חומר רקע

PDF 200,440 תווים המסמך המקורי ↗
מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד1 מתוך111 הרשות לניהול המאגר הביומטר י דו" ח מעודכן ל סיכום תקופת המבחן יוני 3102 - דצמבר3102 דצמבר3102 מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד2 מתוך111 :תוכן העניינים 0. תמצית הדוח המסכם ................................ ................................ ................................ ....................... 4 3. רקע ................................ ................................ ................................ ................................ ................ 9 2. נחיצות המאגר - הצורך והיקף תופעת ג ניבת הזהות וההתחזות ................................ .......................... 12 4. מטרות התיעוד החכם והמאגר הביומטרי ................................ ................................ ......................... 44 2. הרשות הביומטרית והמאגר - תכולה ופעילות ................................ ................................ .................. 41 6. אבטחת ידע מ ,פרטיות ופיקוח ................................ ................................ ................................ ......... 49 7. שיפורים ושינויים טכנולוגיים ואחרים שבוצעו במסגרת תקופת המבחן ................................ .............. 75 8. מדדים ,בחינות נדרשות וביצועי המערכות בתקופת המבחן ................................ ................................ 04 9. בדיקת חלופות בהתאם לנדרש בחקיקה ................................ ................................ ........................... 51 01 . תקציב הרשות לניהול המאגר הביומטרי ................................ ................................ ........................ 244 00 . האפשרויות בתום תקופת המבחן ומשמעויותיהן ................................ ................................ ............. 247 03 . סיכום והמלצות ................................ ................................ ................................ ......................... 245 02 . נספחים: ................................ ................................ ................................ ......................... 224 מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד3 מתוך111 לכבוד המשנה לראש הממשלה ו שר הפנים , חבר הכנסת סילבן שלום :הנדון דו"ח מסכם לקראת הגשת דיווח השר וראש הממשלה בנושא תקופת המבחן לפרויקט הביומטרי בהתאם ל הוראות סעיף14 (4) לחוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי ז והי י ובמאגר מידע, התש"ע- 9002 (להלן- "החוק"), נקבעה תקופת מבחן שבמהלכה יחולו הוראות החוק על תושבים שיתנו את הסכמתם לכך בכתב, במטרה לבחון את אופן היישום של הוראות החוק, את נחיצות קיומו של מאגר ביומטרי .ומטרותיו, את המידע שיש לשמור במאגר ואת אופן השימוש בו על פי הוראות החוק, נ קבע צו הכללת אמצעי זי ה וי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התשע"א- 9044 המסדיר את תקופ.ת המבחן פרוטוקול תקופת מבחן אשר מפרט את הפעילויות הנדרשות לביצוע בתקופה זו אושר ביוני9042 . תקופת המבחן החלה ב תאריך20.2.9042 ות סתיים ב תאריך24.02.9042 . בהתאם להוראות סעיף14 (1 ) לחוק על שר ,הפנים ועל ראש הממשלה לדווח20 ימים לפני תום תקופת המבחן לכל המאו חר, לוועדת השרים ליישומים ביומטריים ולוועדה של הכנסת שבה יהיו חברים חברי ועדת הכנסת המשותפת ליישומים ביומטריים וחברי וועדת .הכנסת המשותפת, על ממצאי הבחינה, כאמור לעיל אני מתכבד בזאת להגיש א ת ה דוח המסכם את פעילות הרשות לניהול המאגר הביומטרי במהלך תקופת המב חן עד כה .הדוח כולל התייחסות ל ,סטטוס הפעילות ,הבדיקות והמדידות שבוצעו בהתאם לדרישות החוק פירוט אירועים חריגים ואיתור ניסיונות התחזות שנמנעו באמצעות ,מערכות המאגר ,אופן יישום ההוראות לפי החוק תיאור בחינת נחיצות קיומו של המאגר כולל ה צורך והסיכונים במצב הקיים בעידן ה תיעוד 'הישן', תיאור בחינת חלופות שעשויות להוות תחליף למאגר כהגדרתו בחוק, תהליך בחינת היקף המידע שיש לשמור במאגר וכן אופן השימוש ב .מידע 40 בדצמבר 9042 _______ __ __________ ________________ _____ ___ גון קמני תאריך ראש הרשות לניהול המאגר הביומטרי מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד4 מתוך111 0. תמצית הדוח המסכם 0.0 . כללי מסמך זה מציג דין וחשבון מסכם לש ה פעילויות אשר ביצעה הרשות לניהול המאגר הביומטרי (להלן : "הרשות", או "הרשות הביומטרית" )במסגרת תקופת המבחן בהתאם להוראות החוק להכללת אמצעי זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע ,התש"ע – 9002 (להלן "החוק") ובהתאם לצו הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע ,התשע"ג – 9049 ( ,להלן "הצו )"אשר מסדיר את תקופת המבחן. בהתאם להוראות החוק, על ראש הממשלה ושר הפנים להעביר דיווח בדבר הבדיקות המבוצעות בתקופת המבחן ותוצאותיהן ,עד 20 יום לפני תום התקופה ,דהיינו סוף חודש דצמבר9042 . תקופת המבחן החלה בסוף חודש יוני 9042 ולאחר כשלושה חודשי פריסה הדרגתית של מערך ההרכשה הביומטרית ב לשכות רשות האוכלוסין ברחבי הארץ הח לו תושבי ישראל ל הצטרף לפרויקט עוד י הת הלאומי החכם ולמאגר הביומטרי. עד תחילת חודש דצמבר3102 הצטרפו לפרויקט באופן וולונטרי ל מעל ה מ- 821 אלף מתושבי מדינת ישראל ,ש קיבלו תעודות זהות /ו או דרכונים חכמים י וא פשרו את ההגנה על זהותם ופרטיותם באמצעות המאגר הביומטרי . שיעור המצטרפים הגבוה עלה על המשוער ואפשר לקיים בחינות מקיפות .ומעמיקות כנדרש בחוק מערכות הרשות הביומטרית ביצעו מאות אלפי השוואות ביומטריות ל בקשות לקבלת תיעוד לאומי חכם שמטרתן למנוע מקרים של הרכשה כפולה ו/או גניבת זהות1 . מרבית הבקשות התגלו ,כתקינות אושרו והועברו להנפקת ת עוד י . מעל4,000 בקשות נדחו בשל חוסר התאמה של הפרטים הביומטריים או חשד להתחזות ,כפי שידווח בהמשך המסמך . לתוצרי הפעילות המוצגים במסמך זה שותפים ה לשכה המרכזית לסטטיסטיקה (הלמ"ס), ה מרכז למחקרים צבאיים ברפא"ל ,ה מטה ללוחמה בטרור )(במועצה לביטחון לאומי במשרד רה"מ ,המכון למדיניות נגד טרור במרכז הבינתחומי בהרצליה ,משטרת ישראל ,רשות האוכלוסין וההגירה ,משרד הפנים ,המוסד ל ביטוח לאומי , המשרד לביטחון פנים ויועצים מומחים בתחומי ם של יישומים ומערכות ביומטריות ,צופן ,ואבטחת מידע. 0.3 . הנושאים המרכזיים בהם דן המסמך על פי הנחיית החוק ,התקיימו בתקופת המבחן בדיקות מקיפות באשר לנחיצות ה מאגר ה ביומטרי ו מטרותיו. הבדיקות והמדידות ונ הלו ובוצעו בהתאם ל דרישות החוק ,הצו ו פרוטוקול תקופת המבחן (להלן "הפרוטוקול,)" אשר מרחיב את האמור בצו ומפרט את מכלול ההיבטים של תקופת המבחן ואת מכלול 1 הרכשה כפולה היא מקרה בו לאדם אחד הונפקו שתי תעוד ות יז הוי או דרכונים בזהויות שונות .גניבת זהות היא מקרה שבו באופן מכוון אדם המבקש תיעוד לאומי מתחזה לאחר. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד5 מתוך111 התהליכים שייבחנו בתקופה זו על ידי כל הגורמים המעורבים בתקופת המבחן כולל פירוט של מדדי ביצוע ובקרה. כפועל יוצא של הבדיקות שביצעה ה רשות הביומטרית בתקופת המבחן, ניתן להצביע על הנושאים המרכזיים הנכללים ב מסמך זה ובמסמכים ה נלווים אליו: 4. בחינת הצורך בת י עוד ביומטרי חכם המבוסס על מאגר ביומטרי ו וא מדן ל היקף הנזקים הנגרמים למדינה כתוצאה מ העדר עוד ית .חכם ומאגר ביומטרי 9. בחינת ה היקף של תופעת הרכשות כפולות וגניבת זהות במדינת ישראל בצירוף דוגמאות .מהעולם 2. מ אגרים ביומטריים ומ גמות עולמיות .בתחום הביומטריה ויישומיה 1. עוד ית חכם ומאגר ביומטרי ככלי למניעת פשיעה וטרור– עבודת מחקר של המכון למדיניות נגד טרור במרכז הבינתחומי בהרצליה . 2. בחינת חלופות למאגר הביומטרי כנדרש ב חוק ,ןה וב חלופות הכוללות: הרכשה ושמירה של נתונים ביומטריים שונים ,אימות זהות באמצעות תשאול ומימוש מאגר ביומטרי בשיטת ההקבצים . 2. אופן יישום הוראות החוק. 7. תצורת אבטחת המאגר ,ההגנה על פר טיות נתוני התושבים המאוחסנים בו, סקרי סיכונים ומבדקי .אבטחה 0.2 . תופעת ההתחזות וגניבת ה זהות והסכנות הגלומות בה עם התקדמות תקופת המבחן הסתבר כי תופעת ההתחזות והשימוש בזהויות בדויות בישראל היא תופעה רחבת היקף המהווה גורם סיכון לאומי ו בעלת היבטים פליליים ,כלכליים ובטחוניים , כולל פוטנציאל פגיעה .בתהליכים הדמוקרטיים במדינה נתוני מחקר שערכה משטרת ישראל מצביע ים על היקף רחב מאד של ניסיונות להשיג תיעוד זיהוי לאומי תוך התחזות בלשכות רשות האוכלוסין .ממחקר זה ניתן להסיק כי ישנם עשרות אלפי עבריינים העושים שימוש עוד י בת מזויף למגוון עבירות ופשעים ואף לפעילות טרור. השיטה בה נוקטים עבריינים כיום ל השגת תיעוד בזהות בדויה מבוססת בעיקר על זיוף ית עוד או רכיש י ת ת עוד ,מזויף ושימוש בו גם לצורך הזדהות בלשכות רשות האוכלוסין לשם הנפקה של תיעוד "לגיטימי" חדש, ו/או .נוסף המעבר לתיעוד ביומטרי חכם שאותו לא ניתן לזייף ,ימנע מעבריינים לנקוט בשיטת הפעילות ה מקובלת כיום , כך שהאפשרות היחידה ל השיג תעוד בזהות בדויה תהיה בתהליך הנפקת התיעוד בלשכות רשות האוכלוסין , .תוך התחזות לאחר לצורך קבלת תיעוד בזהות בדויה תהליך הנפקת התיעוד הביומטרי כולל הליך של תשאול מבקש התיעוד שנועד לזהות אותו טרם ההנפקה של התיעוד המבוקש .בדיקה שערכה הלשכה המרכזית לסטטיסטיקה, ה מלווה את רשות האוכלוסין ב ,בדיקת חלופת התשאול במסגרת תקופת המבחן הצביעה על מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד6 מתוך111 חוסר יכולתו של הליך התשאול למנוע מעבריין בעל כוונות התחזות את ה אפשרות ל התחזות ולאמת בפועל את זהותו הבדויה. לפיכך, נדרש כלי טכנולוגי אשר ימנע את התופעה ביעילות ו יאפשר הגנה על פרטיותם וזהותם של תושבי המדינה . כלי טכנולוגי זה הוא המאגר הביומטרי שבאמצעות השוואת ה נתוני ם הביומטריים של מבקש ה תיעוד .מאפשר מניעת התחזות וגניבת זהות ומניעת הרכשות כפולות 0.4 . נחיצות המאגר הביומטרי בשנת 9007 ביצע המטה ללוחמה בטרור במשרד ראש הממשלה עבודת מטה מקיפה בנוגע עוד י לת במדינת ישראל .בעבודה זו נקבע כי יש לשפר את רמת האבטחה של עוד י הת על ידי שילוב של נתונים ביומטריים ב מסמכי הזיהוי יחד עם היכולת לוודא כי לכל אדם יהא רק עוד ית אחד בזהותו האמיתית .מטרה זו נית ן להש גי על ידי שימוש בבסיס נתונים מרכזי ,נו י שה המאגר הביומטרי .סיכומה של עבוד ת מטה זו היווה את הבסיס לחוק אשר התקבל בשנת 9002 ועל פיו פועל מערך עוד י הת החכם והמאגר הביומטרי כיום . בהתאם לחוק, המבוסס על אותה עבודת מטה ,המאגר הביומטרי הוא הכלי הטכנולוגי ש נבחר על מנת למנוע את תופעת גניבת הזהות וההתחזות מול פקיד בלשכת רשות האוכלוסין ,תופעה רחבת היקף אשר צפויה לגדול עשרות מונים בעידן עוד י הת הביומטרי החכם אם לא יופעל כלי למניעתה . המטה ללוחמה בטרור הוביל לאחרונה עבודת מטה נוספת בה רוכזו עמדותיהם של גורמי הביטחון ואכיפת החוק וגורמי מדינה נוספים בדבר נחיצות קיומו של המאגר הביומטרי .סיכום עבודת המטה העדכנית נו יה מסמך מסווג שסוכם בסוף שנת 9041 .מסמך זה כולל המלצה חיובית חד ו משמעית של גורמי הביטחון אשר מבהירים כי המאגר הביומטרי נחוץ לצו ר.ך מניעת תופעת ההרכשות הכפולות מדינת ישראל נמצאת בפתחו של עידן דיגיטלי בו ילכו ויתרבו ה שירותים וה יישומים המקוונים .שירותי ממשלה ו שירותים של גורמים רבים נוספים יבוצעו בצורה מקוונת תוך קישור מרוחק המבוסס על הזדהות מאובטחת .ההזדהות המאובטחת בחלק ניכר מן היישומים תבוצע על ידי שימוש ב תעודת הזהות הביומטרית החדשה (לא בהכרח באמצעות הנתונים הביומטריים) .עובדה זו בשילוב אי היכולת לזייף את ה תעודות ,תגביר את המוטיבציה בקרב העבריינים להתחזות מול פקיד ולקבל תיעוד אמיתי בזהות גנובה/בדויה ,ובכך לאפשר קבל ת השירותים האמורים תחת הזהות הבדויה. תופעה זו מתרחשת כיום במדינות שונות בעולם בהן עברו לתיעוד ביומט רי חכם, כפי שמתואר בהמשך.המסמך מצב זה מחייב יכולת לוודא ש מציג עוד י הת הוא אכן בעל הזהות האמיתית וכי הוא אוחז בזהות זו בלבד . מערכות המאגר הביומטרי מבצעות השוואת נתונים ביומטריים של מבקשי התיעוד מול כלל הרשומים במאגר ועל ידי כך מונע ות את היכולת להתחזות מול פקיד לצורך קבל ת תיעוד "אמיתי " בזהויות שונות ו מאפשרות להתמודד עם תופעות הפשיעה והטרור המבוצעות תוך שימוש בזהות גנובה. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד7 מתוך111 המאגר מכיל שתי טביעות אצבע ותמונת פנים בלבד , ללא כל פרטים מזהים ביוגרפיים או דמוגרפיים של האדם, ועל ידי כך מאזן בצורה ראויה בין הגנת פרטיות מבקשי ה תיעוד ובין מניע ת הפשיעה ופעילות הטרור .המבוצעות תוך שימוש בזהויות גנובות ובהתחזות 0.2 . המלצת הועדה המייעצת והממונה על היישומים הביומטריים הועדה המייעצת אשר מונתה על ידי שר הפנים לפקח על התנה לות תקופת המבחן הגישה דוח מסכם בו קובעת הועדה כי הוכחה נחיצותו של המאגר הביומטרי. עם זאת, ממליצה הועדה ליישם מאגר שיכיל תמונות פנים בלבד. הועדה גורסת כי פתרון הכולל תמונות פנים בלבד מהווה מענה מספק לדרישות החוק ולמטרותיו. לאור המלצת הועדה הרחיבה הרשות הביומטרית את בחינת החלופה שבה המאגר .כולל תמונת פנים בלבד תוצאות ה ב חינה המורחבת שהתקיימה לבחינת חלופת השימוש בתמונת פנים בלבד, מבהירות בצורה חד משמעית כי שימוש במאגר המבוסס על תמונת פנים בלבד אינו נותן מענה מתאים ו לאורך זמן לדרישות החוק ולמטרותיו בהיבטי יכולת מניעת התחזות והרכשה כפולה ואף לא יאפשר מתן שירות ברמה הולמת לאזרחי המדינה בשל ריבוי התראות שווא שיגרמו להחזרת מבקשי תעוד רבים לתהליך חוזר בלשכות. היתרון המשמעותי היחיד של חלופת השימוש בתמונת פנים בלבד וא ה צמצום חששות הציבור מהמאגר . חשש זה ניתן לצמצם מבלי לעקר מתוכן את החוק ותורת ההפעלה שבבסיסו ,על ידי יישום מאגר הכולל טביעות אצבע תוך הגבלת הרשאת הגישה החוקית ל גורמי אכיפת החוק ל קבלת מידע המבוסס על נתוני המאגר. 0.6 . סיכום פרק תמצית הדוח כפי שמפורט בפרקים הרלוונטיים ב המשך ה מסמך ובמסמכים הנלווים המוזכרים בפרק הנספחים , וכפי ,שהבהירו הגורמים המפקחים על תקופת המבחן הרשות מילאה בצורה מלאה את מלוא חובותיה לתקופת המבחן ונחיצות המאגר הביומטרי הוכחה. בהמשך ה מסמך מפורטות הפעולות בהן נקטה הרשות בהתאם לדרישות ה חוק ,צו ה הו פרוטוקול .המסמך סוקר את השינויים והשיפורים הטכנולוגיים שביצעה הרשות כחלק מתהליך של למידה ,הפקת לקחים ,טיפול בתקלות ושדרוג של מערכות קיימות . הבדיקות שביצעה הרשות בתקופת המבחן יחד עם הניסיון שנצבר בפרויקטים דומים בעולם, מביא ים ל מסקנה חד משמעית בדבר הצורך וה יכולות של המאגר הביומטרי להוות כלי ל מניעת הרכשה כפולה. השוואה במקביל של מספר נתונים ביומטריים ( Multimodal Biometric ) ,דהיינו שילוב השוואת טביעות אצבע ותמונות פנים, מאפשר ת ביצועים טובים ורמת מובהקות גבוהה של תוצאות ההשוואה שמשמעות ם יכולת ימ רבית למנוע התחזות וגניבת זהות, לצד התמודדות עם כמות מ זערית של התראות שווא. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד8 מתוך111 בנוסף למסמך זה הוצגו על ידי הרשות מספר מסמכים משלימים ב מהלך תקופת המבחן: 4. ארבעה "ח דו ות חצי שנתי ים אשר סוקר ים בהרחבה את פעילות הרשות לתקופה שבין20 ביוני9042 עד20 ביוני9042 2 .. כל דו"ח סוקר תקופה בת חצי שנה כנדרש בצו 9. ארבעה דו "חות שפרסמה הלשכה,המרכזית לסטטיסטיקה הנלווים לדיווחי הרשויות. 2. פרוטוקול תקופת המבחן , יוני9042 . 1. תורת ההפעלה ל תיעוד לאומי ולמאגר ביומטרי במדינת ישראל– סיכום עבודת המטה שהוביל מטה לוט "ר במל "ל שבמשרד ראש הממשלה, מאי9002 . 2. נחיצות המאגר הביומטרי פרקI – תופעת ההרכשות הכפולות וגניבת הזהויות– אוגוסט9041 . 2. נחיצות המאגר הביומטרי פרקII – מאגרים ביומטריים ומגמות עולמיות בתחום הביומטריה ,דצמבר 9041 . 7. נחיצות המאגר הביומטרי פרקIII – תי אור מפורט לתהליכי ותוצאות בחינת החלופות ברשות, מרץ9042 . 2. ה תיעוד החכם והמאגר הביומטרי ככלי למניעת פשיעה וטרור– עבודת מחקר אקדמית שבוצעה על ידי המכון למדיניות נגד טרור במרכז הבינתחומי בהרצליה, ינואר9042 . 2. סיכום עבודת מטה לוט "ר לבחינת נחיצות המאגר הביומטרי בתאום עם גורמי הביטחון וגופי מדינה נוספים , דצמבר9041 . 40 . הקוד האתי של הרשות לניהול המאגר הביומטרי מאת פרופסור אסא כשר ,פברואר 9042 . 44 . דו "חות בחינת ביצועי המערכות הביומטריות ברשות- המכון למחקרים צבאיים ברפא"ל– בשנים9041 , 9042 . 49 . מסמך התייחסות הרשות לטענות המתנגדים שהובאו במסמך ניתוח הדוח המסכם מטעמם, אוגוסט9042 . 42 . מסמ ך התייחסות הרשות הביומטרית לדוח הועדה המייעצת, אוגוסט9042 . 41 . מסמכי מענה מטעם הרשות לדו "חות גורמי הפיקוח , הבקרה והאסדרה השונים .במהלך תקופת המבחן 2 הדו "חות החצי שנתיים הועברו במועדם כנדרש בחוק לשר הפנים ,ראש הממשלה ,שר המשפטים ,שר האוצר ,השר לביטחון פנים ולוועדות הכנסת הרלוונטיות מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד9 מתוך111 3. רקע הרשות הביומטרית הוקמה ופועלת על פי התשתית שהוגדרה בחקי קה הבאה: 3.0 . חקיקה ראשית ביום 42.2.9002 פורסם חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר המידע ,התש"ע- 9002 . 3.0.0 . מטרות החוק מטרות החוק מפורטות בסעיף הראשון של החוק: " 0 .מטרותיו של חוק זה הן: (4) קביעת הסדרים אשר יאפשרו זיהוי ואימות זהות של תושבי ישראל באמצעות הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים ב תעודת הזהות ובמסמך נסיעה ,באופן שימנע זיוף ושימוש בזהות אחרת ,וכן קביעת השימושים המותרים באמצעים ובנתונים כאמור; (9) הקמת מאגר מידע ביומטרי שיכלול אמצעי זיהוי ביומטריים שניטלו לצורך שילובם במסמכי זיהוי כאמור בפסקה (4 ,)וכן נתוני זיהוי ביומטריים שהופקו מהם ,וקביעת השימושים המותרים במאגר כאמור לרבות בידי משטרת ישראל ורשויות הביטחון; (2) קביעת הסדרים הנדרשים לשם הגנת הפרטיות של תושבים שניטלו מהם אמצעי זיהוי ביומטריים לפי חוק זה ,ובכלל זה לעניין דרכי הגישה למאגר הביומטרי ואבטחת המידע בו." מטרותיו של החוק הן סיוע ב כינון מרשם אוכלוסין אמין ומהימן ומניעת היכולת לזייף תעודות זהות , להתחזות לאנשים אחרים ולגנוב את זהותם .לצורך כך הוק מו המאגר הביומטרי והרשות לניהול המאגר הביומטרי. לצד מטרות אלה ,ההחלטה על הקמת המאגר נשענת גם על השאיפה לצמצם ככל האפשר את הפגיעה בפרטיותם של אזרחי ישראל ותושביה ,תוך מניעה של גניבת זהותם .מטרה משנית של המאגר הביומטרי היא מתן כלי אמין לגורמי אכיפת החוק ולר שויות הביטחון ללחימה בפשיעה ,להגנה על שלום הציבור ועל בטחונו ולהתמודדות עם אסונות רבי נפגעים. 