יומן אבטחה

1. פנקסי הבוחרים האלקטרוניים עובדים בתצורת Stand Alone ומאפשרים לכל מצביע להצביע בכל קלפי. חבורה של כמאתיים קיצונים (תבחרו אתם את הסיכון הדמוקרטי החביב עליכם) מבצעים מסע ארצי של הצבעות כפולות במגוון כלפיות. כל אחד מצביע כמאתיים פעם ובכך הם מייצרים הצבעה בהיקף של 40,000 קולות. מספיק כדי להוסיף עוד מנדט וחצי למפלגה שלהם, או לחילופין לפסול קלפיות שלמות (כך שסביר שהם יצביעו בקלפיות המזוהות עם המפלגות היריבות).
   
2. פנקסי הבוחרים האלקטרוניים עובדים בתצורה שמחוברת לרשת ואינם מאפשרים הצבעות כפולות כלל. חבורה של כמאתיים קיצונים (תבחרו אתם את הסיכון הדמוקרטי החביב עליכם) עוברים בין הקלפיות היריבות ובהשקעה של 200$ לקלפי חוסמים לחלוטין את היכולת להצביע בקלפיות הללו (אני מניח שהתקשורת תהיה סלולרית כל כל אפשרות אחרת תדרוש הכנת תשתיות יקרות מראש). מאחר וקשה לאתר רכיב כזה, כוחות השב"כ מכלים את יומם בניסיון לאתר את המשדר הסורר ללא הצלחה (אפשר לאתר, אבל לא בעשרות מבנים ביום אחד). מאחר ובכל מבנה יש מספר קלפיות העלות לקלפי כמובן נמוכה יותר.
3. קבוצה של קיצונים (תבחרו וכו') מחליטים לחלוטין להשבית קלפיות ולכן משביתים לחלוטין את מערך ההצבעה בקלפיות יריבות. על ידי חיבור מגנט רב עוצמה עם טיימר למחשב ההצבעה והחדרת מגנט דומה לתוך קופסת הכרטיסים החכמים בסוף יום ההצבעה אין כלל הצבעות בקלפי.
   
4. מאחר ומנגנון האבטחה של המערכות הוא כה מורכב ואימתני ולא נמצאה פרצה פונים התוקפים לרכיב היחיד עליו אין כל אמצעי הגנה - מסך המחשב. באמצעות חיבור התקן למסך המחשב מציג המסך נתונים שגויים למשתמש (מחשב זעיר מקבל את תמונת המסך ממחשב ההצבעה ומשנה אותה בהתאם למה שנקבע מראש), כך שכאשר המשתמש בוחר להצביע למפלגה א' נרשמת הצבעתו למפלגה ב' וכשהוא מוודא את הצבעתו הוא רואה כי הצביע למפלגה א'. בסוף היום המצביע האחרון מנתק את הרכיב מהצג (יש לזכור כי מטעמי חופש הבחירה לא ניתן לנטר כלל את הקורה מאחורי הפרגוד). בסוף היום הקלפי הצביעה בצורה אחידה למפלגה מסוימת ללא שנפרצה המערכת כלל (או ללא שניתן לאתר פרצה שכזו).
   

