כמה מילים על ומסביב לפאנל חוק הביומטריה ותעודות חכמות

סיקור ציטוטים וקריאה בין השורות אצל דורון, וגם אצל ניר פסי שהרגע גיליתי את הבלוג שלו במקרה. אוסיף לקורא הרססים שלי ברגע שאגלה איפה גוגל החביאו את הפיד :-/

הירשאאוגה בדה-מארקר: "השר איתן: לאורך כל הדיונים יו"ר הוועדה אמר שיש דברים סודיים שהוא לא יכול לחשוף. אין דבר כזה שהכנסת תחוקק חוקים רק בגלל סודיות." (תודה על קרדיט התמונות, אור!)

קונפורטס סקר את רב הדוברים והוסיף את הסיכוי להשפיע על החלטת השר ישי דרך שכנוע הרבובדיה בנימוקים חברתיים במקום לפנות בנימוקים טכנולוגיים ועובדתיים. מטה המאבק עובד גם על זה.

גם כיסוי באתר הידען, למרות שלא הרבה חדש.

גל מור נזכר בסיפור הישן של פייס.קום. מה שנכון, כולם מדברים על טביעות האצבע, אבל לא על הבעייתיות של מאגר התמונות הביומטריות, שכבר מצלמים היום במשרד הרישוי. לי יש רשיון זמני עד דצמבר, ואח"כ אני לא יודע אם אחדש אותו. שאלות ותהיות…

ולבסוף, "הדוד" הקדיש לנו שיר ממקום מושבו במזרח. אני רוצה לנצל את הפסקה הזו להודות לו באמת! נמרוד קרת עושה עבודת קודש בזמנו הפנוי, והוא אחד הנפשות המאוד פועלות מאחורי mklobby, ודברים אחרים שאסור לדבר עליהם כאן (כי תמותו משעמום).

השר אלי ישי מסמס בזמן הדיון
השר אלי ישי מסמס בזמן הדיון
מאמ"ן מחקר נמסר כי נראה שמאגר התמונות הדיגיטליות שלי נתגלה במרתפי השב"כ, ומשם דלף לויקיפדיה אהובתי שאימצה את אלי ישי "שלי" (לא זו שמשמאל) והתמונה טיילה לה אל הערך עליו. נראה שאני הראשון שפרסם תמונה שלו ב-CC תואם :-)1

בפוסט הנ"ל הגר בחרה תמונה טיפוסית מהפאנל – שטרית מתלחשש עם סביבתו, ואלי ישי שולף תדירות את הטלפון שלו ומתכתב במסרונים (אני רוצה לחשוב שבענייני ממשלה דחופים וחשובים). שניהם שמחו להראות שאננים ולא ברור אם לגמרי מרוכזים בדוברים שעל הפודיום. הם עזבו את הפאנל כמעט שעה לפני סופו (ממש קמו ועפו, לא טרחו בנימוס מינימאלי של התנצלות לפורום האקדמיה והפעילים, ונראה שלא ציפו גם למחיאות כפיים נימוסיות), ולא ענו ממש על שאלות. לצערי מרגע שנגמרו הנאומים הם הותקפו במטח מיידי של שאלות שרובן רטוריות ואפילו מתלהמות. במקום שהשואלים ישאלו שאלות רציניות שינעצו סיכות לבלון ויתנו להם לענות לאט לאט תשובות מובכות מספיק שיחשפו עד כמה הם לא מבינים את ההשלכות הבעיתיות על המאגר הזה.

כמו שכבר דווח (ושוב תודה להגר שהדגישה!), שטרית הודה בפאנל שייעוד המאגר (של משרד הפנים!) הוא בטחוני, ואילו חמי פקר הבטחוניסט טען כי סיבת המאגר היא מניעת הרכשה כפולה (שזו בעיה של משרד הפנים). אני חושב כאמור שהמאגר אינו נחוץ למניעת הרכשה כפולה וכי עצם קיומו יחליש את הבטחון של האזרחים ולא ישפר אותו. מה גם שנטען בפני שטרית שקיומו מחליש את יעילות ואמינות המאגרים הקיימים (והוא הסכים שזו בעיה והיא תועבר "אל צוות היועצים שלו").

בעיני, ההישגים החשובים מהפאנל (מלבד 9 גיגה של תמונות אצלי על הדיסק ושעות של וידאו אצל ערן ורד), היו הסכמתו/קריאתו של השר ישי לעמת את המומחים עם יועצי הסתר של שטרית, ההתבטאויות המפורשות והחזקות של השר מיכאל איתן נגד תהליך החקיקה הנמהר של שטרית ודרך ניהולו את הועדה, והסקירה המוכיחה2 של ד"ר ברזילי-נהון על כך שכיום אין אף מדינה מערבית ודמוקרטית שבה יש מאגר מידע ביומטרי ללא הסכמה של כלל אזרחי המדינה או תושביה.

