המועצה להגנת הפרטיות לשר המשפטים: לא למאגר ביומטרי

24.6.08 - לקראת העברת הצעת החוק לאישור הממשלה, קיימה המועצה להגנת הפרטיות* דיון ארוך בתזכיר הצעת החוק, לאחר שלמדה את הנושא ושמעה את עמדת נציגי משרד הפנים ומומחים בנושא. בעקבות זאת היא פנתה במכתב לשר המשפטים והפצירה בו להתנגד ליוזמה:
.
"המועצה רואה בדאגה רבה את ההצעה, עקב השלכותיה הדרמטיות על הגנת הפרטיות בישראל, ופוטנציאל הפגיעה הגדול שלה בזכויות היסוד של אזרחיה… אנו מצרים גם על גישת משרד הפנים שלוחץ להעביר חקיקה עם השלכות קשות על זכויות יסוד, בתוך סד זמנים קצר וללא דיון ציבורי ממצה…
.
לב ליבה של הבעיה בהצעה נעוץ בכוונה להקים מאגר נתונים ביומטרי גדול על כל אזרחי ישראל. זאת, תוך העדפת פיתרון זה על פני האפשרות ליצירת תעודות זהות עם אימות ביומטרי, ללא מאגר מידע מרכזי. … יש להדגיש כי מאגר המידע המוצע, אינו מסייע כלל למניעת זיופים… מאגר המידע המרכזי נועד למנוע בעיה שונה, והיא בעיה של 'הרכשה כפולה' של מסמכי זיהוי… מצב שבו אדם אחד מבקש הנפקה חוזרת ונשנית של מסמכי זיהוי תחת שמות שונים… בעיית ההרכשה הכפולה היא בעייה של 'גניבת זהות' אשר נפוצה למשל בארה"ב, שבה אין כלל תעודות זהות לאזרחים… לצורך מניעה הבעיה של הרכשה כפולה אפשר להשתמש באמצעים מידתיים יותר, שפגיעתם בזכויות היסוד של האזרחים פחותה בהרבה מפגיעתו של מאגר ביומטרי מרכזי.
.
יש לשקול היטב את הקמת המאגר, שאין כדוגמתו באף מדינה מערבית דמוקרטית, כולל מדינות כמו גרמניה, שבהן נהוגים מסמכי זיהוי ביומטריים, ולעומת זאת יש מאגרים כמוהו במדינות כדוגמת כווית, תימן, פקיסטן ואינדונזיה.
.
אין למועצה ספק, כי קודם שהצעת החוק תגובש ותועבר לאישור הממשלה, ראוי לחדד את התכליות שלשמן נועד החוק המוצע, ולבחון אותן אל מול הפגיעות בפרטיות והסכנות האחרות, שטמונות בהצעה במתכונתה הנוכחית … נדגיש: הנושא חשוב ומורכב מאוד והשלכתו על הפרטיות דרמטיות. בטרם נבחרת דרך מסוימת ראוי לבחון חלופות רבות ככל האפשר, ולשם כך נדרש דיון גם במחקרים…
.
ראוי יהיה כי הליך החקיקה שבנדון יעוכב, תינתן הזדמנות הראויה לדון בהצעה, ובכלל זה דיון ציבורי, ולשאול את כל אותן השאלות, ובין היתר לבחון חלופות להצעה הנדונה. בכך יעשה נסיון כן ואמיתי להבטיח, כי הפגיעה בפרטיות הכרוכה בחוק המוצע תהא נמוכה ככל האפשר. "
.
פניה נוספת לשר נעשתה לאחר ישיבה נוספת ב-2.7.2008.
.
* המועצה הציבורית להגנת הפרטיות ממונה על ידי שר המשפטים וחבריה באים מכל המגזרים, לרבות רשויות הביטחון במדינה (ראו באתר משרד המשפטים).
.

ארנון הראל מומחה לביומטריה: מצגת על הצעת החוק

17.6.08 ארנון הראל מומחה למערכות מידע ביומטריות הופיע בפני המועצה להגנת הפרטיות והציג מצגת בנושא.
.
המצגת מתייחסת לטיוטת תזכיר החוק, שעברה מאז מספר שינויים.
.
הקליקו על התמונה משמאל וצפו במצגת (בתיבת השיח שתעלה הקליקו על הכפתור השמאלי "קריאה בלבד").
.
ראו גם מאמר מאת ארנון הראל: "מה מיוחד בטכנולוגיה הביומטרית?".