1. זיהוי חד חד ערכי של הבוחר: אין שום קשר בין זיהוי הבוחרים להצבעה בבחירות אלקטרוניות. הזיהוי יבוצע בדיוק כמו שהוא מבוצע היום, על בסיס תעודה מזהה לא חכמה שהונפקה על ידי המדינה. בהתייחס להגבלת האפשרות להצבעה כפולה - גם במקרה זה, מאחר ולא מתבצע רישום של מי קיבל איזה כרטיס חכם, ניתן להצביע הצבעה כפולה ולאתר אותה בדיוק כפי שזה היום. באותה המידה לא ניתן יהיה לדעת מי הצביע הצבעה כפולה. לעומת זאת, אם מישהו יחליף כרטיס חכם תקני בכזה שמריץ קוד שמיועד לזייף את רישום מכונת ההצבעה עצמה חברי הקלפי לא יוכלו לזהות זאת (היום כל קלפי חותמת על המעטפות שלה עצמה על מנת שתוכל לזהות שהמעטפות נופקו על ידה).
2. קיצור זמן ההצבעה של כל מצביע ולפיכך צמצום מספר הקלפיות. הניסיון בישראל מלמד שזמן ההצבעה מתארך ולא מתקצר. יתר על כן, הבעיה המרכזית בקלפיות היא ההתפלגות הלא אחידה של המצביעים על פני שעות היום (את זה אני אומר מניסיון אישי כיושב ראש קלפי) שיוצרת עומס ולא כמות המצביעים בקלפי. גם עם קלפי אלקטרוני הרגלים אלה צפויים להשמר.
3. מניעת הצורך בהפקת חומרי בחירות חד פעמיים. לא נכון - עדיין יהיו מרכיבים חד פעמיים כמו שילוט, פרגודים וכדומה. אבל שימו לב לנתון שלא מספרים לכם - עלות כל כרטיס חכם כזה היא סדר גודל של פי כמה מאות מאשר כרטיסי הנייר. הכרטיסים עצמם גם מתקלקלים. התוכנה דורשת שדרוג מעת לעת. רישיונות התוכנה עולים כסף כל שנה (להבדיל מפתקי נייר) לצורך קבלת תחזוקה. כל קלפי כזה יזדקק למחשב (ואולי מחשב גיבוי?). אני אשמח לראות מודל כלכלי שיראה האם בכלל אי פעם בחירות אלקטרוניות יהיו זולות יותר, בהתבסס על הנחות אמיתיות של אחוז אובדן, תקלות וכדומה. כמו כן, צריך להוסיף תלות של המערכת בהפסקות חשמל להבדיל מבחירות ידניות וכדומה.
4. צמצום משמעותי של הקולות הפסולים. מאחר ואין נתונים על התפלגות הקולות הפסולים (כמה מתוכם אלו פתקים לבנים אידיאולוגיים) אין ביסוס לטענה זו. עם זאת, כנראה שיהיו פחות טעויות. ועדיין - אם בוחר שם מספר פתקים מאותו סוג בקלפי מקבלים את הצבעתו. לא נתקלתי במעטפה עם מספר פתקים שונים וגם אם כן - האם זו טעות או אידיאולוגיה? כך שקשה לדעת האם טיעון זה הנו בעל משמעות כלשהי להליך הבחירות בישראל.
5. חסימת אפשרויות לזיופי בחירות: זו טענה יהירה שאינה מבוססת המציאות. אנקדוטה ממחישה - ישבתי בעבר על איפיון של פתרון אבטחה עם מומחה אבטחה מהסקטור הציבורי ושאלתי אותו מה אם הנחת היסוד שלו לגבי חוזק רכיב התוכנה שפיתח כושלת, אילו מנגנוני הגנה חלופיים יתמכו בכשלון זה. התשובה שקיבלתי הייתה שזה לא יכול לקרות ולכן לא צריך חלופות. אם לצטט את ברוס שנייר, כל אחד יכול לתכנן מערכת שהוא עצמו לא יוכל לפרוץ. חוכמה גדולה.
6. מיידיות בספירת הקולות: שוב, חוסר הבנה של תהליך הבחירות. שני מרכיבים מאטים את תהליך הספירה: הספירה בקלפי - זו לא תשתנה כיוון שיהיה צורך להוציא כרטיס כרטיס ולבצע רישום שלו (מקביל להוצאת המעטפות לעיני כל חברי הקלפי). המרכיב השני הוא הסעת הקלפי עצמה למוקד הבחירות האיזורי ורישום הנתונים במחשבי משרד הפנים (כל הקלפיות מגיעות באותה השעה כך שנוצר עומס). שני גורמים אלה לא צפויים להשתנות (זוכרים שמדובר על מחשבי Stand Alone?), כך שהאשליה שמשהו יהיה יותר מהיר מבוססת על פנטזיות.
   
7. צמצום משמעותי בערעורים. יופי - עכשיו שלא ניתן לערער כי לא ניתן להבין את התהליך אלא אם אתה ספק התוכנה, אז יהיו פחות ערעורים. זה שקול לטענה שאם נמנע מאזרחים את זכות העמידה בבג"צ יהיו פחות פניות לבג"צ וזו תהיה עדות לכך שהמדינה מתנהלת טוב יותר. התהליך בכללותו יהיה פחות דמוקרטי וזה נתפס במשרד הפנים כדבר טוב.
   

• כניסה לארץ - במידה ובנתוני המאגר הביומטרי ייעשה שימוש גם בביקורת הדרכונים (תוצאה סבירה לחלוטין), יהיה יותר קל להכנס לארץ בהסתר מאשר כיום, כיוון שבביקורת הביומטרית אין צורך לדבר עם איש, אלא רק לעבור בדיקה ביומטרית הנעשית מול מכונה, ללא לחץ זמן. כל שצריך לעשות הוא לאתר ישראלי בחו"ל (כיוון שבביקורת הדרכונים נרשם שיצא מהארץ - בהנחה ומישהו מצליב כניסות עם יציאות), לזהות אותו על בסיס המאגר (השוואת תמונה) ולהיכנס לארץ בלי לזייף דרכון (המראה עם דרכון זר ובביקורת הדרכונים זיהוי ביומטרי על בסיס טביעת אצבע). לחילופין, במידה וצריך דרכון ניתן פשוט לכייס ולהשתמש (עד שהאזרח התמים ייגש לשגרירות זה כבר יהיה חסר משמעות). 
• פעילות מבצעית במדינות אויב - תארו לכם מצב בו לוחם מוסד נכנס למדינה עוינת עם דרכון זר אמיתי, אך מצלמת הוידאו בנמל התעופה משווה את נתוניו לנתוני המאגר הביומטרי ומגלה כי מדובר באזרח ישראלי? כמובן שגופי הבטחון ידרשו להוציא נתונים ביומטריים של אישים מסוימים מהמאגר, אך מאחר ואלו הוכנסו לשם בהיותם קטינים אין כל משמעות להוצאה מאוחרת. מספיק שבעותק שדלף לפני שאותו אדם נכנס לתפקיד המסווג הופיעו פרטיו.
  
