מאגר מידע ביומטרי - מלחמה בזיופים או גן עדן להאקרים?
הכנסת העבירה בקריאה ראשונה חוק להקמת מאגר מידע שיכיל נתוני טביעות אצבעות ותווי פנים של כל אוכלוסיית המדינה. בחינה של כמה מקרים מוכיחה כי זה עלול להיות פתח לבעיות
התוצאה תהיה מאגר מידע מקיף, שאפילו מנסחי החוק מודים שהוא איננו קיים בשום מדינה מערבית. מטרת החוק היא יצירתן של תעודות זהות "חכמות", לכאורה בלתי ניתנות לזיוף. אמצעי בטחוני ראוי, לדעת תומכי החוק. אך בשורה של מקרים, בישראל ובעולם, הוכח כי השימוש במאגר מידע ותעודות "חכמות" עשוי דווקא לגרום לבעיות ולדליפות מידע.
זיופים אפשריים
הבעיה היא שהתעודות ניתנות גם ניתנות לזיוף. ממשלת בריטניה השקיעה ארבעה מיליארדים בפיתוחן של תעודות זהות "חכמות" ועמידות – והאקר אחד, במקרה הזה פרופסור הולנדי שעשה זאת לצרכי הדגמה, השקיע 40 ליש"ט בקורא כרטיסים דיגיטלי, ועוד 20 ליש"ט עבור שני שבבים - וזייף שתי תעודות זהות בתוך שעה.
דליפת מידע לגורמים לא מורשים
על בטיחותו של מאגר המידע יפקח משרד הפנים. יעילותו של משרד הפנים בנושא מפוקפקת – במשך שנים רווחה השמועה על דליפתו של "רישומון", מאגר המידע של אזרחי ישראל - הכולל שמות מלאים, מספרי תעודות זהות, כתובות וטלפונים - לגורמים מעוניינים, ביניהם בלשים פרטיים. בשנת 2003 חשף עידו קינן כי המאגר המעודכן הודלף לרשת, וכי נמכר לכל דורש תמורת תשלום צנוע של 15 דולרים. בעקבות החשיפה, הוסר האתר המכיל את המאגר, אך עדיין ניתן להשיגו ברשתות שיתוף קבצים. משרד הפנים לא הוכיח עד כה שהוא יצליח לשמור על מאגר מידע ביומטרי טוב יותר. לא צריך להיות האקר מתוחכם במיוחד כדי לשים עליו יד – שוחד לפקיד הזוטר הנכון עושה את העבודה היטב.
אי הקפדה על נהלי אבטחת מידע
וגם שוחד הוא לא הכרחי – רוב מקרי אובדן המידע הם תוצאה של אי הקפדה על נהלי אבטחה מצד עובדים, ורוב העובדים לא מקפידים עליהם. בארה"ב אבד מחשב נייד שהכיל מאגר מידע של פרטיהם של נוסעים שקיבלו אישור מוקדם לעלות לטיסות – 33,000 מהם. המחשב נמצא בסופו של דבר, והחברה שאיבדה אותו טענה שאיש לא נגע בו, אבל מתנהלת נגדה חקירה. אילו היה מסתבר שמישהו שם יד המחשב, הממשלה היתה צריכה למצוא 33,000 בני אדם ולאמת את זהותם – שמא נגנבה על ידי טרוריסטים או פושעים.
פריצות למאגרי מידע
אלופת העולם באובדן נתונים היא בריטניה. בין נובמבר 2007 לאוגוסט 2008 אירעו בה 160 חדירות למאגרי מידע. המקרה המביך ביותר היה אובדן נתוניהם של עשרות אלפי פושעים, בכלל זה תיקים על 10,000 פושעים שנמצאו בעדיפות גבוהה מבחינת המשטרה, פרטיהם האישיים של 84,000 אסירים – ושל אלפי מודיעים של המשטרה, שכעת חוששים לחייהם. המידע היה על דיסק און קי, שהיה ברשותה של חברה שעבדה עם המשטרה. פריצות נרשמו גם למאגרי המידע של רשות המכס והמיסים.
במקרה מביך אחר, שוב בבריטניה, נמכר באיביי מחשב שהכיל את נתוניהם של כמיליון בריטים – כולל מספרי חשבון בנק, מספרי כרטיסי אשראי ודוגמאות חתימה. צעיר בריטי רכש אותו תמורת 35 ליש"ט והיה הגון מספיק כדי לעשות את הדבר הנכון.
ואולי המקרה המפחיד ביותר בבריטניה נרשם בנובמבר האחרון: שני דיסקים שהכילו חלק ניכר ממאגר המידע של משרד הפנים הבריטי נשלחו בדואר לא רשום – ואבדו. הם הכילו את פרטיהם של 25 מיליון אזרחים בריטים. בין השאר, הם הכילו את פרטי חשבונות הבנק שלהם.
ספק אם משרד הפנים הישראלי יוכל לטעון כי הוא מצטיין בהגנה על מידע יותר ממקבילו הבריטי, ועל כן יש מקום לחשש מפני הקמת מאגר מידע כה רגיש כפי שאישרה הכנסת.
