$
חדשות טכנולוגיה

המאגר הביומטרי מוגן? "אי אפשר להבטיח שעובד לא יעתיק מידע"

גם ראש הרשות לניהול המאגר הביומטרי, גון קמני, מודה שאי אפשר להגיע לאבטחה מלאה של הפרטים האישיים שיישמרו בו. בראיון ל"כלכליסט" הוא מסביר שהמאגר יהיה מנותק מהרשת, ולכן האקרים לא יוכלו להגיע אליו. הסכנה האמיתית, הוא יודע, טמונה בעובדים שיקבלו גישה למערכת

עומר כביר 14:0217.01.12

המאגר הביומטרי מעורר חששות לא מעטים בקרב אזרחים רבים שעקבו אחרי הליך אישורו השנוי במחלוקת, והתקפות ההאקרים בשבועות האחרונים רק הגבירו את החששות. כעת מוטלת על גון קמני, ראש הרשות לניהול המאגר הביומטרי ובעבר איש הרשות לאבטחת מידע בשב"כ ומנהל האבטחה בלאומי קארד, האחריות לא רק לדאוג שכל המידע הביומטרי שאזרחים ימסרו למאגר יישאר שם, אלא גם לשכנע את האזרחים למסור את המידע.

 

וכאן, הוא מודה בעצמו, מדובר במשימה לא קלה. "המתנגדים עשו עבודה מאוד יפה בהיבט ההסברתי־תקשורתי", הוא אומר בראיון נרחב ל"כלכליסט", הראשון מאז כניסתו לתפקיד. "כולם קיבלו את אותם סלוגנים ומנטרות. הם קעקעו את כל הדברים הבסיסיים בנושא ההחלטה להקמת המאגר. בגלל זה אני מרים עכשיו את הכפפה. חשוב לי להציג את העובדות".

 

איך מנהל האבטחה של לאומי קארד, שלא מנע את דליפת נתוני האשראי, ימנע את דליפת המאגר הביומטרי?

"לא פרצו חברות אשראי או מערכות שלהן. נפרצו אתרי אינטרנט, מינוריים יחסית. זה האקר לא מתוחכם, שהשתמש בכלים לא מתוחכמים, מול מערכות לא מאובטחות. מי שנושא באחריות זה העסק עצמו. האחריות על התחום בחברות האשראי היא במסגרת מחלקות ניהול הסיכונים, והנושא לא היה בתחום אחריותי. מבין הגופים שנפרצו, לא היו אתרים שסלקו עם לאומי קארד".

 

"למשטרה לא תהיה גישה למאגר"

 

קמני משוכנע שתעודות זהות חכמות בלבד לא מספיקות. "האלמנט היחיד שיכול למנוע גניבת זהות הוא מאגר", הוא מסביר.

 

איך אפשר לסמוך על משרד הפנים, הגוף שמנהל את מרשם האוכלוסין שדלף לרשת, שישמור על הנתונים הביומטריים?

"מדובר בנתונים מאוד רגישים, שמוגדרים כסודיים ביותר. משרדי ממשלה, ובפרט משרד הפנים, לא מסוגלים להתמודד עם נתונים כאלה, לכן החליטו להקים רשות ייחודית במשרד הפנים, גוף עצמאי. אין עוד מאגר במדינה שהוחלט להקים בעבורו גוף ניהול ייעודי".

 

לכל שוטר בארץ תהיה גישה אל המאגר. איך אפשר לאבטח אותו במצב כזה?

"לשוטרים לא תהיה שום גישה למאגר. הם יצטרכו לעבוד מול מוקד במשטרה שיפנה אלינו, במנגנונים מאובטחים, ואני לא אחזיר נתונים ביומטריים. השוטר יוכל רק לשלוח אלינו נתונים ביומטריים, ולקבל מספר תעודת זהות, אם הנתונים כבר קיימים במאגר. התשובה לא מתקבלת באופן מיידי, זה לא יהפוך לתהליך ששוטרים מבצעים ביומיום. לפי החוק, רק עם צו שופט אפשר להוציא נתונים ביומטריים מהמאגר. נבנה תקנות וכללים שלנו, ונדע לדאוג למנגנונים נכונים שמעמידים דרישות לוגיות לקבלת הנתונים הביומטריים. יהיה צורך בצו, וגם בעמידה בהנחיות שלנו. אנחנו הריבון פה, ונקבע מי מקבל את הנתונים בכפוף לדרישות החוק ואיך הוא מקבל".

 

שום דבר לא מאובטח ב־100%. גם אם המאגר בטוח ב־99.99%, עדיין יש את ה־0.01% סיכוי שהוא ייפרץ.

"יש הרבה במה שאתה אומר, בכל הקשור לעולם הסייבר והפריצות לאתרים. בגלל זה עשו לנו חיים מאוד קלים עם המאגר: הוא מנותק מכל רשת חיצונית. לא מחובר לאינטרנט, לא מחובר לרשתות משרד הפנים, לא מחובר לרשות האוכלוסין. לא חוטית ולא אלחוטית. מוקם בעבורו דאטה־סנטר נפרד והנתונים יוזנו ידנית. בהקשר של יכולת תקיפה מבחוץ - אין מה לתקוף. נטרלו פה כבר 99.999% מהתקיפות. ההאקר הסעודי וכל שכנינו הקרובים והרחוקים, אין להם איך להגיע למאגר, אלא רק פיזית".