• זיהוי בעלי תפקידים בגופים מסווגים - תארו לכם שניתן יהיה לצלם את הנכנסים למתקנים מסווגים ובאמצעות תוכנת מחשב פשוטה לקבל את פרטיהם האישיים של כל הנכנסים ויותר מזה, לבנות מאגר נתונים מדויק ומקיף יותר על פעילותם של נושאי תפקיד רגישים. לדוגמא - לצלם את הנכנסים למתקן הקריה ולבנות פרופיל קצונה ובעלי תפקידים. 
• כניסה למתקנים מסווגים - ישנם גופי בטחון העושים שימוש בזיהוי ביומטרי לטובת סינון בכניסה למתקנים. קיומו של מאגר ביומטרי עלול להפוך את הכניסה למתקנים שכאלו לקל יותר ממה שנדמה ולבטח יותר קל ממה שדמיינו מתכנני פתרון האבטחה בגופים. הם מתייחסים לביומטרי כאל משהו שהוא חלק מהאדם, אך אם המדינה מבקשת להקים מאגר דגימות מרכזי היא בעצם סותרת הנחת יסוד זו ביוצרה מאפיין של האדם שייצוג דיגיטלי מלא שלו קיים ברשותה.
  

1. על מנת למנוע זיופי תעודות זהות ודרכונים.
2. כדי לאפשר במניעת וחקירת פשעים.
3. כדי לאפשר זיהוי אנשים שאינם מעוניינים להזדהות.
4. כדי לאפשר זיהוי חללים.

מניעת זיופי תעודות זהות ודרכונים: ללא ספק קיימת בעיה עם מסמכים רשמיים של מדינת ישראל, הקלים מאוד לזיוף. מהיכן נובעת פשטות הזיוף? מהשימוש בחומרים קלים לזיוף. לדוגמא, שטר של 20 שקלים קשה לזייף וקשה להשחית. תעודת זהות לעומת זאת עשויה מחומרים אחרים, פשוטים יותר לזיוף ונהרסים בקלות. אם כן, מדוע לא פשוט לעשות שימוש בחומרים איכותיים יותר וקשים יותר לזיוף בתעודת הזהות או הדרכון? שאלה טובה. רשיון הנהיגה החדש שקיבלתי אך אתמול אינו קל לזיוף כמו תעודת זהות (למרות שגם הוא ניתן לזיוף) ואינו יקר. מדוע לא לייצר תעודות זהות טובות יותר? אולי כי אז לא ניתן יהיה לקדם פרויקטים כמו מאגר ביומטרי. השימוש באמצעים ביומטריים אמור לספק את ההגנה המיטבית כנגד זיופים. אלא שאליה וקוץ בה - נכון להיום מחקרים מראים שניתן לזייף אמצעים ביומטריים (טביעות אצבע) ולפחות רשימה מעניינת אחת שקראתי לאחרונה קוראת תיגר על זיהוי פנים. בכלל, מי אמר שתעודות מזויפות הנן בעיה? ואם הן בעיה, על מי הן מעיקות? לא מצוינים נתונים בתזכיר למעט סטטיסטיקה של אובדן תעודות. ובכן כנראה שבאמת תעודות מזויפות הנן סוגיה המפריעה למסחר תקין, מאפשרות לאנשים לפתוח חשבונות בנק פיקטיביים, לעשות שימוש בפנקסי המחאות של אחרים וכדומה. הטמעת אמצעי זיהוי ביומטריים בתעודה מזהה כלשהי לא תפתור את כל אלה, אלא אם ניתן גישה לכל בית עסק למאגר הביומטרי או נספק לו את האפשרות לבצע השוואות ביומטריות. בשלב זה, לפחות על פי התזכיר נדמה כי השימוש במנגנונים הביומטריים אמור להיות מותר רק לגופי מדינה ובכך למעשה מכריזים על פתרון שאינו מיועד לפתור את הבעיה לשמה נוצר. סוגיות אחרות אגב הנן שביומטריקה, כביומטריקה, מתבססת על מדידה. החוק אינו מגדיר ואף אינו מגדיר מי יגדיר את סוגי המדידה, רמת הרגישות שלהן ותוצאות ה-False Positive וה-False Negative שלהן. בכלל, על אילו תקנים יתבססו המנגנונים הביומטריים? לא מצוין.

על מנת שבתי עסק יוכלו להגן על עצמם מזיופים (המטרה העקרונית של סעיף זה) הם צריכים לא רק תעודה שקשה לזייף אלא גם תעודה שקל לוודא. כלומר המנגנון הנדרש הוא כפול - קשה לזייף, קל לאמת. שטר הנו דוגמא קלאסית לאמצעי מסוג זה. טביעה ביומטרית? למיטב ידיעתי לא. רוב הסיכויים שעסקים יעשו שימוש ברכיבים הלא ביומטריים של התעודה (עיצוב הכרטיס) על מנת לאמת את תקפותה.

