממשלת ישראת הייתה מחליטה להוסיף זיהוי ביומטרי לתעודות זיהוי או דרכונים הבעייה הייתה קטנה אבל קיום מאגר כזה הוא הבעיה. לגבי השיקולים שנלקחו בחשבון - חבל שהכותב אינו מציין שורה ארוכה של חוקרים מובילים בעולם בתחום כמו פרופ' הראל, פרופ' שמיר, פרופ' אלון, פרופ' קנטי, פרופ' פיאט, פרופ' ביהם ועוד רבים כתבו מכתב מחאה חריף שבו הם מזהירים כי לא ניתן לאבטח כזה מאגר.