לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


קטעים בקטגוריה: . לקטעים בבלוגים אחרים בקטגוריה זו לחצו .

קצת על עלויות המאגר הביומטרי


על עלות פרויקט המאגר הביומטרי נכתב כאן. כיאה לכתבה עיתונאית מהזן החדש, התחקיר מעמיק. על פי מצגת כנס מנכ"לים של משרד הפנים (קישור), עלות 5 מיליון תעודות הזהות יהיה 270 מיליון ש"ח (אגב, סביר בהחלט שעלות הנפקת הדרכונים תהיה יקרה יותר, עקב הטכנולוגיה השונה הנדרשת), מספר תעודות הזהות שקול למספר הדרכונים (כיוון שדרכונים נדרשים גם על ידי קטינים שאינם זכאים לתעודות זהות ומאחר ולדרכונים יש תוקף, ניתן להניח כי הכמויות שוות פחות או יותר). כך שעלות ההנפקה הראשונית היא כחצי מיליארד ש"ח. מאחר וכל שנה מונפקות בישראל כמיליון וחצי תעודות (והמספרים יירדו, אך לא בצורה דרמטית לדעתי), עוד כחמישים מיליון ש"ח יעלו ההנפקות השנתיות. כל אלו עלויות שאינן קשורות כלל לסוגיית המאגר הביומטרי אלא אך ורק לסוגיית השימוש בתעודות זהות חכמות. יש לזכור שכיום דרכון עולה כסף ותעודות זהות לא, אך עלות הדרכון הקיים נמוכה יותר מעלות הדרכון החדש ולכן לא ברור מה יהיה היקף ה"סבסוד" או אובדן ה"רווח" של המדינה מהמעבר לדרכונים החדשים (אלא אם יעלו את האגרה). באופן כללי חשוב לזכור - כדי לעבור לתעודות זהות מבוססות כרטיס חכם אין צורך בשינויי חקיקה או בהקמת מאגר כלשהו. למעשה, משרד הפנים כשל, כשל ושוב כשל לאורך שנים במעבר לתעודת זהות מבוססת כרטיס חכם וכל בעיות גניבת הזהות (אם ישנן כאלה) הן תולדה של כישלון מקצועי מערכתי זה במשרד הפנים. ולא (שוב - לא) בגלל היעדר מאגר ביומטרי.

הקמת המאגר אינה כרוכה בעלויות הללו כלל. הקמת המאגר כרוכה בשלושה מרכיבים מרכזיים שהנם פועל יוצא של עקרונות הפתרון שנבחר על ידי משרד הפנים (מאגר ביומטרי מרכזי):
1. הקמת רשות ממשלתית חדשה: הקמת רשות כזו דורשת תקנים, מבנים וטכנולוגיות.
2. ציוד הרכשה לכלל עובדי משרד הפנים שיעסקו במתן שירותי דרכונים ותעודות זהות.
3. תקנים נוספים הנדרשים לצורך ביצוע תהליך הנפקת הדרכונים ותעודות הזהות.

מאחר ואין לי ניסיון בהקמת רשויות טכנולוגיות ואינני מצליח לאתר נתונים על כמות העובדים העוסקים במלאכה כיום (יש סך הכל כ-1200 עובדים במשרד הפנים כיום), קצת קשה לי להעריך את העלויות. אני מניח שהקמת כל רשות חדשה זה עניין של עשרות מיליוני שקלים, לבטח רשות עם דרישות טכנולוגיות כאלה מורכבות. ציוד ההרכשה הנדרש (קוראי טביעת אצבע ומצלמות) יעלה גם הוא כמה מיליונים ולכך יש להוסיף התבלות ציוד. מרכיב מרכזי הוא כמובן כמות התקנים הנוספים. כאן אני דווקא כן יכול לשחק קצת עם הנתונים, כיוון שגם יש לי מעט ניסיון בנושא וגם המספרים הקיימים גלויים. לטובת העניין אניח מעט הנחות יסוד:
  1. זמן ההרכשה של טביעות ביומטריות ייקח כ-10 דקות יותר מהזמן שהוא לוקח כיום. מרכיב הזמן לוקח בחשבון שישנם אנשים איטיים יותר מקוראי הבלוג ונודניקים יותר מקוראי הבלוג (בטח נתקלתם בהם בעבר בהמתנה לשירותי משרד הפנים). מניסיון אישי, הרכשה ביומטרית לוקחת זמן, בטח אם האזרחים לא מרוצים.
  2. בכל גישה של אזרח להנפקת דרכון או תעודת זהות ללא תעודה מזהה קיימת, הבדיקה תכלול בדיקת שתי טביעות אצבע וצילום ביומטרי (שכן על כך נסמכת תפיסת האבטחה של משרד הפנים בכל האמור לשימוש בביומטריה) ולכן כל פנייה שכזו תארך אותן 10 דקות כמו בפעם הראשונה.
  3. בחודש עבודה ממוצע של עובד משרד הפנים (22 ימי עבודה בחודש, יום עבודה של 8.5 שעות - נתוני המגזר הפרטי...) יש 1122 הנפקות אפשריות, אם העובד עוסק כל היום רק בהנפקות ואלו אורכות רק עשר דקות יותר ממה שלוקח היום (כלומר, ניקיתי את הזמן הקיים היום) ובשנה 13464 הנפקות.

כדי להנפיק בתוך שנתיים את כל תעודות הזהות שמשרד הפנים מתכנן לרכוש (אגב, המכרז הוא לחמש מיליון תעודות, כשיש חמישה וחצי בעלי זכות בחירה ויותר מכך אזרחים הנדרשים לשאת תעודה מזהה (הנדרשת מגיל 16)) יש צורך בתוספת של 184 עובדים. מאחר וכל שנה משרד הפנים מנפק מיליון וחצי תעודות חדשות, על מנת לנפק אותם צריך עוד כ-110 עובדים. כלומר, העלות של קיומו של המאגר היא גידול של כעשרה עד חמש עשרה אחוז בעובדי משרד הפנים. בסך הכל, עם הרשות עצמה, אני מניח שמשרד הפנים יעלה את מצבת העובדים שלו בכעשרים אחוזים לפחות. על כך יש להוסיף כמובן תקני הדרכה, שדרת ניהול לתקנים החדשים וכדומה. ללא ספק תוספת נכבדה למוטת הניהול המצדיקה הקמת מאגר שיצדיק את התוספת. האבסורד הוא שכל משרדי הממשלה כמעט מתלוננים על מחסור בתקנים, כך שדווקא הבחירה בקיומו של מאגר ביומטרי מרחיקה את היעד המקורי - לחימה בזיופי תעודות הזהות. מניסיוני כאזרח (שאינו שונה מניסיונו של כל קורא בבלוג), הצורך בתוספת תקנים יתקע את התהליך הרבה אל מעבר לקשת.