הנה שני רעיונות זולים בהרבה לפתרון בעיית הזיופים:

• לכל תעודה יש מספר תעודה המופיע מאחוריה (ת"ז) או על כל דף (דרכון). ניתן לפרסם באינטרנט את מספרי כל התעודות הפסולות, גנובות וכד'. זה לכשעצמו יחייב זייפנים לעבודה הרבה יותר אינטנסיבית ויוריד את כמות הזיופים.
• ניתן לנפק תעודות זולות אך קשות יותר לזיוף, כדוגמת רישיון נהיגה חדש או כל דרכון אחר בעולם (ללא המרכיב הביומטרי).

מניעת וחקירת פשעים

בסוגיית המאגר הביומטרי, כמו גם בסוגיית הרשומה הרפואית הממוחשבת קיימת הנחת יסוד לפיה הבעיה המרכזית עמה גורמי המקצוע מתמודדים הנה חוסר מידע ולא (למשל) חוסר כוח אדם, חוסר משאבים או חוסר מקצועיות. המאגר הביומטרי אמור לאפשר למשטרה לבקש להשוות טביעות אצבע שנמצאו בזירת פשע מול המאגר הארצי ובכך לסייע לה לאתר חשודים. אלא מה, תהליך שכזה יגרור לעליה עצומה בכמות החשודים בכל זירת אירוע ויעמיס על המשטרה (עוד חשודים, עוד הצהרות, עוד גביית עדויות ורובם כמובן חפים מפשע). האם זה יסייע למשטרה בחקירת פשעים או יפגע בה? לדעתי זה רק יפריע למשטרה וייצור הסתמכות יתר על מנגנון הזיהוי הביומטרי כיוון שהוא נגיש, תוך פגיעה בתהליכים אחרים. מעבר לכך, טביעות האצבע שנלקחות במשטרה שונות באופן הדגימה מאלו שיילקחו במאגר הביומטרי. לא ברור האם השירות המבוקש יספק תוצר כלשהו והאם הוא יהיה ניתן לשימוש במתכונת המוצעת (סוגיות טכנולוגיות גרידא).

 

זיהוי אנשים שאינם מעוניינים להזדהות

האמת שכנגד זה אין לי מה לומר, למעט שמי שלא רוצה להזדהות לא יזוהה גם על ידי שתי טביעות אצבע (שניתן להשחית...) ותווי פנים שניתן לשנות.

 

זיהוי חללים

הנה מטרה ראויה באמת. אלא מה, מהי כמות החללים הלא מזוהה במדינת ישראל בכל שנה? ולטובת העניין חיילים אינם נספרים כי מהם לוקחים דגימות דנא ולכן לא צריך טביעות אצבע. זו נראית לי בעיה כל כך זניחה.

 

סיכום ביניים

נדמה כי המטרה האמיתית של החוק אינה למנוע זיופים של תעודות זהות כפי שכתוב בפתיח לתזכיר החקיקה אלא דווקא לספק לגופי הבטחון מאגר ביומטרי על האזרחים. את סוגיית הזיוף ניתן למנוע בצורה זולה יותר וללא שימוש במאגר ביומטרי מרכזי (גם אם נעשה שימוש במאגר ביומטרי ניתן לעשות שימוש במאגר שאינו ניתן לשחזור ושאינו מרכזי), זיהוי אנשים שאינם רוצים להזדהות וזיהוי חללים הנן בעיות זניחות וכך אנו נשארים על מאגר ביומטרי למעקב אחרי אזרחי המדינה. מבחינה פונקציונאלית לא הוכח כלל וגם לא נטענה הטענה שהמאגר נחוץ כדי לטפל בפשיעה ושהחסם העיקרי כיום הוא היעדר יכולת לנתח טביעות אצבע. נדמה כי מאגר שכזה יפריע למשטרה במילוי תפקידה יותר מאשר יועיל. באופן כללי אגב, לא התרשמתי שתזכיר החקיקה מגובה בעבודת מטה אמיתית המנתחת צרכים, סיכונים ותהליכים. נדמה כי תזכיר החקיקה נולד מתוך מספר גחמות - הרצון הנצחי של גופי בטחון ושיטור לקבל את כל הנתונים האפשריים על כל האזרחים; הרצון של משרד האוצר לקדם תעודת זהות דיגיטלית; הרצון של משרד הפנים להסיט את האש מחוסר המאמצים שלו לטפל בסוגיית זיוף תעודות רשמיות.

כך נולד לו פרויקט מסוכן, מגלומני ובזבזני. מאחר והוא משרת את רצונות האוצר והבטחון, אגב, כנראה שבמקרה זה לא יהיה מחסור תקציבי.

MrM כותב רשימה מעניינת על הנושא של הצבעות אלקטרוניות ומתייחס לדרישה שהעליתי שמערכות הצבעה אלקטרוניות יהיו מקושרות ביניהן כדי לאפשר הצבעה מכל מקום. מביטול דרישה זו הוא מעלה את רמת האבטחה במערכת (לטענתו לפחות). אני לא אחזור על מה שכתב כיוון שבכך אחטא לרשימתו המעניינת, אז נא לקרוא אותה בטרם תמשיכו הלאה.

