דלג לתוכן הראשי
עיתון בשירות החברה

אל תיתנו את האצבע למאגר

"העובדה ששיטת העמעום שהציע פרופ' עדי שמיר, שמטרתה להפחית את דליפת הפרטיות מהמאגר הביומטרי, לא נבחרה לשימוש על ידי משרד הפנים בטענה המגוחכת שהיא פוגעת בפרטיות, מוכיחה שכוונת מקימי המאגר אינה מניעת זיופי זהות, כדברי החוק, אלא קידום מטרות זרות שאינן מוזכרות בחוק". פרופ' אלי ביהם, דיקן הפקולטה למדעי המחשב בטכניון, ומומחה בהצפנה ובאבטחת מידע, קורא לציבור להחרים את הפיילוט של משרד הפנים

הפיילוט לחוק המאגר הביומטרי יוצא לדרך, ומדינת ישראל תבקש מאזרחיה לתת לה את טביעות האצבעות שלהם. כשיסתיים התהליך, ישראל תיעשה למדינה הדמוקרטית היחידה בעולם המחזיקה טביעות אצבעות של כל אזרחיה על פי חוק מחייב.

החוק הביומטרי מצטרף לחוקים אחרים שהתקבלו בשנים האחרונות ומאפשרים לשלטון לעקוב אחר אזרחי המדינה. למשל, חוק נתוני התקשורת מאפשר למשטרה לדעת בכל רגע ורגע היכן נמצא כל אזרח על פי מיקום הטלפון הנייד שלו, ואף לדעת מתי ולמי הוא מתקשר (וכל זאת ללא צורך בצו שופט). חוק הבחירות דורש מהמדינה לספק למפלגות תקליטור (לא מוגן ולא מוצפן) עם נתוני כל האזרחים לפני כל מערכת בחירות. המשטרה ועיריות מתגאות בהצבת מצלמות המאפשרות מעקב אחרי מכוניות ואנשים… והנה בא עתה החוק הביומטרי ומאיים לקחת גם את שאריות הפרטיות שנותרו לנו. המעקב קורם עור וגידים בחסות הטענה שהמידע יוביל לפתרון בעיות חשובות כאלה או אחרות, כגון זיוף תעודות זהות ותפיסת פושעים. אלא שהפושעים ייעשו כתוצאה מכך מתוחכמים יותר – ולכן לא ייתפסו בסופו של דבר – ובינתיים פרטיות האזרחים תיפגע באופן חמור.

השאלה שיש לשאול היא האם יש למדינה צורך בנתונים ביומטריים, והאם הצורך הזה, אם הוא אכן קיים, גובר על זכויות אזרח דוגמת הזכות לפרטיות. המדינה טוענת שיש צורך במאגר הנתונים לצורך השגת שתי מטרות עיקריות. המטרה האחת היא מניעת זיוף של תעודות זהות. כפי שנראה בהמשך, אין לביומטריה ולא כלום עם מניעת זיוף. המטרה השנייה היא מניעת הרכשה כפולה. כלומר, המטרה היא להבטיח שלכל אדם תהיה זהות יחידה, ושלא יוכל לקבל שתי תעודות זהות בשני שמות ומספרי זהות שונים. גם לצורך זה ההשפעה של הביומטריה שולית בלבד.