מן הסתם אתם רוצים לדעת מה החלופה (כיוון שביקורת ללא חלופה אינה ראויה דיה). ובכן, במידה ומשרד הפנים מוותר על המאגר הביומטרי ועובר לשימוש בתמונות ביומטריות בלבד, ניתן לוותר לא רק על הקמת הרשות, אלא גם על כל הציוד הטכנולוגי הנלווה ועל כל התקנים הנלווים. מדוע? כיוון שכך עושים גם במדינות מסוימות באיחוד האירופי (יש לי דרכון כזה, אני יודע). במקום להביא תמונת "פספורט" שגזרת בבית מתמונה שהדפיסו הוריך בכיתה גימל, אתה נדרש להביא תמונה באיכות מוגדרת. בצלמניות עצמן קיימת תבנית אותה ניתן להניח על התמונה המודפסת ולוודא שהתמונה עומדת בקריטריונים (מרחק בין האוזניים, בין העיניים וכדומה). בעת הגעה למשרד הפנים הפקיד עושה מה שהוא עושה היום (ורק מוודא שהתמונה עומדת בקריטריונים שהוגדרו) ושולח את התמונה למרכז ההנפקה. מרכז ההנפקה סורק את התמונה באמצעות סורק אוטומטי וכך יוצר תמונה ביומטרית שנשמרת בתעודה עצמה. כלומר, אם משרד הפנים יוותר על הדרישה למאגר, הפרויקט יחסוך כמה עשרות מיליונים כל שנה (בנוסף לעלויות ההקמה) לקופת המדינה. מי שרוצה להבין מדוע בכלל מישהו ירצה פרויקט כל כך מנופח, מוזמן לקרוא את חוק פרקינסון (רמז: פרקינסון חקר כיצד זה שהקיטון בצי הבריטי לאחר מלחמת העולם הראשונה הוביל לגידול במטה בהיבטי כוח אדם).

גילוי נאות: הנתונים שהוצגו מבוססים על הערכות השאובות מניסיון והיכרות עם תפקוד המגזר הציבורי ואזרחי ישראל. אלו לא מספרים מוחלטים או מדעיים וכל אחד יכול לקחת אותם לאן שירצה. אני חושב שבסך הכל הם סבירים, אם לא אופטימיים, אך גם אם הם מנופחים בשלושים אחוזים הם עדיין מיותרים וגדולים מדי.
נכתב על ידי , 11/8/2009 21:08   בקטגוריות מאגר ביומטרי, פרטיות, ניהול אבטחת מידע  
13 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט
 


כנס בנושא המאגר הביומטרי


הפורום הישראלי לאבטחת מידע בשיתוף עם המרכז הבינתחומי מארגן כנס בנושא המאגר הביומטרי (תוכניה). הכנס ייערך מחר בין השעות 10:00 - 14:00 ולצערי לא אוכל להגיע (הידיעה הגיעה אליי מאוחר וחודש אוגוסט הוא בעייתי מלכתחילה בענייני לו"ז). הכנס נראה מהסוג של "הוא ידבר, אני אדבר, העיקר שנדבר", כפי שניתן לצפות מכנס בו מתוך חמישה דוברים שלושה יהיו פוליטיקאים.
את הפורום אני לא ממש מכיר וגם לא את פעילותו. אני חושב שהפורום ישרת נאמנה את הציבור אם ייקח על עצמו לגבש עבודת מטה שבוחנת את נושא המאגר הביומטרי (בנוסח מה שהתחלתי לכתוב בבלוג, גם אם עם מסקנות שונות). אחד הדברים הבעייתיים בארץ בכל האמור לפרטיות ואבטחת מידע הוא היעדר פעילות ציבורית של המגזר השלישי (עד כמה שהפורום יכול להיות מכונה מגזר שלישי) והפורום בהחלט יכול לתרום את חלקו. אני יודע שחברים בפורום נכחו בדיוני הוועדה בכנסת, אך אני חושב שבנושא זה, כמו גם בנושאים אחרים, כדוגמת בחירות אלקטרוניות, רשומה רפואית וכדומה נחוצה מעורבות רבה יותר של גורמים מקצועיים בלתי תלויים. מאידך, אני לא חושב שבמשרד הפנים מישהו הכין עבודת מטה ומניסיוני במגזר הציבורי והפרטי, עבודת מטה נתפסת כמעין המצאה חסרת תועלת של הגויים. כך שאני לא תולה בכך תקוות, אך אני בהחלט מרים כפפה לפורום.
נכתב על ידי , 11/8/2009 20:57   בקטגוריות מאגר ביומטרי  
הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט
 


בשביל לתפוס רוצח, אעשה הכל


המשפט שבכותרת הוא המייצג הנפוץ ביותר בעד המאגר הביומטרי. ובאמת, מי יכול להתמודד עם טיעון שכזה, מי מאתנו היה רוצה לראות אנס או רוצח מסתובב חופשי, כאשר אנו יודעים בוודאות שניתן היה להכניס אותו לכלא.
המממ.... יודעים בוודאות? מעניין....
האם אנו יודעים בוודאות מיהן משפחות הפשע? כן. האם טביעות האצבעות שלהם נמצאות בין 800,000 טביעות האצבע הקיימות במאגר המשטרתי? כן. האם המשטרה מצליחה להכניס אותן לכלא? לא.
האם אנו יודעים בוודאות מיהם הפוליטיקאים המושחתים? כן (לפחות המשטרה טוענת שהיא יודעת). האם טביעות האצבע שלהן נמצאות במאגר? לא ברור, אך הן לא נחוצות. האם הפרקליטות מצליחה להרשיע? לא.
בעת דיווח על גניבת רכב, האם המשטרה לוקחת טביעות אצבע מהרכב? לא. מדוע? כיוון שאין מספיק כוח אדם להתעסק עם כל הגניבות הללו.

הטענה הכללית כאילו במשטרה ישנם מאות תיקים פתוחים התלויים על סמך טביעות אצבע שנמצאו בזירה והן העדות היחידה לקיומו של פושע עלום לא הוכחה ולמעשה לא נטענה (לפחות לא על פי תזכיר החקיקה, הצעת החוק או הפרוטוקולים שקראתי). מעיון בנתונים שהמשטרה מפרסמת לא מצאתי שום דרך לגלות את הנתון הזה ואני לא בטוח שהוא בכלל קיים. למעשה, ניתן לטעון טענה הפוכה, לפיה אינפלציה של טביעות אצבע בחקירות פליליות תוביל לפגיעה בעבודה המשטרתית עקב יצירת מעמסת יתר למשטרה (אם הבנתי נכון את דוחות המשטרה, כיום שליש מהטביעות מאותרות במאגר, כך שעליה למאה אחוז פירושה הכפלה ויותר של כמות החשודים לראיין). אני מודה שאני רחוק מתחום ההתמחות שלי ואשמח אם שוטרים, חוקרי מצ"ח (שניהם, בעבר או בהווה) ועורכי דין פליליים יאירו את עיני. האם בכלל ישנה משמעות לקיומו של מאגר ביומטרי בכל האמור לקידום חקירות או שבפועל התרומה תהיה זניחה עד לא מורגשת? אפשר לנסח את השאלה בצורה שונה - מה צריך כיום, עוד 200 עובדים במשרד הפנים או עוד 200 שוטרים? ברור שהדברים באים האחד על חשבון השני.
נכתב על ידי , 29/7/2009 20:22   בקטגוריות מאגר ביומטרי  
6 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט
 


"אתה חייב את זה לעצמך, אתה חייב למשפחה"


היום בשבע בערב ברחבת הסינמטק בתל אביב תתקיים הפגנה נגד חוק המאגר הביומטרי. לשמחתו של שטרית יש כל כך הרבה רעות חולות כרגע על הפרק שאחד הנושאים המהותיים לדמוקרטיה בישראל נדחק לקרן זוית (וכלבי השמירה הישנוניים של הדמוקרטיה מנמנמים כהרגלם). אין לי ספק שלקוראי הבלוג ברורה המשמעות של קיומו של המאגר, אני גם בטוח שלא מעטים הם החושבים לעצמם "מה הטעם, זה משחק מכור". לכן אתלה בגבוהים ממני כשאצטט את גנדי (לא רחבעם) "היה השינוי שאתה רוצה לראות בעולם".