אינני מתכוון לנסות לאפיין אפילו מערכת הצבעה אלקטרונית, כיוון שמעולם לא ישבתי בצורה סדורה לחשוב על דרישות ותכנון אבטחה אלא ניסיתי להעלות בעיות מרכזיות. אעשה זאת גם בהתייחס להצעותיו של MrM.

MrM מסיק שאם המערכות לא מחוברות בזמן אמת הן מנותקות. זו טעות, שכן ניתן להחדיר קוד עוין באחת המערכות שיתפשט במערכת המרכזית ואין הכרח שיהיה קישור מקוון. במצב הקיים היום כל נציג קלפי יושב מול נציג משרד הפנים ברשות המקומית שמזין את הנתונים ידנית לתוך המערכת. בתרחיש החדש הנתונים יועברו על CD. נשארנו עם אותה כמות של נקודות גישה, אך בממשק אחר. כמובן שבניגוד לטענה של MrM בתרחיש שלו לא ניתן לספור קולות בתוך פחות משעה, כיוון שלוקח יותר משעה להגיע לנקודת האיסוף המרכזית או לנקודות האיסוף המרכזיות. ככל שיהיו יותר נקודות חיבור - התוצאות יהיו מהירות יותר, אך נקודות הממשק רבות יותר. לא דרמה, אך נקודה למחשבה.

MrM מציע ליצור שתי מערכות - לזיהוי מצביעים ולסליקת קולות בטענה שכך לא ניתן יהיה לזייף קולות מרובים. אני לא מבין כיצד. מערכת סליקת הקולות עיוורת למי מצביעה בה ולכן כל שצריך הוא לפרוץ למערכת ההצבעה ולמחוק את הצבעתו של מאן דהוא ברגע נתון, או להוסיף מצביעים למרשם המצביעים. אדם יוכל להצביע פעמיים באותה קלפי אם ירצה, בטענה שאחיו התאום הצביע קודם לכן או לאחר החלפת המשמרות - לך תתווכח עם מחשב שאומר שהוא לא הצביע. לא הבנתי את התכנון של MrM, אבל על פניו הוא לא נראה לי עונה לדרישות.

על מנת שלא ניתן יהיה להצליב מי הצביע מתי מציע MrM לבטל את הלוג במערכת הסליקה. בכך הוא מבטל את שקיפות המערכת והיכולת לבצע ספירה חוזרת של הקולות. מערכת הסליקה הופכת להיות קופסה שחורה - איננו יודעים מה קרה בתוכה, מתי וכדומה. שיעור ההצבעה בישראל עומד (אם אינני טועה) על פחות משבעים אחוזים וצונח בהתמדה. זיוף אפקטיבי לא ישנה רק את קולות המצביעים שהצביעו אלא גם ימלא את מכסת המצביעים. שוב, לך תתווכח עם מחשב.

לצורך הזיהוי מציע MrM להשתמש בטביעות אצבע. אז דבר ראשון - זה יאפשר לנטר את ההצבעות של כל מי שנתן אי פעם טביעת אצבע למשטרה או לצבא (אני חושב שאני נתתי טביעת אצבע בצו הראשון, אי שם בהיסטוריה). אבל בעייתי יותר מזה הוא שזיהוי ביומטרי אינו מתוקנן (כלומר, לא קיימת תקינה מסודרת בנושא) ולא ניתן לבנות עליו לטובת זיהוי מצביעים. מעבר להערות הללו, אני מפנה לרשימות קודמות שלי בנושא ביומטרי - עקרונות וזיופים.

אני דווקא מסכים עם MrM שניתן לבנות מערכת מאובטחת דיה. טענתי לא הייתה שלא ניתן אלא נגעה למנהל תקין. אני חושב שלמערכת כזו יש לגשת בחרדת קודש ולא בהחלטה חפוזה של הרגע. הניסיון מלמד עד כמה זה מורכב והמציאות הדמוקרטית מלמדת עד כמה האבטחה חיונית למערכת כזו. כך שבמובן זה אני ו-MrM באותה הסירה (נראה לי). אני חולק עליו ועל יהונתן קלינגר בדרישה לקוד פתוח. ארחיב על כך ברשימה נפרדת, אך בגדול אני חושב שאין תועלת בקוד פתוח, כיוון שאני ועוד שישה מליון אזרחים לא יודעים לקרוא קוד. מאלה שכן יודעים, 70% לא יודעים אבטחת מידע. מאלו שיודעים לקרוא קוד ויודעים לזהות בעיות אבטחה 80% לא מעוניינים להתעסק בזה בלאו הכי. את החמישה הנותרים ניתן לשכור שיעשו code-review על מוצר קוד סגור (תחת NDA), כפי שנעשה בחו"ל. מילה אחרונה - הייתי שמח לראות יותר דיונים כאלה ברשת ותודה ל-MrM על פתיחת הנושא לדיון.

