צוות קריקטור העלה את הרצאתי ליוטיוב, ואני מצרף למטה את שקפי ההרצאה. הלינקים שמלווים שת ההרצאה פורסמו כאן וכאן. מי שרוצה להתחיל לפעול, צרו קשר עם האנשים של פרויקט שקיפות הכנסת, או נסו לחבור אל אחד מהפרויקטים שכאן. נשאלתי גם אם אפשר לתרום כסף לפרויקטים הנ"ל ואני עונה שכרגע לא ישירות, עד כמה שאני יודע, אבל אני מקווה שהפרויקט(ים) ישתפו פעולה עם "המקור" או איגוד האינטרנט, שני ארגונים מצוינים שראויים לתרומותיכם.
והנה ההרצאה, אני די המום… ככה אני נראה כשאני מרצה, או כל הזמן? מדהים כמה אני לא נראה כמו שאני חושב שאני נראה… 🙂
סליידשר דופק את הכיווניות, הגופנים וההבלטות (בולטים). אם למישהו יש רעיון לשירות אחר, ספרו לי. }} נפתרה הבעיה, העליתי מחדש כ-PDF. משום מה האימבד עדיין מראה את הכיווניות לא נכון, מקסימום קפצו לסליידשר וצפו במקור.
}}} נמאס מהשטויות של סליידשר, עברתי לסקרייבד וגמרנו. גם הוא לא מציג נכון ODP אבל PDF עובד בסדר.
למי שרוצה לקרוא בהרחבה על הנושאים שהתייחסתי אליהם בפוסטים קודמים בבלוג:
יש שאלה לא קלה פה. מדענים אמורים (בעיני הקהל) לתת תשובות מוחלטות של כן ולא, אבל מדע לא עובד ככה אפילו בשאלות של מדעי הטבע. כאן יש בכלל שאלה של חישוב וניהול סיכונים. זוכרים את הקליפ שכבר פעם לינקקתי פה על חישוב הסיכון שבאי-פעולה למען עצירת שינוי האקלים? משהו דומה קורה פה, ומדענים מגיבים גם מהבטן. בפאנל גער עמידרור בפרופ' שוקן (ושטרית הגדיל לעשות) על כך שהאקדמיה פתאום נזכרת לבקר את התהליך החקיקתי ואיך הוא מעיז. אני חושב שראשית זכותו ואולי חובתו של כל אזרח לצאת בביקורת במדינה דמוקרטית, ושנית גם בלי הבנה מעמיקה – התהליך במקרה זה מדיף ריח רע למרחקים, מיקי איתן טרח ופירט על כך בהרחבה (וגם אני כאן בעבר). אם היה חוק יסוד: חקיקה במדינת ישראל (אבל אין, הידעתם?) אז חוקים לא היו אמורים לעבור בצורה מחטפית ובלי תנאים ושלבי ביקורת מחייבת.
דורון:
למה , מצופה מעורכי דין להביע את דעתם , גם את דעתם האישית , ולא מצופה מהם להיות רק "טכנאים של החוק" ? למה עורכי דין יכולים לדבר על סיכונים וסכנות , גם אם זה לא נוגע לחקיקה עצמה או לתהליך החקיקה עצמו .. ובכל זאת , דעתם חשובה ומקובלת ?
ואילו מהצד השני, מופעל לחץ בלתי פוסק ולעיתים בלתי הוגן על אנשים טכנולוגיים , להיצמד אך ורק לאג'נדה הטכנולוגית .. ולדבר על הטכנולוגיה או לשפוט את הטכנולוגיה בלי להצביע על סיכונים אחרים / נלווים / משלימים ??
האם מדענים צריכים להפריד את הרגש מהמקצוע כשהם מתבקשים לדעת מומחה? כמובן.
האם למדענים מותר להביע גם דיעה אישית בנפרד? כמובן פעמיים (כאזרחים בכלל וכבקיאים בתחומם בפרט).
האם אפשר לצפות ממדענים שיצליחו להפריד בין דעה חברתית/פוליטית לדיעה מדעית כשהנושא שעומד כאן תחת התקפה הוא אופיה של החברה בה הם חיים ופועלים? אני חושב שקשה לעשות זאת, רביה וברזילי-נהון הצליחו אולי יותר מאשר ביהם, אבל מנגד עמדו שטרית ועמידרור והביעו דעות הרבה יותר נחרצות בתחומים שבהם הם הרבה פחות מבינים, ובמקרה זה קשה במיוחד לעמוד במגבלות שמטילים עליך בצורה שכזו.
