בשנתיים האחרונות אירעו שני אירועים של אבטחת מידע בפרויקט
"בטיפול מיטב המומחים": כך הוסתרו אירועי אבטחת מידע בפרויקט הביומטרי
במסגרת עתירה לבג"ץ נחשפו שני אירועי אבטחה שהתרחשו בפרויקט - ולא דווחו ■ הרשות הביומטרית ורשות האוכלוסין טוענות שלא מדובר באירועים חמורים, אבל מסרבות למסור פרטים מדויקים ■ רשות האוכלוסין: "הפרטים מסווגים ודווחו לבג"ץ בדלתיים סגורות"
דה מרקר 24.6.2019
המדינה הודתה באחרונה כי בשנתיים האחרונות אירעו שני אירועים של אבטחת מידע בפרויקט התיעוד הביומטרי שברשות האוכלוסין. האירועים לא דווחו לכנסת או לגוף מפקח כלשהו, וגם לא נחשפו לציבור. פרטי המקרים וחומרתם עדיין לא ידועים. בשלב זה הדבר היחיד שהרשות הביומטרית, בראשות עצמון מינס, הסכימה למסור הוא כי האירועים טופלו ועדיין מטופלים על ידי מיטב המומחים. לפחות אחד המקרים עדיין נמצא תחת חקירה, וככל הנראה חומרתו והיקף הנזק שנגרם לאזרחים עדיין לא ידועים גם לרשויות. אירועי האבטחה התרחשו ב–2017 וב–2018, ולא ברור אם היו נקודתיים או התפרשו לאורך זמן.
תשובת רשות האוכלוסין מנסה לגמד את חומרת האירועים. ואולם במקביל, הרשות מסרבת לפרט מה בעצם התרחש. התרחיש הגרוע ביותר הוא שמידע מתוך המאגר שהיה בידי רשות האוכלוסין דלף. אפשרות זו אינה תרחיש דמיוני עבור משרד הפנים: לפני 13 שנה עובד חיצוני במשרד העתיק את מרשם האוכלוסין, שכלל פרטים של 9 מיליון ישראלים (חיים ומתים), והעביר אותו לגורם שסחר במידע והקים את האגרון - תוכנה שמפיצה את המידע שבמרשם.
במקרה של הפרויקט הביומטרי, ניתן להניח שעובד מסווג, שיש לו גישה למידע, יכול להוציא מידע ביומטרי מסוים לבקשת גורם חיצוני - תמורת תשלום. תרחישים אפשריים נוספים הם תקלה בפעולת המערכת, מתקפה על מערכות רשות האוכלוסין והפרויקט הביומטרי (חשמל, תקשורת וכדומה) או ניסיון למתקפת סייבר.
אירועי האבטחה נחשפו במקרה
המאגר הביומטרי הושק ביוני 2017 כחלק מפרויקט תיעוד לאומי חכם של משרד הפנים. נכון להיום, כולל המאגר פרטים אישיים של 3.5 מיליון אזרחי ישראל שעבורם הונפקו 2.1 מיליון תעודות זהות ביומטריות ו–2.7 מיליון דרכונים ביומטריים (חלק מהאזרחים מחזיקים בשני סוגי המסמכים הביומטריים, ר"ג).
התרחשות אירועי האבטחה נחשפה במסגרת עתירה שהוגשה לבג"ץ נגד עצם קיומו של המאגר הביומטרי, שהגישה התנועה לזכויות דיגיטליות. העובדה שהאירועים נחשפו במקרה ולא דווחו, משקפת בעיה בחקיקה שסביב המאגר ובפיקוח עליו. חוק המאגר מ–2017 קובע במפורש שראש הרשות הביומטרית חייב לדווח בכל שנה על אירועים חריגים במאגר עצמו, אך לא קובע חובת דיווח על אירועים הקשורים למידע שבידי רשות האוכלוסין. על פי החוק, הדיווח צריך להימסר לארבעה גורמים שאמורים להגן על האינטרסים של הציבור בקשר למידע הרגיש: לשר הפנים, לממונה על היישומים הביומטריים במשרד ראש הממשלה, לרשם מאגרי המידע במשרד המשפטים ולוועדת הכנסת המשותפת לעניין יישומים ביומטריים. הוועדה המשותפת כוללת נציגים של ועדת המשנה למודיעין ולשירותים חשאיים של ועדת חוץ וביטחון, את יו"ר ועדת הכנסת, חלק מחברי ועדת חוקה חוק ומשפט ונציג מהקואליציה ומהאופוזיציה. הדיווח אמור לכלול פירוט של כל "אירועי אבטחת מידע, לרבות ניסיונות לקבל מידע מהמאגר הביומטרי ממי שאינו מורשה לכך או להעביר מידע מהמאגר הביומטרי למי שאינו מורשה".
