התקלות והכשלים של המאגר הביומטרי נחשפים

דוח מבקר המדינה חושף ליקויים בהפעלת המאגר הביומטרי: לדבריו, משרד הפנים לא הוכיח מדוע נדרש מאגר ולא רק תעודות חכמות, למדינה נגרמו הפסדים מהחוזה עם הספק ורוב טביעות האצבעות במאגר נסרקו באיכות ירודה ונלקחו בלי התייעצות עם המשטרה

רוב אמצעי הזיהוי נסרקו באיכות רעה (רויטרס)

"הנתונים מצדיקים את המעבר לשימוש בתעודות חכמות, אך לא בהכרח את הצורך במאגר": מבקר המדינה מתח היום (שלישי) ביקורת חריפה על ניהול והקמת המאגר הביומטרי - שתקופת הניסוי ("הפיילוט") שלו הייתה אמורה להסתיים בעוד חמישה ימים בלבד, אך הוארכה היום בתשעה חודשים. מהדוח עולה כי תקופת המבחן בת השנתיים לא מאפשרת לקבל החלטות על הפעלת המאגר באופן מלא בשל היעדר נתונים וליקויים רבים.

לקריאת הדוח המלא לחצו כאן

מדבריו של המבקר, השופט בדימוס יוסף שפירא, מתפרשת המלצה לדחות את ההחלטה הסופית על המאגר - כפי שאכן עשה שר הפנים: "נוכח ההשלכות העלולות להיות לדליפת מידע בעת הנפקת תעודות חכמות ושמירת המידע במאגר, בטרם תתקבל החלטה בסיום תקופת המבחן, על שתי הרשויות לשוב ולוודא כי כל מערכי הטכנולוגיה, התפעול והמערך הביומטרי ליישום החוק עומדים בתקנים וברמת האבטחה".

רוצים לקבל עדכונים נוספים? הצטרפו לפייסבוק רשת

עוד הוסיף המבקר כי "טרם קבלת החלטה באשר לעתידו של המאגר הביומטרי בסיום תקופת המבחן, ראוי ששר הפנים ישוב ויפנה לרשות הממלכתית לאבטחת מידע במשרד ראש הממשלה על מנת לקבל את עמדתה בנושא אבטחת המידע בפרויקט". המבקר טען בדוח המיוחד כי משרד הפנים לא סיפק בשום שלב נתונים מדויקים על גניבת זהות והתחזות - ולכן לא ניתן בשלב זה להחליט האם יש צורך במאגר ביומטרי מקיף בו שמורים פרטי כל האזרחים או להסתפק בתעודות חכמות.

"המעבר לשימוש בתעודות חכמות כשלעצמו אמור לצמצם במידה ניכרת את היקף תופעת הזיוף של מסמכי הזיהוי, בשל הנתונים הביומטריים והקשחות נוספות הכלולים בהן", הסביר. "אין עוררין על הצורך במעבר לתעודות חכמות. אשר לנחיצות קיומו של מאגר ביומטרי, התעוררה מחלוקת ציבורית שנבעה מטענות בדבר פגיעה בפרטיות והחשש מפני דליפת המידע שבמאגר".

בכל ארבע דקות נגנבת זהות? אין הוכחות

המבקר ציין כי טענות משרד הפנים אינן בהכרח מחייבות מאגר ביומטרי מקיף: "לפני שתתקבל החלטה בסיומה של תקופת המבחן בדבר הצורך בקיומו של מאגר ביומטרי, על משרד הפנים להביא לפני מקבלי ההחלטות מידע ונתונים אודות תופעות גניבת הזהות וההתחזות והנזק הנגרם בגינן, אין להסתפק בנתונים על הקלות שבה ניתן לזייף את התעודות הישנות", הוסיף המבקר - וייתכן כי רמז בכך לצורך להאריך את תקופת המבחן ולא להחליט על הפיכת ההצטרפות למאגר לחובה בשלב זה.

במשרד הפנים טענו כי "בכל ארבע דקות נגנבת זהות", אך המבקר ציין כי אין ראיות עובדתיות לטענה ו"למעשה משרד הפנים לא גיבש נתונים מספיקים" על מנת לקבוע בוודאות מהו הנזק לחברה. על כן, הסביר שפירא, קשה לקבוע האם המאגר הכרחי או שניתן להסתפק בתעודות חכמות.

כמו כן נכתב בדוח כי משרד הפנים לא גיבש תכניות עבודה כנדרש, לא בחן את כל החלופות למאגר הביומטרי ורכש מכשירי סריקה באיכות ירודה. מבקר המדינה התריע על חלק מהליקויים כבר לפני כתשעה חודשים, וחלקם אכן תוקנו - אך לא בצורה מספקת לדבריו.