3.0.3 . פרטי המידע הנשמרים במאגר בהתאם לחוק ,אמצעי הזיהוי הביומטריים שייכללו עוד תב ות הזהות ,בדרכונים ובמאגר הביומטרי הם "תמונת תווי הפנים ותמונות שתי טביעות האצבעות המורות של כל אדם "בלבד (סעיף 9 לחוק .)נתונים ביומטריים אלו הם ה נתונים המזעריים הנדרשים לצורך זיהוי ומניעת ריבוי זהויות . מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד11 מתוך111 כדי לצמצם את היקף המידע הביומטרי הנשמר במאגר מרכזי ,מורה החוק על נטילת פרטים אלו בלבד , ולא לדוגמא ,נטילת טביעות של כל עשר ה אצבעות .מאותה סיבה החוק גם אינו מורה על נטילת טביעות "מלאות "של שתי האצבעות המורות ,באמצעות גלגול האצבע על מצע המשמר את טביעת האצבע ,אלא מורה על איסוף טביעות "חלקיות ,"של כרית האצבע בלבד. הצמצום של היקף המידע למידע המזערי הדרוש הינו חלק מהמידתיות של השימוש במאגר הביומטרי . 3.0.2 . הקמת הרשות לניהול המאגר הביומטרי סעיף 44 ל חוק מורה על הקמת רשות מיוחדת ועצמאית - ה רשות לניהול המאגר הביומטרי - שתוקם במשרד הפנים (ב נפרד מרשות האוכלוסין )ושתהא אחראית ל הקמה ול ניהול המאגר הביומטרי ,לאחזקתו ואבטחתו ולטיפול השוטף בו .עובדיה של רשות המאגר הביומטרי הם עובדי מדינה ,ונאסר עליהם למלא כל תפקיד אחר מלבד תפקידם ברשות. אופן ניהול המאגר הביומטרי מעוגן בחוק ובתקנות שנקבעו על פיו . ה הוראות שבחוק נקבעו בהנחיית גורמי הביטחון ובאישורם ,והכללים שיושמו בפועל אף נוקשים יותר מאלו שנקבעו על ידי גורמי הביטחון ,במטרה למנוע כל אפשרות לכשל באבטחת המאגר . 3.0.4 . אבטחה ופרטיות המאגר הביומטרי הוקם כמערך מחשוב חדש ו מנותק לחלוטין מהעולם שסביבו .המאגר איננו מקושר למערכות אחרות או לעולם החיצון באמצעות רשת האינטרנט או באמצעות קישור מקוון כלשהו .בהתאם לסעיף 40 של ה חוק" ,המאגר הביומטרי יישמר באופן מוצפן ,בנפרד מכל מידע אחר ,ולא יכלול פרטי רישום של התושב ,"אולם "יהיה ניתן לקשר בין אמצעים או נתונים ביומטריים שבמאגר הביומטרי לבין מספר זהותו במרשם האוכלוסין של התושב שאליו הם מתייחסים... ."בפועל מכיל המאגר הביומטרי נתונים ביומטריים מוצפנים לצד מספרים מזהים ייחודיים ומוצפנים (שאינם מספרי תעודות זהות). פענוח ואיתור הקישור בין ה מספר ה מזהה הייחודי לבין מספר הזהות מבוצע במערכות נפרדות ממערכות המאגר ועל ידי עובדים ספורים בעלי סיווג והרשאה מתאימים שאינם נמנים על עובדי הרשות הביומטרית . 3.0.2 . בקרה ופיקוח על פעילות הרשות לניהול המאגר הביומטרי מפקחים גורמי האסדרה (רגולציה )הבאים: 4) הרשות הממלכתית לאבטחת מידע בשב"כ ,)(החטיבה לסיכול איומי סייבר אשר מנחה את הרשות הביומטרית בכל נושאי והי בטי האבטחה הפיסית ואבטחת המידע ,בהתאם לחוק להסדרת הביטחון בגופים ציבוריים ,תשנ "ח- 4222 . 9) הממונה על היישומים הביומטריים ,במשרד ראש הממשלה גו ף אסדרה חדש שהוק ם בהתאם ל ,הוראות החוק שה וא גורם ממליץ ומפקח בהתאם לקבוע בסעיף 20 לחוק. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד11 מתוך111 2) ועדת שרים ליישומים ביומטריים ש מונתה על ידי הממשלה ליישום הוראות החוק (בהתאם ל סעיף 24 לחוק .) 1) ועדת הכנסת המשותפת ליישומים ביומטריים הפועלת בעניינים הנוגעים לפעילות רשויות הביטחון ולאבטחת מידע .יושב ראש הועדה הינו יושב ראש ועדת החוץ והביטחון של הכנסת (ל פי סעיף 29 לחוק.) 2) ועדה משותפת לוועדת החוקה ,חוק ומשפט של הכנסת ,לוועדת הפנים והגנת הסביבה של הכנסת ולוועדת המדע והטכנולוגיה של הכנסת . ועדה זו מפקחת באופן שוטף על פעילות הרשות, באמצעות דין .וחשבון תקופתי המועבר אליה מדי חצי שנה 2) ועדה מייעצת שמונתה על פי סעיף 40ד לצו וחבריה הינם הממונה על יישומים ביומטריים במשרד רה"מ )(היושב כראש הועדה ,ראש ,הרשות למשפט וטכנולוגיה (רמו"ט) במשרד המשפטים ראש המטה ללוחמה בטרור במשרד ראש הממשלה , הסטטיסטיק אי הממשלתי הראשי ונציג ציבור. תפקיד הועדה וא ה לפקח על התנהלות תקופת המבחן ועל בחינת תוצאותיה. 7) הרשות למשפט וטכנולוגיה במשרד המשפטים המפקחת על מאגרי מידע מתוקף חוק הגנת הפרטיות "תשמ א- 4224 . 2) מבקר המדינה מבקר את פעילות הרשות במסגרת תכנית העבודה השנתית של משרד מבקר המדינה . ניתן לראות פירוט לנושא האסדרה בסעיף 6.1 בהמשך מסמך זה . בנוסף על המפורט לעיל ,במסגרת פעילות בעלי התפקידים ברשות הב יומטרי ת עצמה מונה מנהל אבטחת מידע ברשות , וכן מונה בהתאם לסעיף 92 לחוק בעל תפקיד ידוח יי - "ה ממונה על הפרטיות במאגר הביומטרי ,"שתפקידו לפקח על שמירת הפרטיות של התושבים שאמצעי הזיהוי הביומטריים ונתוני הזיהוי הביומטריים שלהם כלולים במאגר הביומטרי. 3.3 . חקיקת משנה 3.3.0 . תקנות התקנות המסדירות את פעולת הרשות הן תקנות הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע ,תשע"א- 9044 . כפי שנקבע בחוק ובאישורן של ועדת השרים ליישומים ביומטריים וועדת הכנסת המשותפת התקין שר הפנים תקנות מתאימות בכל הנוגע להליך ההרכשה בלשכות רשות האוכלוסין ,העברת המידע לרשות לניהול המאגר הביומטרי ,הצפנת המידע והאמצעים לאבטחתו של המידע הביומטרי. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד12 מתוך111 3.3.3 . צו צו הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע( ,תקופת מבחן ,) התשע"ג- 9049 .הצו המעודכן אשר נחתם על ידי שר הפנים בסוף שנת 9049 ובהמשך צו מעודכן מיוני9042 , ה מפרט בין היתר את הבדיקות והמדידות המתחייבות לביצוע במסגרת תקופת המבחן וזאת בהתאם לסעיף 14 לחוק. 3.2 . הרקע לחקיקה כבר ב שנת 4222 התריעו גורמי הביטחון במדינת ישראל בפני הממשלה כי קלות הזיוף של התיעוד הלאומי חושפת את המדינה י לא רועי טרור ופעילות חבלנית עוינת .ידוע ים מ ספר יא רועים בהם גורמי טרור וסייעניהם עשו שימוש ב תעודות זהות מזויפות. יא רועים לדוגמא שמידע אודותם פורסם, כוללים את הפיגוע הרצחני במלון פארק בנתניה בו אחד הסייענים עשה שימוש ב תעודת זהות מזויפת כדי להיכנס לתחומי המדינה ולהוביל את המפגעים למקום רוע י הא ,רצח השר רחבעם זאבי ז"ל ,שבו אחד ה רוצחים עשה שימוש ב תעודת זהות מזויפת .כמו כן ,בתקופה מאוחר ת יותר ,מתכנן חטיפת ם תם חי רצ ו של שלושת הנערים גוש מ עציון ניסה להימלט מהמדינה בעזרת דרכון מזויף. התיעוד הישן במדינת ישראל כולל תעודות זהות בתצורה זהה זו ל של תעודות שהונפקו החל משנת 0978 (למעט שינויים מזעריים) ,ו דרכונים בתצורה ה זה זו ל של דרכונים אשר הונפקו החל משנת 0988 . זהו עוד ית קל ש מאוד ףי לזי, ואשר כולל מ ספר מצומצם של אמצעי אבטחה שאף הם מיושנים . הדרכונים הישראליים הפכו למוצר נחשק עבור עבריינים ב רחבי ה עולם כי מ וון ש דרכון ישראלי קל מאוד לזיוף והוא מאפשר תנועה נוחה יחסית ללא צורך באשרות כניסה למדינות רבות בעולם. ה דרכונים ה ישראליים מחזיקים בשיא המפוקפק של מספר הזיופים הגדול ביותר יחסית למדינות ה– OECD ,שמנפיקות כולן דרכונים חכמים מזה מספר שנים. החלטות ממשלה שהתקבלו בין השנים 4222 ועד שנת 9007 קיבלו ביטוי בעבודת מטה נרחבת ש בוצעה בהובלת המטה ללוחמה בטרור במשרד ראש הממשלה והושלמה בשנת 3118 .צוות העבודה כלל נציגים של גורמים רבים וביניהם :משרד הפנים ,משרד המשפטים ,משרד האוצר ,המשרד י לב טחון פנים ,רשויות הביטחון , משטרת ישראל ,מומחים בנושאי ביומטריה וצופן ועוד .תוצר עבוד ת המטה הוא מסמך בשם "תורת ההפעלה עוד י לת ביומטרי ומאגר במדינת ישראל" .ה מסמך מפרט את תפיסת העבודה על ש בסיסה הוכן החוק . לפי תפיסה זו אימות זהות וזיהוי אמין יתאפשר ו על ידי שימוש בביומטריה, אשר תישמר עוד י בת עצמו ו כן במאגר מרכזי .התיעוד יאפשר לאמת אדם מול ת עוד ת ות הז/דרכון ,בעוד ש המאגר יאפשר ל הבטיח את מהימנות התיעוד ולשמר את העיקרון שלפיו כל אדם יוכל לקבל תיעוד יחיד בזהותו האמיתית ,עיקרון "זהות אחת לאדם אחד." מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד13 מתוך111 בהתאם לחוק אשר התקבל ב סוף שנת 9002 ,שעל פיו פועל מערך התי עוד החכם והמאגר הביומטרי ,הוחלט לבצע שימוש בנתונים ביומטריים מ זעריים המאפשרים אימות זהות וזיהוי .הנתונים אשר בהם נעשה שימוש במסגרת הפרויקט הביומטרי הינם תמונת פנים ו תמונת שתי טביעות אצבע מורה בלבד. ב שלב הסופי לא ישור החוק ב קריאה שניה ושלישית בכנסת ,הוחלט כפשרה כי תחיל ה תופעל תקופת מבחן בת שנתיים אשר ב מהלכה ייבחנו אופן יישום הוראות החוק ,נחיצות קיום המאגר הביומטרי ומטרותיו ,המידע שיש לשמור במאגר ואופן השימוש בו . החוק קובע כי במהלך תקופת מבחן זו ההצטרפות לפרויקט תה יה על בסיס התנדבותי. בהתאם לדרישות החוק, נחתם על ידי שר הפנים צו ש קבע את מועד תחיל ת תקופת המבחן לנובמבר 9044 . במהלך היערכות רשות האוכלוסין והרשות הביומטרית לתחילת תקופת המבחן הוגשה בפברואר 9049 עתירה לבג"צ אשר נדונה בפני בית המשפט העליון ביולי 9049 .ית ב המשפט העליון פסק כי על שר הפנים לעדכן את הצו ולכלול בו בדיקות ומדדים אשר מבצעי הפרויקט יידרשו לבצע ולבחון במהלך תקופת המבחן. בנובמבר 9049 חתם שר הפנים על צו מעודכן יאש פשר את ה תחלת תקופת המבחן בינואר 9042 .צו ה לל כ רשימה מפורטת של מבדקים ומבחנים הנדרשים לביצוע במסגרת תקופת המבחן .במקביל הכינו הרשויות את פרוטוקול תקופת המבחן המפרט בהרחבה את הבדיקות והבחינות אשר ת בוצע נה בתקופת המבחן. הפרוטוק ול אושר סופית ו נחתם ביוני 9042 . בפועל ,לאחר כחצי שנה של עיצומי עובדים ברשות האוכלוסין ,החלה תקופת המבחן בתאריך 21 ביוני 3102 . במהלך של שבוע בוצעה הנפקת תיעוד חכם ל עובדי רשות האוכלוסין ועובדי הרשות הביומטרית במטרה לבדוק את תהליכי העבודה ואת מערך המחשוב .בתאריך 02 ביולי 9042 הושק הפרויקט במעמד שר הפנים ו סגנית ו בל שכת רשות האוכלוסין ב ראשון לציון .במהלך כחודשיים וחצי ,עד אמצע ספטמבר 9042 נפרס ה המערכת בהדרגה ב לשכות רשות האוכלוסין ברחבי הארץ ,כך שבפועל מתחילת אוקטובר 9042 קיימת פריסה מלאה של מערך המחשוב ו ההרכשה של נתונים ביומטריים בלשכות רשות האוכלוסין. בהתאם לכך ביולי 9041 עודכן הצו כך שיאפשר ביצוע תקופת מבחן בת שנתיים עד סוף יוני 9042 . במאי9042 הושבעה ממשלה חדשה בישראל וביוני9042 עודכן הצו המאריך את תקופת המבחן עד לתאריך24 במרץ9042 . הרשות לניהול המ אגר הביומטרי הוקמה באוגוסט 3100 .הרש ות פועלת כגוף עצמאי במשרד הפנים וכפופה ישירות לשר הפנים .ייעודה העיקרי של הרשות הנו להקים ,לאבטח ולנהל את מאגר הנתונים הביומטריים. 3.4 . תקופת המבחן – דגשים ומשמעויות סעיף 14 לחוק קובע כי שר הפנים יקבע בצו תקופת מבחן בת שנתיים ,שבמהלכה יחולו הוראות החוק על תושבים שיתנו לכך את הסכמתם בכתב .בהתאם לחוק ,תכליתה של תקופת המבחן היא " לבחון בתקופה זו את אופן היישום של הוראות לפי חוק זה על תושבים אלה ,את נחיצות קיומו של מאגר ביומטרי ומטרותיו ,את המידע שיש לשמור במאגר ואת אופן השימוש בו ...בצו האמור ייקבעו בפירוט העניינים שייבחנו בתקופת מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד14 מתוך111 המבחן ,המדדים להצלחתו ואופן קבלת ההסכמה מאת תושבים להחלת הוראות לפי החוק לגביהם בתקופת המבחן." אחד הנושאים המהותיים בבסיס ההחלטה לע קיום תקופת המבחן, הוא יות ה תקופ ת ה מבחן פרק זמן קצוב בן שנתיים (הניתנות להארכה בצו בעד שנת י)ים נוספות, אשר במהלכ ן הצטרפות תושבי המדינה ובחירת תיעוד חכם ביומטרי היא על בסיס התנדבותי בלבד. דהיינו ,תושב המגיע ל לשכ ת רשות האוכלוסין להנפקת תיעוד יכול לבחור בין בקשה לקבלת תיעוד ישן בהליך הרגיל או בקבלת תיעוד ביומטרי חכם בתהליך שבו ניטלות שתי טביעות אצבעותיו ותמונת פניו ומועברות למאגר . בשל ה חלטה זו נוצר מצב בו התיעוד הביומטרי החכם מונפק כיום במקביל להנפקת התיעוד הישן .מצב זה מאפשר ל עבריינים להמשיך ולהתחזות ולגנוב זהות באין מפריע מכיוון שהת עוד י הישן עדיין פעיל. אם ו כאשר תתקבל החלטה לגבי החלת החוק על כלל תוש בי המדינה, יבוצע תהליך הדרגתי ש יאפשר הצטרפות וקבלת תיעוד ביומטרי חכם במהלך מספר שנים כפי שייקבע על ידי שר הפנים . במהל ך תקופת המבחן התקיים מסע פרסום מרוכז יחיד בן כשבועיים באוקטובר 9042 .מטרת ההסברה הייתה חשיפת הפרויקט לציבור והצגת היתרונות של עוד יתה הביומטרי החכם הו מאגר .מעבר לכך ,פעילות הסברה ויחסי ציבור מבוצעת באופן מתון מאוד לאורך תקופת המבחן כולה . מתחילת דיוני החקיקה לווה הנושא בהתנגדות ובשיח ציבורי ער בנוגע לשימוש בביומטריה בכלל ו לצורך ב מאגר ביומטרי בפרט .ההתנגדות לקיומו של המאגר הביומטרי אינה מבוססת על עובדות וראיות רלוונטיות , אלא על שימוש באמירות חוזרות ונשנות לגבי הפגיעה בפרטיות וסכנת דליפת הנתונים .מדובר בטענות אשר לא השתנו במהותן מאז החלו דיוני החקיקה בשנת 9002 . ניתן לקבוע כי הקמת המאגר בפועל נתנה מענה מלא לחששות שעמדו לב ב המחלוקת הציבורית .אבטחת המאגר וההגנה על פרטיות הנתונים מבוצעות על ידי הרשות שהוקמה במיוחד לשם כך בהשקעת תשומות חסרות תקדים. מערכות המאגר ,ש הוקמו כמערך מחשוב נפרד מכל רשת ( Stand Alone ) ,מכילות כמות מזערית של נתונים ביומטריים לכל תושב - תמונת פנים ושתי אצבעות בלבד – ואין בהן כל נתון מזהה נוסף ( עיצוב לפרטיות- Privacy by Design .)מערכות אלו מבוקרות באופן שוטף על ידי רשויות הביטחון . הרשות הביומטרית בוחנת הן את היקף תופעת ההרכשות הכפולות אשר התבררה כתופעה משמעותית ,הן את המצב הקיים בארץ ביישום מאגרים ביומטריים בגופים כגון: צה"ל ,שירות התעסוקה ,רשות שדות התעופה - נתב"ג ,משטר ת ישראל ,משרד הפנים ומשרד התחבורה ,והן את הנעשה בעולם בתחום זה .זאת בנוסף לפעילות השוטפת ולאירועי האמת אשר אותרו במאגר. סיום תקופת המבחן במתכונ הת הנוכחית יחול בסוף חודש מרץ 9042 . על פי סעיף 14 (1 )לחוק , 20 יום לפני תום התקופה לכל המאוחר ,ידווחו שר הפנים וראש הממשלה לוועדות השרים והכנסת על תוצאות וממצאי תקופת המבחן .על פי סעיף 14 (2 )לחוק ,לאחר הדיווח כאמור, שר הפנים בהתייעצות עם שר המשפטים, בהסכמת שר האוצר ,באישור הוועדות האמורות לעיל ובאישור הכנסת ,יוכל להחליט על אחת מאפשרויות פעולה אלה: מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד15 מתוך111 4) לקבוע בצו כי ההוראות לפי החוק הביומטרי יחולו על כלל התושבים. 9) לקבוע בצו כי תקופת המבחן תוארך לתקופה שלא תעלה על .שנה ושלושה חודשים נוספים 2) לקבוע בצו כי החלת החוק תהיה הדרגתית ובתנאים שייקבעו בצו. אם לא הוצא צו כאמור עד תום ארבע ים שנ ממועד תחילת תקופת המבחן( ,היינו עד 92 ביוני 9047 ) - יימחק המאגר הביומטרי. 3.2 . משימות לתקופת המבחן בהתאם לדרישות החוק ,הצו ופרוטוקול תקופת המבחן, התקיימו מבדקים רבים בנוסף למספר עבודות מחקר מקיפות במהלך תקופת המבחן בת השנתיים ומחצה .תוצאות המבדקים והבחינות מפורטות במסמך זה ובמסמכים הנלווים ,ו וכ ת ללו ,בין השאר את הפעולות הבאות: 4) בחינת .היקף תופעת ההרכשות הכפולות וגניבת הזהות במדינת ישראל ודוגמאות מהעולם 9) אומדן היקף הנזקים הנג רמים כתוצאה מהתחזות וגניבת זהות. 2) בחינת חלופות שונות המאפשרות מתן מענה לדרישות החוק ,ובכללן חלופות הכוללות: כמות שונה של נתונים ביומטריים ,אימות באמצעות תשאול ללא שימוש בנתונים ביומטריים ,ואימות באמצעות תשאול עם שימוש בנתונים ביומטריים חלקיים ו מימוש מאגר ביומטרי בשיטת ההקבצים . 1) עבודת מחקר המציגה מ אגרים ביומטריים ומ גמות עולמיות .בתחום הביומטריה ויישומיה 2) עבודת מחקר אקדמית המציגה את יכולות ה תיעוד ה חכם הו מאגר ה ביומטרי לשמש ככלי למניעת פשיעה וטרור ,ש בוצעה על ידי המכון .למדיניות נגד טרור במרכז הבינתחומי 2) מבדקי אבטחה ,סקרי סיכונים ובחינת תצורת ההגנה על הפרטיות ברשות. 7) מבדקי ביצועים למערכות הרשות וליכולות המאגר לתת מענה לדרישות החוק. 3.6 . יעדי תקופת המבחן והמדדים להצלחתה בהתאם לדרישות סעיף 14 לחוק: " חוק זה יוחל בהדרגה ,בהתאם להוראות כמפורט להלן : (4) השר יקבע ,בהתייעצות עם שר האוצר ושר המשפטים ובאישור ועדת הכנסת המשותפת ,בצו ,תקופת מבחן של שנתיים שבמהלכה יחולו ההוראות לפי חוק זה על תושבים שייתנו את הסכמתם לכך בכתב ,במטרה לבחון בתקופה זו את אופן היישום של הוראות לפי חוק זה על תושבים אלה ,את נחיצות קיומו של מאגר מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד16 מתוך111 ביומטרי ומטרותיו ,את המידע שיש לשמור במאגר ואת אופן השימוש בו (להלן - תקופת מבחן(; בצו כאמור ייקבעו בפירוט העניינים שייבחנו בתקופת המבחן ,המדדים להצלחתו ואופן קבלת ההסכמה מאת תושבים להחלת הוראות לפי החוק לגביהם בתקופת המבחן . בתקופת המבחן יחולו ההוראות לפי חוק זה בהתאם לצו האמור ; " הצו המעודכן אשר נחתם על ידי שר הפנים בסוף שנת 9049 פירט את הבדיקות והמדידות המתחייבות לביצוע במסגרת תקופת המבחן .בהמשך לצו נכתב ואושר פרוטוקול תקופת מבחן ה מפרט את חובות הרשות בתקופת המבחן ואת המדדים הנדרשים לתקופת המבחן .בהתאם למפורט ב צו ובפרוטוקול, להלן עיקרי הנושאים הנבדקים בתקופת המבחן: 4) אופן היישום של הוראות החוק. 9) הבעיות שהמאגר אמור לתת להן מענה ומתן מענה כאמור באמצעות המאגר לעומת חלופות אחרות. 2) נחיצות קיומו של מאגר ביומטרי. 1) מטרותיו של המאגר הביומטרי. 2) המידע שיש לשמור במאגר הביומטרי. 2) אופן השימוש במידע זה. בהתאם לאמור בחוק תקופת המבחן נועדה כדי לענות בסיומה על השאלות הבאות: 3.6.0 . כיצד מיושם החוק סוגיה זו נחלקת ל שלושת סוגיות המשנה הבאות: 3.6.0.0 . כיצד מיושם החוק השאלה שעליה יש לתת מענה היא "האם החוק מיושם בצורה מלאה ."?שאלה זו נגזרת ממורכבותו הרבה של החוק ומכך שהוא מפורט הרבה מעל למקובל בחקיקה אחרת .מטבע הדברים פירוט מעין זה מצמצם את מרחב אפשרויות היישום ולכן ראוי לבחון כל פרט ופרט ולוודא שיישומו תואם את לשון החוק בצורה מלאה .בחינה זו תתבצע על ידי סקרים ותיעוד . 3.6.0.3 . האם יש דרישות בחוק שלא יושמו כראוי בהמשך וכהשלמה לשאלה הראשונה ,השאלה כאן היא "האם יש נושאים שיישומם אינו תואם את לשון החוק ."?גם במקרה זה אין מדובר בניסוי אלא בסקר . מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד17 מתוך111 3.6.0.2 . האם יש לעדכן או לתקן את החוק ללא קשר לתשובות על השאלות בסעיפים לעיל, וקל וחומר אם עלו מהתשובות להן נושאים הדורשים תיקון או עדכון ,השאלה כאן היא "האם התגלו מצבים או מקרים שמחייבים שינוי של החוק (גריעה , תוספת ,עדכון.) 3.6.3 . נחיצות קיומו של מאגר ביומטרי סוגיה זו נחלקת ל שתי סוגיות המשנה הבאות: 3.6.3.0 . האם המאגר מתאים לייעודו השאלה שעליה יש לתת מענה היא "האם ניתן לאתר ולמנוע הרכשות כפולות בעזרת המאגר . "?שאלה זו תקבל מענה בתקופת המבחן כדי לוודא האם המאגר הביומטרי הוא כלי מתאים לאיתור ומניעת הרכשות כפולות (תוך מזעור מצבי השגיאה השונים), אם ו לא. 3.6.3.3 . האם המאגר נחוץ/הכרחי מתוך ההנחה שאנו נדרשים ,כחלק מניהול הסיכונים בתיעוד הלאומי ,לתת מענה לנושא ההרכשות הכפולות ,השאלה שעליה יש לתת מענה כאן היא "האם המאגר נחוץ לשם כך או שיש כלים חלופיים שיכולים לאתר הרכשות כפולות ."