העתירה שבמסגרתה נחשפו האירועים הוגשה על ידי התנועה לזכויות דיגיטליות לאחר אישורו של חוק המאגר הביומטרי. בעתירתה התנועה כופרת בנחיצות המאגר, וטוענת כי הסיבות להקמתו לא הוצגו באופן שקוף לחברי הוועדה שאישרה את החוק. בפברואר השנה קבע בג"ץ שעל המדינה להעביר לידי העותרת את המסמכים שקשורים להקמת המאגר. מסמכים אלה לא נחשפו לציבור במהלך הדיון על חוק המאגר בכנסת - בטענה שמדובר במידע מסווג ורגיש. לאחר ששופטי בג"ץ עיינו בחומר החסוי, הם קבעו שחלקים ממנו אינם מסווגים, והורו להעבירו לעיון נציגי העותרת תוך חודש וחצי.
במסגרת בדיקת החומרים גילו נציגי העותרת את אירועי האבטחה שהתרחשו במהלך השנתיים שמאז הקמת המאגר. בעקבות זאת, הם פנו בבקשת חופש מידע לוועדה המשותפת ליישומים ביומטריים, שהוקמה על פי חוק המאגר, והיא אחד הגורמים שאמורים לקבל דיווח על אירועים חריגים. בתנועה לזכויות דיגיטליות טוענים כי הם נדהמו לגלות שהוועדה מעולם לא קיבלה דיווח על האירועים, ולמעשה כלל לא התכנסה מאז 2017.
תגובת המדינה לעתירה הועברה לבית המשפט העליון ב-15 באפריל, וכללה גם התייחסות לאירועי האבטחה: "מדובר באירועים תפעוליים שאינם נוגעים לאבטחת המאגר עצמו או לחשש מפני דליפת מידע ממנו".
לתגובה צורפה חוות דעת של ראש מערך הסייבר, יגאל אונא, שמציגה עמדה שלפיה הגנת הסייבר במאגר היא ברמה גבוהה מאוד - ועומדת בסטנדרט לאומי ובינלאומי.
לגבי האירוע מ–2017 המדינה שבה וטוענת כי מדובר באירוע תפעולי בלבד - שאין לו השלכות על אזרחי ישראל. "האירוע אותר, תוחקר באופן מעמיק על ידי צוות משותף למערך הסייבר, טופל והוכל במלואו", כותבת המדינה.
גם לגבי האירוע מ–2018 נכתב שמדובר באירוע תפעולי שלא גרם נזקים. ואולם בהמשך עולים סימני שאלה. הפירוט המעורפל מעיד, ככל הנראה, על התרחשות בהיקף משמעותי יותר: "האירוע נעצר, טופל והשלכותיו מתוחקרות על ידי רשות האוכלוסין והרשות לניהול המאגר. ראש הרשות לניהול המאגר העביר את הנחיותיו לתחקור האירוע, והצפי הוא לסיום הבדיקות והמסקנות בתוך כשלושה חודשים. נמצא כי בשלב זה אין לאירוע השלכה משמעותית ביחס לפרויקט התיעוד הלאומי, וכי יימצאו פתרונות להכלתו בהמשך". מהדברים עולה כי כרגע לפחות, השלכות האירוע רחוקות מלהיות מטופלות.
הוועדה המשותפת אמורה להיות הגוף המפקח על הרשות הביומטרית. לפי העותרים, "כינוסה של הוועדה לא התבקש על ידי הממשלה, לא בנושא אירועי אבטחת מידע ולא בכל נושא אחר. מכאן עולה שהרשות הביומטרית נמנעה להעביר דיווח אודות האירועים לוועדה המיוחדת, לכאורה תוך הפרת החוק". הרשות הביומטרית מפנה אצבע מאשימה לרשות האוכלוסין, וטוענת כי האירועים לא התרחשו במסגרת פעילות שבסמכותה.