תעודות זהות וכרטיסים חכמים

כדי להבהיר מדוע אין צורך בביומטריה למניעת זיוף, אסביר בקצרה על הטכנולוגיה של תעודות הזהות. משרד הפנים מנפיק כיום תעודות זהות אנכרוניסטיות, שכל אזרח יכול לזייף באמצעות המחשב והמדפסת הביתיים שלו. אין בהן שום אמצעי הגנה מודרני למניעת זיוף. משרד הפנים מכיר בבעיה הזאת. למעשה הוא הכיר בה לפני שנים רבות, אבל מעולם לא עשה דבר לפתור את הבעיה. חמור מכך, משרד הפנים דחה בכוונה את פתרון הבעיה כדי שיוכל לשים ביומטריה בתעודות. ואכן, יוזמי החוק חוזרים ואומרים שתעודות ביומטריות עם מאגר ביומטרי הם הדרך למנוע את מאות אלפי התעודות המזויפות הקיימות כיום (שזו שטות מוחלטת, כפי שנראה בהמשך). ובינתיים, מדינת ישראל ממשיכה להנפיק תעודות זהות גרועות שאינן מספקות שום דרישת אבטחה סבירה. רק על זה צריך להקים ועדת חקירה שתצביע על האשמים שלא עשו את תפקידם.

התעודות החדשות יהיו, כך מוסכם על כולם, מבוססות כרטיסים חכמים. מדובר למעשה מחשבים זעירים, המושתלים בכרטיסי פלסטיק בגודל כרטיס אשראי. אתם יכולים למצוא מחשבים כאלה כאלה בכל מיני תעודות, כמו חלק מכרטיסי האשראי ותעודות הסטודנט, והם משמשים גם בכרטיסי סים של טלפונים ניידים (רק ששם הכרטיס הפלסטי קטן יותר). המחשבים האלה מוגנים בחומרה, ושולחים אימות מוצפן למחשב שאיתו הם משוחחים. באמצעות שיטות הצפנה מתקדמות ניתן לוודא שכרטיס חכם המקושר למחשב באמצעות קורא כרטיסים חכמים הוא אכן מי שהוא טוען שהוא. לצורך כך הוא מוכיח שהוא יודע מפתח סודי השמור בו, ושלעולם לא יסכים לספר את הערך שלו. כדי לזייף כרטיס חכם צריך לשתול בכרטיס המזויף את המפתח הסודי של הכרטיס שאותו מזייפים, אך המפתח לעולם לא נשלח גלוי מהכרטיס המקורי, ולכן אין הוא ידוע לזייפן. ניתן כמובן לקלף את קליפת הכרטיס החכם, ולהשתמש במכשירי מדידה מיוחדים כדי לגלות את תוכן מעגל הסיליקון בפנים. ואולם על זה בדיוק מגינים יצרני הכרטיסים החכמים, ודואגים שהכרטיס ידע לזהות ניסיונות לגלות את תוכנו, ואז להפסיק את פעולתו או אף למחוק את המפתח מהזיכרון. כדי לגלות תוכן של כרטיס חכם מטכנולוגיה עכשווית, הפורץ צריך להשקיע משאבים גדולים, ולהשתמש בציוד הזמין אך ורק לחברות ענק ובהשקעה כספית רבה.

אם כך, תעודות מבוססות כרטיסים חכמים הנן בטוחות ביותר. יותר מכך, אם הן נגנבות, ניתן לבטל אותן ולהנפיק לאזרח תעודה חדשה, בדיוק כפי שנעשה בכרטיסי אשראי ובכרטיסי סים של טלפונים ניידים. למשל, אם נגנב טלפון נייד, חברת הסלולר מבטלת את כרטיס הסים שנגנב, ומנפיקה כרטיס חדש עם מספר הטלפון המקורי, אך עם מפתח סודי שונה, כך שאם מישהו מנסה להשתמש בכרטיס הסים הישן, הכרטיס מזוהה מיד כמבוטל, ולא ניתן לקיים מהטלפון שיחות נוספות. שימוש כזה מבטיח שבכל רגע יש כרטיס אחד בלבד לכל מספר טלפון, או במקרה שלנו, תעודת זהות אחת שאינה ניתנת לזיוף לכל אזרח. ובשביל כל זה אין צורך בביומטריה.

פרטיות בישראל

ההיסטוריה של מדינת ישראל שזורה סיפורים המעידים על רשלנות מדהימה בשמירה על פרטיות האזרחים. כמעט לא חשוב היכן נבחן את הנושא, נמצא דוגמאות לרוב שבהן המדינה פגעה בפרטיות, איפשרה ברשלנותה פגיעה כזאת, או לא מנעה מחברות מסחריות לפגוע פגיעה כזאת.