?שאלה זו תקבל מענה על בסיס ביצוע הניסויים ובחינת החלופות כמתואר בהמשך מסמך זה . 3.6.2 . מטרות המאגר בתקופת המבחן יש לבחון שתי מטרות: 3.6.2.0 . מניעת ואיתור הרכשות כפולות זוהי כאמור מטרתו העיקרית והראשית של המאגר הביומטרי והיא תיבדק באופן שוטף בתרחישי אמת ובאמצעות הדמיות . 3.6.2.3 . איזה מידע יישמר במאגר סוגיה זו נחלקת ל שלושת סוגיות המשנה הבאות: 3.6.2.3.0 . האם די במידע הנשמר המדיניות שננקטה בעת עיצוב המאגר היא מדיניות מצמצמת שגורסת נטילה של מידע מזערי שדי בו כדי לתת מענה סביר לצורך .השאלה שיש לענות עליה אם כן היא "האם די בתמונת פנים מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד18 מתוך111 וטביעות של שתי אצבעות מורות כדי לאתר הרכשות כפולות ללא שיעור שגיאות שאיננו סביר או כזה שאיננו ניתן לטיפול ."? 3.6.2.3.3 . אם לא די - מה צריך להוסיף במקרה של תשובה שלילית על הסעיף לעיל ,השאלה היא "האם נדרש מידע נוסף כדי לממש את מטרות המאגר ."?התשובה על שאלה זו לא תתקבל באמצעות ניסוי אלא באמצעות עבודת מטה וסקרים ,ככל שתידרש . 3.6.2.3.2 . האם ניתן לגרוע מהמידע שבמאגר אם התשובה לסעיף 2.6.3.2.1 תהיה חיובית ,השאלה שיש לתת עליה מענה היא "האם ניתן לגרוע מהמידע שיש במאגר ."? 3.6.4 . אופן השימוש במידע שבמאגר השאלה בנושא זה היא "כיצד משתמשים במידע שבמאגר ."?גם במקרה זה לא מדובר בניסוי אלא בסקר שיתעד את צורת השימוש ואת תהליכי העבודה השונים הנוגעים למידע ביומטרי . 3.7 . תכנית העבודה לניהול תקופת המבחן סעיף 40ג לצו ,קובע כי תקופת המבחן תתנהל על פי הצו ופרוטוקול תקופת המבחן ,אותו יכינו ראש הרשות לניהול המאגר הביומטרי וראש רשות האוכלוסין ,בתיאום עם הממונה על היישומים הביומטריים .הדרישה הסטטוטורית מהרשות הביומטרית ,היא לבצע את תקופת המבחן בהתאם להוראות הצו והפרוטוקול . הרשות ניהלה את תקופת המבחן מיום העלייה לאוויר בהתאם להוראות הצו ופרוטוקול תקופת המבחן (שאושר סופית ופורסם ביוני 9042 ,)המהווה תכנית עבודה מפורטת המקיפה את כל היבטי תקופת המבחן. פרוטוקול תקופת המבחן הנו מסמך מפורט ש נכתב במשותף על ידי רשות האוכלוסין והרשות הביומטרית ובסיוע יועצים ומומחים ממגוון תחומים ואושר על ידי מנהליהן בתיאום עם ממונה יישומים ביומטריים . הפרוטוקול נכתב ותוכנן מראשיתו כמסמך אשר מהווה תכנית עבודה מפורטת הכוללת את כל חובות ומשימות תקופת המבחן .בהתאם לבקשת הממונה על היישומים הביומטריים ,הפיקה הרשות במרץ 9041 תכנית עבודה נוספת בפורמט MS-Project . הרשות ביצעה ומבצעת את כל חובותיה במסגרת תקופת המבחן בצורה מלאה מבחינת התכנון מול הביצוע .כל הנושאים הנדרשים מדווחים בדוחות החצי שנתיים אשר משקפים את פעילות הרשות במהלך תקופת המבחן . לדוגמא נושאים כגון בחינת עמידת המערכת ביעדים ,בחינת החלופות ,מדידות ,מבדקים שונים ועוד. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד19 מתוך111 3.8 . המלצות הועדה המייעצת והממונה על היישומים הביומטריים בסוף מאי 9042 הוגש לשר הפנים הדו"ח המסכם של הוועדה המייעצת המפקחת על התנהלות תקופת המבחן . להלן תמצית המלצותיה של הוועדה המייעצת לקראת תום תקופת :המבחן 3.8.0 . המלצת הועדה– חובות תקופת המבחן מולאו הועדה ה מליצה שלא להאריך את תקופת המבחן ,שכן עיקרי הנושאים המרכזיים אשר על בחינתם הורה הצו נבדקו וקיימים נתונים מספקים לשם קבלת החלטה .הוועדה המייעצת סבורה כי הנזקים שיגרמו מהארכת תקופה זו בפרק זמן נוסף ,גדולים מהתועלת וכי יש להימנע מדחייתה של ההחלטה לגבי ה מאגר הביומטרי. 3.8.3 . המלצת הועדה– הוכחה נחיצות המאגר הביומטרי לגבי שאלת נחיצות קיומו של מאגר המידע הביומטרי הלאומי ,סבורה הוועדה כי יש נימוקים המבססים נחיצות זו .להלן תמצית נימוקי הוועדה המייעצת בנושא : "הרכשות כפולות "בעיה המצריכה מענה :אף שאין נתונים כמותיים המלמדים על קיומה של תופעת "הרכשות כפולות "כיום ,עמדת הוועדה היא כי יש ממש בטענת הרשויות לפיה תופעת "ההרכשות הכפולות "צפויה להתפתח בעתיד ,עם המעבר לתיעוד חכם ,כאשר יהיה קשה מאד לזייף את התיעוד עצמו . הונחה תשתית בדבר התרחשותה הצפויה של תופעת ההרכשות הכפולות ,גם אם לא במלוא ההיקף הנחזה על ידי הרשויות .מסקנה זו נשענת ,בין היתר ,על:  בחינת הנעשה היום במדינות העולם אשר עברו לתיעוד חכם והאינדיקציות למימושו של הסיכון במדינות אלה על ו ההיבטים האזרחיים והביטחוניים הכרוכים ב תופעה .  עמדת מטה הלוט"ר שריכז את עמדות הגופים הביטחוניים לגבי הערכת הסיכון העתידי בקיומו של ערוץ הרכשה כפולה לצורך פעילות טרור ולגבי נחיצות קיומו של מאגר ביומטרי ככלי לצמצומו של סיכון זה ,כשיקול משמעותי . הוועדה מצאה כי המאגר הביומטרי הוא כלי טכנולוגי נדרש למניעת ההרכשות הכפולות ולאיתורן .חלופת התשאול ,אשר הועמדה כאלטרנטיבה לשימוש במאגר המידע הביומטרי ,לא תוכל להיות אפקטיבית כאשר היא עומדת ככלי יחידי והיא אינה יכולה להוות תחליף הולם למאגר. 3.8.2 . המלצת הועדה– תכולת המאגר הביומטרי בשונה מהמלצת גורמים אחרים המעורבים בפרויקט ה תיעוד הלאומי והמאגר הביומטרי ,הוועדה המייעצת ה מליצה לבחור בחלופת הפנים עבור מאגר המידע הביומטרי .הוועדה סב רה כי מאגר ביומטרי מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד21 מתוך111 מבוסס תמונות פנים בלבד הוא פתרון מספק אשר מחד נותן מענה איכותי לצמצום תרחיש ה"הרכשות הכפולות ,"ומאידך מפחית סיכונים ממשיים . 3.8.4 . המלצת הממונה על היישומים הביומטריים בסוף יולי 9042 פרסם הממונה על היישומים הביומטריים במשרד ראש הממשלה את דו"ח הפיקוח המסכם לתקופת המבחן 20/02/9042-20/02/9042 .בסעיף המלצות הממונה לסיום תקופת המבחן ,מציין הממונה כי המלצות הוועדה המייעצת מקובלות עליו במלואן. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד21 מתוך111 2. נחיצות המאגר- הצורך ו ה יקף תופעת גניבת הזהות וההתחזות הצורך בהקמת המאגר הביומטרי הוגדר כאמור בעבודת המטה ש התבצעה על ידי מטה לוט"ר ו הצביעה על הצורך בניהול סיכונים הצופה פני עתיד , על פיו לא ניתן להסתפק בשכלול מסמכי הזיהוי עצמם ,אלא ש גם לאחר שכלולם יש לתת מענה לפרצות נוספות שנותרות במערך התיעוד הלאומי כאשר מסמכי הזיהוי עצמם אינם ניתנים יותר .לזיוף קביעה זו קיבלה משנה תוקף על ידי הוועדה המייעצת, כפי שצויין בדו"ח המסכם אשר הגישה הוועדה לשר הפנים במאי9042 . בדו"ח מציינת הוועדה כי הוכחו הצורך והנחיצות של מאגר ביומטרי ככלי שיאפשר התמודד ות .עם תופעת ההרכשות הכפולות הסיכון המרכזי שנדרש לתת לו מענה וה א היכולת של עבריין או פעיל טרור לבצע זיוף זהות , כלומר להתחזות לאחר ולקבל במרמה מסמכי זיהוי""לגיטימיים , שיאפשרו לו לבצע עבירות ופשעים .בזהות בדויה רמת האמון הגבוהה בהרבה כלפי מסמכי הזיהוי הביומטריים החדשים .מחריפה בעיה זו עוד יותר אם לצורך זיוף מסמכי הזיהוי הביומטריים נדרשת רמה טכנולוגית גבוהה מאד ויכולת כלכלית ברמת מדינה ,שאינ ה בהישג יד של ארגוני פשיעה, הרי ש זיוף זהות נמצא בהישג ידו של ה פושע ה .בודד ללא צורך בהשקעה כספית או בידע טכנולוגי כדי להתמודד כראוי עם,סיכון זה הוחלט כי נדרש להקים מאגר ביומטרי מרכזי, אשר על ידי ביצוע השוואת נתונים ביומטריים יאפשר ל וודא שלכל אדם תהא זהות יחידה. עבודת המטה הנ"ל חידדה את הצורך במערך כולל שיאפשר הנפקת מסמכי זיהוי חסינים הן ל זיופי מסמכים והן לזיופי זהות, ,תוך התבססות על מאגר ביומטרי מרכזי כדי למנוע ,פגיעה בדמוקרטיה פעילות חבלנית ועבריינ ית . הרחבה משמעותית בנושא תופעת גניבת הזהות וההתחזות ניתן לראות ב עבודת המחקר אשר הוצגה על ידי המכון למדיניות נגד טרור במרכז ה ,בינתחומי "חשיבות התיעוד החכם והמאגר הביומטרי במניעת טרור ,"ופשיעה ב פרק9 ובפרק2 הדנים בנושאי הונאת זהות .בתחום הפלילי ולמטרות טרור להלן עיקרי הדברים בנושא זה: 2.0 . הצורך בחידוש מסמכים מזהים ומאגר ביומטרי והסיכונים הקיימים ב תיעוד ''הישן הצורך בחידוש המסמכים המזהים בארץ נובע ממספר סיבות ,הן י בינ העובדה שהתיעוד הנוכחי קיים מזה עשרות שנים והוא קל מאוד לזיוף .בנוסף על זיוף המבוצע במעבדות ייעודיות לנושא ואף על ידי חובבנים בביתם ,תופעת ההרכשות הכפולות המבוצעות תוך התחזות מול פקיד הנה תופעה רחבת היקף .מנתוני רשות האוכלוסין עולה כי מידי שנה מתקבלים בלשכות רשות האוכלוסין למעלה מ- 420,000 דיווחים על אבדן או גניבת תעודות זהות וזאת מתוך סך של כ- 200,000 תעודות זהות חדשות המונפקות כל ב שנה .כלומר ,כ- 97% מ תעודות הזהות מונפקות מדי שנה למי שדיווח על אובדן או גניבה .מבדיקת המשטרה וכן מבדיקת הלשכה ,המרכזית לסטטיסטיקה אשר בחנה את הנתונים עולה קשר מובהק בין דיווח על אובדן או גניבת תעודת זהות מספר פעמים, לבין מעורבות בפלילים .להרחבה בנושא זה ,ראו את מסמך "נחיצות המאגר הביומטרי פרק I – תופעת ההרכשות ה כפולות וגניבת ה זהויות". מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד22 מתוך111 הונאת זהות מהווה בד"כ תשתית ל פעילויות בלתי חוקיות נוספות ,ביניהן הונאת כרטיס י אשראי ,הונאת בנקים ,הונאה עסקית והגירה לא חוקית3. ניתן להבין זאת גם באמצעות תיאוריית ההזדמנויות בפשיעה ,לפיה מעורבות בעבירה אחת מהווה פלטפורמה למעורבות בעבירות חמורות יותר בב יצוע הפשע4. הונא תו זהות ן אינ מוגבל תו לאזור אחד או למדינה אחת בלבד ,מדובר בתופעה כלל עולמית ש קיימת ברמה המדינ תית וברמה הבינלאומית .תופעה זו נמצאת במגמת עלייה ב מדינות שונות אף ו הוגדרה בשנת 3112 על- ידי האו"ם כאיום שנמצא במגמת עלייה5. החלטת האסיפה הכללית של האו"ם60/177 בדצמבר 9002 , מדגישה את חשיבות ה .התמודדות עם הונאת זהות בתחומי פשע מאורגן וטרור בהקשר זה ,ה מדינות ה חברות באו "ם נקראו לשפר את שיתוף ה פעולה הבינלאומי בתחום6. בחלק מהמדינות הבינו ה ממשלות את חומרת הבעיה כאשר נאלצו להתמודד עם המשמעויות הכלכליות של ההונאות הקשורות בגניבת זהות. כך בבריטניה הוערך כי הונא תו הזהות עול ות למשלם המיסים כ- 4.9 מיליארד דולר בשנה7. עוד עולה כי 0.2 אחוז ממשקי הבית בבריטניה היו קורבנות לעבירות הונאת זהות (הונאות זהות בנדל"ן ,בכרטיסי אשראי ועוד) 8. 2.3 . עמדת גורמי הביטחון המטה ללוחמה בטרור הוביל לאחרונה עבודת מטה נוספת, שריכזה את עמדתם העדכנית של גורמי ה ביטחון .ואכיפת החוק במדינת ישראל בדבר נחיצותו של המאגר הביומטרי סיכום עבודת מטה הוצג ב מסמך מסווג שפורסם לגורמים הרלוונטיים בסוף שנת9041 . מסמך זה כולל המלצה חיובית וחד משמעית של גופי הביטחון לגבי נחיצות המאגר הביומטרי . מטה לוט "ר ביסס את המלצתו זו על תכנון צופה פני עתיד, והבהיר שלצורך חוסנה הלאומי של מדינת ישראל נדרש.שימוש במאגר ביומטרי, יחד עם שימוש בתיעוד ביומטרי חכם רק הצירוף של שני מרכיבים אלו יכול להבטיח מניעה יעילה של ניסיונות גניבת זהות ,. על פי עמדת מטה לוט"ר כאשר התיעוד יהיה משוכלל ולא יהיה חשוף עו ד לזיוף, צפויים ה גורמים ה עברייני י ם לשנות את מתווה הפעולה שלהם ולנסות להשיג מסמכי זיהוי אמיתיים בדרכי מרמה .הערכה זו בה יאה את מטה הלוט "ר למסקנה נחרצת שלא די בשכלול מסמכי הזיהוי "ולא ניתן "לנוח על זרי הדפנה ., אלא נדרש שהתיעוד החכם יתבסס על מאגר ביומטרי 3 Finklea K. Identity Theft: Trends and Issues, Congressional Research Service (CRF), 2014. 4 Felson M. Clarke R., Opportunity Makes the Thief, Research Development Statistics (RDS), 1998. 5 United Nations - UNDOC - Handbook on Identity- related Crime, 2011. 6 Ibid. 7 David S. Wall, Future Identities: Changing identities in the UK - the next 10 years, 2013. Retrieved from: https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/275784/13 -521-identity- related-crime-uk.pdf 8 Simon Dukes, Identity Crime: On Your Doorstep, 2013. Retrieved from: https://www.cifas.org.uk/secure/contentPORT/uploads/documents/External- IDcrime_onyourdoorstep_CIFAS_OS.pdf מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד23 מתוך111 2.2 . עמדת הוועדה המייעצת והממונה על היישומים הביומטריים במשרד רה"מ הוועדה המייעצת אשר פיקחה על התנהלות תקופת המבחן קבעה פה אחד ,במסמך ההמלצות שלה ש הוגש לשר הפנים בסוף מאי9042 , כי אין מקום להאריך את תקופת המבחן וכי קיימים נימוקים המבססים את נחיצות המאגר הביומטר .ב י מהלך תקופת המבחן הוועדה בחנה, בדקה וביקרה את כל מרכיבי ה פעילות של הרשות הביומ .טרית באשר לתכולת המאגר, הועדה ה מליצה ע .ל מאגר שיכלול תמונות פנים בלבד בדו"ח הפיקוח המסכם לתקופת המבחן מציין הממונה על היישומים הביומטריים במשרד רה"מ כי המלצות הוועדה המייעצת מקובלות עליו במלואן. 2.4 . נתוני משטרת ישראל ,משטרת ישראל מסרה הערכה, שהוצגה גם במסמכי הרשות, על פיה התופעה של השגת תיעוד אמיתי במרמה תוך התחזות מול פקיד רשות האוכלוסין, היא תופעה רחבה ביותר כבר היום שאף צפויה .לגדול בעתיד ההערכה העולה מניתוח הנתונים היא כי מדובר באלפי מקרים של הרכשה כפולה, שבהם עבריינים קיבלו תיעוד לאומי .במרמה מהנתונים ניתן גם להעריך שמדובר בעשרות אלפי מקרים בהם אלפי עבריינים עושים שימוש בתיעוד כזה ל ביצוע .עבירות הונאה, עבירות כלכליות, פשיעה אחרת ופעולות טרור 2.2 . המצב בתקופת המבחן במהל ך תק פת ו המבחן נעצרה ע ל ידי המאגר הנפקתם של מעל4,400 תעודות זהות ודרכונים עקב אי התאמה של נתוני מבקשי התיעוד ב השווא ה שבוצעה בין נתוני ההרכשה לנתוני המאגר .מתוך מקרים אלה התגלו ארבעה ניסיונות של הרכשה כפולה וודא ית ש הועברו לתחקור משטר ת ישראל . מתוך מאות ה מקרים בהם נמנעה הנפקת תיעוד , יש עשרות רבות של מבקשי תיעוד שלא שבו ללשכת רשות האוכלוסין לבקש הנפקת תיעוד חדש. לגבי הללו, קיימת סבירות שמדובר בניסיונות התחזות וגניבת זהות אשר נמנעו על ידי ההשוואות .במערכות המאגר מקרים אלו מוכיחים באופן חד משמעי את יכולותיו של המ אגר הביומטרי במניעת הנפקת תיעוד במקרים של אי התאמה ביומטרית, ו מהוו ים חלק מהותי ב "בדיקת נחיצות של רכיב המאגר הביומטרי המרכזי ."במערכת נציין כי במספר דיוני ם הוצגו נתונים בדבר70 מקרים בלבד בהם נמנעה הנפקת תיעוד בשל חשד לזיוף או .התחזות נבהיר כי מקרים אלו מתייחסים ל זיוף של ,תעודות זהות ישנות בהם נתקלו עובדי רשות האוכלוסין ללא קשר לתהליך הביומטרי .הכולל הרכשה בלשכה ובדיקות אימות וזיהוי על ידי מערכות המאגר מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד24 מתוך111 2.6 . התחזות וגניבת זהות- המצב בעולם ניתוח נתונים מהעולם בדבר זיופי ם של תיעוד לאומי וקבלת תיעוד לאומי אמיתי במרמה, מעלה תמונה ברורה של מגמה נמשכת לאורך שנים. באותן מדינות שעברו לתיעוד ביומטרי חכם ישנה מגמה ברורה של צמצום זיופי מסמכים ועליה ב זיופי זהות .הנעשים באמצעות הרכשה כפולה/מרובה בסקר סיכונים שנתי שלFrontex ,)(ארגון של האיחוד האירופאי האחראי על ביקורת גבולות באיחוד משנת 9042 ,נכתב9: “The introduction of the new security features into travel documents and the development of the new automated border-control systems did not translate into a significant decrease in the use of fraudulent documents. Fraudsters appear to have changed their modi operandi and instead of the simple alterations, tend to use more sophisticated methods.” בפועל לא מדובר בסקר זה על זיופי מסמכים מתוחכמים יותר, אלא על יותר ויותר מקרים של השג ת תיעוד .במרמה בנתונים שמפרסם ארגון זה ניתן לראות מגמה ברורה לאורך שנים של ירידה בהיקף ף זיו מסמכים ( מלאים“Counterfeits” ), או מניפולציות על מסמכים גנובים /אבודים ( “Forged” ), לעומת עלייה מתמדת ( בהשגת מסמכים אמיתיים במרמה“authentic” או“10FOG” .) דוגמה נוספת להכרה שהרכשה כפולה (או למעשה הרכשה מרובה) הינה סיכון הולך וגובר, למרות שכלול מסמכי הזיהוי, ניתן למצוא בדו"ח של מבקר המדינה האוסטרלי, הקובע11 : “The introduction of ePassports in 2005 has helped shift the focus of fraudsters from attempting to alter passport booklets to attempting to fraudulently obtain genuine passports.” ,מר מגנוס סוונינגסון מומחה לתחום זה משבדיה, אמר בראיון ב עיתון מקוון בלגי בשםEU Observer12 : 9 ראוhttp://frontex.europa.eu/assets/Publications/Risk_Analysis/Annual_Risk_Analysis_2015.pdf 10 enuines G btained O raudulently F = FOG 11 ראו http://www.anao.gov.au/~/media/Uploads/Audit%20Reports/2011%2012/201112%20Audit%20Report%20No3 3.pdf 12 https://euobserver.com/justice/29629 מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד25 מתוך111 “The advent of biometric passports has had an effect: "There has been a big shift in the last five years from counterfeiting to applying for a real one" מאז שנת 9002 שיכללו מדינות רבות את התיעוד שהן מנפיקות ,הכולל מסמכי נסיעה ,תעודות זהות ותעודות תושב .הנתונים מהעולם מראים ירידה חדה בזיופים ,עקב הקושי הטכני בביצוע הזיופים ובמקביל עליה עקבית במספר המסמכים האמיתיים ,שהושגו במרמה .הסיבה לכך היא פשוטה – כאשר זיוף המסמכים איננו אפשרי יותר פונים העבריינים לדרכים אחרות ,שבסופן הם מקבלים תיעוד אמיתי לחלוטין ,בדרכי מרמה וללא השקעה כספית .דרכים אלו כוללות קבלת מסמך זיהוי אמיתי במרמה ע"י רכישתו מ מישהו שזכאי ול, או התחזות לאחר במעמד ההנפקה . בשנת 9002 לבדה ,מעט לאחר שהחלו להנפיק דרכון מדגם חדש וחסין מאד לזיופים ,העריכו הרשויות בבריטניה שמעל 01,111 דרכונים כאלו הושגו על ידי עבריינים במרמה13 .מגמה מדאיגה זו באה לידי ביטוי , בין היתר ,בדו"ח של ארגון Frontex14 של האיחוד האירופאי משנת 9044 15 ,שבו נכתב: "Meanwhile, the added security that e-Passports can provide, with the provision that they are used correctly, will likely mean that fraudulent travelers will move away from falsified passports and instead seek to subvert the border control system either by attempting look-alike fraud using genuine documents, or by trying to subvert the issuance process in order to be fraudulently issued with genuine e-Passports". זיוף ברמה סבירה של דרכונים או של תעודות זהות מודרניים ש דור רמה טכנולוגית גבוהה מאד , מיומנות מקצועית גבוהה במגוון תחומים ,ציוד יקר שאינו זמין בשוק החופשי ו השקעה רבה ב מימון ובזמן, את זו מול סיכויי הצלחה נמוכים מאד .לעומת זאת ,זיוף זהות לצורך קבלת מסמך זיהוי אמיתי במרמה ,תוך התחזות לאחר נמצא בהישג ידו של פושע בודד ,ללא צורך במשאבים טכנולוגי ים, פיננסיים וללא צורך בהשקעת זמן רב, כאשר סיכויי הה צלחה גבוהים מאד .