עו"ד יהונתן קלינגר, היועץ המשפטי של התנועה לזכויות דיגיטליות, המוביל את המאבק נגד המשך השימוש במאגר, סבור כי היעדר הדיווח הוא רק נספח לסכנות האמיתיות. אלה, לשיטתו, נובעות מעצם קיום המאגר - ולא מאופני אבטחתו או מנהלי הדיווח. "אירועי אבטחת המידע שהתרחשו ונחשפנו אליהם הם משניים בהשוואה לנזק האמיתי שהמאגר יוצר. הדרך הנכונה לטפל באירועי אבטחת מידע במאגר הביומטרי היא לא לאגור מידע", אמר קלינגר.
העברת מידע למשטרה - אינה מוסדרת
תומר אפלבאום
המאגר הביומטרי נועד להחליף את תעודות הזהות והדרכונים הקיימים בתעודות ביומטריות, במטרה למנוע זיופי זהות. ישראלים שמגיעים ללשכות האוכלוסין החל ביוני 2017 - על מנת להנפיק תעודת זהות חכמה או דרכון חכם - נדרשים לספק טביעת אצבע ותמונת פנים, שנשמרים במאגר.
הכנסת אישרה את הקמת המאגר ב–2010, אז סוכם על תקופת פיילוט, שלאחריה יוסדר השימוש במאגר באמצעות חקיקתו של חוק חדש. לשם כך מונתה ועדה משותפת שמורכבת משלוש ועדות אחרות: חוקה חוק ומשפט, ועדת הפנים וועדת המדע והטכנולוגיה. הוועדה הזו דנה בתוצאות הפיילוט ובהכנת חוק המאגר הביומטרי, לקראת אישור הכנסת.
ואולם הליך החקיקה התארך בשל התנגדויות רבות וטענות לגבי הסכנות הטמונות בהקמת המאגר - שעליהן התריעו שורה של מומחי טכנולוגיה, אבטחת מידע ואקדמאים. מתנגדי החוק הדגישו כי אין להם התנגדות עקרונית למאגר - אלא רק להכללת טביעות האצבע. לטענתם, ניתן להסתפק בתמונת פנים. בנוסף, מועד הסיום של תקופת הניסוי נדחה שלוש פעמים - ולכן הדיון בחוק התעכב עוד. החוק אושר לבסוף לפני שנתיים, ומאז כל מי שמוציא תעודה מזהה או דרכון נדרש להיכלל במאגר ולספק גם טביעת אצבע.
המתנגדים למאגר כללו נציגי ארגונים אזרחיים וחברי כנסת מהאופוזציה ואפילו מהקואליציה, שהביעו חששות מהקמתו של מאגר כה רגיש. לטענתם, המאגר מכיל מידע שזליגתו תחשוף את אזרחי ישראל לסכנות מצד גורמים עוינים - זרים או פליליים. לאורך השנים טענו גם חברים בוועדה המשותפת שאף כי המדינה טוענת שוב ושוב שהמאגר נחוץ כדי למנוע זיוף המוני של זהויות, מדובר בטענה שלא הוכחה. במסגרת דיוני הוועדה התברר שבתקופת הניסוי התרחשו שלושה מקרים בלבד של התחזות, וכי לא מדובר בתופעה המונית. המתנגדים גם מדגישים שלא נשקלו כל החלופות, למרות המלצתו של הממונה על היישומים הביומטריים במשרד ראש הממשלה, שלפיה ניתן להקים מאגר מבוסס תמונת פנים בלבד.