בחודש מרס האחרון הוציא ראש הרשות למשפט וטכנולוגיה במשרד המשפטים טיוטת הנחיה האוסרת שימוש במספרי תעודות זהות במאגרי מידע אם אין בהם צורך אמיתי. אם תיושם, תקשה ההנחיה הזאת על האפשרות לקשר בין מאגרי מידע שונים, ולהסיק מהשילוב שלהם מידע רב על האזרח. אבל המדינה מעולם לא פעלה כך. המדינה דורשת קישור מלא שיאפשר לה לדעת עלינו הכל, ומדי פעם היא מחוקקת חוקים חדשים שיתירו העברת מידע בין גופים שונים. עד כדי כך הרשלנות גדולה, שבסיס הנתונים המלא של משרד הפנים דלף בעבר שוב ושוב, בכמה דרכים שונות, וניתן להשיגו באופן חופשי באינטרנט בתוספת תוכנת איחזור נתונים מתקדמת המקלה מאוד על השימוש האסור במידע.

כאשר דנים בפרטיות, מסבירים לנו שהמידע יישמר כפי שחומר סודי ביותר נשמר, וכי ישמש אך ורק למטרות טובות. אבל כל מי שאומר כך, אינו מבין מהי פרטיות. אני מגדיר פרטיות כזכותו של האזרח להחליט איזה מידע אישי הוא יפיץ ולמי. למשל, מידע שידוע לחברים שלי לא בהכרח צריך להיות נגיש לכלל הציבור. לא מדובר דווקא בסודות. מידע פרטי יכול להיות למשל מספר שנות הלימוד שלי, מיני אוכל שאני אוהב, מה אני נוהג לקנות במרכול, הציון שלי במקצוע זה או אחר, וגם כמובן תמונות מביכות, מידע שעלול לפגוע בלימודי או בעבודתי וכו'. מידע פרטי הוא מידע שהפצתו ברבים לא ראויה או לא רצויה, למרות שייתכן שיש היודעים אותו, ומידע שפרסומו ברבים עשוי לגרום אי נוחות לבעליו או לגרום לו להרגיש עירום. לעומת זה, סוד הוא מידע שאסור שאף אחד ידע. למשל, מסיבות של בטחון המדינה או של חשיפת מידע מסחרי.

כדי לשמור על הפרטיות חל איסור קישור מידע בין מערכות שונות, שהחיבור ביניהן עלול לספק מידע רב על האזרח. כפי שציינתי כבר, המדינה נוגסת באיסור הזה באופן קבוע, ודורשת עוד ועוד מידע לצורכי המשטרה, מערכת הביטחון, גופי המיסוי ועוד ועוד. יותר מכך: המדינה פועלת להקמת מערכות פוגעות בפרטיות, או מאפשרת את הקמתן בידי גופים אחרים. למשל, מערכות צילום עירוניות ובין-עירוניות נבנות בימים אלה על ידי עיריות והמשטרה, ומאפשרות מעקב רציף אחרי מיקום האזרחים. יש להן יתרונות, כמובן, אבל יש להן חסרונות רבים בתחום הפרטיות. מקימי המערכות טוענים שיש בהן צורך חשוב ומיידי, ומתעלמים מבעיות הפרטיות הנובעות מהן. לצערי, אין שום גוף בארץ שבוחן את הנושא בראייה מערכתית וקובע מהו האיזון הנכון, מה מותר, מה אסור, ומה מורשה אך רק בתנאים מסוימים המשקפים איזון בין מטרות סותרות. כתוצאה מכך, בתחום השמירה על הפרטיות המדינה נמצאת על סף תהום, וייתכן שהפרטיות תאבד לגמרי.