הרשימה הזו הייתה צריכה להיכתב מזמן כנראה, אך אולי עדיף מאוחר מלעולם לא. מדינת ישראל הולכת בדרך כל בשר ומתכננת להכניס לשימוש שוטף מכונות הצבעה ממוחשבות. והציבור שותק. כתבו על זה לפני כן (גיא ווסט, אדר שלו, שרית פרקול), אך רק הרשימה של יהונתן קלינגר שהפנתה לידיעה במעריב המחישה לי עד כמה זה קרוב ועד כמה זה עובר ללא תשומת לב אזרחית. בחירות הן אבן יסוד בתהליך הדמוקרטי האמורות לאפשר שיקוף מדויק של רצון הבוחר בצורה שקופה ואנונימית. המשפט האחרון מגלם בתוכו את דרישות האבטחה שלנו ממערכת הצבעה:

• שכל קול יבוא לידי ביטוי כפי שהתכוון המצביע.
• שתהליך הבחירות יהיה שקוף ויאפשר בדיקה ובדיקה מחדש של התוצאות.
• שפרטיות המצביעים תישמר כך שלא ניתן יהיה לדעת מי הצביע לאיזו רשימה.

ללא עמידה בדרישות אלה לא ניתן להעמיד מערכת בחירות דמוקרטית ראויה. לשם כך הוגדרו מספר סידורי אבטחה בקלפיות קיימות:

• יכולים להצביע רק אזרחים מזוהים: תעודת הזהות נבדקת פעמיים מול רשימת המצביעים של הקלפי על ידי חברי וועדת הקלפי (שלושה במספר).
• כל קול תקין נספר, חברי וועדת הקלפי אחראים להמצאות מעטפות תקינות ופתקי הצבעה תקינים במתחם.
• כל מצביע מקבל מעטפה סטנדרטית, לא ממוספרת אך חתומה על ידי חברי הקלפי הספציפי, לתוכה הוא מכניס את פתקית ההצבעה (מאחורי פרגוד) ומשלשל את המעטפה לקופסה נעולה.
• הקולות נספרים במשותף על ידי חברי וועדת הקלפי.
• חברי הוועדה הנם נציגי מפלגות שונות.
• בוועדת הקלפי חבר עובד מדינה - משקיף הבקיא בחוקים ובתקנות.
• על פעילות הקלפי מפקחים משקיפים חסרי מעמד חוקי אך בעלי הזכות להשגיח על התנהלות הקלפי.

תנאים אלו נועדו לספק את האבטחה הנדרשת על מנת לעמוד בדרישות האבטחה שהוגדרו קודם לכן. ברוס שנייר מגדיר זאת כ"אבטחה של אינטרסים מתחרים". כלומר, האבטחה מתאפשרת על ידי כך שמשקיפים ממפלגות שונות מוודאים שרמת האבטחה הנדרשת קיימת מתוך דאגה לקולות המצביעים שלהם עצמם.

עבור מערכות הצבעה ניתן להצביע על מספר היבטים שהופכים את בניית מנגנון ההצבעה למורכב ביותר:

• המערכת נדרשת לשמור על אנונימיות מוחלטת של המצביעים.
• מאידך, המערכת צריכה לאפשר לכל אחד להצביע רק פעם אחת בלבד (לאחר שזוהה על ידי חברי ועדת הקלפי)
• בו בזמן המערכת אמורה לאפשר ניטור וניתוח של תהליכי ההצבעה על מנת שניתן יהיה לוודא שלא נפרצו כללי האבטחה. אלו דרישות שעלולות להיות סותרות במידה - אם אני יודע מה היה סדר המצביעים (ואת זה ניתן לגלות מתצפית על הקלפי) ומאידך, לצורך ניטור ובקרה המכונה מאפשרת לי לראות את סדר ההצבעה, אני יכול להצליב בקלות מי הצביע לאיזו מפלגה.
• המערכת נדרשת לאפשר שקיפות מלאה - ייתכן ועד כדי ספירת קולות ידנית.
• המערכת נדרשת לאפשר קישוריות רבה (על מנת להנות מהיתרון המחשובי של הצבעה בכל קלפי) ולמעשה להיות פרוסה ב-8426 אתרים (לפחות לפי הבחירות האחרונות). אם תקחו את כל סניפי הבנקים בארץ, עם הכספומטים השונים, סניפי תחנות הדלק ועוד כהנה וכהנה, לא תגיעו לכמות כזו של אתרים המקושרים בזמן אמת.
• במקביל לקישוריות הרבה, המערכת צריכה לאפשר זמני תגובה מהירים.
• המערכת צריכה לספור את כל הקולות בדיוק רב. ניסיון העבר בחו"ל מראה שזה קשה מאוד. לפני שנה הלכו לאיבוד 18,000 קולות בפלורידה בבחירות שהוכרעו על חודם של 386 קולות בלבד. מקרים דומים ארעו בשנים קודמות.
• המערכת צריכה להיות מאובטחת ברמת התוכנה וברמת החומרה - וזה לא מאוד סטנדרטי. אבטחת רוב המערכות בהן אנו עוסקים מטופלת ברמת התוכנה. אבטחה בחומרה קיימת במקומות מאוד ספציפיים (כספומטים, כרטיסים חכמים, רכיבים צבאיים וכדומה) ולכן הידע לגביה נפוץ פחות ומלכתחילה חומרות סטנדרטיות מספקות פחות רמת אבטחה.

