וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

המאגר הביומטרי של משרד התחבורה מסכן את פרטיותם של מיליוני אזרחים

4.5.2020 / 16:00

מבקר המדינה בחן את השימוש במאגרים ביומטריים ומצא כי המאגר של רב-קו, הכולל 4.5 מיליון תמונות של אזרחים ובהם יותר ממיליון קטינים, פועל ללא ביקורת. שיתוף הפעולה בין משרדי הממשלה ליחידה שאחראית על המאגרים לקוי, והשימוש בתעודת הזהות החכמה - כמעט לא קיים

-

(בווידאו: מבקר המדינה: מערכת הבריאות לא ערוכה להתפרצות מגיפה בישראל)

מאגר ביומטרי עצום של משרד התחבורה נמצא בסכנה בהיבטי אבטחת מידע ופרטיות, שיתוף פעולה לקוי בין משרדי ממשלה ליחידה שאחראית על המאגרים הביומטריים, ושימוש כמעט לא קיים בתעודת הזהות החכמה שהנפקתה החלה כבר לפני שבע שנים. אלו הממצאים העיקריים של דוח מבקר המדינה שמתפרסם היום (שני) ובוחן את הסדרת השימוש במאגרים ביומטריים בישראל.

החוק שאפשר למדינה להקים מאגר ביומטרי, המתבסס על טביעות אצבע ותמונות פנים, עבר לפני יותר מעשור. בשנים האחרונות מונפקים בישראל תעודות זהות, דרכונים ורישיונות נהיגה ביומטריים, אך מאגרים בעלי מאפייני זיהוי כאלה קיימים גם בשב"ס, ששומר דגימות קוליות של אסירים, ואפילו אצל הרשות הארצית לתחבורה ציבורית, ששומרת מיליוני צילומים באיכות ביומטרית של משתמשי רב-קו.

אינפו דוח מבקר המדינה מאגרים ביומטריים. עיבוד תמונה, מערכת וואלה
אינפו דוח מבקר המדינה מאגרים ביומטריים/מערכת וואלה, עיבוד תמונה

למרות יתרונותיהם של מאגרים ביומטריים, הם טומנים בחובם גם סכנות רבות לאזרח ולמדינה - החל מגניבת זהות או מעקב אחרי אזרחים, ועד דליפת מידע ביטחוני רגיש. מי שאחראי על הפיקוח והאכיפה בתחום אחזקת המאגרים הביומטריים והשמירה עליהם הוא היחידה להזדהות וליישומים ביומטריים במערך הסייבר הלאומי שבמשרד ראש הממשלה.

על פי המדיניות שקבעה הממשלה, מעורבות הממונה מטעם היחידה תהיה בעיקר במגזר הציבורי, אולם גם שם השפעתה מוגבלת, "ונשענת בעיקרה על רצונם של הגופים לשתף עמה פעולה. לדוגמה, היחידה שבה ופנתה לגופים שונים אך שיתוף הפעולה מצידם היה מוגבל, והיא נתקלה בקשיים במימוש המדיניות והקווים המנחים. היו מקרים שבהם חרף העובדה שהיחידה הצביעה על פעולות הנעשות שלא על פי המדיניות והקווים המנחים ובאופן הטומן בחובו סיכונים, לא הוביל הדבר לשינוי באופן תפקודם של הגופים".

מאז 2006 מצלם משרד התחבורה תמונות לרישיונות נהיגה באיכות ביומטרית. במאגר של המשרד יש כיום כ-4.5 מיליון תמונות של אזרחי ישראל. כבר ב-2005 המליץ משרד המשפטים להסדיר בחקיקה את השימוש במאגר, והצעת חוק בנושא אף עברה בקריאה ראשונה שנה לאחר מכן, אך לא קודמה מעבר לכך. המבקר מעיר כי בקיומו של המאגר "טמון סיכון לזכות החוקתית של אזרחי המדינה לפרטיות", ומוסיף כי אי השלמת החקיקה משך שנים כה ארוכות ראויה לבחינה.

