שאלות פתוחות, תשובה פתוחה

מחלקת חופש המידע חזרה אלי באיחור ורק עם תשובה אחת (מתוך ה-14 ששלחתי), וזאת למרות שהסברתי למה זה דחוף ולמרות ששילמתי את מחיר השאילתא המלא, שלהבנתי אינני אמור לשלם כאשר השאילתא מתייחסת לפרטיותי ולניהול פרטי האישיים. מאז בקשת המידע חלף למעלה מחודש וחצי, שזה יותר ממה שמצוין בחוק.

נשלח: 18 לפברואר (למעלה מהחודש הנדרש בחוק – ×¢.א.)

הנדון: פנייתך לקבלת מידע בנושא: מאגר התמונות של רשיונות הנהיגה

במענה לפנייתך בנושא שבנידון, הרייני להשיבך:

1. מאגר התמונות של משרד התחבורה אינו מאגר ביומטרי, לפיכך, החוק המוזכר בפנייתך אינו נוגע למאגר זה.

2. המשרד יוזם צילומי נהגים מכוח תקנה 174א לתקנות התעבורה, בה מצויה גם ההוראה לגבי צילום מחדש לכל מחדש החל מ-1.1.2006.

3. לענין הסרת תמונתך מהמאגר, רשיון הנהיגה הישראלי הרשמי הינו רשיון עם תמונה לכן לא ניתן להסיר את התמונה ולהפיק רשיון מחודש ללא תמונה.

בברכה,
אפרת קילשטוק
מנהלת תחום מידע ומחקר תחבורתי
ממונה על יישום חוק חופש המידע

העתקים:
צ'ארלס סולומון – סמנכ"ל בכיר תכנון כלכלי
עו"ד חוה ראובני – ס. ליועמ"ש
חסידה קופרברג – מנהלת אמ"מ
מינה קליין – אגף אמ"מ

מתבקש אם כך שתשובתי תהיה דומה למדי לתשובתי למחלקת תלונות הציבור, אבל ראשית, הנה מה שאומרת תקנה 147:

רשיון נהיגה ממוחשב
תק' (מס' 4)
תשנ"ד-1994
174א. (א) רשיון נהיגה כאמור בתקנה 173 יהיה בר תוקף רק אם הונפק יחד עם צילום בעלו, על ידי מחשב משרד התחבורה; רשות הרישוי לא תנפיק ולא תחדש רשיון נהיגה אלא כאמור בתקנה זו.
תק' (מס' 2)
תשנ"ט-1998
(ב) על אף האמור בתקנת משנה (א), רשאית רשות הרישוי להנפיק רשיון נהיגה זמני ובלבד שתוקפו לא יעלה על 180 ימים ויחולו עליו הוראות תקנה 174ב, לפי הענין.
(ג) מבקש רישיון נהיגה לאחר יום א' בטבת התשס"ו (1 בינואר 2006) או בעל רישיון נהיגה שרישיונו מחודש במועד הראשון שלאחר המועד האמור, יצטלם לצורך הפקת רישיון הנהיגה על פי תקנה זו, אף אם תמונתו מצויה כבר במחשב משרד התחבורה.

מישהוא ראה ביומטריה פה? איכות מגהפיקסלים גבוהה?

אז הנה התגובה שאשלח לגב' קילשטוק:

(נוסח סופי עודכן במרץ 26, לקח לי רק שלושה שבועות להגיע לזה סוף סוף)

לאפרת קילשטוק וצוות משרדה חג שמח וכשר,

הנדון: שאילתות בנוגע למאגר התמונות הממוחשב בשרד התחבורה

1. במכתבך האחרון מיום 18/2/2010 ציינת שהמאגר אינו ביומטרי, אך העובדות מצביעות לכיוון ההיפך הגמור. למעשה מנוהל פה מאגר ביומטרי ללא גיבוי בחוק או בתקנות. ראיות לכך אני מצרף בסוף מכתב זה (נספח ב' להלן), כפי שהן מוצגות באתר משרד התחבורה, משרד ראש הממשלה ומשרד בטחון הפנים.

2. קראתי את תקנה 174, לא מצוין שם כי על משרד התחבורה לנהל מאגר תמונות, לא כל שכן באיכות ביומטרית, איך לנהל אותו ועם מי מותר לחלוק אותו. משמע שאין כל גיבוי חוקי לצורה שבה מתנהל המאגר ביום, לפי הבנתי המועטה במשפטים, אבל שני עורכי דין שבהם נועצתי אף הסכימו עימי.