"משרד הפנים לא גיבש נתונים ולא תכניות עבודה"

תקופת המבחן של המאגר הביומטרי, או בשמו הרשמי "תיעוד לאומי ביומטרי", החלה ב-2013 לאחר דיונים ממושכים. המאגר הוקם כדי למנוע התחזות לאדם אחר ולאפשר גישה ל"מנהל זמין". למרות זאת, המבקר מצא כי רוב התעודות שהונפקו לא מאפשרות גישה לממשל זמין: "טרם הושלמה היערכותם של ממשל זמין ושל רשות האוכלוסין להנפקת תעודות אלקטרוניות לחתימה באתרי הממשלה", קבע המבקר, שציין כי חלק מהתושבים יידרשו לשוב למשרד הפנים לעדכון התעודה.

במהלך התקופה הראשונית, שצפויה להסתיים תוך חמישה ימים, ההצטרפות למאגר הייתה בהתנדבות והונפקו תעודות חכמות לכ-430 אלף תושבים. מהדוח עולה כי בתקופה זו נפלו ליקויים רבים בניהול והפעלת המאגר. בין השאר נעשה שימוש במערכת זמנית להשוואת נתונים, שהתגלו בה כשלים רבים. לדברי המבקר, הפעלת המערכת והליקויים שהתגלו "מטילים צל על עצם תקפות תקופת המבחן ותוצאותיה".

המבקר נזף בגופי משרד הפנים - רשות האוכלוסין והרשות שהוקמה לניהול המאגר הביומטרי - שפעלו במשך חודשים ארוכים "ללא תוכנית עבודה מפורטת וללא תשתית מידע ונתונים". למעשה, במשך כשליש מתקופת הפיילוט - שמונה חודשים מתוך שנתיים - לא התקיימה תכנית מפורטת: "פרק הזמן שבו התנהלה תקופת המבחן ללא תכנית עבודה מפורטת כאמור הוא משמעותי, ולא היה מקום לעיכוב כה ממושך בהכנת תכנית העבודה".

השר שלום ועמדה ביומטרית בנתב"ג (פלאש 90)

טביעות אצבעות נסרקו במכשור ישן - ולא זוהו במכשירים ובנתב"ג

כמו כן, עולה מהדוח, במשרד הפנים הזדרזו לחתום על הסכם עם ספק לייצור תעודות חכמות כשנה לפני העברת החוק - וזאת בניגוד להוראות היועץ המשפטי לממשלה לפיהן אין לפרסם מכרז שמתבסס על חקיקה שלא הושלמה. במסגרת ההסכם עם הספק שולמו לו למעלה מ-200 מיליון שקלים עבור חמש מיליון תעודות חכמות, למרות שנעשה שימוש רק במיליון. המבקר ציין כי התנהלות זו גרמה ל"הפסדים הנובעים מהתקשרות להספקת תעודות זהות חכמות".

אחד הכשלים המרכזיים שמופיעים בדוח הוא איכות הסורקים הביומטריים: בתחילת הניסוי רכש משרד הפנים סורקים, שלאחר מספר חודשים התברר כי יש צורך לרכוש סורקים טובים ויקרים מהם. טביעות אצבע רבות של אזרחים שנסרקו במכשירים הישנים גרמו לכשלים ולא זוהו בהצלחה: "הן במאגר והן על גבי התעודות החכמות מצויות מאות אלפי טביעות אצבע שנסרקו בסורק שהוחלט להחליפו". 

כתוצאה מאיכות הסריקה, זוהו כשלים רבים במערכת וגם נוסעים לחו"ל לא זוהו על ידי המערכת: 16% מנסיונות הזיהוי בנתב"ג נכשלו - שיעור גדול בהרבה מהצפי של רשות האוכלוסין. הבדיקות גילו כי יש להחליף בדחיפות את הסורקים - אך אלו הוחלפו רק לאחר חודשים ארוכים ולאחר ניסויים חד משמעיים בהם התברר כי איכות סריקות האצבעות "אינה טובה".

האיכות של חלק מטביעות האצבע, שהתקבלו תוך שימוש בסורק שהוחלט להחליפו, הביאה לשיעור התראות שווא גבוה במיוחד. גם כאשר ניסו הישראלים שהצטרפו למאגר לאסוף את התעודה החכמה, סריקת הטביעות באיכות הנמוכה הובילה לכשלונות רבים בזיהוי  - 35% מכל הנסיונות כשלו, ועבור אלפי אנשים נדרשו עשרה נסיונות ומעלה. 2,314 תעודות נמסרו לאנשים למרות שהזיהוי הביומטרי נכשל, בזכות אישור מנהל.