חוק המאגר הביומטרי אמנם נכנס לתוקף לפני כשנתיים וחצי, אולם החקיקה לא הושלמה: התקנות שמסדירות את השימוש שגורמים כמו המשטרה וכוחות הביטחון יעשו במאגר חסרות. למרות זאת, לפני כשנתיים הורה בית המשפט המחוזי בחיפה למסור למשטרה מידע מהמאגר. הוועדה המשותפת, שחוקקה את החוק, לא זומנה במהלך כל התקופה הזו לדון בתקנות, למרות התחייבות שהשלמת החקיקה
"בטיפול מיטב המומחים": כך הוסתרו אירועי אבטחת מידע בפרויקט הביומטרי
במסגרת עתירה לבג"ץ נחשפו שני אירועי אבטחה שהתרחשו בפרויקט - ולא דווחו ■ הרשות הביומטרית ורשות האוכלוסין טוענות שלא מדובר באירועים חמורים, אבל מסרבות למסור פרטים מדויקים ■ רשות האוכלוסין: "הפרטים מסווגים ודווחו לבג"ץ בדלתיים סגורות"
דה מרקר 24.6.2019
המדינה הודתה באחרונה כי בשנתיים האחרונות אירעו שני אירועים של אבטחת מידע בפרויקט התיעוד הביומטרי שברשות האוכלוסין. האירועים לא דווחו לכנסת או לגוף מפקח כלשהו, וגם לא נחשפו לציבור. פרטי המקרים וחומרתם עדיין לא ידועים. בשלב זה הדבר היחיד שהרשות הביומטרית, בראשות עצמון מינס, הסכימה למסור הוא כי האירועים טופלו ועדיין מטופלים על ידי מיטב המומחים. לפחות אחד המקרים עדיין נמצא תחת חקירה, וככל הנראה חומרתו והיקף הנזק שנגרם לאזרחים עדיין לא ידועים גם לרשויות. אירועי האבטחה התרחשו ב–2017 וב–2018, ולא ברור אם היו נקודתיים או התפרשו לאורך זמן.
תשובת רשות האוכלוסין מנסה לגמד את חומרת האירועים. ואולם במקביל, הרשות מסרבת לפרט מה בעצם התרחש. התרחיש הגרוע ביותר הוא שמידע מתוך המאגר שהיה בידי רשות האוכלוסין דלף. אפשרות זו אינה תרחיש דמיוני עבור משרד הפנים: לפני 13 שנה עובד חיצוני במשרד העתיק את מרשם האוכלוסין, שכלל פרטים של 9 מיליון ישראלים (חיים ומתים), והעביר אותו לגורם שסחר במידע והקים את האגרון - תוכנה שמפיצה את המידע שבמרשם.
במקרה של הפרויקט הביומטרי, ניתן להניח שעובד מסווג, שיש לו גישה למידע, יכול להוציא מידע ביומטרי מסוים לבקשת גורם חיצוני - תמורת תשלום. תרחישים אפשריים נוספים הם תקלה בפעולת המערכת, מתקפה על מערכות רשות האוכלוסין והפרויקט הביומטרי (חשמל, תקשורת וכדומה) או ניסיון למתקפת סייבר.
אירועי האבטחה נחשפו במקרה
המאגר הביומטרי הושק ביוני 2017 כחלק מפרויקט תיעוד לאומי חכם של משרד הפנים. נכון להיום, כולל המאגר פרטים אישיים של 3.5 מיליון אזרחי ישראל שעבורם הונפקו 2.1 מיליון תעודות זהות ביומטריות ו–2.7 מיליון דרכונים ביומטריים (חלק מהאזרחים מחזיקים בשני סוגי המסמכים הביומטריים, ר"ג).
התרחשות אירועי האבטחה נחשפה במסגרת עתירה שהוגשה לבג"ץ נגד עצם קיומו של המאגר הביומטרי, שהגישה התנועה לזכויות דיגיטליות. העובדה שהאירועים נחשפו במקרה ולא דווחו, משקפת בעיה בחקיקה שסביב המאגר ובפיקוח עליו. חוק המאגר מ–2017 קובע במפורש שראש הרשות הביומטרית חייב לדווח בכל שנה על אירועים חריגים במאגר עצמו, אך לא קובע חובת דיווח על אירועים הקשורים למידע שבידי רשות האוכלוסין. על פי החוק, הדיווח צריך להימסר לארבעה גורמים שאמורים להגן על האינטרסים של הציבור בקשר למידע הרגיש: לשר הפנים, לממונה על היישומים הביומטריים במשרד ראש הממשלה, לרשם מאגרי המידע במשרד המשפטים ולוועדת הכנסת המשותפת לעניין יישומים ביומטריים. הוועדה המשותפת כוללת נציגים של ועדת המשנה למודיעין ולשירותים חשאיים של ועדת חוץ וביטחון, את יו"ר ועדת הכנסת, חלק מחברי ועדת חוקה חוק ומשפט ונציג מהקואליציה ומהאופוזיציה. הדיווח אמור לכלול פירוט של כל "אירועי אבטחת מידע, לרבות ניסיונות לקבל מידע מהמאגר הביומטרי ממי שאינו מורשה לכך או להעביר מידע מהמאגר הביומטרי למי שאינו מורשה".