אם המידע מהמאגר ידלוף לידי גופים פרטיים, במיוחד גופי פשע או טרור, מדובר באסון שלא ניתן להשיבו, ולכן פירטתי את שאלותי. 14 סעיפים היו בשאילתא, אך לא קיבלתי תשובה אף לאחד מהם (ראו נספח א' בסוף מכתב זה). מדובר בעיני במידע שחייב להופיע באתר המשרד ובדו"ח השנתי של משרדך.

3. לשאלת הצילום, לא שאלתי לגבי קבלת רשיון ללא צילום, ביקשתי לקבל רשיון עם התמונה הישנה, שתוחלף תמונתי בתמונה בעלת רזולוציה נמוכה יותר, ולחילופין אם אין אפשרויות כאלו, האם תוסר תמונתי מהמאגר אם אוותר לחלוטין על רשיוני, ועל זכויותי לנהוג כאזרח חופשי אך החרד לפרטיותו?

4. לאור האמור לעיל אבקש שתאותו לתת לבעיה המוצגת כאן מעט יותר משקל ובדיקה קצת יותר מעמיקה. הצגתי 14 סעיפים בשאילתא (נספח א' דלהלן), שילמתי את אגרת חופש המידע, אך לא קיבלתי התייחסות אפילו לאחד מהם.

בברכה,
עירא אברמוב.
העתקים:

* צ'ארלס סולומון – סמנכ"ל בכיר תכנון כלכלי
* חסידה קופרברג – מנהלת אמ"מ
* אורית קרופ, לשכת מבקר משרד התחבורה
* התנועה לזכויות דיגיטליות
* עו"ד אבנר פינצ'וק, האגודה לזכויות האזרח
* המועצה הציבורית להגנת הפרטיות במשרד המשפטים
* הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים
* האינטרנט

לצערי אין לי את כתובתה של היועמ"ש עו"ד חוה ראובני, אודה לכן אם תעבירו את העתק המכתב גם אליה.

ישנות משרד התחבורה

ישנות יען כי אינן חדשות. נציב תלונות הציבור במשרד התחבורה סגר עלי את הקייס (קראו הלאה לראות איך אני דורש מהם לפתוח חזרה).

אבל ראשית הפסקת אנטי-פרסומות: אל תצטרפו לפייסבוק ×›×™ הם ישלחו הודעות אישיות שלכם לאנשים הלא נכונים. בראד טמפלטון מה-EFF הסביר לתלמידי SU לפני כמה שעות למה מחשוב ענן ×–×” דבר שראוי להזהר ממנו – לידיעת החוואים בנגב!

שנית, בשיחה עם בחור הונג-קונגי שפגשתי אתמול, גיליתי להפתעתי שיש להם תעודות זהות ביומטריות עם קוראי אצבע מפוזרים בכל העיר/מדינה בבנקים וכל מני מקומות, וגם המשטרה משתמשת במסד הנתונים לצרכי מז"פ. צריך לחפור יותר בחדשות מ-HK ולראות אם הדבר בינתיים הועיל או הזיק לתושבים שם, ואם יש להם בעית גניבת זהויות.

אבל לנוכח כל הבעיות והסכנות, בשירותתי ממשלה ובשוק הפרטי, הגורמים האחראיים תמיד אוהבים לנופף במטפחת מושכת תשומת לב או לצעוק "תראו ציפור!", והאנשים מאמינים, ולצערנו גם הכתבים מאמינים, ואז אין יותר כלבים שישמרו על הדמוקרטיה ועל הפרטיות, דבר מעיק מאוד כשאנשים מתחילים לתהות מתי לגוגל יהיה את הכוח להרוג אותם.

תגובות ראשוניות מהמשק הישראלי: הפרות שלנו מפליצות פחות! ואני שואל, מה זה קשור?

אה, כן. נזכרתי. פורים. צריכים להשתכר עד דלא ידע, ואחרי ×–×” להגיד "לא ידענו". אתם יודעים, פעם גם קוקאין נחשבה לתרופה מצוינת…

Cocain for the kids!

פורים שמח. במיוחד אחרי שגיליתי שלמשפחה הצ'יליאנית שלי שלום. הם לא היו בסנטיאגו בזמן הרעש (שמסיים עכשיו לחצות את האוקיאנוס השקט!), וכנראה הם אפילו יצאו בזול מנזק לרכוש.

