חיפוש

חיפוש לפי מילות מפתח

פוליטיקאים, בואו לבדוק את הכוח הפוליטי של האתר שלנו

ארכיון

כוח לעובדים – ארגון עובדים דמוקרטי

מחאת האוהלים – האתר הרשמי

מגזין חברה

אירועים בשבוע הקרוב

אומרים לנו שיש מס אחר

דו"ח מומחים של התנועה לזכויות דיגיטליות מציע לבטל את המאגר הביומטרי

נושאים זכויות אדם, חדשות ב 15.06.15 1:04

התנועה לזכויות דיגיטליות פרסמה טיוטת דו"ח מומחים הבוחן את תקופת המבחן של המאגר הביומטרי. הדו"ח מנתח סדרה של סוגיות הקשורות בנחיצות המאגר הביומטרי, תכנונו, בעיות אבטחה ותפוצת מאגרים בעולם

במסמך נחשפות שתי בעיות אבטחה חדשות שלא היו ידועות קודם לכן:

  • הראשונה, שימוש בשירותי אירוח עבור אתר התאוששות מאסון, המכיל עותק של המידע הקיים ברשות הביומטרית בחברות חיצוניות. על פי המסמך "בשנת 2013 הרשות הביומטרית שכרה שירותי (DR) גיבוי מידע למקרי אסון מחברת אינטרנט בינת בע"מ, ובשנת 2014 מחברת בזק בינלאומי בע"מ".
  • השניה, התברר כי ברשות הביומטרית אין הפרדה פיזית בן רשתות התקשורת אלא בידול באמעות תוכנה:"(נמצא) שימוש ברשת פנימית מבודלת ולא מנותקת. בניגוד להצהרות אנשי הרשות אין הפרדה פיזית  'Air Gap' אלא בידול לוגי בין הרשתות".

המסמך מנתח סדרה של טענות שהועלו ע"י הרשות הביומטרית באשר למאגר עצמו:

  • בדיקת הנחיצותבשנת 2014 התגלו 71 מקרי התחזות וזיוף. המסמך מראה כי 70 מהם ניתן היה למנוע באמצעות תעודה חכמה או ביומטרית, אחד היה נמנע ע"י תשאול מעמיק יותר ואף לא אחד היה נמנע ע"י מאגר ביומטרי.
  • תפוצת מאגרים: הדו"ח מראה כי קיים פער משמעותי בין נתוני הרשות הביומטרית לבין נתונים בלתי תלויים של מרכז המחקר והמידע של הכנסת באשר לתפוצת מאגרים ביומטריים בעולם.
  • תכנון המערכת הביומטרית: המומחים קובעים כי התכנון העקרוני של תצורת המערכת ותצורת המאגר שגוי בכמה היבטים, וכי המאגר נאלץ לתמוך באופן פעולה שאינו מקובל בעולם הביומטריה.
  • בעיות אבטחה: המסמך קובע כי הרשות הביומטרית החלה את ההנפקה במצב של תת הסמכה לפי נהלי תמ"ר, ולא ברור אם היום עומדת בכל נהלי תמ"ר ורא"ם.
  • מבחני דיוק לוקים בחסר: הרשות ערכה מבחני דיוק על מספר זניח של 16,000 רשומות במקום על כלל הרשומות בניסוי.
  • חלופות ומתן ציונים למדדים:הרשות הביומטרית לא בדקה חלופות מקובלות בעולם, ועבור החלופות שנבדקו חלק מהציונים סותרים את ההיגיון. הציונים חושבו מחדש- עבור כלל החלופות והתוצאות שונות בתכלית.

הדו"ח נכתב ע"י קבוצת מומחים בהםפרופ' אלי ביהם (הפקולטה למדעי המחשב, מקים מרכז הסייבר, הטכניון), צבי דביר (מהנדס אלגוריתמים, יזם היי טק), פרופ' קרין נהון (אונ' וושינגטון, המרכז הבינתחומי), דורון שקמוני (מומחה אבטחת מידע וסייבר, חבר ועדת המומחים העולמית של ICANN), דורון אופק (מומחה לאבטחת מידע וסייבר) ועו"ד יהונתן קלינגר, היועמ"ש לתנועה לזכויות דיגיטליות. הדו"ח יוגש מחר לרה"מ, לשרי הממשלה, לחברי הכנסת ולמבקר המדינה.

במכתב המצורף לדו"ח כותבים המומחים כי: "… דו״ח המומחים מנתח ומציג את הכשלים ופערי המידע בדוחות המפורסמים על ידי הרשות הביומטרית, עד כדי חשש להשמטת מידע מכוונת וניסיון שיטתי להטעות את חברי הכנסת ואת הציבור במידע חלקי ומסולף … הרשות לניהול המאגר הביומטרי לא קיימה את חובתה לערוך ניסוי אמיתי, שיציג בפני חברי הכנסת את המידע הנחוץ לשם קבלת החלטה שקולה בדבר נחיצות המאגר הביומטרי. היא אף לא טרחה לבחון ברצינות שיטות חלופיות לקיום דרישות החוק… כבר עתה, ברור כי אין צורך ממשי במאגר ביומטרי. לכן, אין טעם להאריך את תקופת המבחן בשנתיים נוספות. לכן, אנו קוראים לממשלת ישראל ולחברי הכנסת לבטל את המאגר הביומטרי כבר עתה.

במקום המאגר הביומטרי, אנו ממליצים להיענות לדרישת מבקר המדינה הקודם, ולנפק תעודות זהות חכמות. בד בבד, נמליץ לעבות ולשפר את תהליכי התשאול בזמן ההרכשה הראשונית ועוד יותר בזמן הרכשות שניוניות (אבדן תעודות), כפי שנעשה במקומות אחרים, ולבחון את האפשרות להשתמש בשיטה הבלגית, המקשה מאוד על התחזויות בלשכות האוכלוסין".

לעיון בדו"ח: דוח מומחים טיוטה לפרסום (1)

הודעה לתקשורת – ניר הירשמן

נערך על ידי דליה
תגיות: , ,

השארת תגובה

חשוב: בקרת תגובות מופעלת ועלולה לעכב את תצוגת תגובתכם. אין סיבה לשלוח את התגובה שנית.

עקב תקלה טכנית האתר נופל וקם לסירוגין.

אנו ממליצים להעתיק תגובות (קונטרול+סי) לפני שליחתן, כדי למנוע מפח נפש אם האתר נופל בדיוק אחרי שהשקעתם בתגובה ארוכה.