החוק הביומטרי וטביעות אצבעות

וכאן בא החוק הביומטרי המצעיד אותנו צעד אחד קדימה. לא רק שאוספים עלינו מידע, אלא דורשים מאיתנו לתת אותו באופן אקטיבי ועל פי חוק. מי שלא ייתן טביעות של שתי האצבעות המורות, לא תינתן לו תעודת זהות חדשה. ומי שאין לו תעודת זהות בתוקף, צפוי להיעצר בידי המשטרה על פי חוק אחר, וכעציר יילקחו טביעות של כל אצבעותיו.

וכל זה לשם מה? לפתרון בעיה שולית שמשרד הפנים יצר בכך שלא הנפיק תעודות זהות חכמות שאינן ניתנות לזיוף.

אבל אולי טביעות האצבעות אכן יכולות לפתור בעיות זיהוי של אנשים? אולי לשם כך צריך להרשות את השימוש בהן בכל זאת? אז זהו שלא. קודם כל, טביעות אצבעות אינן יכולות לשמש לזיהוי כל האזרחים – לאנשים רבים אין טביעות אצבעות, או שטביעות האצבעות שלהם אינן ניתנות לשימוש (כלומר, לא ניתן לקרוא אותן באיכות סבירה). למשל, שחקני כדורסל שמחככים את האצבעות באופן קבוע, שלא לדבר על קטועי ידיים או אצבעות. שנית, טביעות אצבעות ניתנות לזיוף – אפשר לייצר בקלות אצבעון עם טביעה של אדם אחר וכך להתחזות לו (ומי שלא יודע איך, שיחפש בגוגל וביוטיוב). ושלישית, כשזה מספיק חשוב, ניתן אפילו לבצע ניתוח להחלפת טביעות האצבעות, וכבר נתפסו אנשים שעשו זאת. למשל, סינית שהיתה מנועת כניסה ליפן. היא נתפסה לאחר זמן בידי המשטרה היפנית מסיבות אחרות, ובחקירה התגלה שהוחלפו הטביעות של האצבעות המורות שלה.

הנזקים משימוש בביומטריה

איסוף הביומטריה לא רק שלא יעזור, אלא אף יגרום נזק גדול מאוד. למשל, יש מי שמגינים על המחשב האישי שלהם באמצעות טביעת אצבע במקום סיסמה. מובן שברגע שלמישהו תהיה טביעת האצבע שלנו, הוא יכול לייצר אצבעון עם הטביעה הזאת, להתחזות לנו מול המחשב שלנו, וכך להגיע אל כל המידע שאנו שומרים.

השימוש המשטרתי בטביעות אצבעות בזירות פשע ידוע גם כן, ולמרבה הצער אין הוא חף מטעויות. לכן, תוצאת השימוש במאגר המוצע תהיה שאזרחים רבים יהיו חשודים לשווא בביצוע פשעים רק בגלל שטביעותיהם דומות לאלה של מבצע הפשע, או משום שהיו באזור הפשע משום מה בלי קשר אליו (וכן, למרות שהחוק נועד למלא את צורכי משרד הפנים, למשטרה ולגופים אחרים תהיה גישה למאגר). ועוד לא דיברנו על יכולות השימוש של מדינות זרות וארגוני פשע וטרור במאגר אם וכאשר ידלוף – כאן השמים הם הגבול, ולא אפרט כדי שלא להם לתת רעיונות.