וחזרה לנושא המרכזי להיום, המכתב שקיבלתי ממשרד התחבורה:

נשלח 15 לפברואר

הנדון: תלונתך בגין חובה להצטלם למאגר הביומטרי לצורך חידוש רשיון הנהיגה

1. במכתבך מיום 19/1/2010 הלנת על החובה להצטלם למאגר הביומטרי לצורך חידוש רשיון הנהיגה.

2. נבקש להביא לידיעתך, כי היות שטרם אושרו החוק והתקנות בנושא, הצילום לרשיונות הנהיגה הנו צילום סטנדארטי. בשלב זה אין מדובר בצילום ביומטרי, והמאגר עצמו אינו משמש לצורך זיהוי ביומטרי.
נציין, כי אם תאושר השיטה הביומטרית, קיימת במשרד התחבורה התשתית להתאמת הצילומים לשיטה זו.

3. מבדיקתינו עולה, כי בתאריך 20/1/2010 הצטלמת וכי בתאריך 28/1/2010 הופק לך רשיון זמני עד לתאריך 28/7/2010.

4. לנוכח האמור לעיל, אנו מסיימים את הטיפול בתלונתך.

בכבוד רב,
אורית קרופ, מנהלת המחלקה.

ותשובתי להלן (עודכן לגרסא הסופית שנשלחה):

הנדון: הבהרות בנוגע לתלונה 42007

לאורית קרופ וצוות משרדה חג שמח,

1. התאכזבתי לקרוא כי אתם מושכים את ידיכם מטיפול בבעיה המטרידה אותי ועוד רבים בישראל, ומסכנת את בטחונם האישי של כלל מחזיקי רשיון הנהיגה בארץ.

2. במכתבכם האחרון מיום 15/2/2010 ציינתם שטרם אושרו חוקים ותקנות בנושא המאגר הביומטרי שאתם מנהלים, והרי זו תלונתי בדיוק, על כך שמנוהל פה מאגר ביומטרי ללא גיבוי בחוק או בתקנות. מבדיקותי עולה כי המאגר קיים בערך 3-4 שנים, אבל באתרי משרד התחבורה ומשרד המשפטים לא הצלחתי למצוא כל תזכיר חוק, תקנה או אסמכתא אחרת שמתירה למשרד הרישוי לאגור מאגר של תמונות הנהגים, לא כל שכן באיכות ביומטרית. אף על פי כן ברור לי כי אכן כך הדבר וזאת מהטעמים הבאים:

א. באתר ראש הממשלה, בידיעון "ביומטריה בתנופה" מחודש אוגוסט 2007, ציין בבירור עוזי ברלינסקי ז"ל:

רישיונות נהיגה ביומטריים

"משרד התחבורה החל במבצע להחלפת רישיונות הנהיגה בישראל לרישיונות חדשים, המותאמים לתקינה האירופית. צילום הנהגים מתבצע בשיטה ביומטרית חדשנית, על פי תקני הצוות הביומטרי הבינמשרדי, המאפשרת זיהוי מוחלט של האדם המופיע בצילום, גם לאחר שנים רבות."

ב. מידע זהה מופיע במפורש גם באתר משרד בטחון הפנים.

ג. והנה גם באתרכם מצוין באופן מפורש: "מדובר בצילום של יותר מ- 3.3 מליון נהגים הרשומים כיום במחשבי משרד התחבורה. צילום הנהגים מתבצע בשיטה חדשנית המאפשרת זיהוי מוחלט של האדם המופיע בצילום, גם לאחר שנים רבות ולאחר שמראה פניו השתנה בשל שינויים פיזיולוגיים או חיצוניים שחלו במראה הנהג."

ד. מספר עדויות שקראתי באינטרנט בחודשים האחרונים מספרות כי הניגשים להבחן למבחני התיאוריה ולקורסים לנהיגה מונעת מתבקשים להבדק ע"י עמדה עם מצלמה של חברת טלדור כדי לוודא את זהותם מול המאגר.

ה. לפני כשנתיים חש משרד התחבורה להציג הצעת חוק המסדירה את המאגר (חוברת 266, עמ' 4), הצעה שנפלה במליאה. אם המאגר חוקי, הרי שלא היה צריך להציע חוק. אם הוצע חוק ונפל, הרי חזקה שהמאגר אינו חוקי בעליל כעת!

ו. בניגוד אפילו להצעת החוק שנפלה, המאגר הנ"ל נחלק עם גורמים אחרים, לפחות משרד הפנים ובוודאי גופים נוספים. הדבר מטריד מאוד.