עליה אל האוטובוסים תותר גם מהדלתות האחוריות באמצעות כרטיס רב קו דן אגד. קובי ליאני
לרשות הארצית לתחבורה ציבורית אין מידע על המאגר. רב-קו/קובי ליאני

במהלך 2018 ביצעה היחידה שבמערך הסייבר בחינה של מאגר התמונות במשרד התחבורה, ומצאה כי המאגר מוגדר בסיכון גבוה. בנובמבר באותה שנה שלח הממונה מכתב למנכ"לית משרד התחבורה בו הזהיר כי "קיים פוטנציאל סיכון גדול למידע הביומטרי בהיבטי אבטחת מידע ופרטיות, לאור היעדר תשומות האבטחה הנדרשות, שאינן דומות לתשומות האבטחה הקיימות במאגר הביומטרי הלאומי, ולאור היעדר ההפרדה בין הנתונים הביומטריים לנתונים הביוגרפיים". בתשובתו למבקר המדינה מדצמבר 2019 מסר המשרד כי הוא פועל עם היחידה ליישומים ביומטריים לצמצום הסיכונים במאגר, וכי עמדת המשרד היא שיש לפעול לביטול הצורך בהחזקת מאגר עצמאי על ידו.

ליקויים נמצאו גם במאגר התמונות של משתמשי כרטיס רב-קו, שבו לפי ההערכות תמונות פנים באיכות ביומטרית של 4.5 מיליון משתמשי תחבורה ציבורית, מהם יותר ממיליון קטינים. המאגרים מצויים אצל החברות שמפעילות את התחבורה הציבורית, ולרשות הארצית לתחבורה ציבורית אין כל מידע לגביהם, כולל מידע הדרוש לבחינת היבטים של אבטחת מידע והגנה על פרטיות הנוסעים. גם היחידה להזדהות וליישומים ביומטריים לא בחנה את הנושא.

דוגמה נוספת בדוח היא מאגר העובדים הזרים של רשות האוכלוסין במשרד הפנים, שמכיל 550 אלף טביעות אצבע ותמונות פנים של עובדים זרים שנכנסו לישראל. מדוח המבקר עולה כי היחידה ליישומים ביומטריים ניסתה לבדוק אם המאגר עומד במדיניות ובקווים המנחים אך ללא הצלחה. "ממסמכים שהועברו למשרד מבקר המדינה עולה כי ניסיונות מצד היחידה לקבל מענה שיאפשר לאמוד את עמידתה של מערכת מעו"ז במדיניות ובקווים המנחים, לא נענו ולא הבשילו לכדי בחינה", נכתב.

לשם השוואה, המבקר בחן את מערכת זיהוי דורשי העבודה של שירות התעסוקה, שמכילה כיום כ-250 אלף טביעות אצבע. הוא מצא כי עוד ביוני 2016 החלה עבודת מטה בין השירות ליחידה ליישומים ביומטריים, וכי בשנתיים שלאחר מכן נעשתה עבודה משמעותית כדי שהמאגר הרגיש יעמוד בקווי המדיניות המנחים. בין היתר הופרד המידע הביומטרי מהפרטים האישיים, נעשה שימוש בפרוטוקולים של הצפנה מקצה לקצה, וכן קוימו הדרכות לעובדים בנושא אבטחת מידע והגנה על הפרטיות. לדברי הממונה על היישומים הביומטרים, זהו הגוף הממשלתי הראשון שקיים הליך מסודר שבסופו ניתן לקבוע כי "המערכת מממשת את הוראות המדיניות".

משרד המשפטים בירושלים. נועם מושקוביץ
הרחבת סמכויות הרשות במשרד המשפטים לא קודמה בשל מחלוקות עם מערך הסייבר הלאומי/נועם מושקוביץ

המבקר בחן גם את סוגיית הרגולציה והפיקוח על מאגרים ביומטריים במגזר פרטי. לדוגמה, כל עסק שבו שעון הנוכחות של העובדים מזהה אותם על פי טביעת אצבע, מחזיק למעשה מאגר ובו פרטי מידע ביומטריים. הנושא כולו סובל מפיקוח חסר. מי שאחראי על הפיקוח היא הרשות להגנת הפרטיות במשרד המשפטים, שאחראית על כלל מאגרי המידע הדיגיטליים, גם אלו שאינם ביומטריים. כמדיניות נקבע כי מעורבות הרשות במגזר הפרטי תהיה נמוכה.

בנוסף, יכולת הפיקוח והאכיפה של הרשות מצומצמת. המבקר מציין כי ב-2018 הוגשה הצעת חוק שמטרתה הייתה להרחיב את סמכויות האכיפה של הרשות, אך היא לא קודמה בשל מחלוקות בין משרד המשפטים והרשות להגנת הפרטיות לבין מערך הסייבר הלאומי במשרד ראש הממשלה.

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    4
    walla_ssr_page_has_been_loaded_successfully