חשוב לציין ש כל זמן שמסמכי הזיהוי הם קלים לזיוף יבחרו מרבית הפושעים בזיוף מסמכים .רגע מ שאפיק זה איננו אפשרי יותר הם יפנו לזיופי זהות , שנותרים בעצם המסלול המעשי היחיד .לקבלת תיעוד בדוי דוגמה מובהקת למגמה זו ניתן לראות בנתונים של אותו ארגון Frontex ,המציג את השינוי באופי זיופי הדרכונים לאורך מספר שנים16 : 13 ראה http://www.theguardian.com/uk/2007/mar/20/terrorism.alqaida 14 ארגון שאחראי לתקינה ומעקב אחרי ביקורת הגבולות של האיחוד האירופאי, ראהhttp://frontex.europa.eu 15 ראה דו"ח של ארגוןFrontex בשם"Operational and Technical security of Electronic Passports" מיולי9044 16 ראה http://frontex.europa.eu/assets/Publications/Risk_Analysis/Annual_Risk_Analysis_2014.pdf מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד26 מתוך111 שיטת פעולה שנת 3100 שנת 3102 מגמה זיוף מסמך 42% 40% ירידה של 17% שינוי מסמך קיים 42% 2% ירידה של 24% השגת מסמך במרמה91% 92% עלייה של 47% בדומה לנתונים אלו ,פורסמו נתונים דומים לגבי שנים קודמות על ידי בריטניה17 ,כאשר ב- 9007 40% מהתיעוד הבדוי שנתפס הושג במרמה ,לעומת 92% בשנת 9002 (עלייה של 420% .)מגמה זו נמשכת באופן עקבי ומסמכי הזיהוי מסוג זה המתגלים הם רק קצה קרחון . ברבעון השלישי של 9041 נתפסו בגבולות האיחוד האירופאי 122 דרכונים אמיתיים ( authentic )שהושגו במרמה ממדינות שונות ,לעומת 222 דרכונים עם זיופים או הסבות כגון החלפת תמונה ( forged )ורק 417 דרכונים בדויים (חיקוי מלא לדרכון – counterfeit .)המשמעות היא שכמות הדרכונים האמיתיים שהושגו במרמה מהווה נתח גדול מאד מסך הזיופים שנתפסו בגבולות האיחוד . יש גם נקודה ישראלית, מתוך אותם 417 הדרכונים שזויפו בצורה מלאה ונתפסו רק ברבעון הנ"ל 90% היו דרכונים ישראליים18 .ברבעונים אחרים התמונה היא דומה – כמויות דומות של דרכונים מוסבים ואמיתיים , וכמויות קטנות של זיופים מלאים/חיקויים .כל גורמי אכיפת החוק באיחוד האירופאי גם מצביעים על כך שהזיופים הנתפסים בביקורת הגבולות הם רק קצה הקרחון ובפועל המספרים גבוהים הרבה יותר. הדרכונים הישראליים הם מוצר נחשק לעבריינים ברחבי העולם מכיוון שדרכון ישראלי 'ישן' הוא קל מאוד לזיוף ו מאפשר תנועה נוחה יחסית ללא צורך באשרות כניסה למדינות רבות בעולם .הדרכונים ה ישראליים מחזיקים בשיא המפוקפק של מספר הזיופים הגדול ביותר יחסית למדינות ה– OECD ,שמנפיקות דרכונים חכמים מזה מספר שנים. במענה לשאילתה בפרלמנט הבריטי על נתוני זיוף בקשות לדרכונים ,שהופנתה לשר הפנים הבריטי ביולי 9002 , נמסרו נתונים לאורך שנים19 המצביעים אף הם על מגמה כזו. ניתן לראות קפיצה ענקית בכמות הבקשות 17ראה http://www.icao.int/Security/mrtd/MRTD2/ICAOLACAC%20Regional%20Seminar/OAS%20Grenadfav2%20(2)%20Cut hbertson.pdf?Mobile=1&Source=%2FSecurity%2Fmrtd%2FMRTD2%2F%5Flayouts%2Fmobile%2Fdispform%2Easpx%3 78%2D8641%2Dd9590d17e420%26View%3Db616fd9b%2D4a61%2D4319%2Db15e%2D FList%3D660ee3cc%2Dbd7d%2D4f a8877ea0c483%26ID%3D9%26CurrentPage%3D1 18 ראה דו"ח תקופתי שלFrontex לרבעון שלישי של9041 באתרhttp://frontex.europa.eu 19 ראוhttp://www.publications.parliament.uk/pa/cm200809/cmhansrd/cm090720/text/90720w0051.htm , טבלה 'מס1 מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד27 מתוך111 המזויפות להנפקת דרכונים שהתגלו, במתאם מפתיע למועד הנפקת הדרכון האלקטרוני הבריטי (פברואר 9002 ,)שהינו דרכון מאובטח מאד ועשיר מאד בסימני ביטחון: הממוצע של אירועי ניסיונות להשגת דרכון במרמה ש ,נתפסו לשנים שלפני הנפקת הדרכון החדש, הוא כ- 4,200 מקרים בשנה לעומת ממוצע גבוה פי ארבע ה ,של 7,200 מקרים בשנה של הנפק ה ת דגם החדש ובשנים שלאחר מכן. ההסבר ההגיוני היחיד לקפיצה ענקית כזו ובמתאם כל כך מובהק ל מועד הנפקת דרכון שאינו ניתן לזיוף הוא שינוי צורת הפעולה של העבריינים לאור חוסנו הרב של הדרכון החדש לזיופים. כאשר נשללה מאותם עבריינ י ם היכולת לזייף מסמכים הם פשוט פנו לאפיק אחר- .של זיופי זהות נתונים אלו מצביעים על תופעה נוספת– גם כאשר מסמכי הזיהוי עדיין ניתנים לזיוף יש כמות מסוימת של עבריינים שיעדיפו זיופי זהות על פני זיופי מסמכים, כי מסמך אמיתי שהושג במרמה נותן לעבריין חופש פעולה .גדול יותר והסיכוי שלו להיחשף קטן יותר מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד28 מתוך111 במסגרת ההתמודדות עם תופעות ו אל הוקמו במסגרת האיחוד האירופאי מאגרים ביומטריים לנושא אשרות כניסה ובמסגרת מדינתית הוקמו מאגרים ביומטריים במדינות כגון בריטניה (מחזיקי דרכונים ,)הולנד , בלגיה ,שווייץ ועוד20 . 2.7 . עבריינות זיוף ו הונאת זהות בתחום העברייני וה כלכלי הונאת זהות כלכלית מוגדרת כשימוש בזהות בדויה או בזהות אחרת לצורך רכישת טובין באמצעות התחזות או זיוף תעודות מזהות ,אמצעי תשלום ומסמכים רלוונטיים נוספים. תיאוריית הבחירה הרציונאלית בקרימינולוגיה המנתחת את עולם העבריין והשקפתו ,נבחנות בחירותיו של העבריין והמוטיבציה שלו לביצוע העבירה21 . כאשר דנים במוטיבציה לגניבת זהות כלכלית ,נראה כי המניע העיקרי הינו הרווח הישיר המתקבל כתוצאה מביצוע העבירה .במחקר שנערך על-ידי ה- Center for Identity Management and Information Protection ( CIMIP )אשר הוצג במסגרת המחקר של RAND אירופה , נותחו 247 מקרים של גניבת זהות מנקודת מבטו של העבריין .לפי הממצאים ,מוטיבציה כלכלית הנה הגורם המרכזי לביצוע עבירות בתחום הונאת זהות22 . המוסד לביטוח לאומי בארץ מעריך כי היקף ההונאות בקבלת קצבאות במרמה דומה להיקף המדווח במדינות ה- OECD ועומד על כ – 4.2% מסך הקצבאות המשולמות .הביטוח הלאומי בישראל משלם כ – 10 מיליארד שקלים בשנה . ,על פי הערכה זו המשמעות היא שהעלות למוסד לביטוח לאומי בגין הונאות בהן מעורבת גניבת זהות והתחזות , עומדת על מאות מיליוני שקלים בשנה .מבדיקה עם הגורמים הרלוונטיים בחברות הסלול ר , בחברות האשראי ובבנקים בארץ ,עולה כי תופעת ההתחזות וגניבת הזהות במסגרת פתיחת חשבונות בזהות בדויה ,רכישת מוצרים תוך התחזות ועבירות דומות ,הנה תופעה מוכרת ונרחבת אשר גורמת לנזקים בהיקף כלכלי משמעותי לחברות אלו. 2.7.0 . הונאת חשבון בנק הונאות חשבון בנק מהוות במידה רבה איום על הבנקאות בישראל תוך פגיעה בקורבנות רבים .עיון בכתבי אישום ופסקי דין בישראל מגלה כי השימוש במסמכי זיהוי מזויפים בהם תעודות זהות ודרכונים ,מהווה שיטת פעולה ופלטפורמה מרכזית עבור עבריינים לביצוע הונאות ב חשבונות בנק. סיפורו של דניאל סדניק ממחיש את הנכתב לעיל. בשנת 9002 ,הגיע סדניק לסניף הדואר בחיפה במטרה לפתוח חשבון בנק .הוא הציג עצמו עם תעודת זהות, שהתבררה כמזויפת, על שם מקסים רויטנבורד ובעקבות כך נפתח לו חשבון בנק .לאחר כחודש הוא הגיע לסניף בנק דיסקונט בקריית ביאליק ,במטרה 20 לפירוט נוסף ניתן לראות במסמך "מאגרים ביומטריים ומגמ ות בתחום הביומטריה בעולם "שהופץ על ידי הרשות בדצמבר 9041 21 Ibid. 22 RAND Europe, Comparative Study on Legislative and Non Legislative Measures to Combat Identity Theft and Identity Related Crime, 2011 מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד29 מתוך111 לפתוח חשבון בנק נוסף .הפעם הציג עצמו עם תעודת זהות מזויפת בשם קים קוסובסקי .מספר חודשים לאחר מכן הוא הגיע לסניף בנק הפועלים בחיפה במטרה לפתוח חשבון בנק נוסף והציג עצמו שוב כמקסים רויטנבורד תוך שימוש ב תעודת הזהות המזויפת .יודגש כי סדניק לא פעל לבדו ,והיה חלק מחוליה שביצעה מעשי מרמה נוספים23 . כמוהו קיימים מקרים רבים נוספים . 2.7.3 . הונאת כרטיסי אשראי כרטיס אשראי הנו אמצעי תשלום שכיח ונוח ,עמו ניתן לבצע עסקאות ומגוון פעולות נוספות .לצד הפשטות בתשלום מסוג זה ,קיימים מספר סיכונים במימד הכלכלי והפלילי24 . בארה"ב דווח כי זהו דפוס ההונאה השני הנפוץ ביותר ,אחרי השגת זהות מזויפת25 . בגזר-דין מדינת ישראל נגד דניאל סדניק ואח( 'הוזכר לעיל) 26 , הנאשמים ביצעו בנוסף להונאות חשבונות בנק גם הונאות כרטיסי אשראי .במסגרת זו ,סיפק אחד הנאשמים 47 כרטיסי אשראי מזויפים באמצעותם בוצעו כ- 490 רכישות בסכום כולל של כ- 100,000 ₪ . במקרה אחר ,הואשמה שרונה פרינץ27 בשימוש במועדים שונים ב תעודת זהות מזויפת לפתיחת חשבון בנק ובתוך כך קיבלה גם כרטיסי אשראי ,בהם עשתה שימוש לביצוע עסקאות שונות .ההונאה התבצעה על-ידי שימוש ב תעודת זהות מזויפת ,וכן רישיון נהיגה זמני שהוציאה באמצעות הזהות המזויפת . 2.7.2 . הונאת זהות בענף הנדל "ן עדויות להונאות בנדל"ן בעולם ובישראל הולכות ומתרבות בכל שנה .מבין כלל ה הונאות בנדל"ן ,הונאת הזהות בנדל"ן הפכה בשנים האחרונות ליותר ויותר שכיחה .כך למשל ,מתחזים עבריינים לבעלי נכסים (דירה ,בית או קרקע המיועדת לבנייה )משכירים ו/או מוכרים את הנכס ללא ידיעת בעל הנכס .חשוב לציין כי מכירת קרקע במרמה פשוטה יותר ,לאור העדר אוכלוסייה שכנה שתחשוף את ההונאה .במקרים רבים , בעלי הנכס כלל אינם מודעים למכירתו עקב הימצאותם מחוץ לישראל לתקופה ממושכת או שהינם תושבי חוץ28. תרחיש נוסף בהקשר של הונאת נדל"ן ,מתייחס לגניבת פרטי זהות של אדם ,על מנת לקנות בזהותו נכס . תרחיש זה לרוב כולל ביצוע הונאות נוספות כגון זיוף כרטיסי אשראי ופתיחת חשבון בנק ,אשר יסייעו במימון הנכס . 23 .'גזר דין מדינת ישראל נגד דניאל סדניק ואח 24 :"כרטיסי חיוב" באתר בנק ישראל http://www.boi.org.il/he/ConsumerInformation/ConsumerIssues/Pages/CreditCards.aspx 25 Finklea K. Identity Theft: Trends and Issues, Congressional Research Service (CRF), 2014 26 .'גזר דין מדינת ישראל נגד דניאל סדניק ואח 27 בית המשפט העליון- .מדינת ישראל נגד שרונה שמעוני פרינץ 28 ,דותן לוי, "איך להתמודד עם הונאות המקרקעין", כלכליסט42 בנובמבר9002 : 3150283,00.html - http://www.calcalist.co.il/real_estate/articles/0,7340,L מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד31 מתוך111 כך לדוגמה ,שרונה פרינץ (הוזכרה לעיל )פנתה יחד עם אדם נוסף לסוכנות תיווך תוך הזדהות בכזב וחתמה על הסכם תיווך .במסגרת כתב האישום נגדה ,נטען כי פרינץ השיגה תעודת זהות נוספת ובה השתמשה על מנת להעניק יפוי-כוח בלתי חוזר לרכישת קרקע במסגרת קבוצת רכישה .לאחר מכן ניסתה למכור את חלקה במקרקעין לצד שלישי29 . שוכר דירתו של הכנר שלמה מינץ התחזה לו ומכר במרמה את דירתו. לאחר תהליך שארך כשש שנים של .בירור בבתי משפט הוכרע כי הנכס שייך לבעליו המקורי, מר מינץ ואילו הקונה התמים איבד את כספו במקרה אחר בוצעו עסקאות להעברת זכויות בקרקעות שבעליהן נפטרו ו/או מתגוררים בחו"ל לצורך קבלת התמורה עבורן במרמה .על מנת להוציא תכנית זו אל הפועל ,גויסו מתחזים ,זויפו תעודות זהות ומסמכים רלוונטיים נוספים ואף נקבעו פגישות עם המתעניינים בנכסים30 . 2.7.4 . הונאה עסקית ומסחרית בהונאת זהות בתחום העסקי ו/או המסחרי ,תעודות הזהות מסייעות לעבריינים להזדהות כבעלי החברה ו/או כמי מטעמה ובכך להשיג רווח כלכלי .במקרים אחרים ,עבריינים מציגים עצמם בכזב כבעלי מקצוע ומספקים שירותים שאינם עומדים בתקן ואף עשויים לסכן את "לקוחותיהם ."כמו כן ,פעמים רבות , העבריינים מבצעים הונאה מסוג זה כדי להסתיר היסטוריה פלילית ו/או מעמד אזרחי ו/או אי עמידה בדרישות העבודה ,בבואם בפני מעסיק פוטנציאלי . כך למשל ,התחזה אדם בכזב לאחר והתקבל לעבודה בחברת ברינקס שעיסוקה הובלת כספים .בנסיעה שגרתית נמלט המתחזה עם רכב הברינקס ובו סכום של כ- 1,700,000 ₪ ונעלם עם הכסף עד שנעצר. 31 דוגמה נוספת מתייחסת למקרה של שרונה פרינץ, (הוזכרה לעיל), בסעיף התשיעי לכתב האישום נגדה ,נטען כי פרינץ התחזתה לרופאה המתמחה בטיפול בחולי סכרת .בסעיף אחר נטען כי התחזתה גם לפסיכולוגית וסיפקה טיפולים נפשיים .שכר הטרחה מהמטופלים הרבים שלה עמד על סכום של מאות אלפי שקלים . במסגרת הסעיף העשירי נטען כי פרינץ העתיקה את פרטי תעודות הזהות וכרטיסי האשראי של המטופלים שלה לביצוע הונאות כרטיסי אשראי בטלפון .הדוגמה ממחישה כי קיימת הלימה בין הונאות שונות וכיצד הונאת זהות מהווה פלטפורמה להונאות נוספות . 2.7.2 . הונאת זהות מול גורמים ממשלתיים בהקשר הכלכלי הונאת זהות מול גורמים ממשלתיים ,מתייחסת לכלל התרחישים בהם אדם עושה שימוש בזהות אחרת על מנת לזכות ב הטבות מהמדינה ו/או כדי להימנע מחובות אזרחיות .במסגרת זו ,ניתן לציין דרכי פעולה 29 בית המשפט העליון- .מדינת ישראל נגד שרונה שמעוני פרינץ 30 .מדינת ישראל נגד דן שרון 31 .פסק דין מדינת ישראל נגד קופרמן סגל אילן מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד31 מתוך111 רבות ,החל מהתחזות לאדם אחר בעל מוגבלות ,אדם מבוגר וכלה בעולה חדש .השימוש בזהותם של זכאי הטבות מאפשר לעבריין להשיג רווח בצורה "פשוטה "יחסית .במקרים אלו ,קיים קושי באיתור ההונאה שכן הקורבנות לרוב אינם מסוגלים להתריע על חוסר הצדק שנעשה להם . במקרים אחרים ,העבריינים עושים שימוש בזהות אחרת ,על מנת להימנע מחובות אזרחיות כגון עיקולים , קנסות ותשלום למס הכנסה .כך בשעת התשלום ,פונים המוסדות הממשלתיים אל הקורבן ולא אל גונב הזהות .בסעיף האישום האחד-עשר כנגד שרונה פרינץ ,נטען כי לאור התחזותה לרופאה ואי דיווחה למס הכנסה ,הצליחה להעלים מס בסכום של למעלה מ- 200,000 ₪ 32 . כחלק מ ההונאות שביצעה שרונה פרינץ , לאחר שהשיגה תעודת זהות של אחרת ,היא הנפיקה ברשות האוכלוסין וההגירה דרכון "לגיטימי "עם זהות ה ה בדויה (עבירת הרכשה כפולה ב תיעוד ''הישן) לצורך יציאה מהארץ ועקיפת וצ איסור היציאה שהוטל עליה33 . בהקשר זה ,נראה כי רוב המדינות אשר התקדמו לתיעוד החכם העידו על ירידה משמעותית בכמות זיופי מסמכי הזהות לצד עליה משמעותית בהיקף התיעוד ה"תי י אמ "שהושג במרמה . במצב בו יונפק רק תיעוד חכם ,ללא שילוב מאגר ביומטרי ,ניתן יהיה להתחזות מספר פעמים מול פקידי רשות האוכלוסין ולקבל תעודות זהות "י אמ תיות "בזהויות שונות .ה שילוב של תיעוד חכם עם המאגר הביומטרי נועד לאתר ולמנוע ניסיונות אלו כך שיתאפשר מצב של זהות אחת בלבד לאדם אחד34 . 2.8 . עבריינות זיוף והונאה למטרות טרור לתופעות המפורטות לעיל משמעויות פליליות וביטחוניות גם יחד .בהקשר זה ,חשוב להבין שבין טרור לעבריינות פלילית "רגילה "קיימת הלימה באשר למעשה עצמו ,אשר עשוי להיות דומה בדרכיו35 . מבצעי פעילות פלילית לול ע ים לבצע גם פעילות טרור .כך לדוגמה ,המחבלים בפיגוע ברכבת התחתית בלונדון בשנת 9002 היו מעורבים גם בקבלת תשלומי רווחה במרמה בהיקפים נרחבים ,תוך שימוש בזהויות מרובות36 . עם זאת ,טרור שונה מעבריינות פלילית במהותו שכן מטרת הטרור הינה להוביל לשינוי המציאות הפוליטית ,היבט המשפיע על הצורך בחקיקה ובענישה נפרדת 37 . 32 בית המשפט העליון- מדינת ישראל נגד שרונה שמעוני פרינץ. 33 בית המשפט העליון- מדינת ישראל נגד שרונה שמעוני .פרינץ 34 "נחיצות המאגר הביומטרי - פרק I - תופעת ההרכשות הכפולות וגניבת הזהויות - אוגוסט 9041 ." 35 ,בועז גנור מבוך הלוחמה בטרור: כלים לקבלת החלטות ,. הרצליה: מפעלות המרכז הבינתחומי הרצליה9002 . 36 "נחיצות המאגר הביומטרי - פרק I - תופעת ההרכשות הכפולות וגניבת הזהויות - אוגוסט 9041 ." 37 ,בועז גנור מבוך הלוחמה בטרור: כלים לקבלת החלטות ,. הרצליה: מפעלות המרכז הבינתחומי הרצליה9002 . מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד32 מתוך111 בחודשים ובשבועות האחרונים ניתן לראות את היקפה המתרחב של תופעה זו בהקשר של גל הפליטים העושים דרכם מהמזרח התיכון לאירופה, במקרים רבים תוך שימוש בדרכונים ובמסמכי זיהוי מזוייפים. פעילי טרור .מבצעים פעילות חבלנית עויינת בחסות הגירה זו ותוך שימוש בדרכונים מזוייפים ובזהויות בדויות במסגרת התמודדותם של ארגוני טרור עם גורמי הביטחון במדינות השונות ,עושים החברים ב ארגוני ם אלו שימוש במסמכים מזויפים . התנאים הייחודיים במדינת ישראל מגדילים את מרחב הפעולה של ארגוני הטרור גם לתחום היתרי כניסה לתושבי הרשות הפלסטינית ,נישואין של אזרחי ם ישראל ים עם פלסטינים ו גניבת גבול על-ידי שוהים בלתי חוקיים. עבירות זיוף והונאה עות ג פו בין היתר בסדר החברתי .במקרים בהם העבירה מבוצעת למטרות טרור ,גלומה בכך סכנה לחיי אדם ושיבוש מהלך החיים הסדיר ,בין אם עבירת הזיוף או ההונאה מבוצעת על- יד המפגע עצמו או על-ידי סייען .הסייען אומנם לא מבצע את הפיגוע בפועל אך ללא ספק מהווה מרכיב חשוב בשרשרת הטרור38 . 2.8.0 . פיגוע במלון ""פארק בנתניה , 3113 ב- 97 במרץ , 9009 ,ערב פסח ,התפוצץ מחבל מתאבד במלון "פארק "בנתניה .יוזם ומתכנן הפיגוע היה עבאס אל סיד ,אשר שימש כראש הזרוע הצבאית של ארגון החמאס בטול כרם .אל סיד היה אחראי להכנת המחבל לפיגוע ,כולל הכנת מטען הנפץ ,לבושו של המחבל כאישה והסרטת צוואתו .כמו כן ,סיפק אל סיד מימון לסייענו של המחבל ,פתחי חציב ,ששימש כנהג ,לצורך קניית מכונית בעלת לוחיות רישוי ישראליות . את הטרוריסטים צייד אל סיד ב תעודות זהות מזויפות :עבור המחבל שחופש לאישה ,הונפקה תעודת זהות של אישה39 ועבור הנהג ,הוכנה תעודת זהות על שם תושב טייבה40 . מהחקירה עלה כי תעודות הזהות המזויפות כמו גם מטען הנפץ סופקו על-ידי תשתית חמאס בשכם .הפיגוע ,בו נרצחו 92 אזרחים ,הוביל למבצע "חומת מגן "בשטחי יהודה ושומרון41 . 38 .גזר דין מדינת ישראל נגד נאסר אבו סנד 39 "במלאת40 שנה- ( בנתניה פארק במלון התאבדות פיגוע9009 ")ב : השב"כ אתר - 423d - 25d8 - l/publications/study/pages/hotelpark.aspx?webid=a3db3c16 http://www.shabak.gov.i eb1b9253ab93 - 98df 40 ,המרכז למורשת המודיעין רצח אזרחים בליל הסדר "במלון "פארק ב נתניה: אנטומיה של פעולת טרור רצחנית כמקרה מבחן לאופיה הטרוריסטי של ה-"חמא" "ס ולמעורבות הנהגתה המדינית בפעילות מבצעית-טרוריסטית , מרץ9001 : info.org.il/Data/pdf/pdf3/SIB6_3_04_1549898855.pdf - http://www.terrorism 41 "במלאת40 שנה- ( פיגוע התאבדות במלון פארק בנתניה9009 ")ב אתר.השב"כ מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד33 מתוך111 2.8.3 . סדרת פיגועים ברכבת התחתית בלונדון , 3112 לפי דיווחים שונים42 , בידי המחבלים שביצעו את הפיגוע המשולב ברכבת התחתית בלונדון ב-7 ביולי , 9002 היה תיעוד מזויף .ברשות המחבלים נמצאה כמות גדולה של מסמכים מזויפים - דרכונים מזויפים ,ויזות ומסמכים מזויפים נוספים ,ככל הנראה עבור מספר תאי טרור .למעשה בידי המחבלים היה תיעוד "אמיתי "בזהויות בדויות ,תיעוד אשר הושג במרמה תוך זיוף זהות מול הרשויות הרלוונטיות בבריטניה. ברשותו של אחד הטרוריסטים נמצאו ארבעה דרכו נים ובידי אחר נמצאו 41 דרכונים . Dhiren Barot , טרוריסט בכיר שנתפס בבריטניה ,נשא שבעה דרכונים שונים בזהותו שלו ועוד שניים אחרים ,בזהות אחרת. כל הדרכונים היו דרכונים אמיתיים לחלוטין ,שהיו עומדים בבדיקה המ חמיר ה ביותר של מז"פ בהיותם אמיתיים ש הושגו במרמה43 .