מכל האמור לעיל ומראיות נוספות שאספתי במחקר אינטרנטי פשוט, ברור לי שיש במשרד התחבורה נסיון ברור להתחמק מהאחריות לבעיה. לאחר התייעצות עם מומחים וקריאת תזכירים של המועצה לפרטיות ומשרד המשפטים, אני סבור שהמאגר הזה מסכן את בטחוני האישי ואת בטחונם של שאר מחזיקי הרשיונות בצורה שבה הוא מוגן. שלחתי שאילתא מפורטת בנידון לגב' קילשטוק ולצערי כל שאלותי (14 במספר) זכו להתעלמות בוטה במכתב תשובה שהגיע אלי באיחור (כחודש וחצי לאחר בקשתי) ולא הכיל שום פרט מידע חדש. מידע שאמור להבנתי להופיע ממילא בדו"ח חופש המידע השנתי או באתר המשרד.

3. לשאלת הצילום – אכן נאלצתי לבסוף להצטלם במורת רוח למאגר, שאם לא כן הייתי מאבד את יכולת ×”× ×”×™×’×” וההשתכרות, שהיא זכות יסוד כמו זכותי לפרטיות, אבל מובן שפגיעתה יותר מיידית. הייתי רוצה שממשלתי תעשה מאמצים לשמור על כל זכויותי ולא לפגוע בהן, במיוחד כל עוד הן בספר החוקים.

4. לאור האמור לעיל אבקש שתאותו לתת לבעיה המוצגת כאן מעט יותר משקל ובדיקה קצת יותר מעמיקה.

בברכה,
עירא אברמוב.

העתקים:

  • התנועה לזכויות דיגיטליות
  • עו"ד אבנר פינצ'וק, האגודה לזכויות האזרח
  • המועצה הציבורית להגנת הפרטיות במשרד המשפטים
  • הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים
  • האינטרנט

הדואר בא היום

קיבלתי עוד מעטפה מאיגוד האינטרנט, עוד נייר צבעוני ויקר שלא מכיל שום פריט מידע חשוב שלא ראיתי עד השבוע שעבר באתרם מלבד האישור לתהייתי אם המושבים יופיעו באתר ערוץ 2 (יופיעו גם יופיעו), והעובדה שיקרינו שם בגדול סרטי סטודנטים מבצלאל, וסרטונים נבחרים מיוטיוב. אממ…

המעטפה הבאה הזמינה אותי לקנות את Ardbeg Rollercoaster, שהוא ערבוב של חביות "נדירות" מעשר השנים המוצלחות ביותר של המזקקה מאז שנפתחו מחדש, ובהן זכו בפרס הויסקי הטוב בעולם שנתיים ברציפות! בכל בקבוק מעורבב דראם מעשר חביות מהשנים 1997-2006, המחיר 50 פאונד ועוד 20 משלוחה לישראל. ההגבלה היא 2 לכל חבר ועדה. מדגדג לי לקנות, אבל למי יש תקציב? ואח"×› עוד ידפקו לי מכס בארץ… אז אם מישהו מחזיק בכתובת אירופית ומוכן להביא לי לארץ במסלול הירוק, אני מודה לכם מראש 🙂

המעטפה הבאה מגיעה ללא שם שולח אבל מופיע עליה מספר תעודת הזהות שלי מבחוץ (למה?!) ויש בתוכה כרטיס פלאסטיק. שיקוף מהיר באור השמש המחטא גילה שזהו הרשיון החדש שלי, אני שומר את המעטפה סגורה כדי לפתוח אותה בדרמטיות לעיני מצלמתו של ערן.

המעטפה האחרונה מגיעה מלשכת מבקר משרד התחבורה ונציב תלונות הציבור שלו, כותבת לי בתאריך 2/2 כוכבה אפרתי, מזכירת המחלקה, כי (1)הרי היא מאשרת קבלת מכתבי מתאריך 19/1, (2) לצערם בשל עומס העבודה הרב תשובתם עלולה להתעכב (קריא: התעכבה), ולבסוף (3) עמי הסליחה. אני תוהה אם עלי לפנות שוב ולציין בכל פנייה 42007 ((לא, אינני צוחק, מספר הפניה שלי מרמז שג'יימס בונד מחפש את משמעות החיים, היקום והכל)) או לשבת ולחכות? המשך יבוא.