משרד הפנים קנה סורק פגום, ולא התייעץ עם המשטרה

למעשה, התברר, בסורק הישן שיעור התראות השווא גדול בהרבה מכפי שהוצהר במכרז ובצו החוקי להקמת המאגר: "בסורק החדש מתקבלות 11 התראות שווא ואילו בישן 38 מיליון התראות שווא עבור סיכוי דומה לתפיסת כפיל". כמו כן חשף המבקר כי שר הפנים דאז גדעון סער לא עודכן בנושא.

בדוח מצביע המבקר גם על חוסר תיאום משמעותי בין משרד הפנים למשטרה: "הביקורת העלתה שרשות האוכלוסין בחרה סורק טביעות אצבע בלי להיוועץ בנושא עם מעבדת השוואת טביעות אצבע הפועלת במשטרה, שהיא אחד ממוקדי הידע המרכזיים בנושא זה ברשות המבצעת" - וזאת למרות שהמאגר אמור לשמש גם את המשטרה לצורך פענוח פשעים.

"יש לבחון האם ישנן השלכות נוספות לכך שבמאגר ובתעודות החכמות ישנן מאות אלפי טביעות אצבע שנסרקו בסורק שהוחלט להחליפו, כגון על עבודת המשטרה, על המעבר במעברי הגבול ועל שימושים אפשריים עתידיים בתעודות החכמות", הוסיף השופט בדימוס שפירא.

מבקר המדינה, השופט יוסף שפירא (חדשות 2)

"לא בחנו שיטה חלופית להצפנה"

אחד הדיונים הסוערים בין תומכי החוק ומתנגדיו הוא על שיטת הצפנת הקבצים: פעילים רבים הביעו דאגה כי המאגר ידלוף כפי שדלפו קבצים רבים אחרים - בהם מאגר משרד הפנים - ועל כן יש למנוע מצב שבו ניתן יהיה למצוא ולאתר את הפרטים הביומטריים של אדם ספציפי. המתנגדים הציעו שיטה חלופית, שכונתה "שיטת ההקבצים" - כלומר שיטה המקשרת בין נתוניו של תושב לכמה מאות זהויות אפשריות ולא לזהות יחידה.

במשרד הפנים התעקשו מתחילת הפרוייקט על קישור ישיר בין הנתונים לבין זהותו של האזרח, ולבסוף סוכם כי ייבחנו החלופות. עם זאת, המבקר קבע בדוח כי "לא נעשתה בחינה של שיטת ההקבצים, וספק אם בחינת חלופה זו תתאפשר לפני תום תקופת המבחן" - כלומר, משרד הפנים לא התייחס למחאה נגד המאגר ולדרישות למערכת מוצפנת שונה.

בהקמת המאגר קיים קושי נוסף: איך יידעו במשרד הפנים כי האדם שמבקש להוציא תעודה ביומטרית אינו מתחזה? המבקר קבע כי רשימת השאלות שגובשה ("תשאול") "לא הבטיחה בצורה מספקת" הגנה מפני מתחזים. מי שלא צלח את השאלות הראשוניות ולא הצליח להוכיח את זהותו, "נשאל סדרות שאלות נוספות עד להצלחתו". בשל כך, קבע המבקר, "מתעורר ספק אם ניתן להסתמך על התשאול לצורך בחינתו כחלופה ממשית למאגר".

מהרשות לניהול המאגר הביומטרי נמסר בתגובה:

"כלל הממצאים והפערים עליהם הצביע מבקר המדינה בדוח טופלו במלואם על ידי הרשות הביומטרית זה מכבר. לאורך תקופת המבחן, נבדק פרויקט התיעוד הלאומי הביומטרי בזמן אמת על ידי מבקר המדינה. העובדה שהבדיקה בוצעה באמצע תקופת המבחן ובזמן אמת אפשרה לרשות לתקן את הליקויים עליהם הצביע המבקר כבר במהלך תקופת המבחן. כל הפערים והליקויים טופלו ותוקנו במלואם זה מכבר, והדברים פורטו במסגרת הדוח המסכם שהוגש לכנסת ובמסגרת מסמכים שהועברו למשרד מבקר המדינה".

"בנושאים המהותיים וביניהם השימוש במערכות ההשוואה הביומטריות וכן בנושא סורקי טביעות האצבע, הבהירה הוועדה החיצונית המקצועית מפקחת על התנהלות תקופת המבחן בדוחות אשר הגישה, כי נחה דעתה והשימוש במערכות הרשות מאפשר בדיקה מלאה ומהימנה לכלל המבדקים הנדרשים בחוק. כלל הגורמים המעורבים בצורה ישירה והדוקה בפעילות הרשות העבירו המלצה חד משמעית המבהירה שמולאו בהצלחה כל חובות תקופת המבחן, הוכח הצורך ונחיצות המאגר וכן כי נדרש מאגר ביומטרי כדי לאפשר התמודדות עם תופעת גניבת הזהות וההתחזות במדינה".