 

קמני. "אין להאקרים דרך להגיע למאגר מרחוק" קמני. "אין להאקרים דרך להגיע למאגר מרחוק" צילום: מיקי אלון

 

שמים עין על העובדים

 

הסיכונים של המאגר הם לא רק בתקיפה מבחוץ, אלא גם פגיעה מבפנים, וקמני מודע להם. "אלה הסיכונים הכי נפוצים", הוא מודה. "לעובד יש כבר הרשאת גישה, כל מה שחסר לו זו מוטיבציה. זה סיכון כבד ומרכזי. אנחנו מתמודדים איתו באמצעות מספר מעגלי אבטחה. הראשון הוא מעגל הנאמנות: כל עובד עובר סיווג סודי ביותר וכולם עובדי מדינה. אני לא רוצה אנשים טכניים מחברות אזרחיות, אלא אנשים שלי. מעגל שני הוא של אבטחה פיזית, מתקן שפועל עם דלתות מתאימות, אזעקות, מצלמות וגלאים.

 

"המעגל השלישי הוא טכנולוגי, שכולל מערכות אבטחה - פיירוולים, בקרת גישה ועוד אלמנטים שלנו. בתוך זה מוסיפים מעגל פנימי חשוב של הצפנה: הנתונים במאגר ישבו מוצפנים בצורה מלאה. אין נתונים גלויים במאגר. בנוסף יש גם את העולם של בקרת גישה. כל גישה - שינוי או צפייה 0 נרשמת ומבוקרת בזמן אמת, עם יכולת התראה על גישה שלא אמורה להתבצע. הוספנו גם מנגנונים של בקרה כפולה: רק שני עובדים ביחד יכולים לעבוד מול המאגר ולטפל בנתונים. כבר יש לך רמת קושי כפולה, כי אתה חייב שיתוף פעולה".

 

ענת קם וברדלי מאנינג עבדו בתוך המערכת, ושניהם לקחו מידע והדליפו אותו החוצה. אתה יכול להבטיח שלא יהיה שום מצב שעובד יוציא מידע החוצה?

"במקרים אלו לא היו מנגנוני אבטחה שהופנו לעובד. תראה את מקרה קם: היא מדברת על הקלות שהיתה לה להגיע לנתונים. לכולם היתה גישה, במגירות ובמחשבים היו נתונים, בלי שום מידור. את מעגלי האבטחה שבונים כלפי חוץ, בנינו גם כלפי העובדים. קם עבדה לבד, בראדלי מנינג שהדליף לוויקיליקס עבד לבד. הרבה מרגלים שהורשעו פה עבדו לבד. ברגע שדרוש שיתוף פעולה של שניים, הסיכון מצטצמם עשרות מונים. לא לאפס, אין אפס".

 

אם הנתונים האלה בכל זאת נופלים לידיים של מישהו, יש כאן סכנה לא קטנה, לא?

"הנתונים שיהיו במאגר הם אצבע מורה ימין, אצבע מורה שמאל וצילום פנים. יהיה גם נתון מזהה מוצפן - מספר ייחודי לכל רשומה שאינו מספר תעודת הזהות. כדי להגיע למספר תעודת הזהות צריך ללכת למערכת נפרדת, ולפענח עם מפתח צופן שיושב רק אצלנו. עובד אצלנו יידע להגיע רק לתעודת זהות. בתרחיש הכי גרוע, אם מישהו יצליח להוציא משהו זה יהיה רק רשומות בודדות, מוצפנות ולא מקושרות לתעודת זהות אמיתית".

 

למה רק רשומות בודדות? נניח שהצלחתי לגייס שני עובדים שיעשו כל מה שאני אומר להם.

"אז הם יידעו להוציא רשומות בודדות שהם עוסקים בהן כעת, ועל זה יש מעקב מלא שנועד לבדוק שאלו באמת רשומות שהם אמורים לעבוד עליהן".

 

לא ייתכן שבעתיד מישהו יצליח למצוא דרך לעקוף את ההגנות?

"העולם הטכנולוגי והגנבים יתפתחו, וגם אנחנו כמגינים תמיד נישאר עם היד על הדופק. נצטרך לבחון ולהכיר עוד טכנולוגיות, ותמיד להשאיר את המאגר מנותק מהעולם. גם בתרחיש הגרוע שאתה מדבר עליו - אם עוד עשרים שנה מישהו ימצא דרך לפרוץ, יצטרכו דרך להוציא את הנתונים החוצה. ואנחנו עובדים חזק בכיוון הזה - לא לאפשר לאף אחד הגעה למידע בלי הרשאה. אין מהמאגר הזה דרך החוצה. אם עוד 20 שנה יוכל מישהו לבוא עם מכשיר שמריח מרחוק ביטים דיגיטליים, נצטרך למנוע את זה. זה האתגר".