שטרית (תמלול של קלינגר):
אני לא מסכים עם רוב הדברים שנאמרו כאן. אני מתפלא על דבריו של פרופ' שוקן שאתה שופט מקום שאתה לא מכיר. מאיפה אתה מכיר את הכנסת. אתה רוצה שאני אשפוט ואגיד מה קרה במכללה הבינתחומית? זה אחד החוקים שהדיונים בו היו ארוכים ביותר ויסודיים ביותר. פרט לפרופ' ביהם, אף אחד לא טרח לבוא; אבל איפה הייתם ומה עשיתם? יש בישראל מאגרים ביומטריים של מיליונים של אזרחים, שאין עליהם שום הגנה, שום חוק. פתאום נזכרתם שיש מאגר ביומטרי.
ניב ליליאן כתב על ההצעה שזרק לחלל האוויר עדי שמיר בזמן הדיונים אתמול. הרעיון הוא לעבור מזיהוי חד-חד ערכי למצב שבו קבוצות (נגיד מאה איש ומאה תמונות וטביעות אצבע) נזרקים ביחד באותה הפיילה. הזיהוי, לדבריו, יהיה בודאות של 100 מתוך 7 מליון במקום אחד מ7 מליון, וכך המאגר "די אמין" באימות זהות, אבל אם המאגר דולף הוא "לא שמיש" לזייפני זהות.
אבל לגנוב לי בקבוק בירה עם טביעת אצבע ולכייס לי את הארנק כשאני מוסח בפאב זה עדיין אפשרי? איך נמנעה פה גניבת זהות אם הטביעה הזו עדיין תזהה אותי מול מחשבי ממשלה, וה"סיסמא" לא ניתנת להחלפה?
לכן אני מודה שלי אישית ההצעה נשמעה טיפה נאיבית ולא מבושלת בלשון המעטה.
אני לא יודע אם פרופסור שמיר עצר לחשוב מעבר למתמטיקה או שפשוט זרק לאוויר את הרעיון "נא". אני רוצה להאמין למשל שביהם בחיים לא היה פולט דבר כזה כי הוא לא מסתכל רק על הפתרון המתמטי אלא גם על הצד הפראקטי של השוואת רשימות. אפילו במצב תיאורטי אידאלי של מאגר נאיבי, הדבר היחידי שזה "פותר" זה את השאלה של מה קורה אם דולף המאגר, וברור שבנקודת ההזדהות מוצלבים מחדש שמי, פני, מספר הת"ז שלי וטביעת האצבע ממילא בכל פעם שאזדהה, ומי אומר שאותה נקודה (קיוסק מידע או מחשב אישי ביתי) אמינה ונקיה מוירוסים ומאזיני RFID וכולי? הבטחון של מערכת עמימות "1 מתוך 100" שכזו איננו שונה מהמערכת המוצעת הנוכחית למעשה מבחינת במ"מ בנקודות הקצה, שהופכות להיות נקודה יותר מעניינת לגנבי הזהות (ויותר קשה להגנה ממאגר מרכזי).
אני יכול לדמיין כאן כמה התקפות – הרי אם שולחים למאגר את מספר תעודת הזהות שלי והוא מחזיר מאה ט"א אפשריות לתחנת הקצה שמשווה את כולן לאצבע (או אצבעון לטקס) שהצגתי למסוף, המסוף יודע עלי עכשיו יותר מאשר המאגר המרכזי – עדיף לשאוב ממנו מידע בטיפטופים מאשר להתקיף את המאגר בירושלים בבונקר… ובכל מקרה עדיין עומד פה מסוף שרוב האנשים לא יטרחו לנגב את טביעת האצבע שלהם מחלונית הסורק שלו אחרי השימוש.
אגב הועלה גם הרעיון של מאגר של גיבובים (HASH), אני לא יודע מספיק כדי להגיד מה דעתי עליו (טיפה יותר טוב ממאגר מידע מקורי אבל עדיין בעייתי?). על כל פנים ברור לי שכל מצב שבו הטביעה או התמונה מאוחסנות בצורתן המלאה (ולא רק גיבוב של הפירוק הפרמטרי) בכרטיס (במיוחד RFID) או במאגר, אינו מקובל עלי לחלוטין, ולא אכפת לי אילו עמימויות עדי שמיר מציע כאן. ארחיק ואומר שצוות המאבק כבר מקבל תעודות ביומטריות כרוע הכרחי, אבל למעשה כמו פרופ' ביהם גם תעודת זיהוי ביומטרית ללא מאגר מטרידה אותי. הסיבה היא ההתקהות של פקידים שנסמכים על הטכנוקרטיה הזו. אני מפחד מהיום שאצבעוני לטקס ישתוללו חופשי, פקידים יתעלמו בפיהוק כשיבוא מישהו שונה לגמרי מהתמונה, כי מהר מאוד הם ילמדו להגיד ש"המכונה אמרה שזה הוא אז חשבתי שהוא הסתפר או משהו". במקרה הממש גרוע יצומצמו כמויות הפקידים לקבלת קהל (צפו גל שביתות) ויוחלפו בקיוסקי מידע אלקטרוניים, וביום שיגלו את היקף זיופי הזהות בהם וגם יעיזו להודות שידעו את זה מזה זמן אבל אף אחד לא רצה ליטול אחריות, יצטרכו לשכור מחדש ולאמן דור חדש של פקידים (או, בינינו, עובדי קבלן), והברדק ימשך חודשים ארוכים.