העתירה שבמסגרתה נחשפו האירועים הוגשה על ידי התנועה לזכויות דיגיטליות לאחר אישורו של חוק המאגר הביומטרי. בעתירתה התנועה כופרת בנחיצות המאגר, וטוענת כי הסיבות להקמתו לא הוצגו באופן שקוף לחברי הוועדה שאישרה את החוק. בפברואר השנה קבע בג"ץ שעל המדינה להעביר לידי העותרת את המסמכים שקשורים להקמת המאגר. מסמכים אלה לא נחשפו לציבור במהלך הדיון על חוק המאגר בכנסת - בטענה שמדובר במידע מסווג ורגיש. לאחר ששופטי בג"ץ עיינו בחומר החסוי, הם קבעו שחלקים ממנו אינם מסווגים, והורו להעבירו לעיון נציגי העותרת תוך חודש וחצי.
במסגרת בדיקת החומרים גילו נציגי העותרת את אירועי האבטחה שהתרחשו במהלך השנתיים שמאז הקמת המאגר. בעקבות זאת, הם פנו בבקשת חופש מידע לוועדה המשותפת ליישומים ביומטריים, שהוקמה על פי חוק המאגר, והיא אחד הגורמים שאמורים לקבל דיווח על אירועים חריגים. בתנועה לזכויות דיגיטליות טוענים כי הם נדהמו לגלות שהוועדה מעולם לא קיבלה דיווח על האירועים, ולמעשה כלל לא התכנסה מאז 2017.
תגובת המדינה לעתירה הועברה לבית המשפט העליון ב-15 באפריל, וכללה גם התייחסות לאירועי האבטחה: "מדובר באירועים תפעוליים שאינם נוגעים לאבטחת המאגר עצמו או לחשש מפני דליפת מידע ממנו".
לתגובה צורפה חוות דעת של ראש מערך הסייבר, יגאל אונא, שמציגה עמדה שלפיה הגנת הסייבר במאגר היא ברמה גבוהה מאוד - ועומדת בסטנדרט לאומי ובינלאומי.
לגבי האירוע מ–2017 המדינה שבה וטוענת כי מדובר באירוע תפעולי בלבד - שאין לו השלכות על אזרחי ישראל. "האירוע אותר, תוחקר באופן מעמיק על ידי צוות משותף למערך הסייבר, טופל והוכל במלואו", כותבת המדינה.
גם לגבי האירוע מ–2018 נכתב שמדובר באירוע תפעולי שלא גרם נזקים. ואולם בהמשך עולים סימני שאלה. הפירוט המעורפל מעיד, ככל הנראה, על התרחשות בהיקף משמעותי יותר: "האירוע נעצר, טופל והשלכותיו מתוחקרות על ידי רשות האוכלוסין והרשות לניהול המאגר. ראש הרשות לניהול המאגר העביר את הנחיותיו לתחקור האירוע, והצפי הוא לסיום הבדיקות והמסקנות בתוך כשלושה חודשים. נמצא כי בשלב זה אין לאירוע השלכה משמעותית ביחס לפרויקט התיעוד הלאומי, וכי יימצאו פתרונות להכלתו בהמשך". מהדברים עולה כי כרגע לפחות, השלכות האירוע רחוקות מלהיות מטופלות.
הוועדה המשותפת אמורה להיות הגוף המפקח על הרשות הביומטרית. לפי העותרים, "כינוסה של הוועדה לא התבקש על ידי הממשלה, לא בנושא אירועי אבטחת מידע ולא בכל נושא אחר. מכאן עולה שהרשות הביומטרית נמנעה להעביר דיווח אודות האירועים לוועדה המיוחדת, לכאורה תוך הפרת החוק". הרשות הביומטרית מפנה אצבע מאשימה לרשות האוכלוסין, וטוענת כי האירועים לא התרחשו במסגרת פעילות שבסמכותה.