ומה עם כל שאר הארגונים המבקשים טביעות אצבעות, כביכול כדי להגן עלינו או על המידע הנגיש לנו? כפי שהזכרתי קודם, שימוש בטביעות אצבעות להגנה על מידע או לצורך זיהוי אינו מועיל באמת. כדי שיועיל, הוא צריך להישמר כמו סיסמה סודית, שאף אחד אחר אינו ידע אותה. אבל טביעות אצבע אינן סודיות (הן כן פרטיות), וקל להשיג אותן באופן פרטני ממי שנרצה, פשוט על ידי לקיחת חפץ שהאחר נגע בו, כפי שניתן לראות לעתים קרובות בסדרות משטרה בטלוויזיה. מאחר שהטביעות אינן סודיות, אמינות השימוש בהן לצורך זיהוי נמוכה, והאמינות הזאת תקטן עוד יותר כאשר יהיה מאגר מסודר ונגיש של כל טביעות האצבעות – ייתכן אפילו שכאשר יתחיל המאגר לדלוף, השימוש המשטרתי בטביעות אצבעות לא יוכר עוד על ידי בתי משפט כראיה.

לשכות התעסוקה מבקשות ממובטלים לתת את טביעות האצבע שלהם, ואינן מציינות שאין זו חובה. גם קופות החולים התחילו לאסוף טביעות אצבע, שיחליפו את הצורך בכרטיס החבר, וגם שם לא אומרים למבוטחים שאין הם חייבים לתת את הטביעות שלהם. למעשה, בכל המקרים הללו נותנים הטבה לאזרח כדי שיסכים לוותר על חלק מפרטיותו. בהקשר אחר, גם מועדוני לקוחות נותנים הטבות כספיות ללקוחות תמורת ויתור על פרטיותם (במקרה זה ההטבה ניתנת בתמורה לקבלת מידע רב על הרגלי הקנייה של חבר המועדון – מידע רב הרבה יותר ממה שהמועדון מספר לחבריו). וגם משרד הפנים צפוי לפעול בדרך דומה בתקופת הפיילוט – בשנתיים הקרובות כל עוד אין חובה לתת טביעות אצבעות. הוא יספר לאזרחים כמה זה טוב, וכמה זה מועיל, ואילו הטבות האזרח יקבל, אך ישכח לספר את שאר האמת, כמו מדוע זה רע, ומה הסיכונים, ועל אילו היבטי פרטיות האזרח מוותר. כהטבה נוספת, משרד הפנים יחלק מתנות, כמו קורא כרטיסים חכמים למחשב של מי שיסכים לתת טביעות אצבעות, או התחברות לשירות מידע ותשלומים, שבינו לטביעות אצבעות אין דבר וחצי דבר, והסיבה היחידה שימנעו אותו משאר האזרחים תהיה הרצון לשכנע את התמימים להצטרף לפיילוט.

האם המאגר יהיה באמת מוגן?

פרופ' עדי שמיר הציע את שיטת העמעום, שמטרתה להפחית את דליפת הפרטיות מהמאגר הביומטרי. על פי שיטה זו, לא יהיה קישור ישיר בין שמו (או זהותו) של אדם ובין נתוניו הביומטריים. במקום הקישור הישיר יבוא קישור מרובה, שבו מספר כלשהו של אזרחים (שבע מאות, למשל) ישולבו יחד ב"מגירה" אחת, שעליה יופיעו כל השמות ובתוכה יהיו הנתונים הביומטריים של כולם. באופן זה לא ניתן לקשר אדם לנתוניו הביומטריים, אבל ניתן לבדוק אם אדם מופיע במאגר, וניתן לתפוס אדם שמתחזה לאחר (מתוך הנחה שהסיכוי של מתחזה להתחזות לאחר שבאותה מגירה כמוהו קלושים, ובכל מקרה הוא לא ידע מי האחרים במגירה).

שיטה זו אמורה למנוע מהשלטון (ומאחרים שיכולים לשאול שאילתות במאגר) לדעת מי הוא בעליה של טביעת אצבעות זו או אחרת, ועל ידי כך להפחית את השימוש הלא ראוי במאגר. השיטה הזאת אינה מושלמת. למשל, פריצה למאגר עלולה להביא לדליפת כל הטביעות של כל אזרחי ישראל לידי אויב, שאותו לא מעניינת הזהות של כל אחד, אלא רק מיהו אזרח ישראלי (למשל, כדי לעצור אותו אם הוא מנסה להיכנס לדובאי). השיטה הזאת גם לא פותרת את כל בעיות הפרטיות של המאגר. אבל ברור שהיא טובה יותר מהמאגר המוצע. ואולם השיטה הזאת לא נבחרה לשימוש על ידי משרד הפנים בטענה המגוחכת שהיא פוגעת בפרטיות. מכאן ברור שכוונת מקימי המאגר אינה מניעת זיופי זהות, כדברי החוק, אלא קידום מטרות זרות שאינן מוזכרות בחוק.