עם כל הבעייתיות שיש בתהליכי הבחירות הקיימים הם מאפשרים שקיפות רבה ואבטחה של ההמון. לא צריך להיות גאון הדור בשביל לזהות תרמיות מקומיות - חסרים פתקים בקלפי, מישהו הביא מעטפה מהבית וכדומה. המעבר למערכות הצבעה אלקטרוניות מעיף את השקיפות מסדר היום, כי חברי הוועדה או המשקיפים לא יוכלו לוודא שרמת אבטחה נאותה נשמרת, והופך את תהליך ההצבעה לתהליך שתלוי על מנגנון אבטחה יחיד. פריצה של מנגנון האבטחה בנקודה כלשהי (ויש לפחות 8426 נקודות אפשריות) תאפשר שינוי ההצבעה בכל המערכת. למעשה, במחקר שנערך באוניברסיטת פרינסטון לפני שנה על המערכת הנפוצה ביותר בארה"ב לבחירות אלקטרוניות התברר כי זו אחת נקודות הכשל המרכזיות. נגישות פיסית למכונה ויש לך את היכולת להפיץ וירוס שישנה קולות בכל המערכת.

במסגרת בירור שערכה מזכירת מדינת קליפורניה נבדקו כל מערכות ההצבעה בקליפורניה על ידי מומחים מאוניברסיטת קליפורניה (הבדיקות כללו ניסיון פריצה ובדיקת קוד) ולאור הממצאים הוחלט למעשה לשלול את ההיתר למערכות ההצבעה הקיימות או להתנות אותו במגבלות שונות (כמו שימוש רק עבור קלפי לבעלי מוגבלויות). בבדיקה שבוצעה במסגרת פיילוט על ידי וועדת הבחירות המרכזית באנגליה הומלץ להשהות בשלב זה המשך פיילוטים בתחום עד לתיקון כל הליקויים שאותרו, כיוון ש[בין היתר] "סיכוני האבטחה הכרוכים בכך משמעותיים ואינם מקובלים".

אצלנו כאמור המצב חמור הרבה יותר מאשר אצל דוברי האנגלית. דבר ראשון, המדינה לא תעביר לגופי מחקר באקדמיה מערכות שכאלו לבדיקה. גם אם כן (ולא!), הנתונים יישמרו חסויים כך שניתן יהיה להתעלם מהם. מצד שני, אצלנו אף גוף ציבורי לא יקום ויעשה משהו בנידון, כמו לבחון באופן עצמאי מערכת שכזו. בתור מדינה של מומחים ומנהלים, קטנים מאוד הסיכויים שנלמד מכשלונם של אחרים וכנראה שהתהליך הדמוקרטי בישראל יימצא בשנים הקרובות בסכנה מוחשית.

הבטחתי ברשימה קודמת לפרט יותר על הנושא הביומטרי ומדוע הוא פחות טוב ממה שנהוג לחשוב. אז דבר ראשון אני מפנה למשהו שכתבתי לפני כשנה. בעיקרון ביומטרי הוא מנגנון המבוסס על:

• סיסמא (טביעת האצבע).
• (סיסמא) קבועה (טביעת האצבע אינה משתנה).
• (סיסמא) שלא ניתן להסתיר (אנו משאירים טביעות אצבעות בכל מקום).

בניגוד לתדמית הרווחת, מנגנון ביומטרי אינו יודע לזהות טביעות אצבע (או כל טביעה אחרת), אלא הוא מסוגל להשוות דגימה של טביעה ביומטרית לדגימות הקיימות במאגר הנתונים. כך שהכשל הפוטנציאלי הראשון במנגנון ביומטרי הוא כשל הדגימה. נניח שלכל בנאדם טביעת אצבע ייחודית (אני כותב נניח כי למיטב ידיעתי אין מחקרים רבים בנושא), אין בכך כדי להעיד כי החיישן שלנו מצליח לדגום את טביעות האצבע השונות בצורה ייחודית. לשם המחשה - יש מיליארד הודים בהודו, אך למי שמבקר בהודו הם כולם נראים אותו דבר. כלומר, העובדה שיש שונות באוכלוסיה אינה מעידה בהכרח שהשונות תבוא לידי ביטוי במנגנון הדגימה והתצפית שלנו. כמובן שאם השונות לא באה לידי ביטוי בחיישנים שלנו, היכולת שלנו להבדיל בין הפרטים השונים אינה קשורה למידת השונות בין הפרטים אלא למידת הרגישות של המכשיר.

הכשל השני של מנגנון ביומטרי הוא שהוא מבוסס על סיסמא קבועה, שאינה מתחלפת ושאותה לא ניתן להסתיר. למעשה, כל אחד יכול לקחת טביעות אצבעות שלנו מכל מקום בו היינו. הסיבה היחידה שהדבר לא נעשה עד היום הוא שאין לכך כל שימוש. המשטרה לא רשאית לעשות זאת ולאחרים זה פשוט לא מקנה זכויות כלשהן. כמובן שככל שמנגנונים ביומטריים יהיו יותר זמינים ובשימוש התמונה זו תשתנה. נניח והצליחו לגנוב לי את טביעת האצבע ולייצר טביעה מזויפת, מה עושים? אני לא יכול להחליף את האצבע והמשמעות הרחבה יותר היא כשל של המנגנון כולו. להבדיל ממנגנוני אבטחה המתבססים על מתמטיקה ובהם כשל בנקודה אחת (אובדן המפתח) אינו מעיד על כשל במערכת, במנגנון ביומטרי כשל בנקודה אחת מהווה כשל של כל המערכת.