זו הפעם הראשונה שאני קורא לפעילות פוליטית מעל במת הבלוג, אני חושב שהזמנים מצדיקים זאת ועוד לא אחרנו את המועד.

עומר
נכתב על ידי , 25/7/2009 11:09   בקטגוריות מאגר ביומטרי, פרטיות  
26 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט
 


מאגר ביומטרי - חלופות (חלק ג' - חלופה מוצעת)


רשימה זו מהווה המשך לשני חלקים קודמים: חלק א' חלק ב'

על מנת לפתור את בעיית זיופי התעודות צריך לבצע מספר מהלכים שיתמודדו עם הנקודות הבאות:
  1. קלות הזיוף של התעודה.
  2. יכולת תיקוף.
  3. שימושיות נמוכה.
  4. יידוע אזרחים על הרכשה כפולה.
  5. מתן אפשרות לאזרחים לבטל תעודות ללא הגעה למשרד הפנים (ביטול ללא הנפקה).
לשם כך יש ליישם פתרון בשלושה חלקים (בסוף הרשימה אסביר מדוע לאחר יישום הפתרון יתייתר הצורך במאגר ביומטרי).
קלות הזיוף:
  • משרד הפנים מתכנן לעשות שימוש בכרטיס חכם ועל כך אין לי מה להוסיף. בין אם כרטיס חכם עם זיהוי ביומטרי לכרטיס או עם זיהוי באמצעות PIN נראה לי שהפתרון נכון ואינני רוצה להכנס בשלב זה להבדל בין החלופות.
  • כרטיס פלסטי קשה לזיוף. למרות השימוש בכרטיס חכם, יש לזכור שרוב העסקאות יבוצעו על ידי הצגת הכרטיס ולכן יש לבחור בטכנולוגיה קשה לזיוף של הפלסטיקה עצמה בכרטיס.
  • משרד הפנים צריך לאפשר קבלת תעודה מזהה רק למי שהזדהה. לצורך העניין כל תעודה מזהה רשמית (רישיון נהיגה/חוגר/דרכון), או עדות מקרוב משפחה הנושא תעודת זהות. כל האחרים ייכנסו באופן מיידי למסלול תשאול חריגים. 
  • משרד הפנים צריך ליידע אזרחים על כל בקשה להנפקת תעודה מזהה בשמם. מאחר ותעודות לא יונפקו במקום בלאו הכי, יש לשלוח מכתב בדואר רשום לכתובת הרשומה במשרד הפנים. במידה והאזרח שינה כתובת בשנה האחרונה, יש לשלוח דואר לכל אחת מהכתובות הרשומות בשנה האחרונה. בכל בקשה לשינוי כתובת יש לשלוח דואר רשום לכתובת הנוכחית.
יכולת תיקוף:
  • כחלק משימוש בכרטיס חכם יש לאפשר גישה לכל מי שיעשה שימוש בכרטיס החכם הן לרשימת התעודות הבטלות (CRL).
  • על מנת לאפשר לאזרחים מן השורה לאמת את תוקף תעודות הזהות יש לכתוב את זיהוי התעודה הדיגיטלית על גבי התעודה עצמה, כך שבהקשת רצף תוים באינטרנט (וללא קורא כרטיסים) ניתן יהיה לוודא האם תעודה היא בתוקף. אני צריך להשקיע קצת מחשבה באיך לבנות את המנגנון הזה (למשל, ניתן יהיה להקיש מספר זהות ומספר תעודה ולקבל תשובה האם התעודה בתוקף או לא, על מנת לצמצם אפשרות ל-Brute Force), אבל העיקרון הוא לאפשר לאזרחים מהשורה לאמת מספר זהות בלי צורך בקורא כרטיסים חכמים. באופן זה יימנעו גם הונאות המבוססות על השבתת הכרטיס החכם וביצוע הנדסה חברתית.
  • יש לאפשר לאזרחים לבטל את תעודת הזהות שלהם דרך האינטרנט. ניתן להמליץ לאזרחים להחזיק בבית צילום של תעודת הזהות. במידה והתעודה נגנבה, ניתן להקליד את מספר הזהות ואת מספר התעודה ולבטל את התעודה בלי להגיע למשרד הפנים (לצורך הנפקה מחודשת עדיין יצטרך האזרח להגיע למשרד הפנים).
שימושיות נמוכה:
  • אני חושב שזה אחד הדברים החשובים בכל פתרון אבטחה. התכלית של הגברת השימושיות היא לייצר מצב בו אזרחים מודעים לכך שהתעודה שברשותם אינה בתוקף או נגנבה/אבדה.
  • יש לייצר תעודה בגודל נורמלי, שנכנסת לארנק ממוצע.
  • יש לחייב זיהוי באמצעות תעודת זהות עבור פתיחת חשבון בנק (ניתן אף לדרוש שלאחר תהליך ההנפקה הראשוני אזרחים יידרשו להגיע לבנק לאמת את זהותם).
  • יש לחייב את רשות הדואר לאמת אזרחים באמצעות תעודת זהות מאומתת עבור קבלת דואר רשום ועבור כל שינוי בעלות רכב (קונה ומוכר).
  • בכל מצב בו בית עסק מעל גודל מסוים (כדי לא להרוג עסקים קטנים) מאפשר לעשות שימוש בכרטיס אשראי וללא הצגת תעודת זהות בתוקף (יש לזכור שעל פי חוק חובה להסתובב עם תעודת זהות), באופן קטגורי האחריות על העסקה במקרה של הונאה תהיה על בית העסק, גם אם כרטיס האשראי היה בתוקף. באופן זה כל אזרח יידע תמיד שהתעודה שלו בתוקף. אם נחיל את העיקרון על חברות הסלולר ורשתות הפארם/סופרים הגדולות, רבים הסיכויים שאזרחים יידעו מהר מאוד שהתעודה שברשותם אינה בתוקף. האמת היא שנראה לי שמרגע שתעודת זהות חכמה תהיה שם בחוץ בלאו הכי העסקים הגדולים יעשו זאת. בסופו של דבר זה יחסוך להם כסף, כך שאני בכלל בכלל לא בטוח שצריך פה איזה שהוא סוג של רגולציה.
המטרה המרכזית של אמצעים אלה הנה לצמצם את פרק הזמן מרגע ביצוע הונאה הוא הרכשה כפולה ועד שהאזרח בפועל יידע מזה. המטרה היא להפוך את זיוף תעודות הזהות לקשה ואת השימוש בתעודות זהות מזויפות לקשה עוד יותר. אמצעים אלה לא ימנעו לחלוטין זיופי תעודות, הם יהפכו את המימדים שלהם לסבירים ואת היקפי ההונאות לקטנים. לאלו שחוששים לעתיד הזייפנים, תמיד יהיה להם ממה להתפרנס.