התייחסות קטנה לבחירה של יעקב עמידרור לנהל את הפאנל בצורה לא הכי שוויונית: לכאורה נראה שהאלוף במיל' נוטה לצד החוק, והוא טרח ללטף את המצדדים בפאנל ולהדגיש את "חד צדדיותם" של המתנגדים בו. אני חושב שזה היה בסדר כל עוד הוא רק הציג את האנשים וניסה "להוציא אוויר" מנאומם של שוקן, ברזילי-נהון, רביה ואיתן (על הקהל זה לא עבד), אבל כשהגענו לשלב השאלות אני חושב שהוא פשוט השתיק את השאלות המבקרות בצורה חסרת אחריות, ניסה גם לחתוך מספר פעמים את עדי שמיר, אבל נתן המון זמן נאום לחמי פקר (שזה יצא טוב, כי יצאו שם כמה ציטוטים שווים בסוף הסיפור).

היום כתבתי לאנשי IFIS שהרימו את הארוע בשיתוף עם הבינתחומי:

חבל לי כמובן שלא עלו אנשי מקצוע עוד בתחילה, להגיד משפט או שניים פשוטים על מתודולוגיות בסיסיות של תכנון וביצוע אבטחת מידע ואבטחה בכלל – הרי קודם מגדירים את וקטורי ההתקפה שצריך להתגונן מהם, מחליטים על פוליסת בטיחות ורק אח"כ פורטים אותה לנהלים וחוקים (בשפה אנושית או שורות קוד).

במקרה הזה נראה כאילו כתבו ושכתבו את שורות ה"קוד" ישר כהצעת חוק בלי לראות אם הן תואמות פוליסה מוסכמת וברורה. אם הייתי עולה על הפודיום בעצמי הייתי גם אני מביע פקפוק רב בטענות שעל החוק "עבדו טובי המומחים" כשטובי המומחים יושבים באולם ומתנגדים לחוק, ואף מצאו חורים אדירים בנוסח החוק הנוכחי (למשל, עד שדורון אופק לא הפנה את תשומת ליבם, לא חשבו שם על תהליך איסוף המידע הראשוני וזיהוי אנשים בצורה שלא תזהם מראש את המאגר במידע מזויף).

כמובן אפשר היה להדגיש את החלופות שלא נשקלו, על כן אני מצר שלדעתי עמידרור הציג בצורה ברורה עמדה מוזרה בשם האיגוד – אפולוגטית ולא מיודעת די הצורך. אולי יש מקום לשקול ב-IFIS הגשת הצעת מסגרת למערכת פחות בעייתית ויותר מבוזרת, אולי אף ללא מאגר HASH מרכזי, שתשמור על הפרטיות טיפה יותר (ואף אחד אפילו לא דיבר על בעית מאגר הצילומים), ותבטל את דאגת ההרכשה הכפולה. אפילו אם הדבר יאכזב קשות את המשטרה וגופים אחרים, את משרד הפנים זה לא אמור לענין. בכלל, מפליא אותי שמשרדי הבטחון, בטחון הפנים וגופי אמ"ן אינם מפנימים שקיום מאגר מרכזי מפחית את יעילות התעודות החכמות והבטחון האישי, במקום לחזק אותם.

לבסוף עלתה מספר פעמים השאלה, כמה קל יהיה לעבוד על מז"פ עם טביעות אצבע מזויפות שיעשו מתוך קבצי המאגר כשידלוף. על שאלה כזו אולי כדאי לפנות כגוף רשמי אל הפרופסורים אבי דומב ויוסי אלמוג (ראשי מז"פ הנוכחי והקודם), ולפרסם חוו"ד מסודרת מפיהם, אולי יש מקום לפחות דאגה? אני לא הצלחתי לקבל תשובות שאינן מתחמקות משני אנשי מז"פ שאיתם ניסיתי לדבר על הנושא.

ונסיים בליכטש, שממחיש לנו זיהוי פנים בעזרת כמה דקות בפוטושופ :)
היו שלום, ותודה על הבקבוקים!

-------
  1. אגב, מישהיא יכולה לנחש למה טראקבקים אל פוסטים שלי – כולל לינקים שלי אל עצמי – לא נוצרים כבר כמה חודשים?[^]
  2. תרתי משמע[^]

כתיבת תגובה