עו"ד יהונתן קלינגר, היועץ המשפטי של התנועה לזכויות דיגיטליות, המוביל את המאבק נגד המשך השימוש במאגר, סבור כי היעדר הדיווח הוא רק נספח לסכנות האמיתיות. אלה, לשיטתו, נובעות מעצם קיום המאגר - ולא מאופני אבטחתו או מנהלי הדיווח. "אירועי אבטחת המידע שהתרחשו ונחשפנו אליהם הם משניים בהשוואה לנזק האמיתי שהמאגר יוצר. הדרך הנכונה לטפל באירועי אבטחת מידע במאגר הביומטרי היא לא לאגור מידע", אמר קלינגר.
העברת מידע למשטרה - אינה מוסדרת
תומר אפלבאום
המאגר הביומטרי נועד להחליף את תעודות הזהות והדרכונים הקיימים בתעודות ביומטריות, במטרה למנוע זיופי זהות. ישראלים שמגיעים ללשכות האוכלוסין החל ביוני 2017 - על מנת להנפיק תעודת זהות חכמה או דרכון חכם - נדרשים לספק טביעת אצבע ותמונת פנים, שנשמרים במאגר.
הכנסת אישרה את הקמת המאגר ב–2010, אז סוכם על תקופת פיילוט, שלאחריה יוסדר השימוש במאגר באמצעות חקיקתו של חוק חדש. לשם כך מונתה ועדה משותפת שמורכבת משלוש ועדות אחרות: חוקה חוק ומשפט, ועדת הפנים וועדת המדע והטכנולוגיה. הוועדה הזו דנה בתוצאות הפיילוט ובהכנת חוק המאגר הביומטרי, לקראת אישור הכנסת.
ואולם הליך החקיקה התארך בשל התנגדויות רבות וטענות לגבי הסכנות הטמונות בהקמת המאגר - שעליהן התריעו שורה של מומחי טכנולוגיה, אבטחת מידע ואקדמאים. מתנגדי החוק הדגישו כי אין להם התנגדות עקרונית למאגר - אלא רק להכללת טביעות האצבע. לטענתם, ניתן להסתפק בתמונת פנים. בנוסף, מועד הסיום של תקופת הניסוי נדחה שלוש פעמים - ולכן הדיון בחוק התעכב עוד. החוק אושר לבסוף לפני שנתיים, ומאז כל מי שמוציא תעודה מזהה או דרכון נדרש להיכלל במאגר ולספק גם טביעת אצבע.
המתנגדים למאגר כללו נציגי ארגונים אזרחיים וחברי כנסת מהאופוזציה ואפילו מהקואליציה, שהביעו חששות מהקמתו של מאגר כה רגיש. לטענתם, המאגר מכיל מידע שזליגתו תחשוף את אזרחי ישראל לסכנות מצד גורמים עוינים - זרים או פליליים. לאורך השנים טענו גם חברים בוועדה המשותפת שאף כי המדינה טוענת שוב ושוב שהמאגר נחוץ כדי למנוע זיוף המוני של זהויות, מדובר בטענה שלא הוכחה. במסגרת דיוני הוועדה התברר שבתקופת הניסוי התרחשו שלושה מקרים בלבד של התחזות, וכי לא מדובר בתופעה המונית. המתנגדים גם מדגישים שלא נשקלו כל החלופות, למרות המלצתו של הממונה על היישומים הביומטריים במשרד ראש הממשלה, שלפיה ניתן להקים מאגר מבוסס תמונת פנים בלבד.
חוק המאגר הביומטרי אמנם נכנס לתוקף לפני כשנתיים וחצי, אולם החקיקה לא הושלמה: התקנות שמסדירות את השימוש שגורמים כמו המשטרה וכוחות הביטחון יעשו במאגר חסרות. למרות זאת, לפני כשנתיים הורה בית המשפט המחוזי בחיפה למסור למשטרה מידע מהמאגר. הוועדה המשותפת, שחוקקה את החוק, לא זומנה במהלך כל התקופה הזו לדון בתקנות, למרות התחייבות שהשלמת החקיקה