נכתב על ידי , 22/7/2009 21:53   בקטגוריות מאגר ביומטרי, פרטיות  
14 תגובות   הצג תגובות    הוסף תגובה   1 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט
 


מאגר ביומטרי - חלופות (חלק ב' - ניתוח מצב קיים ואיומים)


רשימה זו מהווה המשך לחלק א'

על מנת להתמודד עם עמדת משרד הפנים אני רוצה להציג חלוקה לשני סוגים של הונאות: הונאות שבין אדם למקום והונאות שבין אדם לחברו. הונאות שבין אדם למקום קשורות רובן ככולן להונאות מול משרד הפנים (ואולי גם משרדי ממשלה שונים, אך איני בטוח) והונאות שבין אדם לחברו הנן הונאות מסחריות/כלכליות אחרות.
הונאות בתעודות זהות קיימות מתקיימות משתי סיבות עיקריות:
  1. קל לזייף תעודות זהות מרגע שנרכשו (כלומר, קל לייצר תעודה הדומה לדבר אמיתי), כך שקשה לאמת את אמיתותה של התעודה (כלומר, שתעודה זו יוצרה כמו שהיא על ידי משרד הפנים)
  2. קשה לאמת את תוקפה של התעודה (כלומר שתעודה לא בוטלה על ידי משרד הפנים).
למי מכם שאינו מודע לכך לכל אחד יש מספר זהות ומספר תעודת זהות. מספר הזהות הוא המספר שניתן לכם על ידי משרד הפנים בעת לידתכם או עלייתכם לארץ. מספר תעודת הזהות הנו מספר התעודה האחרונה שהונפקה לכם. לכאורה, הדבר הקל ביותר שיכול היה משרד הפנים לעשות הוא לאפשר לגופים עסקיים או פרטיים לקבל גישה למאגר התעודות הבטלות, כלומר למספרי התעודה של התעודות שדווח עליהן כי אבדו או נגנבו. השוואת תעודה מזויפת מול המאגר הייתה מגלה כי מדובר בתעודה שאינה בתוקף, אף אם היא אמיתית. אני חייב לסייג את דברי ולומר כי רצף המספרים הניתן היום לתעודות אינו באמת מאפשר לבצע מהלך שכזה כיוון שהוא אינו אקראי ואינו ארוך במיוחד.
אך בעיית ההונאות מרחיקת לכת יותר מקלות הזיוף וקושי התיקוף. תעודות הזהות אינן משמשות את האזרח ביומיום ולפיכך האזרח אינו זקוק לתעודדה והוא מתעורר לחסרונה רק ביום הבחירות. משרד הפנים הרחיק לכת ופתר בעיה זו בכך שאפשר להצביע עם רשיון נהיגה (צעד מבריק). לפיכך, גם אם נגנבה לכם תעודה וזויפה לא בהכרח תשימו לב. כך שגם אם יעצור אתכם שוטר או תלכו למשרד הפנים עם זיוף טוב דיו תוכלו לעבור, כיוון שאם התעודה לא דווחה כאבודה היא לא במרשם התעודות הבטלות. אגב, אני איני נושא עליי תעודת זהות כלל, מהסיבה הפשוטה שהתעודה אינה נכנסת לארנק (להבדיל מכל תעודה אחרת המונפקת על ידי כל רשות ממשלתית אחרת).
לסיכום ניתן לומר כי ישנם שלושה מרכיבים המייצרים כיום את קלות ההונאה:
  1. קלות זיוף.
  2. קושי תיקוף.
  3. שימושיות נמוכה.

אני רוצה לדבר מעט על הונאות, למרות שאני מודה שזה רחוק מלהיות תחום התמחותי.
הונאות, בניגוד לעמדת משרד הפנים, אינן מבוססות על תעודת הזהות. לעתים קיימת הנחת היסוד כי חוזק העמידה בפני הונאה הוא כחוזק מנגנון ההזדהות. בפועל, חלק גדול מההונאות אינו קשור כלל לנושאים של הזדהות, מכיוון שהנחת היסוד של האדם התמים היא כי מולו ניצב אדם תמים ולכן סוגיית הזהות כמעט ואינה מהותית. מעבר לכך, בעת שאדם מציג מסמכים מזויפים (וניתן לזייף מסמכים עדיין, בלי קשר לתעודה) הנראים מקוריים, זה מעניק באופן מיידי לזהות שלו כסות לגיטימית, כך שגם הצגה של תעודת זהות מזויפת ברמה לא הכי גבוהה עלולה לעבור את האזרח התמים (זה אינו יודע לוודא תקפות תעודה). גם אם אזרחים יוכלו לאמת את השבב החכם, ניתן להשביתו בקלות (או בתעודה מזויפת לשים שבב דמה) ובהנדסה חברתית פשוטה להסביר שהתעודה נפלה לאמבטיה של הילדים (בתוספת חיוך נבוך). עבור רוב המקרים תרגילים פשוטים יעבדו. בסופו של דבר חוזקה של התעודה עבור חלק גדול מההונאות יהיה בכלל כחוזק התעודה הפלסטית עליה יונפק.
נכתב על ידי , 22/7/2009 21:51   בקטגוריות פרטיות, מאגר ביומטרי  
2 תגובות   הצג תגובות    הוסף תגובה   2 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט
 


מאגר ביומטרי - חלופות (חלק א' - עמדת משרד הפנים)


למאמר זה שני המשכים: חלק ב' וחלק ג'

למען ההגינות אני חייב לציין שתמיד קל להיות בצד המבקר ויותר קשה להיות בצד העושה. על מנת שלא לאפשר למשרד הפנים להנות מהספק שהמאגר הביומטרי הנו הפתרון היחידי לבעייה המוצגת, במהלך שלוש הרשימות הקרובות אציג חלופה למאגר הביומטרי.

שלוש הסתייגויות לרשימה זו ולאלו שיבואו אחריה:
א. מקוצר זמן לא הקדשתי את מלוא המשאבים הנדרשים על מנת לבסס עבודת מטה שכזו ברמה הנדרשת. אי דיוקים ייתכנו וגם שיפורים; על אלה ועל אלה אשמח אם גולשים יצביעו, כך שאוכל לטייב את החלופות המוצעות.
ב. אינני מאמין בפתרונות אבטחה מושלמים. מניסיוני, כל פתרון אבטחה "מושלם" מעיד בעיקר על חוסר היצירתיות של מתכננו בלהבין את מוגבלותו הוא או את חוכמת היריב. תכלית החלופות שיוצגו הנה להפחית את רמת הסיכונים לרמה סבירה. כזו שעמה ניתן לחיות בשקט.
ג. משרד הפנים מדבר על תעודות זהות ודרכונים, בעוד שאני אעסוק בתעודות זהות בלבד. הסיבה היא שבנושא הדרכונים משרד הפנים נדרש לעמוד בתקינה בינלאומית שאינה כוללת קיומו של מאגר. לפיכך, מה שטוב ללטביה, אנגליה והולנד, צריך להיות טוב דיו גם בשבילנו. כך שמבחינתי אם ישנה הצדקה לקיומו של מאגר ביומטרי, היא חייבת להתקיים סביב תעודות הזהות.