בדרכונים הופיעו תמונותיהם של הטרוריסטים עם פרטים ביוגראפיים של אנשים אחרים44 .בארט נעצר באשמת תכנון פיגוע ברכבת התחתית בבריטניה באמצעות "פצצה מלוכלכת ,"המכילה חומרים רדיואקטיביים45 .בהקשר זה יצוין כי ימים ספורים לאחר מכן ,ב- 94 ביולי ,נכשל ניסיון לביצוע פיגועים נוספים בעיר .במסגרת חקירת האירוע ,נעצר אדם שנמלט ברכבת לפריז בדרכו לרומא באמצעות דרכונו של אחיו46 . 2.8.2 . מקרי בוחן נוספים המעידים על שימוש בתיעוד מזויף לצורך פיגועי טרור במסגרת סדרת פיגועי ההתאבדות שהתרחשו בקזבלנקה ,מרוקו ,בשנת 9002 ,נעצר הטרוריסט סלאח א- דין בן עאיש וברשותו שני דרכונים "י אמ תיים "אשר הושגו במרמה .מקרים אלו מדגישים את האתגר העולה מתחום ההרכשה הכפולה ,והשימוש שעושים מבצעי הטרור בתיעוד "אמתי "במסגרת פעילות טרור47 . מחקירת המעורבים בחטיפה ורציחת שלושת הנערים הישראלים :גיל-עד שער ,נפתלי פרנקל ואייל יפרח ז"ל בחודש יוני 9041 ,עולה כי חוסאם חסן קואסמה ,אשר באדמות יו נמצאו גופות הנערים ,תכנן לברוח לירדן באמצעות תיעוד מזויף .במבצע מודיעיני משולב של השב"כ בסיוע משטרת ישראל וצה"ל ,נעצר קואסמה ,נחקר והודה על זיקתו לאירוע תוך חשיפת סייעניו48 . בסקירה של השב"כ49 ממאי 9002 נחשפה תופעה של זיוף אישורים רפואיים לצורך כניסה מרצועת עזה 42 http://www.terrorismanalysts.com/pt/index.php/pot/article/view/256/html 43 terrorists - and - fraudsters - to - issued - passports - uk - http://www.itpro.co.uk/108286/10000 44 "נחיצות המאגר הביומטרי- פרקI - תופעת ההרכשות הכפולות וגניבת הזהויות - אוגוסט9041 ". 45 http://www.itpro.co.uk/108286/10000-uk-passports-issued-to-fraudsters-and-terrorists 46 http://news.bbc.co.uk/2/hi/uk_news/6634923.stm 47 Ibid. 48 ""מעצרו וחקירתו של חוסאם קואסמה המעורב בחטיפת שלושת הנערים ב :אתר השב"כ http://www.shabak.gov.il/publications/publications/pages/newitem040914.aspx 49 מאי לישראל", מהרצועה כניסה לצורך רפואיים אישורים זיוף "תופעת9002 ,ב : השב"כ אתר - 98df - 423d - 25d8 - report.aspx?webid=a3db3c16 - http://www.shabak.gov.il/publications/study/pages/medical מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד34 מתוך111 לישראל .ניכר מאמץ משמעותי של פלסטינים מרצועת עזה לנצל את היתרי הכניסה לישראל במסגרת טיפול רפואי .מדובר בתעשייה פורחת המאפשרת השגת אישורים רפואיים מזויפים באמצעות תשלום לרופא או לעיתים התחזות לחולה .בערוץ זה נעשה שימוש גם להחדרת מתאבדים לישראל .כך למשל שתי מחבלות מתאבדות ,פטמה זק ורודה חביב ,נעצרו במאי 9007 במעבר ארז עם אישורים רפואיים מזויפים , בדרכן לבצע פיגוע כפול בתל-אביב ובנתניה50 . יש לציין כי לצד השימוש באישורים מזויפים לצורכי כניסה לארץ לעבודה ,ביקור משפחה ,נישואין ועוד , ארגוני הטרור פועלים לנצל את השוהים הבלתי חוקיים למטרותיהם .מנתונים שפורסמו על-ידי השב"כ עולה כי בשנת 9002 לבדה הונפקו יותר מ- 42,700 היתרים במסגרת זו .נראה כי גם מי שנכנס עם אישורים מזויפים לישראל למטרות אישיות ,מהווה סיכון שכן מדובר בשוהים בלתי חוקיים בעלי פוטנציאל להיות מנוצלים על-ידי ארגוני טרור51 . דוגמאות נוספות והסברים מפורטים בנושא מימו ן טרור ותופעת העבריינות בה מעור ב ות גניבת זהויות והתחזות, ניתן לראות בעבודת המחקר של המכון למדיניות נגד טרור במרכז הבינתחומי- "חשיבות התיעוד ."החכם והמאגר הביומטרי במניעת טרור ופשיעה 2.9 . נזק לדמוקרטיה גניבת זהות עלולה להוות גם פגיעה בדמוקרטיה, כדוגמת הצבעה בזהות גנובה עד כדי הטיית בחיר ות ו גרימת הצורך בבחירות חוזרות במקרה שהתרמית מתגלה ,כפי שאירע בבחירות לרשויות הערים בבית שמש ובנצרת בשנת 9041 .דו"ח מבקר המדינה לבחירות הארציות לשנת 9042 מתייחס ל אלפי הצבעות אשר בוצעו תוך התחזות ובזהות גנובה .פוטנציאל הנזק בבחירות ארציות הוא אדיר . 2.01 . ניהול סיכונים לאור האמור לעיל ולאור עבודת המטה המהווה בסיס לפרויקט התיעוד הביומטרי ,עולה צורך מובהק לבצע ניהול סיכונים סדור לפרויקט חשוב זה .השאלה המרכזית היא "האם די בהנפקת מסמכי זיהוי חסינים לזיופים "?או בשפה יותר ציורית ,האם ניתן "לנוח על זרי הדפנה? ." התשובה לכך היא לא ש די ב שכלול מסמכי הזיהוי וככל שאלו יהיו משוכללים יותר וק שים יותר לזיוף ,יפנו העבריינים לאפיקים אחרים, שחלקם מסוכנים אף יותר .הסיכון המשמעותי ביותר שנותר הוא כאמור היכולת eb1b9253ab93 50 "תופעת זיוף אישורים רפואיים לצורך כניסה מהרצועה לישראל", מאי9002 ,ב.אתר השב"כ 51 .שם מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד35 מתוך111 לזייף זהות ,יכולת ש נמצאת בהישג ידו של פושע בודד נטול משאבים ונטול יכולת טכנולוגית גם כאשר היכולת לזייף מסמכי זיהוי איננה קיימת יותר . ההגנה נגד זיופי זהות מחייבת כלים מתאימים , שיגנו על זהות תושבי ישראל מבלי להטיל עומס לא סביר על התושבים ,שרובם המוחלט הם אנשים ישרים .הכלי היעיל ביותר ל התמודדות עם סיכון גניבת הזהות הוא שימוש במאגר ביומטרי מרכזי .כלי ה נמצא בשימוש מדינות רבות בעולם ,ובהן :ארה"ב (להנפקת רישיונות נהיגה ,)קנדה (הנפקת דרכונים52), ניו-זילנד (הנפקת דרכונים53 ) ועוד מדינות רבות, כמפורט במחקר שהופץ על ידי הרשות54 . 2.00 . מאגרים ביומטריים קיימים במדינת ישראל תמונות פנים של מרבית תושבי מדינת ישראל נמצאות מזה זמן רב במאגרים קיימים ,חלקם מנוהלים על ידי המדינה כגון: משרד התחבורה ו משרד הפנים ,וחלקם מאגרים ציבוריים הפתוחים לקהל הרחב ,כגון: רשתות חברתיות ( Facebook ,חשבונות (Google ואחרים . להלן מאגרים עיקריים בהם מנוהלים נתונים ביומטריים של רבים מאזרחי מדינת ישראל: 2.00.0 . מאגר המתגייסים לצה"ל מאגר הכולל טביעות אצבעות מלאות ומפורטות (עשר טביעות אצבע "מגולגלות "בניגוד לשתי טביעות של כריות האצבעות המורות במאגר של הרשות ,)דגימת DNA וצילומי שיניים .מאגר זה ,המכיל מעל שלושה וחצי מיליון רשומות הכוללות כאמור פרטים ביומטריים ופרטים דמוגרפיים מלאים ,מופעל על ידי הרבנות הצבאית לצורך זיהוי חללים .בעבר התבסס מאגר זה על כרטיסיות נייר אולם מזה שנים רבות הוא מאגר ממוחשב ,המאפשר חיפושים ממוכנים . 2.00.3 . מאגר ברשות שדות התעופה ( מאגר ביומטרי של נתוני גאומטריית כף הידHand geometry ) של עוברים בנתב"ג, הכולל כמיליון .וארבע מאות אלף מנויים, כולם אזרחי ישראל. מאגר זה משמש לצורך מעבר מהיר בביקורת הגבולות 52 ראה http://www.ppt.gc.ca/publications/pdfs/ar_12_eng.pdf 53 ראה objectid=10845135 http://www.nzherald.co.nz/nz/news/article.cfm?c_id=1& 54 מאגרים ביומטריים ומגמות עולמיות בתחום הביומטריה מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד36 מתוך111 2.00.2 . מאגר משרד התחבורה מאגר תמונות פנים של מחזיקי רישיונות נהיגה המשמש להנפקה חוזרת של רישויונות ולצורך אימות זהות .בפועל לא נעשה שימוש בטכנולוגיית זיהוי פנים במאגר זה ,אולם ה מאגר מכיל תמונות פנים של רוב האוכלוסייה הבוגרת בישראל . 2.00.4 . מאגר שירות התעסוקה מאגר המתבסס על תבנית טביעת אצבע ( Template )וכולל טביעות אצבע של כמיליון אזרחי המדינה מתוך אוכלוסיית של מבקשי העבודה מהשנים האחרונות .מאגר זה משמש לייעול הטיפול במבקשי עבודה במסגרת השימוש במכשירי "התייצבומט ." 2.00.2 . מאגרים מקומיים חברות וארגונים רבים מנהלים מאגרים מקומיים לצורך זיהוי עבודים ולקוחות ,לדוגמה: 4. ארגונים וחברות ה דורשים החתמת שעון נוכחות באמצעות טביעות אצבע או באמצעות גאומטריית כף יד .שעוני נוכחות אלו כוללים מאגר קטן של עובדי אותן חברות וארגונים . 9. חברות וגופים מסחריים רבים מזהים את לקוחותיהם באמצעות זיהוי ביומטרי כגון זיהוי קולי ומנהלים לשם כך מאגר נתונים ביומטריים מקומי . 2.00.6 . רשתות חברתיות תמונות של אחוז גבוה מאד מאזרחי מדינת ישראל ,כארבעה מיליון מתוכם ,נשמרות במאגרי הנתונים של רשתות חברתיות כדוגמת Facebook , Google ו- Instagram העושות שימוש מסחרי במידע אותו הן אוגרות ובכלל זה תמונות הפנים .למעשה Facebook מנהלת כיום את המאגר הביומטרי הגדול בעולם . הטכנולוגיה הביומטרית המתקדמת של Facebook נועדה לתיוג ממוכן של תמונות אותן מעלים משתמשי הרשת החברתית . 2.00.7 . מבקשי אשרות טביעות האצבעות של מעל מליון אזרחים ישראלים נאסף ו נשמר במאגר מבקשי אשרות הכניסה לארצות הברית US-Visit . המאגר מנהל נתונים אלפנומריים לצד נתונים ביומטריים (תמונ תו פנים וטביעות עשר אצבעות) .רמת פירוט המידע במאגר זה גבוהה באופן ניכר מרמת הפירוט של המידע המנוהל במאגר של הרשות לניהול המאגר הביומטרי .שלא כמו במאגר הביומטרי ,המידע במאגר מבקשי האשרות נגיש לגורמים רבים ו בהם מדינות אחרות וגופי אכיפה וביטחון. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד37 מתוך111 2.03 . סיכום פרק נחיצות המאגר - הצורך והיקף תופעת גניבת הזהות וההתחזות בנושא נחיצות המאגר הרחיבה הרשות וביצעה מבדקים בנוסף על המוגדר בחקיקה , ובנוסף על בדיקת החלופות המפורטת בפרק 9 להלן. המבדקים כוללים את :הנושאים הבאים 4) בחינת היקף תופעת ההרכשות הכפולות בעידן התיעוד הישן והערכת היקף התופעה בעידן התיעוד הביומטרי החכם . 9) הערכת היקף הנזקים הנגרם למדינת ישראל בשל תופעת גניבת הזהות וההתחזות בהיבט הכלכלי ,היבטי הפשיעה ,השפעה חברתית בשל זיופי בחירות ועבריינות .וההיבט הביטחוני של השימוש בזהות בדויה 2) בחינת הנעשה בעולם בנושא השימוש בביומטריה ובדגש על יישום מאגרים ביומטריים בעולם. 1) סקירה אקדמית של יכולות התיעוד החכם והמאגר הביומטרי להוות כלי יעיל במניעת פשיעה וטרור המבוססים על גניבת זהות והתחזות . היקף הנזקים כפי שעולה מתוך נתונים שנאספו במהלך התקופה מגורמים כגון הביטוח הלאומי , הבנקים ,חברות האשראי ,חברות הסלולר ,הרשות לאיסור הלבנת הון ומשטרת ישראל מסתכם במאות מיליוני שקלים בשנה הבאים לידי ביטוי בהונאות ,במעשי עבריינות ובקבלת תגמולים שלא כדין תוך שימוש בזהויות בדויות ובהתחזות. נזקים נגרמים למדינה אף במישור הדמוקרטי בפוטנציאל השפעה .על תוצאות הבחירות הלאומיות או המוניציפאליות נזקים נגרמים במישור הבינלאומי בשל שימוש .שכיח בדרכונים ישראליים בזהות בדויה איתור מעבדות לייצור וזיוף תעודות זהות .מבוצע על ידי המשטרה כפעילות שבשיגרה בנוסף, ב שנים האחרונות אנו עדים לפרסומים רבים המתארים תהליכי זיוף עצמי של תעודות זהות או דרכונים על ידי .מגוון אוכלוסיות שכלול מסמכי הזיהוי והמעבר ל תיעוד ביומטרי מאובטח אשר מונע את זיוף המסמך המזהה לא ייתן מענה שלם לאירועים אלו ויהיה זה אך תמים להניח שעברייינ םי ומחבלים יחזרו למוטב כתוצאה מחוסר היכולת לזייף מסמכי זיהוי .רמת האמינות הגבוהה של מסמכי הזיהוי הביומטריים תיצור את המוטיבציה להשיגם במרמה ,על ידי התחזות לאחר. הפתח להשגת תיעוד בזהות בדויה יהא תוך התחזות לאחר מול פקיד רשות האוכלוסין וקבלת תיעוד ."לגיטימי" מהמדינה בזהות בדויה במסגרת בחינת הנחיצות בוצעה עבודת מחקר מקיפה לבחינת הנעשה בעולם בתחום הביומטריה, בדגש על יישום מאגרים ביומטריים .תוצאות המחקר מתועדות במסמך "מאגרים ביומטריים ומגמות עולמיות בתחום הביומטריה". על פי מחקר זה ניתן לומר כי בשנים האחרונות קיימת בעולם מגמה של שימוש בביומטריה ככלי פוץ נ לאימות זהות משתמשים במגוון תחומים .השימוש בביומטריה מאפשר אימות מהימן של זהות המשתמש :במגוון תחומים אזרחיים, מסחריים ומדינתיים .מערכות זיהוי ביומטריות כוללות שימוש במגוון סוגים של ביומטריה ,כאשר הנפוצות שבהן כיום הינן זיהוי טביעות אצבע וזיהוי תמונת פנים .מערכות ביומטריות רבות מבוססות על רכיבי קצה אשר מאפשרים אחסון נתונים ביומטריים ונתונים נוספים לאימות ,כגון כרטיס חכם , מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד38 מתוך111 דרכון אלקטרוני ,טלפון נייד או אמצעי מדיה למיניהם .ביישומים אשר בהם נדרשת רמה גבוהה של מהימנות בתהליך ההזדהות יש לעיתים קרובות שימוש גם במאגרי נתונים ביומטריים מרכזיים. במדינות מובילות רבות בעולם ,ובהן: שוויץ ,דנמרק ,בלגיה ,בריטניה ,צרפת ,אוסטרליה ,ניו זילנד ,פינלנד , מקסיקו ,הודו ,ספרד ,ברזיל ,קנדה ,ארצות הברית ,הוקמו בשנים האחרונות מאגרי נתונים ביומטריים הכוללים את פרטי ה אזרחי ם בהם נעשה שימוש בתהליכי הנפקת תעודות זהות ,דרכונים ו רישיונות נהיגה . מדינת ישראל ,בהנפיקה כעת את תעודות הזהות הביומטריות החכמות ואת הדרכון הביומטרי החכם מצטרפת לכל מדינות ה- OECD אשר כבר מנפיקות דרכון ביומטרי חכם. השימוש במאגר נתונים ביומטריים מרכזי במסגרת תהליך הנפקת התיעוד מאפשר למדינ ת ישראל לשמר מרשם אוכלוסין אמין ומהימן ולמנוע את תופעת גניבת הזהות וההתחזות במסגרת תהליך ההנפקה .תוך מתן מענה צופה פני עתיד לבעיה משבר ההגירה הפוקד לאחרונה את העולם ובפרט את מדינות אירופה מעצים את הצורך במניעת שימוש בזהות גנובה . הונגריה, לדוגמא, התמודדה בשנת9042 עם כ- 7,000 מסתננים לא חוקיים, ללא הקמת גדר או אמצעי מניעת הגירה הולמים אחרים. במהלך שנת9041 הגיעו אליה כ- 12,000 מסתננים ו בשנת9042 , עד חודש אוגוסט כבר נכנסו לתחומי הונגריה מעל420,000 .מסתננים לא חוקיים ,על כן נדרשות מדינות כיום לתת מענה הצופה פני עתיד .מאגר ביומטרי מ אפשר התמודדות עם הגידול הצפוי .בכמות ההתחזות וההרכשות הכפולות הצפויה בעידן התיעוד הביומטרי החכם ניתן לסכם את הנושא באופן הבא: בדו"ח הוועדה המייעצת אשר פיקחה במשך כשנתיים על תקופת המבחן נקבע כי קיימים נימוקים המבססים את נחיצותו של המאגר המאגר הביומטרי,. כמו כן מנתוני משטרת ישראל וכן ממסקנות עבודת המטה של הלוט"ר שבוצעה במהלך שנת 9041 עולה כי תופעת עבריינות הזיוף ,גניבת הזהות וההונאה הנה תופעה רחבת היקף הנמצאת במגמת עליה ואשר מהווה איום כלכלי ,חברתי וביטחוני ברמה הבינלאומית בכלל, ולתושבי מדינת ישראל בפרט .תופעות העבריינות הנלוות להתחזות וגניבת זהות נעות מפתיחת חשבון בנק ומשיכת כספים בזהות מזויפת ,דרך קבלת לי ומגת ביטוח לאומי במרמה ,דרך מכירת דירות וכלי רכב תוך התחזות לאחר ועד הצבעה בזהות בדויה בבחירות. לצד תופעות אלה קיימת הפעילות החבלנית העוינת והסיוע למחבלים תוך שימוש בזהויות בדויות . היקף הבעיה בישראל מחייב פתרון ל טווח קצר לו טווח ארוך .התיעוד הביומטרי החכם אינו ניתן לזיוף ולפיכך התופעה ,שכבר כיום הנה רחבת היקף ,של התחזות לצורך קבלת תיעוד "לגיטימי "תגדל עשרות מונים בעידן התיעוד החכם .צד מ השני ,כפי שעולה מדיווחי הלשכה המרכזית לסטטיסטיקה ורשות האוכלוסין וההגירה , ביצוע התשאול על ידי פקיד אינו נותן מענה טוב לאיתור עבריין ה מנסה לקבל תיעוד תוך התחזות לאחר .נוסיף על כך את כניסת מדינת ישראל לעידן הדיגיטלי בו שירותים ויישומים ינתנו מרחוק תוך הזדהות המבוססת על התיעוד הביומטרי החכם ,והתוצאה תהיה הגדלת אטרקטיביות התיעוד ל גורמים עבריינים ו חבלנ יים שירצו לקבל תיעוד "לגיטימי "בזהות בדויה . מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד39 מתוך111 כפי שניתן לראות מן הנעשה בפרויקטים מקבילים בעולם ,במדינות בהן החלה הנפקת תיעוד מאובטח הצטמצם שיעור המסמכים המזויפים והתרחבה תופעת זיוף הזהות וההתחזות מול פקיד לצורך קבלת תיעוד במרמה .בחינת החלופות הנרחבת אשר בוצעה במהלך תקופת המבחן הובילה את מומחי המרכז למחקרים צבאיים ברפא"ל ואת מומחי הביומטריה אשר בחנו את הנושא למסקנה חד משמעית בדבר העובדה ששימוש במגוון רחב של נתונים ביומטריים במסגרת תהליכי השוואת הנתונים ,יאפשר איתור מתחזים ומניעת גניבת זהות בצורה מדויקת ויעילה ,לצד כמות מינימלית של התראות שווא .האמצעי הטכנולוגי אשר מאפשר את יישום המסקנות העולות מן ההסבר התמציתי שלעיל הנו בסיס נתונים מרכזי ,המאגר הביומטרי ,אשר מכיל נתוני טביעות אצבע ותמונת פנים של מבקשי התיעוד ועל ידי השוואת נתונים ביומטריים מאפשר למנוע את .תופעת גניבת הזהות וההתחזות מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד41 מתוך111 4. מטר ו ת הת י עוד החכם והמאגר הביומטרי מטרת פרויקט עוד י הת החכם והמאגר הביומטרי א הי מתן יכולת למדינת ישראל למלא את חובתה כלפי אזרחיה ותושביה ב הגנה על זהותם וב מניעת תופעת גניבת הזהות וההתחזות . מטרה זו מושגת על ידי הנפקת ת י עוד ביומטרי חכם מאובטח המבוסס על שימוש במאגר נתונים ביומטריים, אשר מאפשר לוודא כי לכל אדם תהא עוד ת ה אחת בלבד בזהותו האמ י תית. המאגר המנוהל על ידי הרשות הביומטרית נועד להוות מנגנון מרכזי למניעת גניבת זהות והתחזות במסגרת תהליכי הנפקת התיעוד ,וזאת ב כדי לוודא בצורה מהימנה שלכל אדם יש זהות יחידה , היא זהותו האמיתית. תוצא ת השימוש בכלי זה הינה בניית מרשם אוכלוסין תקין ואמין ,שחיוני כדי למנוע פשיעה ,פעילות חבלנית ופגיעה בתהליך הדמוקרטי באמצעות שימוש בתיעוד מזויף או בזהויות גנובות. 4.0 . ייעודו העיקרי והמרכזי של המאגר הביומטרי ייעודו הראשי של המאגר הוא למנוע ממתחזים להנפיק תיעוד לאומי בשמם של אזרחים אחרים (מניעה של הרכשה כפולה ,)למנוע זיופי תיעוד ,וכל שימוש אחר לרעה במסמכי הזיהוי .למאגר יש גם ייעודים משניים המוגדרים בחקיקה . השימוש לרעה בגניבת זהות ובתיעוד לאומי מזויף מטיל מגבלות על תושבי המדינה ,שצריכים להוכיח את זהותם לעיתים תכופות במקום לקבל את השירותים להם הם זכאים בקלות ובמהירות .בנוסף לכך נוצר עומס על המנגנון הממשלתי ,הפרטי והציבורי בגלל ההונאות המתבצעות באמצעות גניבת זהות וזיוף תיעוד . המטרה הראשית והעיקרית של המאגר הביומטרי היא יצירת מצב שבו לאדם אחד יש זהות אחת בלבד .בצורה זו ניתן למנוע מ עבריינ ים לקבל תיעוד "אמיתי "תוך שימוש בשמם של אחרים .המאגר הביומטרי הינו אמצעי טכנולוגי מוכח ויעיל ביותר ,שיכול לאתר מצבים של ריבוי זהויות ,הן בשל כוונת זדון והן בשל טעויות רישום. עיקרי תהליך האימות והזיהוי המתבצעים במאגר מ תוארים להלן .לאחר הרכשת המידע הביומטרי מהאזרחים בלשכות (לצורך הנפקת תעודת זהות ו/או דרכון )מ ועבר מידע זה אל הרשות ו מערכות הרשות מבצעות חיפוש מסוג One to many כדי לתת אחת משתי תשובות: 4.0.0 . :תוצאת ההשוואה הנתונים הביומטריים אינם קיימים במאגר במקרה זה מדובר ברשומה חדשה ,כלומר הפעם הראשונה שהאדם ממנו נדגמו הנתונים הביומטריים נרשם במאגר. במקרה זה ביומטריה יכולה לקבע זהות ,כלומר מתחזה שהגיע ראשון ללשכת רשות האוכלוסין ואימץ זהות של אחר ,יתגלה כאשר ה קורבן לגניבת הזהות יגיע ויבקש להנפיק תיעוד חדש על שמו .אם הקורבן לא יגיע המתחזה יוותר בהכרח על זהותו האמתית וזהו תשלום גבוה מאד. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד41 מתוך111 4.0.3 . :תוצאת ההשוואה הנתונים קיימים ושייכים לזהות מסוימת במקרה זה מדובר ברשומה קיימת ואז יש לוודא שהאדם ממנו נדגמו הנתונים הביומטריים רשום כבר באותה זהות שהצהיר .