המהומה סביב דליפת מסמך הייעוץ על כשלי האבטחה בתעודות הזהות החכמות מטשטשת את העיקר: הנפקת תעודות חכמות מתעכבת שבע שנים בגלל פרויקט המאגר הביומטרי. עכשיו מסתבר שהלהט הביומטרי גם גרם להזנחת האבטחה של התעודות. בניגוד למה שנאמר במסמך, חובת ההתייעצות עם הרשמת לא קוימה כיוון שרשות האוכלוסין מנעה ממנה את כל המידע הרלבנטי. מדובר בחובת התייעצות על פי דין, וככזו חל עליה חוק חופש המידע. רשות האוכלוסין אולי אינה חייבת לאמץ את כל ההמלצות של הגורם המייעץ, אבל היא חייבת לדווח לציבור שכך היא נוהגת ולהסביר לנו מדוע.
אתמול אחר הצהריים הגעתי לביתי לאחר יממה של עבודה במשרד. עמדתי להישכב לישון ואז צלצל הטלפון ויהונתן שלח אותי לבדוק את המיילים. הסתבר שהמנויים ברשימת התפוצה של רמו"ט (הרשות למשפט ולטכנולוגיה) קיבלו מסמך התייעצות בעניין הסדרי ההבטחה של הפרויקט הביומטרי. יהונתן שאל אם לדעתי המסמך הופץ בכוונה.
להמשך הרשימה … הדברים החמורים שנכתבו על הכשלים באבטחת המידע של הפרויקט הביומטרי עוררו חשד שהמסמך לא אמור היה להתפרסם, לפחות לא במקביל להעברתו לרשות האוכלוסין. מזה שנים אני עובד מול א/נשי רמו"ט והמחלקות במשרד היועמ"ש. מעולם לא הצלחתי לחלץ מהם מידע פנימי. במשך הזמן גם למדתי שאסור לנסות. בכל פעם ששאלתי בתום לב שאלה, שבדיעבד הסתבר שאיני אמור לשאול, נתקלתי במבט מרצין אפילו רוטן והאווירה הפכה להיות קרירה ורשמית.
החלטנו אפוא להמתין ולא לעשות שימוש במה שקיבלנו. אבל בתוך שעות הדברים הגיעו מכל עבר, ועכשיו הם כבר מרוחים בראש דף הבית של "הארץ".
כמה הערות:
מדובר בהתייעצות רשמית בהתאם להוראות של תקנות תעודה אלקטרונית. התקנות הללו אושרו בוועדת החוקה של הכנסת, לאחר שחברי הכנסת הניחו, שרשות האוכלוסין תקיים התייעצות עם הגורם המקצועי, כלומר עם רמו"ט, בהתאם לכללי המשפט המנהלי: לא כלאחר יד אלא בנפש חפצה מתוך רצון כנה לבחון את הדברים ולהעמידם לביקורת.
לא זה מה שעולה מהמסמך שמתעד את ההתייעצות. רשות האוכלוסין מקיימת התייעצות למראית עין, ואפילו מסרבת להעביר את כל המידע הנחוץ כדי שהתמונה המלאה תעמוד בפני הגורם המייעץ. למישהו אצה הדרך להקים את המאגר הביומטרי. נכון, כאן מדובר על הנפקת תעודות חכמות. אבל הרי את אלו יכלו ועמדו להנפיק כבר לפני 7 שנים. בכל הזמן שחלף מאז משרד הפנים מנע מאיתנו תעודות חכמות רק כדי לקשור בין ההנפקה לבין הקמת מאגר ביומטרי מסוכן ושערורייתי.יתר על כן, ההחלטה להכניס ביומטריה ולהקים מאגר הפכה את הנפקת התעודות לפרויקט משני, ומסתבר שגרמה להזנחת נושא האבטחה של התעודות.
אז עכשיו כולנו שקועים בתוך הבוץ הביומטרי ופקידים בלתי נלאים חותרים במרץ להקים את המאגר המסוכן בכל מחיר. אז מה אם הפרויקט אינו מאובטח דיו? אז מה אם הבטיחו לכנסת להתייעץ עם הגורמים המקצועיים? העיקר ששופכים כסף על קמפיין מאחז עיניים – מסע תעמולה שמבטיח לציבור "תעודה חכמה" ומשתדל להעלים את המאגר.
כל ההתנהלות שמלווה את המאגר הביומטרי משדרת בוז וזלזול – בכנסת, בגורמים המקצועיים, בפרטיות ובכולנו.
אז עכשיו יש לרשות האוכלוסין טענות בגלל שמסמך "ההתייעצות" התפרסם? שירגיעו. אם כבר, הטענה צריכה לבוא מהכיוון הנגדי. באחרית המסמך כותבת ראשת רמו"ט: הנני לאשר שחובת ההתייעצות קוימה. זה לא נכון. אמנם החובה להיוועץ אינה כוללת את החובה להסכים עם עמדת המייעץ. אבל היא כוללת את החובה לספק לו את מלוא המידע הדרוש. רשות האוכלוסין לא עשתה זאת, ולכן חובת ההתייעצות לא מולאה.
המחדל הזה, ביחד עם שורת המחדלים החמורים שנחשפה בכל הקשור לפרויקט המאגר הביומטרי – כל אלה הם מסוג הדברים שבגללם הציבור זכאי לדעת בדיוק את עמדת הגורם המייעץ. ואכן, על המסמך שפורסם חל עקרון השקיפות. לפי חוק חופש המידע (סעיף 9(ב)(4)), הסייג לעקרון השקיפות, שעניינו "התייעצות פנימית" אינו חל על "התייעצות הקבועה בדין".
רשות האוכלוסין אולי אינה חייבת לאמץ את כל ההמלצות של הגורם המייעץ, אבל היא חייבת לדווח לציבור שכך היא נוהגת ולהסביר מדוע.
מכתב רשמת הגורמים המאשרים (רמו"ט)
חוות דעת אבטחת מידע
עודד ירון "בדיקה גילתה ליקויי אבטחה חמורים בחלק חשוב בפרויקט התעודות הביומטריות" הארץ 1.7.2013
יהונתן קלינגר "עוד סדק בחומת האבטחה הביומטרית" Intellect or Insanity (בלוג) 1.7.2013
אין תגובות:
הוסף רשומת תגובה