עמדת משרד הפנים, למיטב הבנתי, הנה זו:
  1. ישנה בעיית זיופים של תעודות זהות. בעיה זו נובעת מקלות זיוף התעודה עצמה ומקלות קבלת התעודה במשרד הפנים.
  2. בעיית הזיופים מולידה תופעה של הרכשה כפולה, בה לאדם יש מספר זהויות במקביל. עובדה זו מאפשרת לו לקבל מהמדינה תגמולים שונים במקביל.
  3. המאגר הביומטרי נועד למנוע מצב של הרכשה כפולה במשרד הפנים באופן הבא:
    • כל אזרח המגיע למשרד הפנים מספק שתי טביעות אצבע מורות וצילום פנים.
    • כל אזרח יכול להירשם עם טביעות האצבע שלו רק פעם אחת, כיוון שבכל רישום למאגר נבדקות הטביעות שנלקחו אל מול כל הטביעות במאגר. באופן זה, גם אם אדם מחזיק כיום במספר זהויות, הוא ייאלץ לצמצמן לאחת לאחר הרישום הראשוני.
    • גם אם האזרח המזויף מניח טביעות אצבע מזויפות, כאשר יגיע האזרח האמיתי להירשם, תמצא אי התאמה בין הרישומים הקיימים לטביעות האצבע הקיימות, דבר שידרוש חקירה במהלכה ניתן יהיה לעלות על הזיוף (אך לא בהכרח על הזייפן).
חולשות בסיסיות בעמדת משרד הפנים:
  1. כל אזרח המגיע למשרד הפנים יכול לפצוע אצבע אחת או שתיים ובכך להירשם עם אצבעות אחרות מאלו שמשרד הפנים מתכנן. באופן זה בכל רישום הוא יירשם עם אצבעות שונות. זה יגביל את כמות הזיופים, אך לא ימנע אותם.
  2. הנחת משרד הפנים היא כי כל האזרחים יגיעו לרישום לטביעות אצבע (אחרת הזיופים לא יצופו). הנחה זו נכונה במידה מסוימת לדעתי, אך דווקא נכונותה מהווה את הסיבה מדוע אין צורך במאגר הביומטרי (ועל כך בהמשך).
  3. משרד הפנים מניח שביומטריה היא טכנולוגיה מוכחת ובלתי פריצה, על אף הניסיון בתחום. לטענת משרד הפנים טכנולוגיות הביומטריה בהן יעשה שימוש הן המתקדמות ביותר. מה שמשרד הפנים שוכח, או אינו רוצה לציין, הוא שהטכנולוגיה בו יעשה שימוש היא מיושנת. פשוט כיוון שהמכרז ייקח זמן, אך הקריטריונים המקצועיים בו כבר נקבעו. הטכנולוגיה של משרד הפנים תתחלף כל מספר שנים (8-10 שנים לכל הפחות), מספיק זמן לפתח טכנולוגיות פריצה ולנסות אותן. בפיתוח טכנולוגיות פריצה אני מכוון לזיוף טביעת אצבע כך שתעבור קורא ביומטרי מתוחכם.
  4. לפי נתוני משרד הפנים והמשטרה אחוז יוצא דופן של הנפקות תעודות הזהות מבוצע על ידי מנפיקים סדרתיים ובעלי רקע בהונאה. הסיבה שמשרד הפנים מודע לכך היא שאנשים אלה מנפיקים תעודות חוקיות לעצמם ולאחר מכן ניגשים לזייפנים מומחים על מנת לזייף את התעודה. דפוס פעולה זה לא צפוי להשתנות לאחר קיומו של המאגר הביומטרי ולמעשה מעיד כי קיומו של המאגר הביומטרי אינו בהכרח רלוונטי למניעת פעילות ההונאה בתעודות זהות מזויפות. כהערת אגב אציין כי מאפיינים אלה של הונאות אמורים להיות מטופלים על ידי הכרטיס החכם שבתוך תעודת הזהות, עליו יש כמובן הסכמה בדבר נחיצותו.
נכתב על ידי , 22/7/2009 21:50   בקטגוריות מאגר ביומטרי, פרטיות  
3 תגובות   הצג תגובות    הוסף תגובה   3 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט
 


מאגר ביומטרי, חוויות מהכנסת ומה כל כך חשוב בפרטיות


השתתפתי שלשום בדיוני וועדת הטכנולוגיה בנוגע לחוק המאגר הביומטרי. קצב הדיונים שמכתיב מאיר שטרית אינו מאפשר דיון רציני ומעמיק במשמעויות החוק למצדדים ולמתנגדים. נראה שכריכת המאגר עם הזיהוי החכם תפגע בכולנו. משרד הפנים צריך את החוק על מנת לאפשר התנעת ניפוק דרכונים ביומטריים, כאלה הנדרשים על ידי הרשויות השונות בעולם. אין צורך במאגר ביומטרי על מנת לעמוד בתקינה שכזו, אך במשרד הפנים החליטו שהם רוצים גם מאגר. ההנמקות לטובת המאגר מועטות מדי לטעמי ואינן מאזנות את הסיכונים הגלומים בו (ועל כך אפרט ברשימה נפרדת). קיימים מספר רב של צעדים שמשרד הפנים יכול לנקוט על מנת להתמודד עם סוגיית זיופי תעודות זהות, צעדים אותם לא נקט מעולם ככל הנראה. כעת, באבחת חקיקה מנסה משרד הפנים לתקן את העוול ההסטורי שגרם לנו (האזרחים התמימים), אלא שבמהלך זה מנסה המשרד שלא הצליח לעמוד בקצב הזמן לקפץ אל מעבר לזמן, לעתיד. והעתיד, כפי שיודע כל מי שחשב שיהיה כבאי כשיהיה גדול, אינו צפוי וכך גם שאלת השלכות קיומו של המאגר הביומטרי עלינו. בשתי מלים מבטיחים לנו כל הזמן ש"יהיה בסדר". נשמע מוכר? נשמע מטריד.

הסיכון המרכזי, כפי שנדמה לי כרגע הוא לא דליפה של המאגר על ידי פרצת אבטחה (למרות שזה סיכון ממשי ואף יותר מסביר בעיניי) אלא ניצול לרעה של המאגר על ידי רשויות באופן שיוביל לדליפתו או לאגירתו בידי רשויות שונות. למי מכם שלא עוקב אחרי הדיונים או הצעת החוק, המשטרה רוצה לאפשר לה לקבל נתונים ביומטריים של אזרחים על מנת לחקור פשעים. ניתן להתווכח על הצורך האמיתי בכך, בייחוד לאור העובדה ששאר משטרות העולם המערבי אינן מקבלות גישה למאגר שכזה (שאינו קיים ולו במדינה מערבית אחת). המשמעות ברורה - המשטרה אינה רוצה רק להצליב נתונים עם המאגר (על מנת לזהות פושעים שנעצרו) אלא גם לשלוף כמות עצומה של רשומות ישירות מהמאגר על מנת להשוות במעבדותיה לטביעות אצבע או תמונות שקיימות בידה. בכך רוצה המשטרה לאפשר לה להזליג בצורה שיטתית ומסודרת מידע מתוך המאגר הביומטרי החוצה ולקדם את חזון האח הגדול. כמובן שכל זה עטוף במעטפת משפטית נאה המחייבת חתימה של שופט על כל בקשה, אך בפועל מדובר בחותמת גומי חסרת משמעות. הלא בכל חקירת פשע יעלו טביעות אצבעות לא מזוהות והמשטרה תמיד תוכל לטעון שאלו הלא מזוהים הם החשודים האמיתיים. מכאן ועד להפיכת המאגר המשטרתי למאגר מקביל למאגר הביומטרי הדרך קצרה. אלא שבעוד שעל המאגר הביומטרי מטיל החוק סייגים וחובות רבים, לא כן על מאגר המשטרה שאיננו כלל "מאגר ביומטרי". נטפלתי למשטרה, אך יש לזכור שגם השב"כ יקבל גישה מלאה שכזו למאגר (אם לא יותר מכך).