חדשות הפרטיות #68

אני לא באמת סופר, אני אפילו מעריך כלפי מטה בשמרנות…

עוד מעט קרחתהיום נשלח הרשיון שלי בדואר סוף סוף. לא היתה לי סבלנות להמשיך לתחזק זקן, אז החלטתי שאני לא צריך לחכות לעד לדפוס בארי/משרד התחבולה והלכתי למ.מ.ס.י., אחת החברות האזרחיות הרבות המחזיקות בגישה למאגר. כך הלכתי להדפיס רשיון בינלאומי על חתיכת קרטון בשווי 15 ש"ח, ולכן אני סוף סוף מגולח וכמעט סיימנו את הסרט. המשך בקרוב, אני מקווה.

יוחאי דיווח פה שחברת טלדור כן עושה שימוש ביומטרי במאגר משרד התחבורה, מה שלא מפתיע, רק חיפשנו הוכחות לזה. אבל פרס הפרטיות לשבוע ×”×–×” מוענק בזו לעריית רמת-גן שמכרה כתובות ופרטים אישיים של תלמידיה לחברת "קידום" שמפעילה בתי ספר אקסטרניים. אני לא יודע אם האצבע המשולשת שלהם מופנה כרגע יותר לחוק הגנת הפרטיות, חוק הגנת הילד או שמא מערכת החינוך הממלכתי הגוססת, אבל הם בהחלט מפגינים הרבה מאוד בייצים. מצד שני העיריה כגוף קיבלה קנס סמלי של 5000 ש"×—, אבל ביננו, אני לא מאמין שמישהו ×™× ×–×£ על ×–×” אפילו, לא כל שכן יקנס אישית או יעצר. "קידום" קיבלו קנס של 1000 ש"×— בלבד. סכום זעום ומגוחך לרשימה כל כך מבוקשת וטיפה בים הוצאות השיווק שלהם…

פרטיות עלתה גם על סדר היום במשפחה הקרובה לי שבה האם מתנגדת לפתיחת פייסבוק לבנה בן ×”-10 אבל אביו עזר לו לפתוח אחד בכל מקרה. לא משנה שזה עובר על תנאי השימוש באתר ואולי על חוקי מדינה ישראליים ואמריקניים – הילד רצה פארמוויל ולא תזיזו אותו משם. שני ההורים אנשי מחשבים אינטיליגנטיים, איך אפשר לחנך את הילד כשאי אפשר להסביר לאב מה הבעיה במה שקרה פה? לפחות הילד הוא תולעת ספרים ולא יצליחו לבלבל אותו עם העברית החדשה של פייסבוק – בשבוע שעבר קראתי שאחוזים מטרידים מתלמידי בית הספר היסודי מתחילים לכתוב בבי"ס חיבורים עם סימני שאלה בתחילת משפטים במקום בסופם, חקירה גילתה שהאשמה היא בפייסבוק (שלא אמור להיות נגיש להם) וה-CSS שלו, שלא מותאם לימין-לשמאל.

לבסוף אחרי שחילקתי פרסי פרטיות, הנה פרס אחר לא קשור, אבל מחולק גם הוא לאנשים שעשו לילות כימים לאמלל את חיינו, פרס הדינאמיט להצטיינות בכלכלה. פרידמן, סאמרז, גרישפאן וידועים פחות מועמדים לפרס. לא תצביעו?

עדכון: ואיך שכחתי? גוגל חוזרים לכותרות, נראה שגוגל-באר, התוסף שכל חברי חושבים שאני פסיכי שאני לא מתקין, ממשיך לרגל אחרי הגלישה שלך גם אחרי שאמרת לו לחדול מזה. השבוע ראיתי שגם diigo עושים דבר דומה, החברה שלי גלשה לחשבון הבנק שלה, והסיידבאר שמח לספר לה אילו עוד אנשים (ארבעה ישראלים בשמם המלא) בודקים גם הם בדיוק כרגע את מצב העו"ש… למישהו יש המלצה לשירות סימניות חברתי שתומך ב"קבוצות מחקר" ולא מרגל אחריך בזמנו הפנוי?

עוד תשובות מיורם אורן

במשך הדיאלוג ביני ובין יורם אורן, יועץ משרד הפנים בנושא התעודות החכמות. אתם מוזמנים להוסיף שאלות ואפנה אותן אליו.

החלק הקודם פורסם כאן, קחו רק לתשומת הלב את האזהרה שפירסמתי.