אם תתגלה אי התאמה בין הזהות שהצהיר אותו אדם לזהות בה הוא מוכר למאגר – עולה חשד להרכשה כפולה . רק לאחר שהתקבלה תשובה חיובית מהמאגר , המאשרת כי מדובר ברשומה חדשה או ברשומה קיימת ואין חשד להרכשה כפולה ,מ ועבר אישור למרכזי ההנפקה לצורך הנפקת התיעוד המבוקש .חיווי על חשד להרכשה כפולה מ ועבר בצורה פרטנית ובתהליך המבטיח שההנפקה של התיעוד תיעצר. 4.3 . יעדי המשנה של המאגר הביומטרי החוק על פיו פועל המאגר הביומטרי קבע שימושים נוספים למאגר ,תחת מגבלות וגורמי פיקוח שונים . שימושים אלו כוללים: 4.3.0 . אי רוע רב נפגעים קיומו של מאגר ביומטרי יסייע לגורמי אכיפת החוק במקרים שבהם נדרש זיהוי של נפגעים וחללים עקב פיגוע המוני או אסון טבע ., וכן למשטרה הצבאית בזיהוי נעדרים או שבויים 4.3.3 . סיוע לגורמי אכיפת ה חוק החוק מ סמיך את גורמי אכיפת החוק ליט ול נתונים ביומטריים ולהעבירם לרשות לצורך השוואתם אל מול האמצעים והנתונים הביומטריים שבמאגר וקבלת תוצאת זיהוי .נטילה כזו אפשרית באותם מקרים שבהם נמצא לפני השוטר אדם שלא ניתן לקבוע את זהותו בוודאות בדרך אחרת ,המעלה חשש שמדובר במתחזה . האמור לעיל תקף גם כאשר נדרש וי היז גופה. הבדיקה מול הרשות וכן התשובות יבוצעו בצורה שאינה מקוונת ולא בתהליך "זמן אמת ,"לאחר קבלת האישורים הנדרשים ובתהליך מאובטח . בנוסף ,נקבע כי ניתן להסתייע במאגר הביומטרי לצורך גילוי ,חקירה או מניעה של עבירות מסוג פשע או עוון ,לצורך זיהוי ותפיסה של עבריינים שעברו עבירות כאמור ,ולצורך סיכול פיגועים והגנה מפני פגיעה בחיי אדם ,בכפוף לצו שופט ובהתאם להוראות המגבילות שנקבעו בחוק. 4.3.2 . גורמי בטחון בחוק נקבע כי לרשויות הביטחון תהיה אפשרות לעשות שימוש ב מאגר הביומטרי לצורך מימוש ייעודם ותפקידיהם ,ובין השאר לשם סיכול פיגועים והגנה מפני פגיעה בחיי אדם ,וזאת על פי הכללים שייקבעו. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד42 מתוך111 2. ה רשות הביומטרית וה מאגר - תכולה ופעילות 2.0 . תכולת הנתונים במאגר הנתונים הביומטריים הנשמרים במאגר כוללים את פריטי המידע הבאים ,הנחלקים למידע מזהה מובהק ( PII55 )ולמידע שאיננו מזהה: 2.0.0 . פריטי מידע מזהים נתונים מזהים באופן מובהק: 2.0.0.0 . נתונים ביומטריים תמונת פנים ו)טביעות של שתי האצבעות המורות (עבור מרבית האוכלוסייה . מערכת ההשוואה של המאגר ממירה בפועל( את התמונות הגולמיות לתבניותTemplates ) . התמונות הגולמיות חיוניות .לצורך בחינה אנושית של אירועי החשדה ולצורך הימנעות מתלות בלתי הפיכה בספק זה או אחר 2.0.0.3 . מספר מזהה מלבד ה נתונים הביומטריים מזוהה כל רשומה על ידי נתון מזהה ייחודי, שאיננו פריט מרשם (כ דוגמת מספר ה זהות). אופן שמירה כזה, המנותק ממידע ביוגרפי/אלפנומרי, הינו ייחודי למדינת ישראל ואין לו אח ורע בעולם. שיטה זו תומכת בצורה מובהקת בפרטיות ואף יוצרת מנגנון פיקוח מובנה כאשר נדרש שיתוף פעולה בין שתי רשויות נפרדות לצורך התאמה בין רשומת נתונים ביומטריים לזהות בפ .ועל 2.0.3 . פריטי מידע שאינם מזהים נתו נים נוספים המגיע ים למאגר הם נתונים שאינם מזהים באופן מובהק: 2.0.3.0 . ילד או מבוגר ( חיוויAttribute )ממערך ההרכשה ברשות האוכלוסין על גיל האדם שאליו מתייחסת הרשומה . חיווי זה מציין האם הוא מעל או מתחת לגיל49 . נתון זה דרוש כדי לממש תהליך עבודה ייחודי לרשומות .של ילדים מילדים עד גיל49 .לא מתבצעת נטילת טביעות אצבע 55 nformation I dentifiable I ersonally P = PII מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד43 מתוך111 2.0.3.3 . סוג התיעוד הקודם בנוסף לחיווי הנ"ל מתקבל חיווי על סוג התיעוד שכבר הונפק בעבר לאותו אדם. החיווי מציין האם הרשומה מתייחסת ל ח ידוש/ .הנפקה נוספת של תיעוד ביומטרי (ת.ז ביומטרית למי שיש לו כבר דרכון ביומטרי , דרכון ביומטרי למי שיש לו כבר ת.ז. ביומטרית , אובדן תיעוד ביומטרי או פקיעת תוקף של תיעוד ביומטרי ) או לחלופין הרשומה מתייחסת ל הנפקה ראשונה של תיעוד ביומטרי. חיווי זה נדרש לצורך תהל .יך העבודה ברשות 2.0.3.2 . נתונים מנהלתיים לצורך ניהול הנתונים המגיעים למאגר מועבר מספר בקשה סידורי (כדי לאפשר עצירת הנפקה מסוימת בעת החשדה), מספר מנה (מנה היא קובץ המכיל אוסף של בקשות הנפקה) ומספר המזהה את .)האצבעות בכף היד מהן ניטלה טביעת האצבע (כדי לסמן נטילה מאצבעות שאינן האצבעות המורות 2.3 . מה לא כולל ה?מאגר המאגר איננו כולל מידע ביוגרפי או דמוגרפי כלשהו .אין במאגר פרטים אישיים כגון: שם ,מספר זהות , תאריך לידה ,כתובת מגורים , אין נתונים אודות נכסים או מצב משפחתי, איןDNA או כל פריט מידע אחר הנמצא במרשם האוכלוסין או במאגרי מידע אחרים. 2.2 . מבנה ארגוני הרשות כפופה לשר הפנים וכוללת את בעלי התפקידים הבאים: איור 4 – מבנה ארגוני מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד44 מתוך111 2.2.0 . ראש הרשות תפקיד זה מוגדר בסעיף 44ב 'של החוק ,ועליו מוטל ניהול הרשות הביומטרית וביצוע תפקידיה לפי החוק . התפקיד כולל את כלל היבטי ניהול הרשות כולל הגדרת מדיניות, אישור נהלי העבודה, הקמת ת הליכי ,עבודה מתאימים אשר יתמכו בדרישות החוק וביעדי הרשות ,הקמת ממשקי העבודה הרלוונטיים.ועוד 2.2.3 . הממונה על הגנת הפרטיות מידע ביומטרי הינו מידע רגיש ,כפי שנקבע על ידי שירות הביטחון הכללי .אחד מבעלי התפקידים במאגר הוא הממונה על הגנת הפרטיות שתפקידו לבקר את השימוש במאגר ,להגדיר מדיניות הגנה על פרטיות המידע ולהגדיר את ה איומים שמהם נגזרת אבטחתו של המאגר .תפקיד זה מוגדר בסעיף 92 של החוק. בנוסף לכך ,על הממונה על הגנת הפרטיות לדווח מדי שנה ,לשר הפנים ,שר המשפטים ,וועדת הכנסת המשותפת ולרשם מאגרי המידע על פעולותיו לפי החוק וכן לייעץ לשר ולראש הרשות בעניין דרכי העברת מידע מהרשות למשטרת ישראל. 2.2.2 . מנהל אבטחת מידע אבטחת מידע הינה נושא בעל חשיבות עליונה ,שילווה את המאגר לכל אורך חייו .לצורך זה אחד מבעלי התפקידים הוא מנהל אבטחת המידע ,שתפקידו להקים ולהפעיל את מערך אבטחת המידע על כל חלקיו . פעולתו של מערך זה נגזרת מסיווג המאגר כ"סודי ביותר ,"מרגישותו הציבורית ,מדרישות הגנת הפרטיות , מדרישות הגורם המנחה בשירות הביטחון, ומהממשקים השונים של הרשות הביומטרית. 2.2.4 . מנהל אגף מערכות מידע בעל תפקיד ה אחר אי על ניהול מערכות המידע ברשות ,הכוללות את בסיס הנתונים הביומטרי ים, ואשר אחראי על מפעילי המערכת ושאר בעלי התפקיד העוסקים בתחזוקת בסיסי הנתונים ומערכות המידע. 2.2.2 . מנהל תחום תפעול ותקציב בעל תפקיד האחראי על התפעול השוטף של הרשות כיחידה עצמאית בהיבטי ניהול הרכש ,המכרזים ,ניהול תקציב הרשות וביצוע משימות תפעוליות כנדרש . 2.4 . ה קוד ה אתי ברשות הביומטרית הרשות פועלת כיום תחת קוד אתי סדור שנכתב ע"י פרופסור אסא כשר. הקוד האתי ש על פיו פועלת הרשות הוא תעודת הזהות הערכית והנורמטיבית של הפרויקט הביומטרי כולו ואחד מ ה נדבכי ם ליצירת אמון הציבור מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד45 מתוך111 בפרויקט. ה קוד האתי מסמן את ההתנהגות הראויה של כל אחד ואחת במסגרת הפרויקט הביומטרי הלאומי והוא חל על הרשות הביומטרי ת ו על עובדי ה ., ככל שהם מטפלים בנתונים ביומטריים 2.4.0 . מהות הקוד האתי הקוד האתי אינו מסמך משפטי ואינו מסמך משמעתי .הוא מוסיף למסגרות המשפטיות והמשמעתיות את המסגרת האתית ,המדריכה ומעודדת את העובדים לפעול כראוי ,ברמה המיטבית ,לאור הערכים והעקרונות של הרשות לניהול המאגר הביומטרי. 2.4.3 . מטרת הקוד האתי הקוד האתי הוא בעל חשיבות גם כלפי פנים וגם כלפי חוץ. כלפי פנים ,מטרתו לשקף את הזהות הייחודית של הפרויקט הביומטרי הלאומי ,להבהיר את הייעוד , השיטה והמסגרת ולהדריך את הרשויות ואת העובדים לפעול על פי הערכים והעקרונות כדי לפעול כראוי ולבטא את הזהות הייחודית של הרשות לניהול המאגר הביומטרי באופן מיטבי. כלפי חוץ, מטרתו לשקף את הזהות הייחודית של הרשות לניהול המאגר הביומטרי באופן גלוי וברור , המאפשר לכל אזרח להבין את חשיבות פעילותה של הרשות לניהול המאגר הביומטרי ואת המגבלות החמורות החלות עליה כדי לשמור על הפרטיות של כל בעלי הנתונים הביומטריים שברשותו. 2.2 . מערך המחשוב של הרשות מערך המחשוב של הרשות כולל את המערכות הבאות: 2.2.0 . מערכת לקליטת הרכשות מערכת מחשוב שתפקידה לבחון את ההרכשות המגיעות מלשכות רשות האוכלוסין במטרה לאמת את מקורן ו לוודא את שלמותן .בנוסף לכך כוללת ה מערכת יכולת איתור והתרעה כנגד קוד מפגע כדי למנוע פגיעה במערכות המאגר .ה מערכת מנותקת מכל סביבה ורשת אחרת .הניתוק של מערכות המאגר מכל רשת אחרת מוגדר בחוק . 2.2.3 . מערכות הה שוואה ה ביומטרית ברשות פועלות מערכות להשוואה ביומטרית המבוססות על תוכנות השוואה לאימות וזיהוי תמונות פנים ולאימות .וזיהוי טביעות אצבע תוכנות ההשוואה הן תוכנות עם תשתית התקנות נרחבת בפרויקטים דומים .ורחבי היקף בעולם מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד46 מתוך111 2.2.2 . אתר גיבוי במערכות המידע ברשות לניהול המאגר הביומטרי קיים מידע חשוב ורגיש ש נדרש לגבותו באופן שוטף . הגיבוי נועד להבטיח שגם ב מקרה כשל של מערכות המחשוב ,או חוסר יכולת לעבוד בסביבת המחשוב של הרשות ,לא תיפגע שלמות המידע של הרשות וניתן יהיה לשחזר מידע להמשך פעילות . בהתאם לכך הרשות מפעילה אתר גיבוי לצורך התאוששות מאסון ( DRP56 )ולצורך המשכיות עסקית ( BCP57 ). אתר זה ,כאמור מאפשר המשך פעילות כאשר האתר הראשי מושבת מסיבה כלשהי .בדיקת היכולת לקיים המשכיות הינה חלק מחובות הרשות בתקופת המבחן (סעיף40 )ב' של הצו .אתר זה עומד בהגדרות רמת אבטחה והגנת הפרטיות זהות לאלו בהן עומד האתר הראשי ונדרש ל עבור מבדקים .מתאימים בהם עמד בהצלחה בכל מהלך תקופת המבחן בוצעו ודווחו כנדרש, תהליכי התאוששות מאסון אשר כלל ו מעבר מלא ועבודה .באתר הגיבוי בכל חצי שנה כנדרש 2.6 . שאילתות במאגר מערכות המאגר הביומטרי מיועד ות לבצע ארבע פעולות המוגדרות בחקיקה, כמתואר להלן. במהלך תקופת המבחן מופעלת באופן שוטף רק שאילתת מניעת הרכשה כפולה , שאר השאילתות יופעלו רק לאחר סיום תקופת המבחן . 2.6.0 . מניעת הרכשה כפולה שאילתה זו א הי השאילתה העיקרית ,ה נדרשת בהתאם ל סעיפים2(ג) ו- 41 של ה .חוק השאילתה מופעלת לאחר קבלת דגימות ביומטריות חדשות מלשכות רשות האוכלוסין , הכוללות תמונת פנים ושתי טביעות אצבע, ככל שניתן ל הרכיש ( אותן. הדגימות החדשות נבדקות מול כלל הדגימות הקיימות במאגר תרחיש זיהוי, על ידי חיפוש מסוג1:M .) אם נמצאת ,דגימה דומה מאוד תחת זהות אחרת יש חשד להתחזות נדר ו ש לבדוק את הנושא. אם לאותה זהות כבר ( קיימות דגימות קודמות במאגר כגון בעת חידוש תיעוד או 56 lan P ecovery R isaster D = DRP 57 lan P ontinuity C usiness B = BCP הנתונים הביומטריים נשמרים ומאובטחים ברשות לניהול המאגר הביומטרי בלבד ואינם מועברים או נשמרים בשום אופן בידי חברה פרטית חיצונית או גורם אחר כלשהו מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד47 מתוך111 קבלת סוג שונה של תיעוד ), הדגימות החדשות נבדקות גם ( מול הדגימות הקודמות תרחיש אימות זהות על ידי השוואה מסוג1:1 ), במטרה למנוע משני אנשים שונים להנפיק תעודות בשם זהות יחידה . בדיקות אלו מתבצעות באמצעות תוכנה המציפה בקשות חשודות, בהתאם ל מידת ה דמיון לאדם אחר או העדר דמיון ביומטרי לעצמו. הבקשות שהוצפו כחש דות ו מושוות חזותית ע"י מומחים ברשות הביומטרית לרשומות הרלוונטיות האחרות ( רשומות קודמות באותה זהות, או רשומות בזהות אחרת בעלות דמיון ביומטרי) . לאחר בדיקת המומחים, כולל בירור מול רשות האוכלוסין מגובשת לפי הצורך חוות דעת האם .מדובר בחשד שווא או בחשד מוצדק ה תהליך מבוצע על פי עקרון של בקרה כפולה, כלומר ההחלטה .מבוקרת על ידי גורם נוסף אם ,תוצאות הבדיקות תקינות, כלומר הדגימות החדשות אינן דומות לדגימות קיימות בזהויות אחרות וגם דומות לדגימות קיימות של אותה זהות (ככל שאלו קיימות), הרשות הביומטרית מאשרת לרשות האוכלוסין .להנפיק תיעוד לבקשה זו אם תוצאות הבדיקות מעלות חשד, הרשות הביומטרית דוחה את הבקשה להנפקת התיעוד והנושא מועבר לבדיקה ,ללא העברת כל נתון ביומטרי מחוץ למערכות הרשות הביומטרית. בסיום התהליך.הדגימות החדשות נשמרות במאגר ומשתתפות בהשוואות עתידיות 2.6.3 . בירור זהות יכולת זו נדרשת ע"פ סעיף7 )(א לש ה ,)חוק. במקרה זה מתקבלות דגימות ביומטריות של אדם (או גופה ( ייתכן חלקיות חוסר ב תמונת ה פנים ו /או אחת מ שתי טביעות ה אצבע) או שמתקבלות דגימות באיכות .נמוכה מערכות המאגר משיב ות בזהות אחת (או יותר) שדגימותיה הקיימות במאגר דומות בצו רה המרבית לדגימות שהתקבלו .לצורך שאילתה זו מתבצע חיפוש מסוג1:M . 2.6.2 . אימות זהות יכולת זו נדרשת גם ע"פ סעיף7 )(א של ה ,)חוק. במקרה זה מתקבלות דגימות ביומטריות של אדם (או גופה ייתכן חלקיות(חוסר ב תמונת ה פנים ו /או אחת מ שתי טביעות ה אצבע) או שמתקבלות דגימות באיכות נמוכה ,יחד עם זהות נטענת של אותו אדם באמצעות מספר מזהה (שאיננו מספר הזהות או פריט מרשם .)אחר מערכות המאגר מבצע ות השוואה מסוג 4:4 ,של הדגימה המתקבלת לדגימות קיימות בזהות זו ומשיב ות .אם הדגימות שהתקבלו דומות לדגימות הקיימות או לא 2.6.4 . בירור נתונים ביומטריים יכולת זו נדרשת ע"פ סעיפים47(א) ו- 42 לש ה חוק. במקרה זה מתקבלת זהותו של אדם, ועל מערכות .המאגר לספק את הדגימות הביומטריות המשויכות לזהות זו תהליכים אלו לא מיושמים במסגרת תקופת .המבחן. התהליכים יבוצעו בצורה שאינה מקוונת ולא בזמן אמת ותוך פיקוח ובקרה מלאים כמתחייב מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד48 מתוך111 2.7 . תהליכי עבודה עיקריים ברשות ברשות מבוצעים באופן שוטף התהליכים הבאים: 2.7.0 . קליטת הרכשות מרשות האוכלוסין המידע הביומטרי מתהליך ההרכשה ברשות האוכלוסין מגיע אחת לפרק זמן קצוב, או לאחר הצטברות של כמות מוסכמת מראש. מידע זה מוצפן באמצעות מנגנון הצפנה א- סימטרי, כאשר מפתח ההצפנה נמצא ברשות האוכלוסין ומפתח הפענוח נמצא רק ברשות לניהול המאגר הביומטרי ובמערכי הנפקת התיעוד . לאחר אישור קבלת המידע הוא נ מחק .ממערכות המידע של רשות האוכלוסין המידע נסרק לצורך איתור קוד פוגעני ותהליך קליטת הנתונים כולל רישום ומעקב מדוקדקים. בכל מקרה של חריגה או תקלה בתהליך הקליטה נדרשים מפעילי התהליך ליידע את הממונה על הגנת הפרטיות ו/או הממונה על אבטחת המידע ברשות. בעת עבודה על נתונים ביומטריים חייב ים להיות נוכחים שני עובדי .הרשות לפחות 2.7.3 . בדיקת שלמות המידע שנקלט בשלב הקודם עובר בדיקות שלמות ותקינות, באמצעות שכבות מרובות של צופן ותהליכים שמוודאים .את נכונותו ושלמותו של המידע 2.7.2 . טיפול בבקשות הנתונים שפוענחו עוברים עיבוד בתוכנה ואם לא .נתגלתה בהם בעיה הם נקלטים באופן אוטומטי למאגר נתונים שהתגלו בהם בעיות עוברים לטיפול ידני. הטיפול הידני כולל בדיקת התמונות הביומטריות .ובהתאם לצורך, השוואה ידנית בין התמונות גם בשלב זה נדרשת נוכחות פיזית ולוגית של שני משתמשים מורשים. כל החלטה של משתמש מאוש רת על .ידי משתמש שני מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד49 מתוך111 6. אבטחת מידע, פרטיות ופיקוח ה רשות לניהול המאגר הביומטרי הינה רשות עצמאית במשרד הפנים. הקמתה באופן זה מוגדרת בחוק בסעיף44 . שירות הביטחון הכללי קבע כי הנתונים הביומטריים מוגדרים ברמת סיווג "סודי ביותר" ובהתאם לכך הוגדרו .תהליכי העבודה וכלל פעילות הרשות 6.0 . פיקוח ואסדרה על פי חוק גורמי האסדרה (רגולציה )והפיקוח על הרשות לניהול המאגר הביומטרי כוללים את הגורמים הבאים: 6.0.0 . הרשות הממלכתית לאבטחת מידע הרשות לניהול המאגר הביומטרי הינה גוף מונחה על ידי הרשות הממלכתית לאבטחת מידע בשב"כ ,)(החטיבה לסיכול איומי סייבר .בכל היבטי האבטחה הפיסית, אבטחת המידע והסיווג הביטחוני 6.0.3 . הממונה על היישומים הביומטריים במשרד רה"מ גוף פיקוח .אשר הוקם על פי הוראות החוק הממ ונה על היישומים הביומטריים הינו גורם ממליץ ומפקח בהתאם לקבוע בסעיף 20 לחוק. 6.0.2 . ועדת השרים ליישומים ביומטריים בראשות ראש הממשלה ועדת שרים ליישומים ביומטריים ,אשר מונתה ע"י הממשלה לצורך יישום הוראות החוק . ועדת השרים הנה בת ארבעה חברים לפחות ,והם :ראש הממשלה ,שר הפנים ,שר המשפטים והשר לביטחון הפנים .ראש הממשלה הוא יושב ראש הועדה. 6.0.4 . )ועדת הכנסת ליישומים ביומטריים (חוץ ובטחון ועדת הכנסת המשותפת ליישומים ביומטריים פועלת בעניינים הנוגעים לפעילות רשויות הביטחון ולאבטחת מידע .יושב ראש הועדה הינו יושב ראש ועדת החוץ והביטחון של הכנסת .בוועדה חברים :יושב ראש ועדת הכנסת המשותפת ,חברי ועדת החוקה חוק ומשפט של הכנסת וחברי ועדת המשנה למודיעין ולשירותים חשאיים של ועדת החוץ והביטחון של הכנסת . ישיבותיה של ועדת הכנסת המשותפת ליישומים ביומטריים הן חסויות והיא מקבלת דיווחים מראש הרשות ומרשויות הביטחון. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד51 מתוך111 6.0.2 . )ועדת הכנסת המשותפת (חוקה, פנים, מדע וטכנולוגיה ועדה משותפת לוועדת החוקה ,חוק ומשפט של הכנסת ,לוועדת הפנים והגנת הסביבה של הכנסת ולוועדת המדע והטכנולוגיה של הכנסת ועדה ,זו מפקחת באופן שוטף על פעילות הרשות בפרט על בסיס דין וחשבון תקו .פתי המועבר אליה מדי חצי שנה 6.0.6 . גורם מתכלל במשרד הפנים בנוסף לגורמים המוזכרים בפרק זה , מינה שר הפנים את סמנכ"ל בכיר למנהל ומשאבי אנוש במשרד הפנים כגורם מתכלל לריכוז פעילות כל המעורבים בתקופת המבחן . 6.0.7 . ועדה מייעצת לתקופת המבחן ,ועדה מייעצת שמונתה על פי החוק ומורכבת מהממונה על יישומים ביומטריים במשרד רה"מ ראש הרשות ,למשפט וטכנולוגיה (רמו"ט) במשרד המשפטים ראש המטה ללוחמה בטרור במשרד ראש הממשלה , הסטטיסטיקן הראשי ונציג ציבור. תפקידי הועדה הם לפקח על התנהלות תקופת המבחן ועל בחינת תוצ אותיה ומתן משקלים לכל אחד מן הנושאים הנבדקים לפי סעיף 2(ב.) לצו 6.0.8 . משרד המשפטים- רמו"ט הרשות למשפט וטכנולוגיה במשרד המשפטים המפקחת על מאגרי מידע מתוקף חוק הגנת הפרטיות "תשמ א- 4224 . 6.0.9 . מבקר המדינה מבקר המדינה מבקר את פעילות הרשות במסגרת תכנית העבודה השנתית של משרד מבקר המדינה . במהלך שנת9041 קיים מבקר המדינה בדיקות ב מ סגרת ביקורת שערך לפרויקט ה תיעוד החכם והמאגר .הביומטרי כל הממצאים טופלו באופן מלא על ידי הרשות . בנושאים בהם ביקש המבקר שהממונה על היישומים הביומטריים והועדה המייעצת יגיעו להחלטה, התקבלו ההחלטו ת הנדר.שות כמו כן הובהר על ידי גורמים אלה כי נחה דעתם בנושאים העיקריים הרלוונטיים ש .הועלו בדוח הרשות העבירה למשרד המבקר מענה מפורט לכל הנושאים .