ככל שאני מנסה להסביר את החשש לפרטיות, הטיעון המרכזי אותו אני שומע מאנשים הוא "אבל אני בסדר, מה יש לי לדאוג? ואם אהיה עבריין, אז שיבלשו אחרי". אני חושב שדווקא אנחנו "הבסדרים" צריכים לדאוג מהחוק, יותר מהעבריינים. אדם שיודע שכל פעולה שלו מתועדת ומשוייכת לו, נרתע מלבצע פעולות, גם פעולות מותרות. תחשבו על ילד (ההורים שביניכם) שיודע שהוריו עוקבים אחר כל צעד שלו. האם הוא מתנהג כטבעו, או שהתנהגותו משתנה בהתאם? כעת תחשבו על אדם בוגר שרוצה לצאת ולהפגין ויודע, מנסיון העבר, שבכל הפגנה יש מי שחוצים את הקווים. לא הוא, חס וחלילה, אך ישנם כאלה. אותו אדם בוגר יודע גם שכיום, כל הפגנה שלו תתועד תחת תיק אישי במחשבי המשטרה. אותו מפגין יודע גם שהוא עלול להיות מוזמן לחקירה פלילית, עובדה לגביה הוא עשוי להשאל במקום עבודה עתידי. אותו אדם בוגר נמנע כעת מלהשתתף בהפגנות. הוא אינו רוצה להסתכן. הוא מוותר על זכותו הדמוקרטית. הוא כבר וויתר על זכותו לפרטיות. חשבו על אדם שעובר ליד רכב משטרה שחונה באדום לבן ומצלם אותו בטלפון הנייד על מנת לשלוח לעיתון. כעת, הוא מסתכן בכך שהשוטר צילם אותו והוא יוזמן לחקירה, . או סתם יהיה חשוף להתנכלות מצד שוטר ש"יחטוף" כיוון שהתנהג כעבריין וינסה לפרוק את תסכולו על האזרח המתלונן. אין זה משנה כלל אם המשטרה אכן תעשה את הדברים האלה או לא. מה שחשוב הוא שהאזרח "יודע" שהיא יכולה. האם האזרח הישר ידווח על העבריין המשטרתי? או שאולי הפעם יעבור לידו ולא יאמר דבר? למה להסתבך עם המשטרה? הסכנה לפרטיות אינה סכנה לפרטים, אלא סכנה לדמוקרטיה. זו סכנה למעורבות אזרחית בחברה בה אנו פועלים. זו סכנה לנכונות שלנו לקחת סיכונים למען הצדק.

בעבר התנדבתי עם נוער רחוב במסגרת על"ם. במסגרת זו יצא לי לפגוש את המשטרה כפי שהיא נראית ברחוב, עת היא מתעמתת עם מי שנדמים כמפרים את הסדר הציבורי. מעולם בשיחותיי עם השוטרים לא הרגשתי נוח, תמיד נכחה שם ברקע האפשרות שמישהו מהם יחטוף את הג'ננה ויעצור אותי רק בגלל שהעזתי לומר לו שהתנהגותו אינה מקובלת. אחד הדברים המגנים עלינו בעמידתנו אל מול שוטרים ברחוב היא דווקא הפרטיות. נכון, חובה להציג תעודה מזהה לשוטר, אך אף שוטר לא יעצור אותך רק בגלל שאין לך תעודה מזהה. כאשר הפרטיות נעלמת, נעלמת איתה ההגנה הטבעית-הפסיכולוגית הניתנת לאזרח בבואו לסייע לחלש המתעמת עם נציגי החוק. האנונימיות אינה רק אמצעי לפושעים לבצע פשיעה, היא גם גורם המאפשר לאזרחים תמימים לנהוג בצורה הגונה וצודקת אל מול אי צדק ברור.

את כל אלה מסכן המאגר הביומטרי.
נכתב על ידי , 21/7/2009 09:41   בקטגוריות פרטיות, מאגר ביומטרי  
6 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט
 


האם מאגר ביומטרי מהווה סכנה לבטחון המדינה?


כפי שציינתי ברשימה הקודמת, אין כל צורך במאגר הביומטרי על מנת להלחם בזיופי דרכונים ותעודות זהות והטענה כאילו יש בכך צורך היא במקרה הטוב הונאה של הציבור וציבור המחוקקים בשם גחמה. אלא שנדמה כי למאגר שכזה עלולות להיות השלכות שליליות על בטחון המדינה, כאלה ההופכות את עצם קיום המאגר לבעיה בטחונית. כזו הגורמת לי להטיל ספק בשיקול הדעת של מי שחשבו על הרעיון ההזוי הזה.
לפני שאסביר את הסכנות הגלומות בקיום מאגר כזה, חשוב להסביר מדוע הטוענים כי גם במדינות אחרות נעשה שימוש בזיהוי ביומטרי טועים ומטעים. במדינות העולם המתוקנות, בניגוד לעמדתי (), אכן נעשה שימוש בזיהוי ביומטרי. אלא שזיהוי ביומטרי זה מבוסס על קיומה של חתימה ביומטרית חד כיוונית בתעודת הזיהוי (אגב, כמעט בכל המקרים מדובר אך ורק בדרכון ולא בתעודת זהות או תעודה מזהה אחרת). נושא הדרכון יצולם או יוטבעו אצבעותיו והנתון שיתקבל יועבר דרך אלגוריתם מתמטי מסוים, מהסוג ששימש ליצירת החתימה הראשונית ואז יושווה מול הנתונים בתעודה המזהה. במצב זה לא קיים מאגר ביומטרי ריכוזי ולמעשה לא קיים מאגר ביומטרי כלל, כיוון שקיימים רק ייצוגים חד כיווניים של זיהוי ביומטרי ולא דגימות מקוריות. המדינה מעוניינת לבצע משהו שונה בתכלית והוא הקמת מאגר של דגימות מקור.

