התנועה לזכויות דיגיטליות: לא לאשר התקנות הפוגעות במאגר הביומטרי

דף הבית >> דעות ומחקרים >> על סדר היום >> התנועה לזכויות דיגיטליות: לא לאשר התקנות הפוגעות במאגר הביומטרי
התנועה לזכויות דיגיטליות: לא לאשר התקנות הפוגעות באבטחת המידע במאגר הביומטרי
מאת: מערכת Telecom News, 23.10.14, 16:16יהונתן קלינגר - עו"ד

בהמשך לפרסום ב-Telelcom News על התקנות של הרגע האחרון של שר הפנים גדעון סער לפני פרישתו מהמשרד, מגיבה התנועה לזכויות דיגיטליות על התקנות הפסולות.

פרסמנו הבוקר על התקנות החדשות של השר גדעון סער המובילות לפרצת אבטחה ענקית במאגר הביומטרי - כאן.

 
הוועדה המשותפת לעניין החוק הביומטרי תדון ביום ג' הקרוב, ה-28.10.14 בשעה 14:00 בסדרת תקנות, עליהן דיווחנו כאמור הבוקר – כאן, שמדרדרות את אבטחת המאגר הביומטרי. בין ההקלות: צמצום אבטחת המאגר והפער התכנוני (המכונה "פער אווירי") המגן על אבטחתו ומתן הרשאה לקטינים וקשישים ליטול טביעות אצבע לשימושים שונים.

התנועה לזכויות דיגיטליות פנתה היום לחברי הוועדה המשותפת לעניין המאגר הביומטרי בבקשה, שלא יאשרו את התקנות, שתובאנה לאישור הועדה ב-28.1.14, ואשר פוגעות באבטחת המאגר.
במכתב עליו חתומים היועמ"ש לתנועה עו"ד יהונתן קלינגר (בתמונה), וצבי דביר נכתב:

"בתיקון תקנה 14 יצומצם "הפער האווירי" (Air gap) העומד במרכזו של אבטחת המאגר הביומטרי.  העברת הנתונים אל מחוץ למאגר תעשה באופן אוטומטי באמצעות מחשב המוצב בסמוך למחשב המחובר למאגר, דבר, שיקל על פורץ פוטנציאלי לנצל אפיק תקיפה זה. בנוסף, הערוץ הטלפוני מטרתו לוודא, שמי שלכאורה ביקש את המידע אכן ביקש את המידע.

אם פורץ מצליח להתחבר למחשב של פקיד רשות האוכלוסין או אל המערכת דרכה נשלחות בקשות האישור, הוא יכול להעביר שאילתא, שתעובד אוטומטית ללא כל בקרה נוספת. כל עוד יש חובת דיווח טלפוני, הניסיון יתגלה מיידית.

ביטול חובת הדיווח הטלפוני תמנע את גילויו של הפורץ. בהוספת תקנה 16 יותר לקשישים, מתנדבי שירות לאומי ואנשים, שאינם עובדי שירות המדינה, לחלק את התיעוד הביומטרי ולקחת דגימות מידע ביומטרי. הורדת הרף המקצועי של הפקידים המטפלים בחלוקת התיעוד הביומטרי ייצור סדרה של פערי אבטחה אשר גם הם יקלו על פורצים לעשות שימוש לרעה בתיעוד ובמאגר. לדוגמה: יקל על אדם להתחזות למתנדב/ת או לבעל תפקיד אחר, שיש לו סמכות ליטול נתונים ביומטריים.

תקנות מקלות אלה מצטרפות לסדרה של מחדלים, שטרם טופלו: טרם הושלמו סקרי הסיכונים ומבדקי החדירות למאגר עצמו ולמערכי ההנפקה והתפעול הנלווים, וטרם פורסם האם הרשות הביומטרית מינתה מנהל אבטחת מידע כנדרש. הרשות הביומטרית פועלת במצב של תת-הסכמה מזה שנתיים, בידיעת הגורמים המפקחים. הרשות דיווחה על אבדן של כ-9% מטביעות האצבע שניטלו בלשכות האוכלוסין".

עדכון 28.10.14: הוועדה המשותפת לעניין המאגר הביומטרי דחתה היום את אישור התקנות המקלות באבטחת המאגר הביומטרי. ההצבעה על התקנות נדחתה לאחר שח"כ תמר זנדברג (מרצ) חשפה במהלך הדיון, שהרשות לא התייעצה עם שרת המשפטים על שינוי תקנה 14 לחוק, במסגרתו ביקשה הרשות להקל על אבטחת המידע של המאגר.

עוד החליטה הוועדה, שבתקנות, שתובאנה לאישור בעתיד יושמט הסעיף המאפשר לקשישים, מתנדבים ובנות שירות לעסוק בלקיחת דגימות מידע ביומטרי וחלוקת תעודות ביומטריות.

ח"כ תמר זנדברג: "רשות האוכלוסין באה לדיון וטענה בפנינו כי השינוי בסעיף אבטחת המידע הוא טכני בלבד ומטרתו רק להקל ולייעל את התהליך והנה גילינו, שבחוות דעת הייעוץ המשפטי של הוועדה נכתב, שכל שינוי בסעיף זה מצריך התייעצות עם שרת המשפטים. מאחר שלא נעשתה התייעצות כזו ביקשנו לדחות את ההצבעה. המהלך כולו מעלה חשש, שהשינוי אינו טכני אלא בעל משמעות והקלה באבטחת המידע. דווקא בתקופת הפיילוט חשוב להקפיד ולא להקל בנושא זה".
 
עו"ד יהונתן קלינגר, היועמ"ש לתנועה לזכויות דיגיטליות: "חברות הכנסת זנדברג ויחימוביץ' שאלו היום בדיון את השאלות הקשות והראו, שבפועל הרשות הביומטרית פועלת להפחתת רף אבטחת המאגר הביומטרי. לשמחתנו, חברות הכנסת עצרו את התהליך, שהיה אמור לאפשר לבנות שירות לאומי ולמתנדבים לגשת למידע הביומטרי שלנו והצליחו לעצור את צמצום הפער האווירי. אנו קוראים לשאר חברי הכנסת לעצור את הפארסה של המאגר הביומטרי ולאפשר לאזרחי ישראל לקבל תעודות זהות חכמות מבלי להיכנס למאגר הביומטרי. העובדה, ש-70% ממבקשי תעודות הזהות מסרבים להיכנס למאגר היא כרטיס אדום ואנו קוראים להסיק את המסקנות מכך ולבטל את המאגר מיד".
 
מידע לא מאובטח



 
 
Bookmark and Share