|
המאגר הביומטרי
דניאל ברודנר, יועץ ראשי תחום אבטחת מידע CA Technologies
מזה זמן מקדמת המדינה את הקמת המאגר הביומטרי של אזרחי מדינת ישראל, כפי הנראה כוונת המדינה במאגר זה לצמצם את תופעת גניבת הזהויות וצמצום הפשע. כפי ששמענו בשנים האחרונות, אנשים השתמשו בתעודות זהות מזוייפות, פתחו חשבונות בנק, נכנסו לחובות, מכרו נכסים שאינם שלהם בזהות מזוייפת וסיבכו את בעלי הזהות האמיתיים.
ישנם המצדדים בהנפקת תעודות זהות חכמות שהחתימה הביומטרית נמצאת על התעודה בלבד ואינה נמצאת במאגר מרכזי, שימוש בתעודה כזו מאפשרת לנושא התעודה להוכיח שהוא בעל התעודה והתעודה הונפקה כדין, אך החסרון בתעודה כזו ללא שימוש במאגר מרכזי הוא שכל אדם יכול להגיע למשרד הפנים, לדווח שאבדה לו התעודה ולבקש הנפקה מחודשת של תעודה של מישהו אחר עם חתימה ביומטרית של גנב הזהות, כך שלא ניתן יהיה להבדיל בין בעל הזהות האמיתי והזייפן ולמעשה לא צמצמנו את תופעת גניבת הזהויות.
לעומת זאת כאשר קיים מאגר ביומטרי מרכזי, במידה וגנב זהות ינסה להנפיק תעודת זהות נוספת החתימה הביומטרית שלו תבדק לפני ההנפקה מול המאגר המרכזי ואז יתגלה ניסיון הזיוף.
ישנם מספר ענינים לוגיסטיים להם יש לשים לב מה קורה בתחילת הדרך, במקרה וזייפן הזהות הנפיק תעודת זיהוי לפני בעל הזהות המקור, איך תתבצע ההפצה של רשימות שחורות של תעודות זהות מזוייפות.
ישנם מספר חסרונות במאגר הביומטרי המרכזי, אנחנו לא יודעים את כל השימושים שמתכננת המדינה במאגר זה, מאפשרות של המדינה להיות "האח הגדול" דרך שימוש בנתונים ביומטריים של האזרחים לצרכים שונים, שחלקם אף יכולים לסבך אזרחים.
חסרון נוסף הוא שלא משנה כמה יגנו על מאגר זה, מאגר זה שעליו סומכים כולם יהווה יעד לארגוני פשע, ארגוני טרור, מדינות אוייב שינסו לשים את ידיהם על מאגר זה במטרה לזהות אנשים מכוחות הבטחון שביצעו פעולות, לשתול זהויות במאגר ללא ידיעת הנוגעים בדבר. כמו שראינו בעבר עם מרשם האוכלוסין.
ברגע שיוקם מאגר זה, הגופים השונים בארץ המסתמכים על תעודות הזיהוי של האזרחים יחיו בתחושה שבה התעודה חסינה מזיוף.
לפי מה שפורסם לא מזמן בוצעו סקרי סיכונים ונמצאו מספר פרצות שאני מעריך שתוקנו, אך יש לשים לב שהפרצות מתייחסות לפרצות ידועות כמו חוסר בכלי אנטי-וירוס או עדכון ידני של טלאים על מערכת ההפעלה, או כלי איתור וחסימת ניסיונות פריצה. חוסרים אלו גם אם טופלו הם עדיין רק קצה הקרחון כיוון שכלים אלו מיועדים לטפל בניסיונות פריצה הידועים לעולם, מה קורה עם פרצות שעדיין לא ידועות וכפי שאנו שומעים בכל מספר ימים מכריזים על פירצה חדשה במערכת הפעלה, בתוכנה כלשהי, בד"כ תיקון כזה אורך מספר ימים בינתיים המערכת חשופה. צמצום חשיפה זו יכול להתבצע ע"י כלי מעטפת נוספים שאינם תלויים בתשתיות ונועלים את התשתית. כמו כן מה עושים עם בעלי התפקידים להם יש גישה למאגר, שמענו לא מעט פעמים על בעלי תפקידים רגישים שגרמו לזליגת מידע רגיש, לכן יש צורך בהפרדת סמכויות ברמה הגבוהה ביותר וכל פעילות צריכה להתבצע ע"י יותר מגורם אחד וכמו כן להיות מבוקרת כל הזמן ע"י גורם שלישי שאינו תלוי. מה עם הנתונים עצמם, האם ישנה אפשרות לשמור את הנתונים בפורמט חד כיווני בו לא ניתן לאחזר את הנתונים הביומטרים אלה רק לבדוק מולם.
ישנן מספר הצעות חלופיות למאגר מרכזי כגון ערבות הדדית שבה הזיהוי הביומטרי מאוחסן בתעודות אחרות של קרובי משפחה במקום במאגר מרכזי.
לסיכום האם מאגר ביומטרי הוא משהו טוב או רע? יש לכמת את הסיכונים אליהם אנחנו חשופים ללא מאגר מרכזי ואת הסיכונים כאשר המאגר קיים, יש לשקול את החלופות בהן לא קיים מאגר מרכזי שעלול לשמש למטרות שונות מאשר מה שהציבור מעוניין.
אודות CA Technologies
חברת CA Technologies INC. (NASDAQ: CA) מציעה תוכנות ושירותים לניהול המחשוב. קבוצת CA Technologies טכנולוגיות מתמחה בכל סביבות המחשוב – ממחשוב מיינפריים ועד סביבות וירטואליות וענני מחשוב. CA Technologies מנהלת סביבות מחשוב, מאבטחת אותן ומסייעת ללקוחות לספק שירותי מחשוב גמישים יותר. המוצרים והשירותים החדשניים של CA Technologies מעניקים תובנות חיוניות ושליטה מקיפה למחלקות מיחשוב שמבקשות לקדם את הגמישות העסקית. מרבית החברות ברשימת Global Fortune 500 מנהלות את מערכות המחשוב המתפתחות שלהן בעזרת CA Technologies טכנולוגיות. מידע נוסף באתרTechnologies CA, בכתובת www.CA Technologies.com. עקבו אחר CA Technologies בשירות Twitter, בכתובת www.twitter.com/CA Technologiesinc.
++++++++++++++++++++++++++++++++++++++++++++++++
לפרטים נוספים: ויינשטיין איריס, טל: -19016660 – 03, 4363334 – 054
תגיות של המאמר:
|
