המכרז לאבטחת המאגר הביומטרי: מהלך לגיטימי או פתח לדליפת מידע?
ממשלת ישראל מחפשת חברות חיצוניות לאספקת שירותי ייעוץ ויישום אבטחה לתוכנית המאגר. לטענת מתנגדיה, מדובר בהפרטה - טעות שהובילה בעבר לדליפת נתוני מרשם האוכלוסין. לעומתם, טוענת המדינה שלא תתאפשר גניבת מידע
נערכים לתחילת פעילות המאגר הביומטרי: משרד הפנים פרסם בימים האחרונים מכרז (קובץ PDF) שמזמין חברות חיצוניות לספק שירותי ייעוץ ויישום בתחום אבטחת המידע. בתנועה לזכויות דיגיטליות, שמובילה את ההתנגדות למאגר, אומרים כי מדובר בהפרטת אבטחת המידע שלו, אבל גורם ברשות לניהול המאגר הביומטרי טוען בתגובה: האבטחה תנוהל על ידי עובדי הרשות בלבד.
- פיילוט המאגר הביומטרי יתחיל בתוך שבועיים
- פיילוט המאגר הביומטרי יוצא לדרך - המתנגדים עדיין לא מרוצים
- חוק המאגר הביומטרי: העתירה לבג"ץ נדחתה, הפיילוט ישתנה
הקמת המאגר הביומטרי, ששלב הפיילוט שלו צפוי להתחיל בעוד כשבועיים, היתה הליך שנוי במחלוקת שעורר התנגדות עזה בקרב גורמים שונים בכל שלבי חקיקתו וגיבושו. לכל אורך הדרך הבטיחו מובילי התהליך, ובראשם ח"כ מאיר שטרית (שיזם והוביל את התהליך תחילה כשר פנים ומאוחר יותר כיו"ר ועדת המדע והטכנולוגיה), שהמאגר יהיה מאובטח לחלוטין ושדליפה משמעותית של מידע אינה אפשרית.
ואולם, כעת מפרסם משרד הפנים מכרז שלפי מתנגדי המאגר דווקא עלול להגדיל את הסיכוי לדליפתו. המכרז מחפש "חברת אבטחת מידע שתסייע לתחום אבטחת המידע בניהול, ביישום ובבקרה השוטפת של אבטחת המידע (במאגר הביומטרי)”. לפי המכרז, לא מדובר רק במתן שירותי ייעוץ חיצוני, אלא בביצוע פעולות שונות שחלקן כרוכות בגישה ישירה למאגר. אלו כוללות "ביצוע מבדקי חדירה אפליקטיביים ותשתיתיים" (כלומר, ניסיונות פריצה אקטיביים למאגר על מנת לבדוק את אבטחתו) ו"טיפול מעשי (Hands On) בנושא System ותקשורת".
לדברי התנועה לזכויות דיגיטליות משתמע מכך שלזוכה במכרז תהיה, לכאורה, גישה לנתונים הרגישים מאוד ששמורים במאגר. בתנועה מציינים עוד שיש בכך עבירה לכאורה על חוק המאגר הביומטרי. כך, לדוגמה, בסעיף 10 ג' בחוק מצוין כי "המאגר הביומטרי יהיה חסוי ולא ימסר ממנו מידע או תתאפשר גישה אליו אלא לפי הוראות חוק זה", וסעיף 13 א' 2 קובע כי הגישה למאגר למי שאינם עובדי רשות המאגר הביומטרי תהיה מוגבלת מאוד ותתבצע רק בליווי עובדי הרשות. תנאי המכרז סותרים לכאורה את סעיפים אלו.
המתנגדים: הממשלה חוזרת על טעויות העבר
מעבר לאי-העמידה לכאורה בדרישות החוק, מתנגדי המאגר מזהירים מפני הסכנה שבשילוב גורם חיצוני באבטחתו. מה שהייתה אולי דליפת המידע החמורה ביותר בישראל, זו של מאגר מרשם האוכלוסין, החלה אחרי שעובד קבלן במשרד העבודה והרווחה העתיק את המאגר והעבירו לאחד מלקוחותיו האחרים. מסיבה זו, בין השאר, התעקשו מתנגדי המאגר לאורך הליך החקיקה שרק לעובדי הרשות, שהינם עובדי מדינה, תהיה גישה למאגר.
בשיחה עם "כלכליסט" הכחיש גורם ברשות לניהול המאגר את הטענות והבהיר שאבטחת המאגר תישאר בידי עובדי מדינה בלבד, כאשר פעילותה של החברה הזוכה במכרז תסתכם בביצוע ניסיונות פריצה לבדיקת הגנות המאגר ובמתן ייעוץ לעובדי הרשת בהליכי הרכישה וההטמעה של מערכות האבטחה השונות.
"עובדי הספק הזוכה יעמדו ברמת סיווג 'סודי ביותר' של השב"כ, כמו עובדים שלנו", הוסיף הגורם. "הם יגיעו ויעבדו אצלנו, לא יראו שום נתונים ביומטריים ובטח לא יוציאו החוצה שום נתון. אין סוגיה של לתת את האבטחה לגורם חיצוני. צוות האבטחה מורכב מעובדי רשות, מונחי שב”כ. מדובר במכרז של לקחת חברה חיצונית שתסייע להם בהטמעה וגם תערוך סקרי סיכונים”.
לגבי הסעיף שלפיו השירות שתיתן הזוכה במכרז יכלול "טיפול מעשי (Hands On) בנושא System ותקשורת" אמר הגורם שמדובר בסעיף שהוכנס על מנת לסנן גורמים שאין להם ידע וניסיון מעמיקים ורחבים מספיק בתחומים בהם יעסקו ושנועד לוודא שהעובדים החיצוניים שיגיעו יהיו בעלי ידע מעשי ממשי בנושאי השונים. הוא הבהיר שהסעיף לא מייצג את הפעולות שיבצעו בפועל עובדי החברה שזכתה במכרז בתשובה, ושאלו יהיו מוגבלות לסקרי סיכונים וייעוץ. לשאלה מדוע לא הוכנסה דרישה מסוג זה לחלק הרלוונטי במכרז, למשל תנאי הסף, השיב כי זו הדרך שנבחרה על מנת לבצע את הסינון.
המכרז מסכן את החברה שתזכה
עו"ד יהונתן קלינגר מהתנועה לזכויות דיגיטליות, טען עוד כי קיום תנאי המכרז יכול, לכאורה, להפוך את החברה הזוכה בו לעבריינית. זאת, מכיוון שהמכרז דורש ביצוע מבדקי חדירה למאגר אך החוק עצמו אינו מתיר ביצוע מבדקים כאלו ולמעשה קובע שכל המשיג מידע מן המאגר "שאינו זכאי לקבלו לפי חוק זה" ייענש בשבע שנות מאסר.
"ככל שהחדירה האפליקטיבית תצלח, הרי שיש בכך כדי להטיל אחריות על החודר", כתב קלינגר במכתב שנשלח ליועץ המשפטי לממשלה. "כמו כן, במידה ואכן תצלח החדירה האפליקטיבית, הרי שמנהלי הרשות יהיו אחראים ברשלנות לפי סעיפי החוק. במקרה בו החדירה האפליקטיבית לא תצלח, הרי שהמנסה לחדור עדיין יבצע עבירה פלילית של ניסיון”. בתשובה לטענה אמר הגורם שהדבר מוסדר כחלק מהצו להפעלת המאגר.