אליהם התייחס המבקר בתאריך ה- 92/2/9042 התקיים דיון בוועדת הכנסת לביקורת המדינה בנוגע לדו"ח המבקר. טרם הדיון העביר הממונה על היישומים הביומטריים במשרד ראש הממשלה לוועדת הכנסת את התייחסותו58 לממצאי דו ה "ח. במסמך זה פירט הממונה על היישומים הביומטריים את הסטאטוס העדכני הנוגע 58 ראה נספח44 מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד51 מתוך111 לממצאים/פערים שהוזכרו בדו"ח. בהתייחסו לממצאים קובע הממונה על היישומים הביומטריים כי הממצאים טופלו וכ י לא קיימים פערים בכל הנוגע לנושאים הרלוונטיים אשר בתחומי אחריותה של .הרשות לניהול המאגר הביומטרי 6.3 . אבטחת מידע והגנה על הפרטיות ברשות מראשית הקמתה עוסקת הרשות לניהול המאגר הביומטרי בצורה אינטנסיבית בפעילות לאבטחת מערכות המידע ולהגדרת תהליכי עבודה מתאימים ומאובטחים .הרשות הקימה במהלך תקופה זו מערך מחשוב מאובטח בהתאם לסטנדרטים המחמירים ביותר תוך מתן מענה לסיכוני אבטחת מידע והגנה על פרטיות בהתאם לאיום הייחוס וניהול הסיכונים. אבטחת המידע וההגנה על פרטיות ה נתונים הביומטריים של אזרחי המדינה מבוססות על מספר מעגלי אבטחה נפרדים כאשר בכל מעגל מושקעים משאבים רבים - אנושיים ,טכנולוגי םי ,פיזיים ונוהליים .בנוסף קיים תהליך שוטף של בקרה וביקורת על נושאים אלו על ידי עובדי הרשות בתפקידי אבטחת מידע והגנת הפרטיות העוסקים בתחום באופן שוטף. תצורת האבטחה הפיסית ,מערך הצופן ואבטחת מערכות המידע נבדקו ואושרו על ידי הרשות הממלכתית לאבטחת מידע (רא"מ )בהתאם לדרישת החוק. ,כמו כן כלל הפעולות המבוצעות ברשות בנושאי אבטחת מידע מאושרות ומפוקחות על ידי הגורם המנחה בשב"כ. בראש צוות האבטחה אשר פועל ברשות מיום הקמתה ,עומד כיום מנהל אשר מונה בספטמבר 9041 ,לאחר כחצי שנה של הליכי גיוס( ,תקופה בה נוהלה הפעילות על ידי ראש הרשות ועל ידי מנהל הגנת הפרטיות ברשות ,)וממשיך את ביצוע הפעולות כנדרש בחוק .במהלך כל תקופת המבחן ממלא מנהל הגנת הפרטיות ברשות את תפקידו כנדרש . אבטחת המידע והגנת הפרטיות מבוססים כאמור על מספר מעגלי אבטחה ,כאשר העיקרון המנחה הוא שכל מעגל אבטחה עונה על סך תרחישים וסיכונים מוגדרים ואילו סך המעגלים יחד ,עונה על סך התרחישים והסיכונים עמם נדרשת הרשות להתמודד . מעגלי האבטחה כוללים בין היתר: 6.3.0 . ניהול סיכונים המאגר הביומטרי הינו נכס חשוב של מדינת ישראל ויתכן שיהיה יעד מועדף לתקיפה על ידי גורמים עוינים .עבודות אשר כללו הערכת סיכונים הן בהיבטי אבטחת מידע והן בהיבטי הגנת הפרטיות ,מאוגדות וכלולות במספר מסמכים מסווגים .מיפוי האיומים והסיכונים הפוטנציאליים למאגר הביומטרי וכן בחינת איום הייחוס בוצעו טרם תחילת תקופת המבחן בהובלת הממונה על היישומים הביומטריים במשרד רה"מ מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד52 מתוך111 ובשיתוף גורמי הביטחון .מיפוי האיומים והסיכונים מתעדכן מעת לעת ומתוקף על ידי הגורמים המקצועיים ברשות וכן על ידי החטיבה לסיכול איומי סייבר בשב"כ. 6.3.3 . מבנה ארגוני הוקמה רשות ייעודית לצורך בנייה ,אבטחה וניהול של המאגר הביומטרי .הרשות לניהול המאגר הביומטרי פועלת בכפיפות ישירה לשר הפנים .הרשות מנהלת פעילות אוטונומית ,בדגש על ניהול ותפעול עצמאיים של מערכות המידע. 6.3.2 . סיווג בטחוני בוצע תהליך הכשר בטחוני לעובדי הרשות – כל עובדי הרשות הם בעלי הכשר ביטחוני ברמה הנדרשת ואושרו על ידי שב"כ. 6.3.4 . הרשאת גישה עובדי הרשות אשר מתוקף אחריותם ותפקידם נדרשים לגישה לנתונים הביומטריים ,אושרו פרטנית בכתב על ידי ראש הממשלה ושר הפנים ,וזאת לאחר בחינה מדוקדקת של הצורך בגישה של העובד לנתונים ביומטריים. 6.3.2 . מידור והפרדת תפקידים קיימת חלוקה ברורה ומידור פנימי בין עובדי הרשות בנושא הגישה לנתונים ביומטריים .מידור זה בא לידי ביטוי הן בנושאים פיסיים כגון גישה למתחמים ואזורים שונים והן בנושאים טכנולוגים כגון גישה למערכות המידע והרשאות גישה למידע . 6.3.6 . אבטחה פיסית מתחם הרשות לניהול המאגר הביומטרי מאובטח ומוגן בהתאם לדרישות הרשות הממלכתית לאבטחת מידע בשב"כ .יתרה על כך ,מתחם הרשות מצויד באמצעים פיסיים וטכנולוגיים מתקדמים אשר מבטיחים כי כל פעילות מחוץ ובתוך המתקן תתועד ותבוקר באופן שוטף .מערכות האבטחה אשר הוקמו לצורך זה נבדקו ואושרו על ידי הרשות הממלכתית לאבטחת מידע בשב"כ. 6.3.7 . הפרדת סביבות וניתוק תקשורתי מערכות המחשוב ברשות הוקמו כסביבת מחשוב נפרדת לחלוטין אשר אינה מקושרת באופן מקוון לכל רשת חיצונית בכל צורת חיבור שהיא לרבות לא למערכות רשות האוכלוסין ( “Air gap” .)העברת המידע מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד53 מתוך111 המוצפן המתקבל מלשכות רשות האוכלוסין נעשית באמצעות ממשק חד כיווני ( “Data diode” ) שאינו .מאפשר זליגת מידע בכיוון ההפוך 6.3.8 . הקשחה המערכות הקיימות הוקשחו על פי נהלי אבטחה מחמירים ביותר ועל פי הנחיות הרשות הממלכתית לאבטחת מידע בשב"כ ,והן מנוטרות ומבוקרות באופן שוטף. 6.3.9 . הצפנה הנתונים הביומטריים המאוחסנים בבסיסי הנתונים של הרשות מוצפנים .הצפנה זו מבטיחה כי גורם שאינו מורשה לא יוכל להפיק מנתוני המאגר מידע בעל ערך ,גם אם תהיה לו גישה למידע זה. 6.3.01 . מזעור כמות וסוג הנתונים במאגר בסיסי הנתונים המרכיבים את המאגר מכילים אך ורק צילומי טביעות שתי האצבעות המורות וכן צילום פנים ומזהה מוצפן ייחודי לכל רשומה .המאגר אינו מכיל כל פריט מידע ממרשם האוכלוסין .אין בבסיסי הנתונים נתונים ביוגרפיים או דמוגרפיים של מבקשי התיעוד .המאגר אינו מכיל כתובות ,שמות ,מספרי זהות או נתונים אחרים דומים . 6.3.00 . בקרת פעילות וביקורת פעילות העובדים מול בסיסי הנתונים מבוקרת ומנוטרת הן בצורה ממוכנת והן על ידי בקרה של גורמי אבטחת המידע והממונה על הגנת הפרטיות במאגר .פעילות העובדים מבוקרת ומנוטרת בתחום הפיסי בגישה למתחמים המסווגים .פעילות העובדים מול מערכות המחשוב המסווגות מתועדת ומנוטרת .בנוסף , מיושמים מנגנונים (ע"פ החוק )המחייבים מעורבות של שני עובדים בעת ביצוע פעולות בבסיסי הנתונים של המאגר ( Dual control .) 6.3.03 . נהלים ותהליכי עבודה אושר מסמך מדיניות אבטחה ונכתבו ואושרו נהלי עבודה מתאימים .כלל תהליכי העבודה ברשות נבנים לאור דרישות אבטחה והגנה על הפרטיות המחמירות ביותר . 6.3.02 . סקרי סיכונים ומבדקי חדירות בהתאם ללשון הצו עומדת הרשות לניהול המאגר הביומטרי בהנחיות הרשות הממלכתית לאבטחת מידע , התקבלו מלוא האישורים להתחיל בתקופת המבחן והפעילות מבוצעת על פי הנהלים הקיימים . מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד54 מתוך111 טרם התחלת תקופת המבחן בוצעו ברשות לניהול המאגר הביומטרי מגוון מבדקי אבטחה ,ביקורות וסקרי סיכונים על ידי גורמי הביטחון האמונים על הנושא וכן על ידי גורמים בלתי תלויים שעברו סיווג מתאים . כל ממצאי הסקרים נבדקו וטופלו .הפעילות החלה רק לאחר קבלת האישורים הנדרשים מכל הגורמים המוסמכים לכך. סקרי סיכונים ,ביקורות ומבדקי חדירה נוספים מתוכננים כחלק מתוכנית העבודה השנתית וכחלק מהוראות החוק כאשר מטרתם אחת - להמשיך ולעמוד ברף האבטחה הגבוה הקיים היום . בשנת 9041 בוצעו מבדקי חדירה וסקר סיכונים על ידי גורמי הביטחון הרלוונטיים ,אותם עברה הרשות בהצלחה. 6.2 . הגנה על הפרטיות 6.2.0 . ממונה על הגנת הפרטיות תפקיד ו של ממונה על הגנת הפרטיות נקבע בחוק להכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע התש"ע - 9002 .המינוי כפוף לאישור שר הפנים ושר המשפטים .תפקידי הממונה ,כפי שהחוק הגדיר אותם הם : 6.2.0.0 . הגנת הפרטיות שמירה על פרטיותם של תושבי המדינה אשר מידע ביומטרי אודותיהם נמצא במאגר הביומטרי . 6.2.0.3 . דיווח תקופתי דיווח שנתי על פעילותו לפי סעיף 22 (ה )לחוק על הממונה על הפרטיות לדווח בכתב ,מדי שנה ,לשר הפנים ,שר המשפטים ,וועדת הכנסת המשותפת שהוקמה לפי סעיף 14 של החוק ולרשם מאגרי המידע על פעולותיו לפי החוק. 6.2.0.2 . ייעוץ ייעוץ בעניין דרכי העברת מידע מהרשות למשטרת ישראל/משטרה צבאית לפי סעיף 22 (ו ) 4 לחוק .וייעוץ ועדכון ראש הרשות בנושאי הגנת הפרטיות בנוסף לתפקידים אשר נקבעו בחוק ,ממלא הממונה את התפקידים הבאים: 6.2.0.4 . גיבוש ויישום מדיניות פרטיות אחריות כוללת ליישום מדיניות הגנת הפרטיות ברשות ובכלל זה מיפוי הסיכונים לפרטיות הכרוכים בפעילות לפי החוק ,מיפוי השימושים המותרים במידע שנאסף במסגרת החוק והגופים .מקבלי המידע מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד55 מתוך111 6.2.0.2 . אישור העברת מידע מתן אישור בכל הנוגע להעברה של אמצעים או נתונים ביומטריים הכלולים במאגר הביומטרי בהתאם להוראות סעיפים 42 , 42 , 47 42 ו- 94 לחוק .)(לאחר תום תקופת המבחן 6.2.0.6 . תיעוד תיעוד העברת מידע ביומטרי מהרשות לגופים מקבלי המידע הקבועים ( .בחוק.)לאחר תקופת המבחן 6.2.0.7 . פיקוח פיקוח על כך שהגורמים העוסקים בעיבוד או בשימוש במידע אודות אדם שנתונים אודותיו כלולים במאגר הביומטרי ,פועלים בהתאם להוראות לו הנחיות בדבר שמירה על הפרטיות . לצורך כך מבוצע באופן שוטף מעקב באמצעות מערכת בקרה וניטור המתעדת את פעולות עיבוד המידע המבוצעות ברשות או במערכות נלוות למאגר הביומטרי. 6.2.0.8 . הדרכה גיבוש תכנית הדרכה לעובדים בכל הנוגע לשמירה על פרטיות המידע. 6.2.0.9 . כתיבת נהלים גיבוש נהלים בכל הנוגע לשמירה על פרטיות המידע. בתקופת המבחן אין אפשרות להעביר מידע מהמאגר לגורם כלשהו ולכן עיקר תפקידו של הממונה במהלך תקופת המבחן הוא פיקוח רצוף ויום- ,יומי, יחד עם הממונה על אבטחת המידע על תהליך העבודה ,השוטפת במאגר תוך ,דגש על בחינה של השימוש בנתונים הביומטריים המתקבלים מרשות האוכלוסין .ווידוא כי לא נעשה בנתונים אלה כל שימוש לרעה 6.2.3 . המידע במאגר כדי להבטיח פגיעה מזערית ומידתית בפרטיות נשמר במאגר הביומטרי מידע מועט ככל האפשר. המידע הביומטרי כולל תמונ ת פנים כן ו טביעות אצבע מ ה כרית של שתי ה אצבעות המורות .בלבד נתוני מרשם כמו מספר הזהות או נתונים ביוגרפיים/דמוגרפיים כלשהם לא נכללים .או נשמרים במאגר 6.2.2 . מזהה ייחודי כל רשומה במאגר מ זוהה על ידי מספר ייחודי .שהוקצה לה, שאיננו מספר הזהות או פריט מרשם אחר הקישור בין רשומה במאגר לזהות בפוע ל מתבצע תוך שימוש בשתי מערכות מידע בלתי תלויות אשר אינן מקושרות ביניהן .בשום דרך מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד56 מתוך111 6.2.4 . שינוע והעברת המידע כדי )להגן על המידע בעת השינוע מלשכות רשות האוכלוסין למאגר (או למערכי ההנפקה המידע מוצפן .בצורה שאיננה מאפשרת פענוח במערכות המידע של רשות האוכלוסין 6.2.2 . ממשקים עם גורמי חוץ בתקופת המבחן לא יושמו פרקי החוק הנוגעים לגופים ה חיצוניים .למשרד הפנים בין היתר לא יושמו הפרקים הנוגעים ל זיהוי ביומטרי של נושאי תעודות על ידי משטרת ישראל (תוך הסתייעות בנתוני המאגר באותם מקרים שהחוק מתיר), מתן שירותים ביומטריים בחו"ל על ידי מש רד החוץ והעברת תוצאות מהמאגר למשטרה ולרשויות הב י טחון. פרקים אלו ייושמו באופן הדרגתי לאחר תקופת .המבחן במהלך תקופת המבחן החלה קביעת תצורת ממשק העבודה בין הרשות ובין המשטרה וכן נ קבעו נהלים והנחיות להסדרת העברת המידע במסגרת ההדמיות .נהלים אלה יהוו את הבסיס להמשך הפעילות של הרשות מול המשטרה ומול רשויות הביטחון לאחר סיום תקופת המבחן. 6.2.6 . העברת מידע מהמאגר לגורמי חוץ בתקופת המבחן אין העברת מידע כלשהו מהמאגר לגורם חיצוני .לרשות האוכלוסין מועברות אך ורק תוצאות זיהוי לאחר השוואת הרשומות במאגר "(תשובה "חיובית", "שלילית או .)""בבירור מעבר לתוצאות הזיהוי כנ"ל לא מועבר כל מידע נוסף מהמאגר . 6.2.7 . נגישות למידע במאגר כפי ,שנקבע בחוק מספר מורשי הגישה למאגר הינו מצומצם ביותר ומוגבל רק לבעלי תפקידים החיוניים .להפעלתו של המאגר המידע השמור במאגר הביומטרי נגיש לבעלי תפקידים בודדים. בעלי הגישה למאגר עברו בדיקת התאמה ביטחונית כמשמעותה בסעיף42 לחוק שירות הביטחון הכללי. רמת הסיווג שנקבעה לבעלי תפקידים אלה הינה לסיווג .""סודי ביותר טרם חשיפתם של בעלי הגישה למידע המצוי במאגר עברו הנ "ל הדרכה בנושא אבטחת מידע וכן חתמו על התחייבות לשמירה על סודיות בכל הנוגע למידע אליו ייחשפו .מורשי הגישה נקבעו על ידי ראש הרשות לניהול המאגר הביומטרי והועברו לאישורם של שר .הפנים וראש הממשלה 6.2.8 . תיעוד גישה במאגר מנוהלת מערכת תיעוד ממוכנת המתעדת כל פעולה המבוצעת במערכות המאגר .מנגנון התיעוד אינו ניתן לשינוי או ביטול ונמצא תחת פיקוחו הישיר של מנהל אבטחת המידע במאגר. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד57 מתוך111 7. שיפורים ושינויים טכנולוגיים ואחרים שבוצעו במסגרת תקופת המבחן תקופת המבחן נועדה בין היתר לצורך בחינת תהליכים וביצועים של מערכים טכנולוגיים שונים ,ולב עוצי לימוד , הפקת לקחים ,שיפורים ושינויים נדרשים .כנהוג בפרויקטים טכנולוגיים ,גם כאלו שאינם במסגרת "תקופת מבחן " מתבצעים באופן שוטף שינויים ,שדרוגים והחלפות של מערכות טכנולוגיות בהתאם לנלמד ולנדרש. 7.0 . שדרוג מערכת ההשוואה הביומטרית מערכת ההשוואה הביומטרית הפועלת ברשות ,המכונה מערכת "להב ,"הינה מערכת שפותחה על בסיסם של מנועי השוואה ביומטריים ש נרכשו מחברות ידועות ומנוסות .המערכת פותחה על בסיס אפיון מפורט ומסמכי בדיקות מתאימים .המערכת נבדקת ונבחנת ברשות בצורה שוטפת בשני אופנים עיקריים: ,האחד בחינ ה של עמידה בתנאי החוק, הו שני, בחינה לצרכי שיפור תהליכים והתמקצעות .המערכת כאמור ,מבוססת על מנועי השוואה ביומטריים המש ו וים טביעות אצבעות ו תמונות פנים .ה מנועים הם מוצרי מדף של חברות בעלות ניסיון בפרויקטים דומים ובהיקפים של מיליוני רשומות בעולם .ביצועי מערכת "להב " ועמידתה בדרישות החוק נבחנים באופן שוטף ע"י יועץ חיצוני מקצועי מומחה בתחום הביומטריה .המערכת עומדת בצורה מלאה בדרישות החוק בכל היבטי הביצועים ,הדיוק ורמות השירות הנדרשות מן המערכת ומן הרשות .בנוסף , ת צע בו מ באופן שוטף בחינת נתונים על ידי מומחי המכון למחקרים צבאיים ברפא"ל המבצעים בחינות סטטיסטיות לביצועיה של מערכת ההשוואות. ביצועי המערכת ורמות הדיוק בהן היא עומדת הוצגו בהרחבה ל ממונה על ה יישומים ה ביומטריים וכן ל וועדה המייעצת על ידי הרשות ועל ידי יוע צים מומחים מטעמה ו מומחי מחצ"ב רפא"ל .ה ממונה על ה יישומים ה ביומטריים וכן הועדה המייעצת הבהירו כי נחה דע תם בנוגע לתקפות ביצוע תקופת המבחן והבדיקות הנדרשות, כולל בחינת החלופות, ."על בסיס מערכת "להב בימים אלו נמצאת הרשות בשלבים מתקדמים של הטמעת מערכת השוואות שה י חד ,מערכת "מגן ."המערכת היא פרי פיתוח של חברה בינלאומית גדולה אשר מערכות דומות שלה משמשות בפרויקטים גדולים בעולם ו היא מוטמעת גם במשטרת ישראל ובצה"ל .מערכת "מגן "נרכש ה כחלק ממהלך צופה פני עתיד וכהיערכות לגידול הדרגתי של המאגר ובהתאם צפי הגידול ב היקף המצטרפים .למערכת "מגן "יכולות ומאפיינים נוספים אשר יאפשרו שדרוג טכנולוגי של המערכת הקיימת .מערכת "מגן "תעבור התאמות כך שתתאים לדרישות הרשות ותאפשר עבודה המותאמת לחוק הישראלי .לאחר הטמעתה המלאה של מערכת "מגן "יפעלו שתי המערכות ,", "מגן" ו "להב במקביל .תצורת פעולה זו מקובלת בפרויקטים דומים בעולם . ה ממונה על ה יישומים ה ביומטריים וכן הוועדה המייעצת עודכנו לגבי תהליכי הטמעת מערכת ההשוואה ונתנו דעתם לנושא. מומחי הביומטריה ומומחי מחצ"ב רפא"ל הציגו בפני הממונה והועדה את העובדה כי נתוני הדיוק ,רמת התראות השווא ורמת איתור המתחזה ,המוצגים כעקומת ה– FAR וה– FRR ,יתנהגו בצורה דומה בשתי מערכות ההשוואה "להב "ו"מגן ."וכי אין צפי לשינוי בתקפות התוצרים בין שתי המערכות . מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד58 מתוך111 7.3 . החלפת סורקי טביעת האצבע בחודש ספטמבר 9041 הסתיימה פריסתם של סורקי טביעות האצבע החדשים מסוג COGENT 3M בלשכות רשות האוכלוסין .מהלך זה בוצע בסיומו של הליך ארוך של בדיקות ש בוצעו החל מאמצע שנת 9049 (כשנה לפני )תחילת תקופת המבחן ברשות לניהול המאגר הביומטרי וברשות האוכלוסין ,וזאת במטרה לשפר את רמת איכות טביעות האצבע אשר התקבלו במאגר מתהליך ה ה רכשה והתבססו על ה סורקים הישנים מתוצרת LUMIDIGM .בסיומן של בדיקות ניסוי מקיפות המליצה הרשות על החלפתו של הסורק הישן בסורק מדגם אחר. תהליך החלפת הסורקים תוכנן להסתיים בסמוך לתחילת תקופת המבחן, אך בשל עיכובים סיימה רשות האוכלוסין את תהליך ההחלפה רק בספטמבר9041 ,כ .שנה לאחר תחילת תקופת המבחן מועד סיום החלפת הסורקים אפשר לרשות הביומטרית ולמומחים העוסקים בנושא לבצע את כלל הבדיקות והבחינות הנדרשות תוך התבססות על נתונים אשר התקבלו מהסורקים החדשים ולהציג את הנתונים ותוצאות הבחינות כנדרש. ה ממונה על ה יישומים ה ביומטריים עודכן בנושא החלפת הסורקים מתחילתו של התהליך, וכמו כן עודכנה הוועדה המייעצת לגבי תהליך ההחלפה וביצוע בדיקת החלופות כנדרש בצו הן על בסיס הסורקים הישנים והן על בסיס הסורקים החדשים . הן הממונה על היישומים הביומטריים והן הועדה המייעצת הבהירו שנחה דעתם בנושא השלמת ביצוע הבחינות והמבדקים תוך התבססות על נתוני הסורקים החדשים במסגרת .תקופת המבחן בדו"ח החצי שנתי הראשון ו השני הוצגו תוצאות בחינת החלופות על בסיס נתוני הרכשות שבוצעו על גבי סורקי טביעות האצבע הישנים . בדוח החצי שנתי השני שפרסמה הרשות באוגוסט9041 דווח נושא תהליך החלפת .הסורקים תוצאות בחינת החלופות הסופית אשר הוצגה בדו"ח החצי שנתי השלישי וכן התוצאות המוצגות במסמך זה , מבוססות על הרכשות אשר בוצעו על גבי סורקי טביעות האצבע החדשים. בחינת החלופות וביצועי הסורקים .החדשים בוצעו כאמור על ידי יועצים מומחים בנושא וכן על ידי מומחי המכון למחקרים צבאיים ברפא"ל 7.2 . תיקון תקנה 04 (ו ) – הליך העברת מידע מן המאגר בתקנה 41 (ו )לתקנות הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע התשע"א – 9044 נקבע כי לא יהיה ערוץ תקשורת יוצא מן המאגר ,וכל מידע יועבר באמצעות שיחה טלפונית ובאמצעי תקשורת מאובטח שאינו מקושר למערכות המחשב של הרשות .מהניסיון שהצטבר בתקופת המבחן , עלה הצורך בבחינה מחודשת של ההוראה המחייבת העברת מידע גם באמצעות שיחה טלפונית אף שהמידע מועבר בנוסף באמצעים מאובטחים שאינם מקושרים למערך המחשוב של הרשות ובפרט לא למערכות המאגר . על פי החוק והתקנות המאגר נדרש להיות מנותק מכל רשת תקשורת ,ולכלול הפרדה פיסית מוחלטת בין רשת המאגר והעולם החיצון .הפרדה כזו מכונה בשם " Air Gap "וכוללת בין היתר ,ממשק חד כיווני שאינו מאפשר מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד59 מתוך111 זליגה של מידע בכיוון ההפוך .ברשות לניהול המאגר הביומטרי מופעל מנגנון שעונה בצורה מלאה לדרישות ומנגנון זה מייתר את הצורך בערוץ הטלפוני ,המוסיף סרבול מיותר ואיננו מעלה או מוריד מבחינת אבטחת המאגר .