הכשל השלישי של מנגנון ביומטרי הוא שחלק מאוכלוסיית העולם בלתי דגימה. כלומר, היא לא תעבור מערכות ביומטריות ולטובת אוכלוסיות אלה צריך להחזיק מנגנון אבטחה נוסף. אם אנו מקבלים את הטענה (השגויה לטעמי) שאין יותר מאובטח מביומטרי, המשמעות היא שלעד נצטרך לעשות שימוש גם במנגנונים לא מספיק מאובטחים במקביל לביומטרי. אגב, ההערכות מדברות על סדר גודל של חמישה עד עשרה אחוזים שלא יעברו ביומטרי.

הכשל הרביעי של מנגנון ביומטרי הוא הקשר בין נוחות תפעולית לאבטחה. זהו קשר שלילי - ככל שהמערכת יותר מאובטחת יהיו בה יותר מקרים של הכשלת גורמים מורשים. ככל שהיא יותר נוחה לשימוש יהיו בה יותר מקרים של הכנסת גורמים לא מורשים. פועל יוצא הוא שנוחות המשתמש מתנגשת בצורה די ישירה עם רמת האבטחה, מה שלא קיים במנגנונים אחרים.

זה בקצרה על ביומטרי. ועדיין במקרים מסוימים אני בהחלט ממליץ לעשות שימוש במנגנונים ביומטריים. הכל בהתאם לניתוח הסיכונים ולצרכים הארגוניים.

צנזורה היא אבטחה של כישלון. כאשר חברות או ארגונים מפעילים צנזורה פירושו של דבר שמנגנוני האבטחה שהיו אמורים לפעול נכשלו. במובן זה צנזורה היא דבר חיובי - היא מהווה את מנגנון האבטחה האחרון לפני כשלון מלא. לעתים, לעתים רבות מדי, הצנזורה משמשת כמנגנון האבטחה הראשי ובמקרה זה מדובר בכשלון. כותבת שושנה פורבס על כך שהבעיה האמיתית של פורנו מגיעה דרך ספאם ותוכנות פרזיטיות. היא צודקת. הבעיה אינה גלישה רצונית לאתרי פורנו - אלא גלישה לא רצונית. גלישה לא רצונית היא תולדה של מחשבים אישיים לא מאובטחים וגם קניית שירותי סינון תוכן מספק האינטרנט (כפי שהציעו חברי הבלוגוספירה) לא תפתור אותם. במקום יום לאינטרנט בטוח, בו משרד החינוך מפרסם את חברת מייקרוסופט וחבורה של אנשים עושים כלום חד פעמי לעידוד הפחד מהאינטרנט, צריך לספק כלי אבטחה בעלות מגוחכת לתלמידים וללמד תלמידים בסדנאות (לא הרצאה חד פעמית) כיצד להגן על המחשב האישי. באותה הזדמנות אפשר גם ללמד הורים שהאינטרנט הוא לא מקום מפחיד, אלא כמו כל מקום ציבורי אחר - בעל הפוטנציאל החיובי והשלילי.

כמובן שבכל מה שקשור לגלישה רצונית לאתרי פורנו פתרון מעין זה לא יעבוד. במקרה זה השאלה שצריכה להישאל היא כיצד הגענו למצב שילדינו רוצים לגלוש לאתרי פורנו כל היום. ייתכן וצנזורה היא אכן הפתרון הראוי, אני לא יודע. אבל גם אם כן, קודם לכן צריך למצות את הפתרונות המונחים על דרך המלך - חינוך. הבעיה היא שכולם מפחדים מהאינטרנט. המורים, ההורים, המחוקק. כולם כל כך פוחדים והאינטרנט במקרה זה משמש כשעיר לעזאזל איכותי - עליו אפשר להטיל את כל הכשלים. מדוע הנוער שותה אלכוהול? אינטרנט. מדוע לא קוראים ספרים? אינטרנט. מדוע יש אלימות? אינטרנט. זה יותר קל מלהגיד על כל אחת מהשאלות - כי אני נכשל בתפקידי כהורה, כמורה, כמחנך.

חוק חסימת האתרים הוא חוק ראוי. במובן זה שהוא מיועד להתמודד עם בעיה אמיתית - חשיפה של קטינים לתכנים לא ראויים. על מנת לפתור את היבלית מציע המחוקק לכרות את שתי הרגליים, עם אופציה לעריפת ראש וכמו שאמרו חז"ל, הדרך לגיהנום רצופה כוונות טובות.

אני מעריך שהחוק לא יעבור וגם אם כן הוא לא ימומש (מסיבות טכניות). אך זו לא צריכה להיות סיבה למסיבה. כיוון שהבעיות שהחוק מנסה להתמודד עמן יישארו גם אחרי שהחוק ילך.