בתשובה לשאלותי לגבי האמון הפגוע של משרד הפנים (דליפת מרשם האוכלוסין, פנקס הבוחרים ועוד מאגרים) והעובדה שאין להם איש במ"מ קבוע:

לגבי ממונה במ"מ במשה"פ – נכון שאין מינוי רשמי אבל זה לא אומר שאין עבודה בנושא, ואפילו עבודה אינטנסיבית. בכמה שנים האחרונות שאני מכיר את המשרד הוא עשה קפיצת מדרגה רצינית, בסיוע צמוד של רא"מ ועם אנשים מאד מקצועיים שעוסקים בזה. אני מתאר לעצמי שיהיה מי שיקפוץ ויגיד שמרשם האוכלוסין בכל זאת דלף משם אבל זה שוב משהו לא נכון. מרשם האוכלוסין מכיל הרבה פרטים נוספים שלא דלפו, והדליפה הייתה מלקוחות של המרשם שמקבלים אותו על פי חוק. אני הראשון שישמח אם יצמצמו אליו את הגישה בחוק.

בראיון אמר לי ביהם שהשב"כ והמוסד עצמם לא משתמשים בביומטריה כי אינם סומכים עליה, יורם אורן טוען שהוא יודע מידע אישי את ההפך. הצעתי שזו הסיבה שחייבים לקיים דיבייט גלוי ולפרסם עובדות.

בנושא ההסכמה על עובדות – זו הגדרה מעניינת להשערות/הנחות/המצאות/מחשבות. לגבי הצורך בדיאלוג/דיבייט – בהחלט מוסכם, אם יהיה מי שיעשה את זה מצד משה"פ באופן שוטף.

אז מתי יפורסמו ההליכים, החומרות ושאר מרכיבי המערכת? אחרי שיוזמנו ויותקנו?

למה מסמכים אינם מפורסמים? יש המון סיבות אבל אציין רק אחת כחומר למחשבה. זה שאתה מתעניין ורוצה לדעת מתוך מעורבות אזרחית זה מאד יפה וראוי להערכה, אבל יש הרבה (בעצם הרבה יותר) שירצו לדעת מתוך מניעים מסחריים. כבר הדפנו כמה ניסיונות כאלו. לתת למישהו יתרון זה בעייתי מאד מבחינת חוק המכרזים. גם פרסום לכולם זה בעייתי וגורר הרבה תגובות שאינן ענייניות ונועדו רק להפגין כמה המגיב חכם וכמה המפרסמים טיפשים. מעטים באמת מתייחסים בצורה עניינית, נטולת אינטרס מסחרי. השמירה על פרופיל נמוך ואפילו על "ערפל" מכוון עד לשלבי המכרזים המעשיים מנעה עד כה הרבה ניסיונות של גורמים עסקיים להשפיע על מהלך העניינים. זה כל הזמן הליכה בין הטיפות אבל זה מאד מוכיח את עצמו. כיום גורמים עסקיים שונים רק מנחשים מה תהיינה הדרישות שלנו בכל מיני דברים ואפילו משחררים בלוני ניסוי בתקשורת כדי לנסות ולדלות מידע שיועיל להם. לצערי העיתונאים של היום מתמסרים ברצון לדברים כאלו אבל זה מה שיש. בשורה התחתונה – שמירת הפרופיל הנמוך היא הכרח בל יגונה.

שאלתי גם לגבי key-loggers:

קי לוגרים זה בעיה שאיננה ייחודית לשימוש בכרטיס חכם אלא לשימוש במחשב בכלל. במקרה של כרטיס חכם יש כמה גישות לכך. הגישה הקלאסית אומרת שיש להשתמש בקורא עם PIN PAD המאפשר להזין את ה-PIN ישירות לכרטיס בלי שהוא יעבור את המחשב. יש קוראים כאלו ויש כאלה אפילו עם הסמכה לפי CC. החיסרון הוא במחיר היקר בהרבה ובכך שצריך לבדוק אם אי אפשר לטעון להם קושחה זדונית, כך שהבעיה פשוט עברה למקום אחר.
הגישה השנייה היא לייצר תהליך אינטראקטיבי שבו המשתמש בכרטיס מקבל משוב בצורת CAPTCHA. משוב ×–×” כולל פרטים על מה שהוא חתם יחד עם בקשה להקיש משהו (ספרה/אות בודדת למשהו פשוט וצירוף אם זו פעולה כבדה שהרבה כסף בצידה). בצורה כזו גם אם המחשב נגוע או שהותקן בו קי לוגר חומרתי שלא ניתן לגילוי אז מה שהתוקף יכול לעשות ×–×” רק לשלוח את ×–×” למזלום בכפר בניגריה שמתפרנס מלפתור קפצ'ות למחייתו. ×–×” ברוב המקרים מחיר בלתי נסבל מבחינת התוקף, מה גם שהמזלום צריך לדעת עברית (security by obscurity במיטבו…). ×–×” לא פיתרון מלא אבל ×–×” משהו שכן מאפשר לחיות עם ×–×” כסיכון מחושב. אם מישהו השיג את ×”-PIN שלך הוא עדיין צריך את הכרטיס שאצלך בארנק או לחכות שתבצע איתו משהו על המחשב הנגוע, כדי להלביש על ×–×” עוד משהו. יש גם את ההיבט המשפטי, ואם נעשתה פעולה בלי ידיעתך ×–×” הופך לנושא של דיני ראיות. כאמור ×–×” לא ייחודי לכרטיס אלא רלבנטי לכל פעולה ממוחשבת וגם לא ממוחשבת שאינך שולט בכל התהליך.