ולבסוף, "הדוד" הקדיש לנו שיר ממקום מושבו במזרח. אני רוצה לנצל את הפסקה הזו להודות לו באמת! נמרוד קרת עושה עבודת קודש בזמנו הפנוי, והוא אחד הנפשות המאוד פועלות מאחורי mklobby, ודברים אחרים שאסור לדבר עליהם כאן (כי תמותו משעמום).
בפוסט הנ"ל הגר בחרה תמונה טיפוסית מהפאנל – שטרית מתלחשש עם סביבתו, ואלי ישי שולף תדירות את הטלפון שלו ומתכתב במסרונים (אני רוצה לחשוב שבענייני ממשלה דחופים וחשובים). שניהם שמחו להראות שאננים ולא ברור אם לגמרי מרוכזים בדוברים שעל הפודיום. הם עזבו את הפאנל כמעט שעה לפני סופו (ממש קמו ועפו, לא טרחו בנימוס מינימאלי של התנצלות לפורום האקדמיה והפעילים, ונראה שלא ציפו גם למחיאות כפיים נימוסיות), ולא ענו ממש על שאלות. לצערי מרגע שנגמרו הנאומים הם הותקפו במטח מיידי של שאלות שרובן רטוריות ואפילו מתלהמות. במקום שהשואלים ישאלו שאלות רציניות שינעצו סיכות לבלון ויתנו להם לענות לאט לאט תשובות מובכות מספיק שיחשפו עד כמה הם לא מבינים את ההשלכות הבעיתיות על המאגר הזה.
כמו שכבר דווח (ושוב תודה להגר שהדגישה!), שטרית הודה בפאנל שייעוד המאגר (של משרד הפנים!) הוא בטחוני, ואילו חמי פקר הבטחוניסט טען כי סיבת המאגר היא מניעת הרכשה כפולה (שזו בעיה של משרד הפנים). אני חושב כאמור שהמאגר אינו נחוץ למניעת הרכשה כפולה וכי עצם קיומו יחליש את הבטחון של האזרחים ולא ישפר אותו. מה גם שנטען בפני שטרית שקיומו מחליש את יעילות ואמינות המאגרים הקיימים (והוא הסכים שזו בעיה והיא תועבר "אל צוות היועצים שלו").
בעיני, ההישגים החשובים מהפאנל (מלבד 9 גיגה של תמונות אצלי על הדיסק ושעות של וידאו אצל ערן ורד), היו הסכמתו/קריאתו של השר ישי לעמת את המומחים עם יועצי הסתר של שטרית, ההתבטאויות המפורשות והחזקות של השר מיכאל איתן נגד תהליך החקיקה הנמהר של שטרית ודרך ניהולו את הועדה, והסקירה המוכיחה ((תרתי משמע)) של ד"ר ברזילי-נהון על כך שכיום אין אף מדינה מערבית ודמוקרטית שבה יש מאגר מידע ביומטרי ללא הסכמה של כלל אזרחי המדינה או תושביה.
התייחסות קטנה לבחירה של יעקב עמידרור לנהל את הפאנל בצורה לא הכי שוויונית: לכאורה נראה שהאלוף במיל' נוטה לצד החוק, והוא טרח ללטף את המצדדים בפאנל ולהדגיש את "חד צדדיותם" של המתנגדים בו. אני חושב שזה היה בסדר כל עוד הוא רק הציג את האנשים וניסה "להוציא אוויר" מנאומם של שוקן, ברזילי-נהון, רביה ואיתן (על הקהל זה לא עבד), אבל כשהגענו לשלב השאלות אני חושב שהוא פשוט השתיק את השאלות המבקרות בצורה חסרת אחריות, ניסה גם לחתוך מספר פעמים את עדי שמיר, אבל נתן המון זמן נאום לחמי פקר (שזה יצא טוב, כי יצאו שם כמה ציטוטים שווים בסוף הסיפור).