חוק האח הענק הוא הסיוט הקפקאי הבא- הארץ" 17.6.08

מאגר המידע המוצע על ידי משרד הפנים הוא מהסוג המסוכן ביותר לפרטיות

מתוך מאמר של ד"ר עומר טנא "theMarker - הארץ" 17.6.08

"מאגר המידע המוצע על ידי משרד הפנים הוא מהסוג המסוכן ביותר לפרטיות. זהו מאגר מידע מרכזי, הכולל טביעות אצבע, שהוא מידע המותיר עקבות ושאפשר לאספו גם ללא ידיעתם של נשואי המידע. מאגר מרכזי כזה יוצר בעיה קשה של אבטחת מידע. ... פרצת אבטחה במאגר מידע ביומטרי עלולה להיות הרת אסון: סיסמה אפשר לשנות ותעודה להחליף, אבל טביעת האצבע מלווה אותנו כל החיים, ומרגע שנגנבה אנו חשופים. בעיה נוספת היא הסיכון של טעות מערכת...הדגימה הביומטרית היא מפתח, שבאמצעותו אפשר לקשר מידע אודות אדם המצוי במאגרי מידע שונים, ליצירת פרופיל מדויק וחודרני [ו]אפשרות לאיחוד מידע אישי בין מאגרים שונים, ציבוריים ופרטיים."

נשואה למאפיה - המחוקקים בבריטניה מזהירים מפני שימוש עברייני במידע הביומטרי

10.6.08 - דו"ח של הפרלמנט הבריטי מזהיר מפני ההשלכות החמורות של שימוש במידע ביומטרי בתעודות זהות ובמאגרים. הפשע המאורגן ישים ידו על הנתונים וישתמש בהם לגניבת זהות. במקרה של מידע ביומטרי הנזק הוא בלתי הפיך.


מקור: SecurityInfoWatch.com. (ראו גם: LiveJurnal).


אחד המומחים שהופיעו בפני הוועדה בפרלמנט הוא פרופ' רוס אנדרסון, מומחה לאבטחת מידע מקיימברידג':

"There is a fundamental security engineering problem with biometrics as opposed to the cryptographic keys in your chip and pin card. Once your biometrics become compromised, you cannot revoke them. It is not practical to do eye or finger transplants. Once you start using biometrics on a very wide scale, for all sorts of everyday transactions, the Mafia will also have your biometrics. You do not know which shops are owned by the Mafia but if you end up having to put your fingerprint on the glass every time that you buy a can of Coke, sooner or later the Mafia will have the biometrics of millions of people.' The powerful Commons' Home Affairs Committee called on the Home Office to prepare 'contingency plans to be implemented in the event of a loss or theft of biometric information from its databases"


מאגר ביומטרי למדינת ישראל, מי צריך כזה? - עומר טרן 5.6.08

עומר טרן, מומחה לאבטחת מידע שואל מי בכלל צריך מאגר.
על מנת שבתי עסק יוכלו להגן על עצמם מזיופים (המטרה העקרונית של סעיף זה) הם צריכים לא רק תעודה שקשה לזייף אלא גם תעודה שקל לוודא. כלומר המנגנון הנדרש הוא כפול - קשה לזייף, קל לאמת. שטר הנו דוגמא קלאסית לאמצעי מסוג זה. טביעה ביומטרית? למיטב ידיעתי לא. רוב הסיכויים שעסקים יעשו שימוש ברכיבים הלא ביומטריים של התעודה (עיצוב הכרטיס) על מנת לאמת את תקפותה.
נדמה כי המטרה האמיתית של החוק אינה למנוע זיופים של תעודות זהות כפי שכתוב בפתיח לתזכיר החקיקה אלא דווקא לספק לגופי הבטחון מאגר ביומטרי על האזרחים. את סוגיית הזיוף ניתן למנוע בצורה זולה יותר וללא שימוש במאגר ביומטרי מרכזי (גם אם נעשה שימוש במאגר ביומטרי ניתן לעשות שימוש במאגר שאינו ניתן לשחזור ושאינו מרכזי)... מאגר שכזה יפריע למשטרה במילוי תפקידה יותר מאשר יועיל.
לא התרשמתי שתזכיר החקיקה מגובה בעבודת מטה אמיתית המנתחת צרכים, סיכונים ותהליכים. נדמה כי תזכיר החקיקה נולד מתוך מספר גחמות - הרצון הנצחי של גופי בטחון ושיטור לקבל את כל הנתונים האפשריים על כל האזרחים; הרצון של משרד האוצר לקדם תעודת זהות דיגיטלית; הרצון של משרד הפנים להסיט את האש מחוסר המאמצים שלו לטפל בסוגיית זיוף תעודות רשמיות. כך נולד לו פרויקט מסוכן, מגלומני ובזבזני. מאחר והוא משרת את רצונות האוצר והבטחון, אגב, כנראה שבמקרה זה לא יהיה מחסור תקציבי.

Face and Fingerprints ID taken from Passports

Dutch TV programme Nieuwslicht (Newslight) is claiming that the security of the Dutch biometric passport has already been cracked. As the programme reports here, the passport was read remotely and then the security cracked using flaws built into the system, whereupon all of the biometric data could be read.

Passports and Fingerprints

Passports and Fingerprints - whereisyourdata.co.uk 1.6.2008

In 2008, the government has now delayed the scheme until 2012, with the costs increasing again, following the publishing of the latest Identity & Passport Service cost report for the ID scheme. The report claims that the costs will reach nearly 1 billion by 2017…

No REAL ID