זיהוי ביומטרי אינו משתנה לאורך שנים, כך על פי הגורמים המעוניינים בזיהוי שכזה. תעודת זהות יש לשאת מגיל 16, כך שסביר להניח שכוונת המחוקק היא כי עבור כל אזרח במדינת ישראל מגיל 16 יימצאו צילומים מלאים של טביעות אצבעות ופנים מהם ניתן לייצר דגימות ביומטריות. בפועל, כמובן, הנתונים יקיפו כמות רבה יותר של אזרחים, שכן כל אזרח המעוניין לצאת את גבולות המדינה יידרש לדרכון. ניסיון העבר של מדינת ישראל מלמד כי מידע המוגן על ידי חוק הגנת הפרטיות דולף החוצה. מידע אישי ממשרד הפנים מצוי באינטרנט, אך גם מידע ממאגרים משטרתיים וממאגרי בתי המשפט דולף החוצה על בסיס קבוע. אנחנו כמובן מודעים לכך רק כאשר זה מגיע לתקשורת, אך סביר להניח כי אלו מיעוט המקרים. אם נשלב את הנתונים הללו יחד נקבל כי המדינה מעוניינת להקים מאגר של דגימות מקור ביומטריות שבסבירות גבוהה ידלוף החוצה ובמצב כזה לא ניתן יהיה להשיב את הגלגל לאחור. יותר מזה, במידה ומסיבות של בטחון מדינה תרצה המדינה להוציא מישהו מהמאגר בשלבים מאוחרים יותר בחייו לא תהיה לכך משמעות.
אנו יודעים גם כן כי ניתן בקלות יחסית לזייף טביעות ביומטריות. מטבע הדברים הטכנולוגיות משתכללות, אך גם טכניקות התקיפה. פועל יוצא הוא שקיומו של מאגר ביומטרי מרכזי עלול לגרום לבעיית הזיוף אותה לכאורה (לכאורה בלבד, כיוון שזו אינה מטרת המאגר) מנסה המדינה למנוע. אלא שהמשמעות היא יותר דרמטית מ"ניתן לזייף ביומטרי". המדינה תבסס את הזיהוי הביומטרי שלה על נתוני הגלם המקוריים המצויים במאגר, עובדה שתאפשר לכל מי ששם ידו על המאגר ליצור זיוף בתנאי מעבדה ולבדוק אותו מול המאגר הממשלתי עד להתאמה מושלמת. באותה המידה שניתן לזייף טביעות אצבע, ניתן לזייף זיהוי פנים באמצעות מסיכת לטקס מהסוג שמשמש את תעשיית הקולנוע. בהנתן ההשקעה הכספית המתאימה תימצא המתקפה המתאימה. בייחוד לאור העובדה שגופי מדינה יעשו שימוש בטכנולוגיות מדף רגילות אותן יכול כל תוקף לקנות על מנת לבצע ניסויי מעבדה על יבש. מלכתחילה המטרה היא להתמודד עם אלו שמוכנים להשקיע כסף בתעודות מזויפות.
מספר תרחישים אפשריים:
  • כניסה לארץ - במידה ובנתוני המאגר הביומטרי ייעשה שימוש גם בביקורת הדרכונים (תוצאה סבירה לחלוטין), יהיה יותר קל להכנס לארץ בהסתר מאשר כיום, כיוון שבביקורת הביומטרית אין צורך לדבר עם איש, אלא רק לעבור בדיקה ביומטרית הנעשית מול מכונה, ללא לחץ זמן. כל שצריך לעשות הוא לאתר ישראלי בחו"ל (כיוון שבביקורת הדרכונים נרשם שיצא מהארץ - בהנחה ומישהו מצליב כניסות עם יציאות), לזהות אותו על בסיס המאגר (השוואת תמונה) ולהיכנס לארץ בלי לזייף דרכון (המראה עם דרכון זר ובביקורת הדרכונים זיהוי ביומטרי על בסיס טביעת אצבע). לחילופין, במידה וצריך דרכון ניתן פשוט לכייס ולהשתמש (עד שהאזרח התמים ייגש לשגרירות זה כבר יהיה חסר משמעות). 
  • פעילות מבצעית במדינות אויב - תארו לכם מצב בו לוחם מוסד נכנס למדינה עוינת עם דרכון זר אמיתי, אך מצלמת הוידאו בנמל התעופה משווה את נתוניו לנתוני המאגר הביומטרי ומגלה כי מדובר באזרח ישראלי? כמובן שגופי הבטחון ידרשו להוציא נתונים ביומטריים של אישים מסוימים מהמאגר, אך מאחר ואלו הוכנסו לשם בהיותם קטינים אין כל משמעות להוצאה מאוחרת. מספיק שבעותק שדלף לפני שאותו אדם נכנס לתפקיד המסווג הופיעו פרטיו.
  • זיהוי בעלי תפקידים בגופים מסווגים - תארו לכם שניתן יהיה לצלם את הנכנסים למתקנים מסווגים ובאמצעות תוכנת מחשב פשוטה לקבל את פרטיהם האישיים של כל הנכנסים ויותר מזה, לבנות מאגר נתונים מדויק ומקיף יותר על פעילותם של נושאי תפקיד רגישים. לדוגמא - לצלם את הנכנסים למתקן הקריה ולבנות פרופיל קצונה ובעלי תפקידים. 
  • כניסה למתקנים מסווגים - ישנם גופי בטחון העושים שימוש בזיהוי ביומטרי לטובת סינון בכניסה למתקנים. קיומו של מאגר ביומטרי עלול להפוך את הכניסה למתקנים שכאלו לקל יותר ממה שנדמה ולבטח יותר קל ממה שדמיינו מתכנני פתרון האבטחה בגופים. הם מתייחסים לביומטרי כאל משהו שהוא חלק מהאדם, אך אם המדינה מבקשת להקים מאגר דגימות מרכזי היא בעצם סותרת הנחת יסוד זו ביוצרה מאפיין של האדם שייצוג דיגיטלי מלא שלו קיים ברשותה.
הפעם האחרונה שביקרתי במשרד הפנים היתה לפני מספר שנים, אך אני מעריך שדבר לא השתנה. הנפקת תעודות זהות מבוצעת מול פקיד, המוציא הוראת הדפסה לגורם שני המקבל מהאזרח את התמונה. אין איש שמפקח כי לא קרה מצב בו אדם אחד ניגש להנפיק ואחר סיפק תמונה ובכך קיבל תעודה מזויפת (כך שאם יש נגדו צו עיכוב יציאה מהארץ הוא יכול לצאת ללא כל בעיה ועוד עם תעודה חוקית לחלוטין. למיטב זכרוני אירועים של גניבת חומרי גלם או מכירת תעודות מקוריות היו גם כן בעבר. הבעיה המרכזית של מדינת ישראל בכל האמור לזיופים היא חלמאות, טיפשות ועצלנות. את אלה גם שמונה מאות מאגרים ביומטריים ותשעים מיליון תעודות חכמות בהשקעה של שבעה מיליארד דולר לא יתקנו.
נכתב על ידי , 5/8/2008 15:46   בקטגוריות DRM, DLP וקיצורים אחרים, כרטיסים חכמים, הצפנות ושמונצס, פרטיות, שווה קריאה, בטחון לאומי, מאגר ביומטרי  
9 תגובות   הצג תגובות    הוסף תגובה   2 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט
 


מאגר ביומטרי למדינת ישראל, מי צריך כזה?


רוב הטיעונים כנגד הקמת מאגר ביומטרי מרכזי במדינת ישראל (ככתוב בתזכיר חקיקה חדש) יתבססו על סוגיות של אבטחת מידע והגנת הפרטיות ומן הסתם גם אני אתרום את חלקי בניתוח הבעייתיות בפרויקט מגלומני שכזה. אלא שגישה כזו מעודדת את עצם הקמת המאגר בכך שהיא מאשררת את עצם נחיצותו. כאשר דנים בתוצאות השליליות של הקמת המאגר בלבד מחזקים את הטענה כי יש צורך במאגר כזה ולכן השאלה היחידה שצריכה להיבחן היא שאלת המידתיות. זו בדיוק הסיבה בגללה אני רוצה להתחיל ולבחון את הדרישה מצד הצורך ולא מצד התוצאות השליליות (לאלו אגיע בשלב מאוחר יותר). מספר טענות מועלות בתזכיר החקיקה כסיבות/צרכים למאגר שכזה:
  1. על מנת למנוע זיופי תעודות זהות ודרכונים.
  2. כדי לאפשר במניעת וחקירת פשעים.
  3. כדי לאפשר זיהוי אנשים שאינם מעוניינים להזדהות.
  4. כדי לאפשר זיהוי חללים.