אוסיף ואזכיר שיוזמי המאגר חוזרים ואומרים שהוא יהיה מוגן במיטב שיטות ההגנה המוכרות למדינה. אבל כפי שכתבתי לעיל, מהות ההגנה על המאגר היא הגנה על פרטיות ולא על סודיות, כך שאין הם מבינים כלל, וגם לא מנסים להבין, מהן הבעיות האמיתיות של המאגר. וכדי להוכיח זאת, בא החוק ומתיר לכל שוטר להפנות שאילתות אל המאגר ולקבל עליהן תשובות. בלי להטיל דופי ברוב הגדול של השוטרים, הרי ידוע לכל שבכל מערכת יש מיעוט שמשתמש בסמכויותיו שלא כדין. במקרה הזה, מיעוט שישאל שאילתות לא מורשות בשביל אחרים. שאילתות כאלה נשאלות כבר היום בכל המאגרים הקיימים במדינה. שאלו את החוקרים הפרטיים הקרובים לביתכם, והם יגידו לכם שביכולתם לקבל רישומי ביטוח לאומי, רישומי מס הכנסה, רישומי חשבונות בנק, קופות חולים, וכמובן רישומים של מרשם האוכלוסין של כל אזרח שהם רוצים מידע עליו. אם אין להם עותק של המידע, כמו בדוגמת מרשם האוכלוסין, הרי שתמורת סכום פעוט הם יקבלו תשובה לשאילתה מבעלי גישה למאגרים – ושוב, איני רוצה להטיל דופי ברוב הפקידים, אבל במהלך השנים התברר שוב ושוב שמאגרים דולפים, ושוטרים ופקידים רבים הורשעו בהדלפת מידע ממאגרים, ואף בשינוי מידע במאגרים, תמורת כסף או טובות הנאה אחרות. כמובן, מידע ידלוף גם מהמאגר הביומטרי לכל דורש: לבעל שירצה לבדוק טביעות אצבעות שמצא בחדר השינה, לבלש פרטי שיעקוב אחרי אזרח תמים, או אפילו לפושע שירצה לשתול ראיות כוזבות בזירת פשע כדי להחשיד אנשים תמימים. המאגר, או פרטים ממנו, ידלפו שוב ושוב. בזה אין שום ספק. הדרך היחידה למנוע זאת היא שלא יהיה מאגר – ובמקרה שלנו, שלא יהיה מאגר שממילא אין בו צורך.

לסיכום, טביעות האצבעות של האזרח הן חלק מפרטיותו, ואין למדינה זכות מוסרית לגעת בהן, על אחת כמה וכמה כשאין לה צורך אמיתי בהן. אין צורך בביומטריה כדי להנפיק תעודות זהות מאובטחות, וניתן לטפל בבעיות הזיהוי בדרכים אחרות, פחות פולשניות. אל תיתנו לאף אחד לפגוע בפרטיותכם. אמרו למדינה לא! אל תסכימו לתעודת זהות ביומטרית!

 

המאמר פורסם בגיליון מספר 64 של "ארץ אחרת": מדינת מעקב – המאגר הביומטרי ומאגרים אחרים. להזמנת הגיליון לחצו כאן

פרופ' אלי ביהם הוא דיקן הפקולטה למדעי המחשב בטכניון, ומומחה בהצפנה ובאבטחת מידע.

תגובות פייסבוק

תגובות

תגובות

הגיבו לכתבה