וחזרה לשאלת השאלות – פרופסור ביהם טוען בצדק שתעודות ביומטריות הן אולי רע הכרחי, אבל עדיפות עליהן תעודות חכמות פשוטות יותר עם ×”×’× ×” על הפלאסטיק מפני נסיון להחלפת התמונה המודפסת. הדפסת התמונה שם משמעה שיש מאגר תמונות מופחתות.

למה ביומטריה ולא רק כרטיס חכם? נדמה לי שדשנו בזה לא מעט. אם זה קל יחסית לקבל תעודה לגמרי אמיתית בהרכשה כפולה אז כרטיס שאיננו בר זיוף לא עונה לצורך ואפילו מחריף את המצב. האמירה שניתן לבטל כרטיס מניחה שנעשה בו שימוש רק מול מערכות מחשוב. במציאות המון שימושים של התיעוד מתבססים על הצגתו בלבד וכאן רשימת תעודות מבוטלות לא עוזרת.
אנחנו משאירים עקבות אלקטרוניים בכל מקום, אלא אם נחזור הרבה שנים אחורה ונוותר על הרבה דברים שהם חלק מהיום-יום שלנו. נשאלת השאלה מה עדיף – צבר הולך וגדל של מידע עלינו ללא פיקוח וללא רגולציה בשיטת המערב הפרוע או משהו מצומצם, מוגדר ו"רזה" מבחינת מה שהוא מספק, עם רגולציה מחמירה ועם פיקוח.

אני לא מסכים איתו כמובן. אדם שתעודתו מבוטלת "מרחוק" ע"י מתחזה יקבל הודעה הביתה בצורת גלויה שתודיע לו שביום, מקום ושעה כך וכך התייצב אדם וביטל את התעודה הקודמת שלו, ואם זה לא נכון אז שייתור מיד קשר עם המשרד.

לשאלת השימוש הלא-אלקטרוני בתעודה שיקשה על גילוי תעודות מבוטלות אני יכול רק להגיד – אז מה התועלת שבביומטריה לעזאזל? אף אחד לא יעצור אדם עם תעודה מזויפת ממילא. אני עדיין בדיעה שאין הצדקה כלכלית ובטיחותית להוסיף ביומטריה לתעודות כשהסכנה שמנגד כל כך גדולה.

Caveat emptor

(למתקשים בלטינית, משמעות הכותרת היא פחות או יותר "אזהרה לציבור הלקוחות", מה שבשנים האחרונות מבלבלים עם "גילוי נאות" או אחיו הקרובים יותר "כתב ויתור אחריות" או "דיסקליימר")

אזהרה: אין לראות בפוסט הקודם כל מדריך או מידע אמיתי. מדובר ברצונו הטוב של יועץ עצמאי למשרד הפנים, המידע שהובא שם איננו מסמך רשמי של הממשלה, הוא איננו תשובה רשמית או לא רשמית של גורם ממשלה, הוא מידע שאינו סופי לפי הידוע לי, ולאחרונה הגיעו לאוזני שמועות מכמה כיוונים עליהם אני סומך, שלא ברור אפילו אם משרד הפנים יהיה זה שיישם את המאגר או שמא יופקע מידיו לרא"ם (השב"כ). תגובתו של מר אורן לשאלתי על הסיפור:

זה ששמעת על זה גם מXXX וגם מYYY זה מפתיע שבעתיים, אבל עדיין לא עושה את זה נכון. יתכן ששמעו חצאי דברים בנוסח "ראמ ינחו את הרשות והמאגר" ובהעדר דיאלוג שוטף פירשו את זה לא נכון. אני מודע לכך וגם מצר על זה שאין יותר מידע מפורסם, אבל אמרתי כבר בהתחלה שלהתעסק עם פרסום המידע זה הרבה מעל לכוחותינו. יש בפרויקטים האלו מספיק עבודה טכנית אמיתית, שזה המיקוד של כל הקבוצה הקטנה מאד שעוסקת בזה.
[…]
לגבי זה שזה רק משאלות לב ולא הפרויקט הסופי – נכון שזה עדיין בתהליך ונכון שיש דברים שאינם סופיים, אבל מה שנאמר לך מייצג לא רע את מה שיהיה. כל מה שנאמר על הכרטיס הוא מדויק לגמרי ואם לא יפתיעו אותנו בחקיקה אז זה גם סופי בהחלט. לגבי המאגר עדיין יש דברים לא סופיים אבל כל מה שנאמר עד כה נכון ויציב. יש כמה דברים שהם בגדר המלצות אבל הסבירות שהן תתקבלנה היא גבוהה מאד.

אזהרה: בקרוב תוגש הצעת חוק מלחמה בטרור ולא ברור עדיין מה הוא כולל. נכון לעכשיון התפרסם בעיקר שהוא מחמיר את העונשים על פעילות טרור, אבל ידיעה פיצפונת בידיעות המודפס אומרת שהוא מכניס שינויים בכ-1000 חוקים אחרים "בסגנון USA-PATRIOT האמריקני" ושעל הכנתו עמלו 3 שנים. אני מפחד שהוא עלול להיות יותר מאשר תיקון עונשי מאסר מ-30 ל-40 שנה וזוטות דומות. למי שלא מכיר את המפלץ שנקרא USA-PATRIOT act, כתבתי עליו פה בעבר. מדובר ב"פאטץ'" ענקי שמשנה למעלה ממתאיים חוקים אמריקניים עד כדי חדירה מפחידה לפרטיות ועבירות על מגילת זכויות האזרח. למרות זאת (ולמרות שאזרחים חפים נפגעו ממנו כבר לא פעם), תוקפו חודש מספר פעמים בארה"ב. בקרוב אצלנו?

אזהרה: חוקרים פרטיים מאשררים – בתנאים מסויימים אפשר לעשות סקימינג לדרכונים.

אזהרה: שימו לב לבעיות הפרטיות המובנות בכרטיסים החדשים של אוטובוסי דן.

אזהרה: הבנקים מגשימים בעמלות. זה לא חדש אבל יש עכשיו קמפיין מאורגן, אולי תרצו להצטרף?

אזהרה: הסינים אומרים שדיקור סיני זה טיפול דמה שנותנים רק לחולים נודניקים כדי שירגישו שנותנים להם צומי.

אזהרה: נתגלו טעויות בטבלה המחזורית שאולי תלויה לכם על הקיר. פאדיחות.

אזהרה: מקורות החדשות שלכם עלולים להכיל אוויר חם בכמויות מסוכנות. הם גם ממהרים לסלף ממצאים מדעיים ולעוות אותם (הנה עדכון על האייטם האחרון). מטריד מאוד לנוכח, למשל, בעיות ההסברה של שינוי האקלים הגלובאלי. בשבוע שעבר בילינו 3 שעות מעניינות בלשכתו של אלי ביהם ושמענו ממנו קצת על הצרות העיתונאיות שרדפו אחריו מאז ששם את פניו ברגע לא מתוכנן במרכז המאבק כששוכנע לעלות לדבר נגד החוק ברחבת הסינמטק, וכרגיל אין חדש תחת השמש, העיתונות הישראלית כתבה על הדיקן שהוא דוקטוראנט, שהוא מאסטראנט, ובפרסום אחד אמרו שהוא בכלל חוקר פרטי שעזב את האקדמיה. כל זה בלי קשר לרשימת השטויות שלרוב מתרחקות ב"ציטוטים" שבכתבות מהאמת.

אזהרה: גוגל שוב מפשלים בעמידה בעקרונותיהם הנעלים, ולשם שינוי זה כבר לא נראה כמו טעות. כשאתר כמו יוטיוב מפלה נגד דפדפנים חופשיים (כולל כרומיום לבית גוגל, אביו הרוחני של כרום), יש כאן סיבה להפעיל חשדנות.

אזהרה: נשים מסוגלות לחוש פחד מרחוק. או יותר נכון, מורות שחרדות ממתמטיקה מעבירות בצורה לא מודעת את החרדה לתלמידותיהן.

ראו הוזהרתן.