מניעת זיופי תעודות זהות ודרכונים: ללא ספק קיימת בעיה עם מסמכים רשמיים של מדינת ישראל, הקלים מאוד לזיוף. מהיכן נובעת פשטות הזיוף? מהשימוש בחומרים קלים לזיוף. לדוגמא, שטר של 20 שקלים קשה לזייף וקשה להשחית. תעודת זהות לעומת זאת עשויה מחומרים אחרים, פשוטים יותר לזיוף ונהרסים בקלות. אם כן, מדוע לא פשוט לעשות שימוש בחומרים איכותיים יותר וקשים יותר לזיוף בתעודת הזהות או הדרכון? שאלה טובה. רשיון הנהיגה החדש שקיבלתי אך אתמול אינו קל לזיוף כמו תעודת זהות (למרות שגם הוא ניתן לזיוף) ואינו יקר. מדוע לא לייצר תעודות זהות טובות יותר? אולי כי אז לא ניתן יהיה לקדם פרויקטים כמו מאגר ביומטרי. השימוש באמצעים ביומטריים אמור לספק את ההגנה המיטבית כנגד זיופים. אלא שאליה וקוץ בה - נכון להיום מחקרים מראים שניתן לזייף אמצעים ביומטריים (טביעות אצבע) ולפחות רשימה מעניינת אחת שקראתי לאחרונה קוראת תיגר על זיהוי פנים. בכלל, מי אמר שתעודות מזויפות הנן בעיה? ואם הן בעיה, על מי הן מעיקות? לא מצוינים נתונים בתזכיר למעט סטטיסטיקה של אובדן תעודות. ובכן כנראה שבאמת תעודות מזויפות הנן סוגיה המפריעה למסחר תקין, מאפשרות לאנשים לפתוח חשבונות בנק פיקטיביים, לעשות שימוש בפנקסי המחאות של אחרים וכדומה. הטמעת אמצעי זיהוי ביומטריים בתעודה מזהה כלשהי לא תפתור את כל אלה, אלא אם ניתן גישה לכל בית עסק למאגר הביומטרי או נספק לו את האפשרות לבצע השוואות ביומטריות. בשלב זה, לפחות על פי התזכיר נדמה כי השימוש במנגנונים הביומטריים אמור להיות מותר רק לגופי מדינה ובכך למעשה מכריזים על פתרון שאינו מיועד לפתור את הבעיה לשמה נוצר. סוגיות אחרות אגב הנן שביומטריקה, כביומטריקה, מתבססת על מדידה. החוק אינו מגדיר ואף אינו מגדיר מי יגדיר את סוגי המדידה, רמת הרגישות שלהן ותוצאות ה-False Positive וה-False Negative שלהן. בכלל, על אילו תקנים יתבססו המנגנונים הביומטריים? לא מצוין.

על מנת שבתי עסק יוכלו להגן על עצמם מזיופים (המטרה העקרונית של סעיף זה) הם צריכים לא רק תעודה שקשה לזייף אלא גם תעודה שקל לוודא. כלומר המנגנון הנדרש הוא כפול - קשה לזייף, קל לאמת. שטר הנו דוגמא קלאסית לאמצעי מסוג זה. טביעה ביומטרית? למיטב ידיעתי לא. רוב הסיכויים שעסקים יעשו שימוש ברכיבים הלא ביומטריים של התעודה (עיצוב הכרטיס) על מנת לאמת את תקפותה.

הנה שני רעיונות זולים בהרבה לפתרון בעיית הזיופים:

  • לכל תעודה יש מספר תעודה המופיע מאחוריה (ת"ז) או על כל דף (דרכון). ניתן לפרסם באינטרנט את מספרי כל התעודות הפסולות, גנובות וכד'. זה לכשעצמו יחייב זייפנים לעבודה הרבה יותר אינטנסיבית ויוריד את כמות הזיופים.
  • ניתן לנפק תעודות זולות אך קשות יותר לזיוף, כדוגמת רישיון נהיגה חדש או כל דרכון אחר בעולם (ללא המרכיב הביומטרי).

מניעת וחקירת פשעים

בסוגיית המאגר הביומטרי, כמו גם בסוגיית הרשומה הרפואית הממוחשבת קיימת הנחת יסוד לפיה הבעיה המרכזית עמה גורמי המקצוע מתמודדים הנה חוסר מידע ולא (למשל) חוסר כוח אדם, חוסר משאבים או חוסר מקצועיות. המאגר הביומטרי אמור לאפשר למשטרה לבקש להשוות טביעות אצבע שנמצאו בזירת פשע מול המאגר הארצי ובכך לסייע לה לאתר חשודים. אלא מה, תהליך שכזה יגרור לעליה עצומה בכמות החשודים בכל זירת אירוע ויעמיס על המשטרה (עוד חשודים, עוד הצהרות, עוד גביית עדויות ורובם כמובן חפים מפשע). האם זה יסייע למשטרה בחקירת פשעים או יפגע בה? לדעתי זה רק יפריע למשטרה וייצור הסתמכות יתר על מנגנון הזיהוי הביומטרי כיוון שהוא נגיש, תוך פגיעה בתהליכים אחרים. מעבר לכך, טביעות האצבע שנלקחות במשטרה שונות באופן הדגימה מאלו שיילקחו במאגר הביומטרי. לא ברור האם השירות המבוקש יספק תוצר כלשהו והאם הוא יהיה ניתן לשימוש במתכונת המוצעת (סוגיות טכנולוגיות גרידא).

 

זיהוי אנשים שאינם מעוניינים להזדהות

האמת שכנגד זה אין לי מה לומר, למעט שמי שלא רוצה להזדהות לא יזוהה גם על ידי שתי טביעות אצבע (שניתן להשחית...) ותווי פנים שניתן לשנות.

 

זיהוי חללים

הנה מטרה ראויה באמת. אלא מה, מהי כמות החללים הלא מזוהה במדינת ישראל בכל שנה? ולטובת העניין חיילים אינם נספרים כי מהם לוקחים דגימות דנא ולכן לא צריך טביעות אצבע. זו נראית לי בעיה כל כך זניחה.

 

סיכום ביניים

נדמה כי המטרה האמיתית של החוק אינה למנוע זיופים של תעודות זהות כפי שכתוב בפתיח לתזכיר החקיקה אלא דווקא לספק לגופי הבטחון מאגר ביומטרי על האזרחים. את סוגיית הזיוף ניתן למנוע בצורה זולה יותר וללא שימוש במאגר ביומטרי מרכזי (גם אם נעשה שימוש במאגר ביומטרי ניתן לעשות שימוש במאגר שאינו ניתן לשחזור ושאינו מרכזי), זיהוי אנשים שאינם רוצים להזדהות וזיהוי חללים הנן בעיות זניחות וכך אנו נשארים על מאגר ביומטרי למעקב אחרי אזרחי המדינה. מבחינה פונקציונאלית לא הוכח כלל וגם לא נטענה הטענה שהמאגר נחוץ כדי לטפל בפשיעה ושהחסם העיקרי כיום הוא היעדר יכולת לנתח טביעות אצבע. נדמה כי מאגר שכזה יפריע למשטרה במילוי תפקידה יותר מאשר יועיל. באופן כללי אגב, לא התרשמתי שתזכיר החקיקה מגובה בעבודת מטה אמיתית המנתחת צרכים, סיכונים ותהליכים. נדמה כי תזכיר החקיקה נולד מתוך מספר גחמות - הרצון הנצחי של גופי בטחון ושיטור לקבל את כל הנתונים האפשריים על כל האזרחים; הרצון של משרד האוצר לקדם תעודת זהות דיגיטלית; הרצון של משרד הפנים להסיט את האש מחוסר המאמצים שלו לטפל בסוגיית זיוף תעודות רשמיות.

כך נולד לו פרויקט מסוכן, מגלומני ובזבזני. מאחר והוא משרת את רצונות האוצר והבטחון, אגב, כנראה שבמקרה זה לא יהיה מחסור תקציבי.

נכתב על ידי , 5/6/2008 09:18   בקטגוריות אבטחה פיסית, בטחון לאומי, פרטיות, מאגר ביומטרי  
6 תגובות   הצג תגובות    הוסף תגובה   3 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט
 


כינוי: 

גיל: 48




65,156
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2024 © עמותת ישראבלוג (ע"ר)