 

עמדות ההרשמה לפיילוט המאגר הביומטרי עמדות ההרשמה לפיילוט המאגר הביומטרי

 

"כולם כבר מפרסמים צילומים בפייסבוק"

 

"אין מצב שהוא 100%", מודה גם קמני, "אבל אנחנו עושים את כל המאמצים להגיע לרמה של 100% אבטחה ומניעת דליפת המאגר. אם אתה חופר ושואל על 100% ודאות שלא ידלפו רשומות בודדות, אז לא. אין ודאות שאיזה עובד לא יכתוב בעט או יצלם מסך עם מצלמת כפתור שהצמיד לחולצה כי קיבל מאות אלפי דולרים.

 

"אבל בתרחיש הכי גרוע, ייצא קובץ עם נתונים מוצפנים ברמה שאין היום דרך לפענח אותם. ואם פענחת, מה קיבלת? תמונת פנים שיש היום באלפי מקומות. כולם מפרסמים בפייסבוק ובטוויטר. מדברים על כך שיוכלו לקחת את כל מאגר תמונות הפנים של אזרחי המדינה – יכולים לקחת את זה כבר היום, ממאגרים הרבה פחות מאובטחים".

 

יש גם נתוני טביעות אצבע?

"נניח שפענחתי אותם. אני לא יודע איך ולא בטוח שזה בכלל אפשרי. יש דרכים קלות יותר להגיע לטביעת אצבע - תמורת 2,000 שקל, חוקר פרטי ייקח משהו שנגעת בו ויפיק טביעת אצבע".

 

אם השגתי את הנתונים, פענחתי אותם והצלחתי אפילו לחבר אותם לאנשים. אני לא יכול להשתמש בהם עכשיו כדי לזייף זהות של מישהו אחר?

"ממש לא. ברשות האוכלוסין יבדקו מי אתה על בסיס אצבע ששמת. אם גנבת טביעת אצבע באינטרנט, אתה לא בהכרח יכול להשתמש בה. הקוראים שרכשנו הם טכנולוגיה ראשונה במעלה, שמזהה מהימנות של טביעת אצבע".

 

מה קורה אם גורם עוין מצליח לזכות בגישה למאגר ולשנות נתונים?

"זה נכלל בין הנזקים הקשים, אבל פחות מדליפה. השיבוש מאוד קשה - צריך לדעת מה לשבש ואיך, זה תהליך מאוד מורכב אם בכלל אפשרי. ואם הצלחת, מה קיבלת? יכולת שכיום אתה משיג ב־20 שקל. השקעת מיליוני דולרים כדי לקבל תעודת זהות בשם מישהו אחר. היום אני משלם למישהו שמזייף לי תעודה בבית או גונב תעודה ומחליף תמונה לבד. אני עושה את זה בקלות, ובעתיד אצטרך לשלם מיליונים. וזה לא נתן לך כלום יותר מהיום, לא הוספת ברמת נזק".

 

 

המידע בחוץ יכול לשמש גופים עוינים. למשל, סוכני מוסד שביצעו פעולת חיסול במדינת אויב — הרשויות במדינה יוכלו באמצעות המאגר שדלף לדעת מי הם בדיוק.

"גופי הביטחון היו מעורבים, התייחסו לשיקול הדעת שלהם בהליך הבנייה של החוק, ותמכו. עד היום אין שום התנגדות של הגופים האלה. אלה גופים שיכולים למנוע מהלכים כאלו. האמירה שלהם הפוכה - לדבריהם, העלות־תועלת והיכולת למנוע גניבת זהות שוות עשרות מונים מאותו חשש של דליפה".

 

אילו צעדים ננקטו כדי למנוע ממתחזים להוציא תעודת זהות חכמה ולהיכנס למאגר בתור אנשים אחרים, שעוד לא הצטרפו אליו?

"קודם כל מתבצע תשאול על ידי פקיד אוכלוסין. הוא יקבל סדרת שאלות, שאת התשובות הוא יכול לבדוק מול מחשב. הוא ישאל דברים שרק אתה אמור לדעת, כמו תאריך יציאה מהארץ ועוד נתונים שקיימים במרשם. יש גבול למה שפקיד יכול לעשות, ועדיין אפשר להתחזות. בדיוק בשביל זה צריך את המאגר. אם גנבת זהות בשמי לפני שהוצאתי תיעוד חדש, המאגר לא יכול לתת לזה מענה. מה האזרח יכול לעשות? לבוא ולעשות תיעוד חכם כמה שיותר מהר".

 

ואם אני מגיע אחרי שמישהו כבר זייף את הזהות שלי?

"ייקחו ממך פרטים שיועברו למאגר להשוואה. כשיתברר שאין השוואה זה יעבור לטיפול המשטרה. התהליך אמור להיות יחסית פשוט: לדעת להגיע בסיוע התמונה לבחור שזייף. כל אחד עכשיו צריך להציג ראיות: תעודת לידה, שכן או מכרים שיכולים להעיד על הזהות. זה תהליך שייסגר מהר מאוד והוא נעשה גם היום במקרים של זיוף זהות".

בטל שלח
    לכל התגובות
    x