היום כתבתי לאנשי IFIS שהרימו את הארוע בשיתוף עם הבינתחומי:
חבל לי כמובן שלא עלו אנשי מקצוע עוד בתחילה, להגיד משפט או שניים פשוטים על מתודולוגיות בסיסיות של תכנון וביצוע אבטחת מידע ואבטחה בכלל – הרי קודם מגדירים את וקטורי ההתקפה שצריך להתגונן מהם, מחליטים על פוליסת בטיחות ורק אח"כ פורטים אותה לנהלים וחוקים (בשפה אנושית או שורות קוד).
במקרה הזה נראה כאילו כתבו ושכתבו את שורות ה"קוד" ישר כהצעת חוק בלי לראות אם הן תואמות פוליסה מוסכמת וברורה. אם הייתי עולה על הפודיום בעצמי הייתי גם אני מביע פקפוק רב בטענות שעל החוק "עבדו טובי המומחים" כשטובי המומחים יושבים באולם ומתנגדים לחוק, ואף מצאו חורים אדירים בנוסח החוק הנוכחי (למשל, עד שדורון אופק לא הפנה את תשומת ליבם, לא חשבו שם על תהליך איסוף המידע הראשוני וזיהוי אנשים בצורה שלא תזהם מראש את המאגר במידע מזויף).
כמובן אפשר היה להדגיש את החלופות שלא נשקלו, על כן אני מצר שלדעתי עמידרור הציג בצורה ברורה עמדה מוזרה בשם האיגוד – אפולוגטית ולא מיודעת די הצורך. אולי יש מקום לשקול ב-IFIS הגשת הצעת מסגרת למערכת פחות בעייתית ויותר מבוזרת, אולי אף ללא מאגר HASH מרכזי, שתשמור על הפרטיות טיפה יותר (ואף אחד אפילו לא דיבר על בעית מאגר הצילומים), ותבטל את דאגת ההרכשה הכפולה. אפילו אם הדבר יאכזב קשות את המשטרה וגופים אחרים, את משרד הפנים זה לא אמור לענין. בכלל, מפליא אותי שמשרדי הבטחון, בטחון הפנים וגופי אמ"ן אינם מפנימים שקיום מאגר מרכזי מפחית את יעילות התעודות החכמות והבטחון האישי, במקום לחזק אותם.
לבסוף עלתה מספר פעמים השאלה, כמה קל יהיה לעבוד על מז"פ עם טביעות אצבע מזויפות שיעשו מתוך קבצי המאגר כשידלוף. על שאלה כזו אולי כדאי לפנות כגוף רשמי אל הפרופסורים אבי דומב ויוסי אלמוג (ראשי מז"פ הנוכחי והקודם), ולפרסם חוו"ד מסודרת מפיהם, אולי יש מקום לפחות דאגה? אני לא הצלחתי לקבל תשובות שאינן מתחמקות משני אנשי מז"פ שאיתם ניסיתי לדבר על הנושא.
ונסיים בליכטש, שממחיש לנו זיהוי פנים בעזרת כמה דקות בפוטושופ 🙂
וואלה: "ישי: אני משוכנע שהציבור לא מספיק יודע מה המשמעות של המאגר, הן בצדדים השליליים, והן בחיוביים. ולכן, כשהשר איתן פנה אלי, אמרתי לו שאני מוכן לשמוע. ושמעתי. אני מכיר את החוק גם כשר פנים לשעבר, אך עדיין לא מספיק." (יש גם סיקור וידאו עם הרבה דפיקות על השולחן!)
הציטוט שהכי עשה לי את זה היה של עמידרור: "חברי הכנסת לא חייבים לספר לכם מי הם היועצים…" (לא ציטוט מדויק, אם למישהו יש את הוידאו אשמח לתיקון). במקום שני – מיקי איתן משתמש בטיעון "לגור ליד הכור" של קלינגר, למרות שהאמת היא שאת צ'רנוביל הוא הביא קודם (ואם זה ימשיך ככה, אני חושב שאפשר להרחיב את חוק גודווין לנאצים ודליפות קרינה אוקראיניות).
כל התמונות של נאמנכן העבדקן תחת CC-by-SA-ותנו-לינק-לפה
ערן ורד העלה קטע ראשון מתוך אוגוסט פנגווין. עבדכם הנאמן מאוכזב שלא הספיק לומר מילה על מנגנונים לעצירת חקיקה מסוכנת (מה שהזכרתי פה בעבר, ההקבלה מול חוקי סביבה שדורשים מחקר והתייעצות, ושאלת מוסד "נציב הדורות הבאים")