חוק הביומטריה: תקראו ותחליטו האם אתם בעד או נגד

הנתונים שלך פרוצים? מאגר ביומטרי (פלאש90)

שלומי יאס | חדשות סרוגים עודכן לאחרונה 22.01.2012 / 10:51

בישראל ילקחו סריקות שתי האצבעות וצילום הפנים ויקודדו בשבב שיותקן בתעודת הזהות ובדרכון. שילוב שיאפשר זיהוי אדם מול המסמך שהוא נושא. האם מדובר בצעד חשוב שיצמצם עבריינות או בפרצת אבטחה שתהפוך את המידע הרגיש ביותר לחשוף בעיני כל? אל תגבשו דעה לפני שתקראו.

ראשית, גילוי נאות. אני עובד במרכז המידע הארצי ברשות האוכלוסין וההגירה. אולי בגלל זה, תקפה אותי סקרנות טבעית ללמוד את הנושא. אודה עלי פשעי, לאחר שבועות של עיון בנושא אני מוצא עצמי יותר ויותר חסר עמדה החלטית כבתחילה.

בדצמבר 2009 אישרה הכנסת את 'חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגרי מידע'.

החוק דן באחסון אמצעי זיהוי ונתונים ביומטריים במסמכי זיהוי, ובמאגר מידע. כלומר, באמצעי זיהוי ביומטריים בדרכונים ובתעודות הזהות, ובהקמת מאגר לאחסון הנתונים הביומטריים.

החוק ויישומו לווה בביקורת ציבורית מחוגים מגוונים: מומחים, נבחרי ציבור, מאות בלוגרים ברשת, פרסום מכתב הפרופסורים חתום בידי יותר מ-30 מרצים, ועוד. בעקבות הסערה הציבורית הוחלט על אימות זיהוי ביומטרי שיחל בקרוב, לתקופת מבחן בת שנתיים במהלכה יונפקו מבחירה לאזרחים מסמכי זיהוי ביומטריים (תעודת זהות ודרכון) ובתום שנתיים יקבע בכנסת האם יוקם בנוסף מאגר ביומטרי.

ביומטריה ואימות זיהוי ביומטרי

באימות זיהוי ביומטרי מזהים בני אדם באמצעות מדידת תכונותיהם הפיזיולוגיות וההתנהגותיות. מידע ביומטרי כולל בין היתר מידע פיזיולוגי (טביעת אצבעות, מבנה קשתית העין, צילום פנים) או מידע התנהגותי (כתב יד, תנועות עיניים ועוד).

הנתונים משולבים באופן כתוב ואלקטרוני בכרטיס לשם זיהוי נושא התעודה. בישראל ילקחו סריקות שתי האצבעות וצילום הפנים ויקודדו בשבב שיותקן בתעודת הזהות ובדרכון. שילוב שיאפשר זיהוי אדם מול המסמך שהוא נושא.

בעד הביומטריה והמאגר

בין היתרונות ניתן למנות הפחתות זיופים, עבירות פליליות וגניבת זהויות, במטרה למנוע "הרכשה כפולה", כשאזרח מקבל יותר מזהות אחת. שימוש משטרתי לפענוח פשעים, צמצום פגיעה בביטחון המדינה, הצבעות כפולות בבחירות ועוד. בעתיד ניתן יהיה לבצע חתימה דיגיטלית לקבלת שירותים מרחוק: ביצוע פעולות במשרדי ממשלה רבים, בנקים, קופות החולים ועוד.

נגד הביומטריה והמאגר

רבים טוענים שניתן להקשות מהותית על זיוף תעודות גם ללא ביומטריה, בטח לא עקב עלותו הגבוהה. בנוגע לאבטחת המידע, במשרד הפנים טוענים שמאגר לא רק שיהיה מאובטח ברמה 'סודי ביותר' אלא גם לא יהיה מחובר לרשת האינטרנט.

מנגד, פרצה קוראת לגנב, ישנן דרכים אחרות לפרוץ למאגר: בין אם עובדי המשרד עצמו, מציאת נקודות תורפה בשרשראות העברת המידע ועוד. ככל שמאגר גדול יותר, גדלה בעיית אחוז הדיוק שבאיתור רשומה נכונה. לדוגמא, רמת הדיוק של טביעות אצבע מגיעה לכ-99%. במאגר של 100 אנשים תתקבל טעות אחת.

ככל שהמאגר גדל, תגדל גם השגיאה. במאגר של מיליון רשומות נקבל 10,000 התאמות שגויות. קיום שוק ביומטריה פרטי בעולם מראה שלממשלות אין בלעדיות על המידע הביומטרי, מאפשר כפילות לא מאובטחת ובתורו מעמיד בסכנת דליפת מידע בערוץ הפרטי.

לסיום, מידע ביומטרי עקב חשיפה הוא one way ticket – אובדן לבעלי המידע לכל החיים.

ביומטריה בעולם

שוק הביומטריה העולמי גילגל בשנת 2010 כ-3.5 מיליארד דולר וצפוי להגיע בשנת 2014 לכ-9.5 מיליארד דולר. נתון המעיד על קצב ההתפתחות המהיר ועל מידת השימוש העתידית בביומטריה. למרות זאת, אין תקן אחיד בעולם לביומטריה. כל מדינה מחליטה מה יהיו הפרטים הביומטריים (טביעות אצבע, צילום פנים, קשתית העין ביחד, בנפרד או בצירוף), לא כל המדינות עוברות לביומטריה, לא כל מדינה מקימה מאגר ביומטרי, ויש שהתחרטו, כדוגמת אנגליה.

קיימות מדינות עם מאגר ביומטרי, אפילו חלקי. באוסטרליה משווים פנים לבקשות לדרכונים, בקנדה מוודאים את הבקשות לדרכונים מול מאגר תמונות, בצרפת קיים מאגר של 6.3 מליון רשומות, במקסיקו קיים מאגר של 70 מיליון איש, בקולומביה קיים מאגר טביעות אצבע בתעודות זהות, בארה"ב אין תעודות זהות אך רישיון הנהיגה משמש כתעודת זהות.

בקליפורניה, טקסס ויסקונסין ומדינות נוספות, לוקחים תמונות פנים וטביעות אצבע, בשוויץ המאגר כולל טביעות אצבע לדרכונים ובהודו עתיד לקום מאגר הביומטריה הגדול בעולם.

יורים ובוכים

עם כל הלבטים בשימוש הצפוי בביומטריה בישראל, עדיין, מי מאיתנו שקרא אודות ההאקר הסעודי ופרסום פרטי כרטיסי האשראי של ישראלים החליט לגזור את כרטיס האשראי שלו? כמה מהמחזיקים בכרטיס הרב-קו החזירו אותו מפני שהם מכילים פרטים מזהים? והשירות שלGoogle Street View, האם להתנגד בטענה לפגיעה בפרטיות ובצנעת הפרט, או לקבלו בטענה שהוא עוזר בהגדלת מספר התיירים?

האם הידיעה אודות האפשרות לפריצה לשרתים של אתרים כגון Flickr ו- Picasa המציעים אחסון תמונות לצורך שיתופן ברשת, מונעת מאנשים ברחבי העולם להעלות תמונות? ובהמשך לזה, האם לעצור את שיטפון המידע הזורם ברשתות החברתיות, פייסבוק, טוויטר ואת מועדוני הצרכנים המכילים מאגרי מידע?

ושאלת מיליון הדולר: האם ניתן להסתפק באימות זיהוי ביומטרי בלבד או שיש צורך גם במאגר? תשובות לשאלות אלה ואחרות תלויות במי ומי מאיתנו, בעלי ניסיון ואינטרסים מתאימים. אני בכל אופן מודה, טרם מצאתי תשובה חד משמעית.