לנוכח כך קם הצורך כי הדיווח יתבסס רק על אמצעי תקשורת מאובטח שאינו מקושר למערכות המחשב של הרשות ללא צורך בשימוש באמצעות שיחה טלפונית .כלומר ,השינוי בפועל הנו אך ורק ויתור על שיחת הטלפון ולא כל שינוי בנושא מחשובי כלשהו. תיקון התקנה מונע סרבול בהעברת מידע ומבטיח כי הליך העברת המידע מתבצע בצורה מאובטחת יותר . שינוי התקנה אושר באוגוסט 9041 על ידי ועדת השרים ליישומים ביומטריים ובתחילת 9042 אושר על ידי ועדת הכנסת המשותפת. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד61 מתוך111 8. ,מדדים בחינות נדרשות וביצועי המערכות בתקופת המבחן בהתאם לדרישות סעיף14 לחוק נדרש ביצוע בדיקות מקיפות לנחיצות קיומו של המאגר ומטרותיו. הצו מגדיר .במפורש מה כוללות הבדיקות וכן את המדדים להצלחה בבדיקות הנושאים הנבדקים הינם: 4) אופן היישום של הוראות החוק. 9) הבעיות שהמאגר אמור לתת להן מענה ומתן מענה כאמור באמצעות המאגר לעומת חלופות אחרות. 2) נחיצות קיומו של מאגר ביומטרי. 1) מטרותיו של המאגר הביומטרי. 2) המידע שיש לשמור במאגר הביומטרי. 2) אופן השימוש במידע זה. פרוטוקול .תקופת המבחן מגדיר ומפרט את הבדיקות אשר ייערכו בתקופת המבחן בהתאם להוראות החוק והצו בהתאם לרשימת הנושאים שלעיל פורטו נושאי האב העיקריים הבאים לבדיקה: 4) בדיקות לעמידת המערכת בדרישות הביצועים אשר נקבעו בחקיקה. 9) בחינת חלופות למאגר. 2) בדיקות יזומות ובחינות סטטיסטיות לבחינת ביצועי המערכת והחלופות השונות. 1) סקר סיכונים אבטחתי. 2) בדיקות אתר גיבוי חצי שנתיות. 8.0 . סטטוס, כמויות ונתונים מספר התושבים אשר בחרו במסמכי הזיהוי הביומטריים ואשר פרטיהם מצויים בבסיס הנתונים הביומטריים המרכזי נכון ליום 10 בדצמבר3102 הוא מעל821 אלף תושבים .חלקם בחרו בדרכון הביומטרי החדש ,חלקם ב תעודת הזהות הביומטרית וחלקם ביקשו לקבל את שני סוגי המסמכים גם יחד( .מספר זה כולל את מספר התושבים שהוציאו תיעוד חכם ביומטרי ,כייחודיים ,כלומר ,כל מבקש תיעוד נספר פעם אחת ויחידה - Unique .) בתאריך ה- 10 ב דצמבר3102 המאגר הביומטרי כולל את פרטיהם של מעל 821 אלף תושבים מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד61 מתוך111 8.3 . בחינת החלופות בחינת החלופות מפורטת בפרק 9 להלן. 8.2 . מקצועיות עובדים עובדי הרשות המבצעים השוואות ביומטריות עוברים הכשרה מקיפה בתחום זיהוי והשוואת טביעות אצבע . תכנית ההכשרה כוללת : 4) הכשרה בעבודה על מערכת ההשוואות. 9) הכשרה בתחומי ביומטריה ע"י מומחים בתחום . ב מהלך תקופת המבחן נבחנה מקצועיותם של עובדי ם אלו בעיקר בתרחישי התר הע על הרכשה כפולה על ידי המערכת, במסגרת הדמיה או באירועי אמת .לאחר קבלת התרעה על העובדים לקבוע באופן סופי האם זו הרכשה כפולה או שגיא ת מערכת .הבחינה סיפקה אינדיקציה לגבי יכולתם המקצועית של העובדים ו לגבי צורך ב הכשרות או בסיוע של במומחים חיצוניים . לסיכום, ניתן לומר ש העובדים ברשות הינם עובדים מומחים הכשירים באופן מלא לביצוע ההשוואות הביומטריות . 8.4 . מערכת ההשוואה הביומטרית מערכת "להב"- מערכת ההשוואות הביומטריות הפעילה ברשות ממועד תחילת הפרויקט ,היא מערכת המבוססת על מנועי השוואה ביומטריים (מנוע השוואת תמונות פנים ומנוע השוואת טביעות אצבע )אשר נרכשו מהספקים המובילים בעולם בתחום זה .מנועי ההשוואה הללו פעילים בשימוש בפרויקטים במדינות נות וש ומעורבים בהשוואות של מיליוני פרטים ביומטריים בפרויקטים אלו .על בסיס מנועי ההשוואה הללו פותחו ברשות ממשקי משתמש ,מערכת קבלת החלטות ותהליכי עבודה המותאמים לצרכי הרשות במסגרת הפרויקט . מערכת זו הנה מערכת אמינה העומדת בסטנדרטים המקובלים ובמדדי הדיוק והביצועים הנדרשים בחקיקה . בדיקות שוטפות ,הן לביצועי המער כת והן לרמות הדיוק של פעילות ההשוואות ,מבוצעות ברשות על ידי גורמים מקצועיים בלתי תלויים ,כולל על ידי מומחי המכון למחקרים צבאיים ,רפא"ל .בנוסף לכך ,הרשות ממשיכה בתהליכי הטמע ה מתקדמים של מערכת השוואות ביומטריות חדשה – מערכת "מגן "אשר בשילוב עם המערכת הנוכחית תאפשר ייעול תהליכי העבודה ושיפור הביצועים .ראה פירוט בפרק 7 עיל ל. 8.2 . ע מידה בדרישות הצו והפרוטוקול לנושא דיוק וביצועים מדדי הדיוק מוגדרים לגבי שני תרחישים ,אימות זהות וזיהוי .המדד להצלחה של אימות זהות, דהיינו השווא ת נתונים ביומטריים של תושב ל נתונים הביומטריים של אותו תושב הכלולים במאגר, כפי שנקבע בצו, הוא קצב מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד62 מתוך111 שגיאות של לא יותר מקבלה מוטעית אחת לכל 40,000 נטילות ,וקצב שגיאות של לא יותר מדחייה מוטעית אחת לכל 400 נטילות. המדד להצלחת זיהוי, דהיינו השווא ת נתונים ביומטריים של תושב מול כל הנתונים במאגר ,כפי שנקבע בצו הוא קצב שגיאות של לא יותר מאי התאמה מוטעית ( False non-Match )אחת לכל 90 נטילות ,וקצב שגיאות של התאמה מוטעית ( False Match )אחת ,כ מתואר בטבלה הבאה כנגזרת של ג ודל המאגר: גודל המאגר קצב שגיאות של עשר מיליון רשומות לא יותר מהתאמה מוטעית אחת לכל 400 נטילות מיליון רשומות לא יותר מהתאמה מוטעית אחת לכל 4000 נטילות מאה אלף רשומות לא יותר מהתאמה מוטעית אחת לכל 40,000 נטילות עבור מספר הפעמים שבהם נעצרה הנפקה בשל חשד שאותר ברשות להרכשה כפולה ,ה מדד להצלחה הוא עצירת הנפקה ביותר מ- 22% מהמקרים שבהם התבצעה הרכשה כפולה ,וכן זיהוי של 22% מהניסיונות היזומים להתחזות בזהות כפולה. בדיקות הביצועים ו עמידה במדדים ובחינת החלופות הביומטריות מלווה על ידי המרכז למחקרים צבאיים (מחצ"ב)/רפא"ל ויועץ חיצוני מקצועי בתחום הביומטריה. מטרת הבדיקה היא לאמת שניתן לבחור סף החלטה שבו יינתן מענה לדרישות הצו ,הן עבור טביעות האצבע והן עבור זיהוי הפנים . במסמכי מחצ"ב/רפא"ל, אשר ציטוטים מהם מובאים להלן ,מפורטים ממצאים המתייחסים להערכת הביצועים של מנועי הזיהוי הביומטרי ,והשוואתם ליעדי הביצועים שהוגדרו בחוק .הניתוח והממצאים הנ"ל אינם מתייחסים ואינם כוללים את המערך האנושי אשר תומך ומגבה את המערכת הטכנית .דו"חות מחצ"ב/רפא"ל הינם מסווגים ו לכן יועברו בתפוצה מוגבלת .במסמך זה כאמור ישולבו הפניות לדו"חות אלו וציטוטים מתוכם. 8.2.0 . השוואה בתרחיש אימות זהות השוואות אלו הן למעשה תהליך אימות זהות , להבדיל מתהליך זיהוי . במצב זה קיים מראש מידע על הזהות הצפויה שאמורה להיות מיוצגת על ידי אותה רשומה ביומטרית. תהליך ההשוואה הוא בין המידע ,הנבדק לדגימת ייחוס יחידה, שידועה כבר לגבי אותה זהות כלומר השווא ה מסוג 1:1 . להלן ציטוטים מדו "ח מחצ/"ב רפא"ל " בשם ניתוח ביצועי המאגר ובחינת חלופות - נובמבר 3102 " מתאריך 97/44/9042 ,הדן ב ין השאר ב משימת אימות במאגר בתצורת היתוך של2 נתונים ביומטריים (שתי טביעות אצבע ו תמונת :פנים) ובפרט היכולת לקבוע סיפי החלטה שיאפשרו עמידה בדרישות הצו הניתוח מבוסס על נתוני האמת שהצטברו במאגר הביומטרי: מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד63 מתוך111 א. טביעות אצבע: מדגם של כ- 2,000 השוואות נכונות (רישום נוסף של נבדק במאגר) וכ- 91 מיליארד ;השוואות לא נכונות ב. :תמונת פנים 4) נתוני אמת– כ- 10 אלף השוואות נכונות וכ- 92 ;מיליארד השוואות לא נכונות 9) נתוני אמת עם חידוש לאחר שנה וחצי עד שנתיים– כ- 1,000 ה שוואות נכונות וכ- 92 מיליארד ;השוואות לא נכונות משימת אימות באיור 9 מוצג מיפוי של אוסף זוגות הספים שעומדים בדרישות הצו למשימות אימות ,עבור היתוך שתי טביעות אצבע עם נתוני אמת של זיהוי פנים. מניתוח של התוצאות עולה כי קיים אוסף רחב של זוגות ספי החלטה–   F H Th Th , , שעבורם 1/10,000  ) Th FAR(Th F H , וגם1/100  ) Th FRR(Th F H , . המשמעות היא שלפי היתוך מנועי שתי טביעות אצבע ופנים ,המתייחס לכלל ההחלטה שנבדק ,המאגר עומד בדרישות הצו לגבי משימות אימות. איור 9 : אוסף זוגות ספי החלטה שעומדים בדרישות הצו למשימות אימות– שתי טביעות אצבע ונתוני אמת של זיהוי פנים 0 100 200 300 400 500 600 700 800 900 1000 0 0.2 0.4 0.6 0.8 1 סף החלטה אצבעות( ThH ) סף החלטה פנים( ThF ) אי- עמידה בדרישות הצו למשימות אימות עמידה בדרישות הצו למשימות אימות מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד64 מתוך111 8.2.3 . השוואה בתרחיש זיהוי השוואות כאלו הן תהליך של זיהוי , כלומר ההשוואה מתבצעת בין המידע הנבדק לכלל דגימות הייחוס ,שבמאגר כלומר השווא ה מסוג1:M . משימת זיהוי באיו ר2 מוצג מיפוי של אוסף זוגות הספים שעומדים בדרישות הצו למשימות זיהוי עבור היתוך של שתי טביעות אצבע עם נתוני זיהוי פנים. מניתוח התוצאות עולה כי קיים אוסף של זוגות ספי החלטה   F H Th Th , , שעבורם מתקיים 1/10,000  ) Th FMR(Th F H , וגם1/20  ) Th FNMR(Th F H , . המשמעות היא שלפי היתוך מנועי שתי טביעות אצבע ופנים ,המתייחס לכלל ההחלטה שנבדק , המאגר עומד בדרישות הצו לגבי משימות זיהוי. איור 2 : אוסף זוגות ספי החלטה שעומדים בדרישות הצו למשימות זיהוי– שתי טביעות אצבע ונתוני אמת של זיהוי פנים 0 100 200 300 400 500 600 700 800 900 1000 0.99 0.992 0.994 0.996 0.998 1 סף החלטה אצבעות( ThH ) סף החלטה פנים( ThF ) אי- עמידה בדרישות הצו למשימות זיהוי עמידה בדרישות הצו למשימות זיהוי מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד65 מתוך111 8.6 . עמידה בדרישות החוק מעבר לעמידה במדדי דיוק וביצועים שפורטו בסעיף 8.5 לעיל , ישנן דרישות נוספות המוגדרות בחוק ואשר :מפורטת להלן 8.6.0 . הצפנ ת המאגר סעיף 40 לחוק קובע ש המאגר יישמר באופן מוצפן . בהתאם לכך מיושם במאגר מנגנון להצפנת הנתונים השמורים בו. הנתונים המתקבלים מלשכות רשות האוכלוסין גם הם מוצפנים, באמצעות מנגנון א- סימטרי .נפרד, כאשר יכולת הפענוח נמצאת רק ברשות לניהול המאגר הביומטרי 8.6.3 . הפרדה מרשתות אחרות המאגר נשמר בנפרד מכל מידע אחר - רשת המאגר מופרדת ית ס פי ולוגית מכל רשת אחרת. 8.6.2 . אנונימיות המאגר אינו לל וכ פרטי רישום של התושב או כל פרט מזהה אחר – הנתונים המגיעים מרשות האוכלוסין כוללים :את פריטי המידע הבאים 4) חיווי האם מדובר בחידוש ה עוד ת או ב הרכשה הראשונה . 9) מספר מזהה פנימי (שאינו מספר הזהות מהמרשם), המזהה חד ערכית את האדם. 2) מספר מנה – מספר הקובץ המגיע ממערך ההרכשה . 1) מספר בקשה סידורי (בכל מנה .) 2) תמונות אצבע מורה של יד ימין ויד שמאל ,כ קוב צי WSQ59 . 2) תמונת פנים כקובץ JPEG . 7) מספר האצבע בכף היד )(כדי לסמן קבצים של אצבעות אחרות . 2) חיווי האם מדובר בתמונה סרוקה או בתמונה מצולמת . 2) חיווי לגבי גיל האדם – מעל גיל 49 או מתחת לגיל 49 . מעבר לכך אין במאגר כל נתון ביוגרפי או דמוגרפי לגבי התושבים הכלולים בו. 59 uantization Q calar S avelet W = WSQ , מבנה קבצים מתוקנן המיועד לטביעות אצבע מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד66 מתוך111 8.6.4 . קישור לזהות בפועל על פי החוק ניתן יהיה לקשר בין נתוני המאגר לבין מספר זהות – הקישור אפשרי באמצעות מערכת נפרדת ועל ידי מספר עובדים שאינם נמנים על עובדי הרשות הביומטרי, ושהינם בעלי הרשאות רלוונטיות וסיווג בטחוני מתאים .קישור זה אינו אפשרי .במערכות המידע של המאגר 8.6.2 . חיסיון וסודיות המאגר יהיה חסוי ולא יימסר ממנו מידע או תתאפשר גישה אליו מלבד האמור בחוק - כאמור ,רשת המאגר מנותקת מכל רשת אחרת ו המידע במאגר מוצפן וחסוי .הגישה למאגר מותרת רק לעובדי המאגר הנדרשים לכך לצורך מילוי תפקידם .הגישה למאגר מוגבלת לעובדים אלו ברמת הרשאות הגישה ובעזרת אמצעים יים ס פי הדורשים בין היתר זיהוי ביומטרי של העובד בעל ההרשאה ,מעבר לשימוש בסיסמתו האישית. 8.6.6 . תקנות קביעת תקנות ע"י השר לניהול ,שמירה והעברת מידע מהמאגר - נקבעו צו ותקנות על ידי שר הפנים ואושרו ע"י ועדת הכנסת . 8.6.7 . הקמת רשות ייעודית הקמת רשות לניהול המאגר – הרשות לניהול המאגר הביומטרי הוקמה עם מינויו של ראש הרשות באוגוסט9044 . 8.6.8 . מינוי ראש רשות מינוי ראש רשות – מונה ראש רשות לניהול המאגר הביומטרי. 8.6.9 . מעמד עובדי הרשות ראש הרשות ועובדי הרשות יהיו עובדי מדינה ולא ימלאו תפקיד נוסף – ראש הרשות ועובדי הרשות אינם ממלאים תפקיד נוסף כלשהו מלבד תפקידם ברשות. 8.6.01 . בדיקת התאמה ביטחונית נדרשת בדיקת התאמה ביטחונית לעובדי הרשות – כל עובדי הרשות עברו בדיקת התאמה ביטחונית ואושר להם סיווג לרמה המתאימה על ידי שירות הביטחון הכללי. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד67 מתוך111 8.6.00 . הרשאות גישה למאגר קביעת עובדי הרשות שלהם תינתן גישה למאגר – באישורם של רה "מ ושר הפנים ,נקבעו עובדי רשות שלהם ניתנת גישה למאגר הביומטרי .כל בעלי הגישה עברו בדיקת התאמה ביטחונית כמשמעותה בסעיף 42 לחוק שירות הביטחון הכללי .רמת הסיווג שנקבעה לבעלי תפקידים אלה הינה "סודי ביותר ."טרם חשיפתם של בעלי הגישה למידע המצוי במאגר עברו הנ"ל הדרכה בנושא אבטחת מידע וכן חתמו על התחייבות לשמירה על סודיות בכל הנוגע למידע אליו ייחשפו .מורשי הגישה נקבעו על ידי ראש הרשות לניהול המאגר הביומטרי. 8.6.03 . הנחיות ונהלים הנחיות ,נהלים ,תנאים והגבלות לבעלי הגישה – נקבעו נהלים תנאים והגבלות לבעלי הגישה ,ו רא נוהל הרשאת גישה למאגר ונהלי כניסה לאולם הייצור ולחדרי השרתים. 8.6.02 . צמצום מורשי הגישה צמצום מספר מורשי הגישה ככל הניתן – מספר מורשי הגישה צומצם ככל האפשר ועומד על מורשי גישה בודדים שהינם עובדי הרשות ובעלי תפקידים חיוניים בודדים שאינם עובדי הרשות. כל מורשי הגישה למאגר בדוקים על פי הנחיות שב"כ לרמת סיווג "סודי ביותר." 8.6.04 . העברת תוצאות זיהוי העברת תוצאת זיהוי לרשות האוכלוסין – תוצאת זיהוי מועברת לרשות האוכלוסין לצורך הנפקת תיעוד וזאת ע"י אישור או דחיית בקשה באופן פרטני או במקרים מסוימים דחייתה של כל המנה המכילה מספר בקשות .הדיווח מתבצע באמצעות ערוץ מאובטח שאינו מקושר למערכות המאגר. הדיווח אינו כולל כל .נתון ביומטרי שהוא, אלא אך ורק נתונים מספריים רלוונטיים לבקשה 8.6.02 . הגנת המידע הביומטרי הגנת המידע הביומטרי מפני דליפה/פריצה/העברה/חשיפה/מחיקה/העתקה/שינוי/שימוש שלא כדין – כל עובדי הרשות והיועצים עברו סיווג ביטחוני כמשמעותו בסעיף 42 לחוק שב"כ .המאגר מצויד באמצעי אבטחה יים ס פי רבים אשר נועדו להגן בפני פריצה או שימוש לרעה .רשת המאגר הינה רשת נפרדת ללא חיבור מקוון כלשהו לרשתות אחרות כלשהן .גישה לרשת המאגר כוללת אמצעי בקרה כגון זיהוי חד ערכי באמצעות מנגנוני הזדהות שונים הכוללים זיהוי ביומטרי . מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד68 מתוך111 כמו כן ,קיים איסוף ,ניתוח וניהול קובצי יומן אירועים (לוג) של פעילות ה משתמשים הו מערכות . קובצי היומן מאפשר ים בקרה שוטפת על הפעילות .ה שרתים ותחנות ה קצה הוקשחו ע "פ הנדרש ובוצעה הצפנה של המידע. 8.6.06 . פרטיות הגנה על פרטיות המידע – בנוסף להצפנתו ואבטחתו של המידע ,נשמר המידע הביומטרי ללא קישור לכל מידע מזהה אחר .בתקופת ה מבחן לא מועבר כל מידע ביומטרי לגורם כלשהו .לאחר תום תקופת המבחן תתאפשר העברת מידע לגופים הקבועים בחוק על פי ההנחיות ורק באותם מקרים בהם מתיר החוק את העברת המידע .הגופים הנ"ל יידרשו לעמוד בסטנדרטים מחמירים של אבטחת מידע ושמירה על הפרטיות ורק לאחר מכן יוכלו לקבל מידע מהמאגר .הבקשות להעברת המידע תיבדקנה והמידע המועבר יפוקח כך שמידע יימסר רק למוסמכים לקבלו ורק לתכלית שנקבעה על פי החוק . 8.6.07 . ממונה על הגנת הפרטיות מינוי ממונה על הגנת הפרטיות במאגר – מונה ברשות ממונה על הגנת ה פרטיות מיום הקמתה . 8.6.08 . תיעוד כל פעולה תתועד באופן שיאפשר בקרה ופיקוח על השימוש במאגר – לצורך זה מבוצעת בקרה על ידי איסוף קובצי היומן (לוגים) ממספר מקורות .איסוף קובצי היומן וניתוחם מאפשר בקרה ותיעוד על השימוש השוטף בנתוני המאגר .כל פעולה המבוצעת על ידי משתמש במערכת מתועדת ומנוטרת על ידי מערכת נפרדת .דוחו"ת הניטור והבקרה אינם ניתנים לשינוי או מחיקה . 8.7 . איתור אירועי אמת ומניעת הנפקה במקרים בהם תוצאת ההשוואה במערכות הרשות לניהול המאגר הביומטרי הינה "דחיה ,"לא מתקיים תהליך הנפקת תיעוד עבור ה בקשות שנדחו .מקרים אלו נובעים ממספר גורמים המפורטים להלן .בכל המקרים מדובר בהתר ות ע אשר מתקבלות מ מערכת ההשוואות הביומטריות ומטופלות בנוסף בצורה ידנית על ידי העובדים המקצועיים ברשות לצורך אימות ווידוא הנתונים .ניתן לציין כדוגמה את נושא התאומים הזהים אשר לגביהם מתריעה המערכת וכתוצאה מכך יש צורך לטיפול ידני על ידי מפעילי המערכת. מספר הפעמים שבהן נעצרה הנפקה ,והסיבות לעצירה הם כדלהלן: מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד69 מתוך111 הסיבה לעצירת הנפקה H1 H2 H3 H4 יולי - אוקטובר3102סה"כ נתונים מנהלתיים שאינם תקינים , כגון : טביעת אצבע המתקבלת בצורה אשר מערכת ההשוואות אינה מסוגלת לעבד 72 19 422 7 47 213 נתונים ביומטריים של אדם כפי שהתקבלו בבקשת חידוש אינם דומים לנתונים ביומטריים שהתקבלו בבקשות קודמות של אותו אדם 99 90 14 22 10 089 נתונים ביומטריים של אדם דומים לנתונים ביומטריים של אדם אחר במאגר 49 2 0 9 0 31 הרכשה של אותה טביעת אצבע הן בימין והן בשמאל לאותו אדם 421 420 422 422 27 632 התרעת שווא תפעולית 0 0 4 9 2 סה"כ 370 098 240 302 004 0027 8.8 . אירועים חריגים שאירעו בתקופת המבחן ייעוד ם המרכזי של מערכת ההשוואה הביומטרית ותהליכי העבודה אשר נבנו סביבה םה איתור הרכשות כפולות ומניעת התחזות .פעילות הרשות לניהול המאגר הביומטרי כוללת השוואת הנתונים הביומטריים של מבקשי התיעוד מול כל הנתונים המ אוחסנים במאגר .תהליך זה משלב פעילות מערכת ופעילות מקצועי ת של עובדים מקצועיים ומומחים בתחום. בטבלה שלהלן מפורטים המקרים שאותם איתרה מערכת ההשוואה בפועל כאירועי הרכשה כפולה וחשד להתחזות ,מתוך כלל האירועים האפשריים שלהלן : 4) שני אנשים שונים שהורכשו בטעות באותה זהות. 9) תאומים שהורכשו בטעות באותה זהות. 2) הרכשה של אותו אדם ,בטעות בשתי זהויות שונות. 1) הרכשה מוטעית של אותה אצבע הן בימין והן בשמאל. 2) ניסיונות התחזות לצורך קבלת תיעוד במרמה. 2) חלק מהנתונים הביומטריים שייכים לאדם אחר. 7) אי-התאמה לרשומות קודמות של אותו אדם. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד71 מתוך111 8.9 . תקלות שאירעו במסגרת תקופת המבחן במסגרת תקופת המבחן אירעה ברשות הביומטרית תקלה אחת בלבד:, ולהלן תיאורה בתאריך 41.40.9042 פורסם ברשת האינטרנט מקרה בו נשלחו שני דרכונים על ידי רשות האוכלוסין לבית משפחה ,כאשר בשני הדרכונים מוטבעת אותה תמונה של אחד הילדים במקום תמונת ילד שונה לכל דרכון . תחילתו של הכשל הייתה בתהליך שבוצע בלשכת רשות האוכלוסין במהלכו הורכש אותו ילד על פרטי זהות נוספת .יצוין כי במערכות הרשות הביומטרית לא קיים נתון המציין את גילו של התושב או האזרח .הבקשות המתקבלות מרשות האוכלוסין כוללות חיווי כשהבקשה כוללת נתונים ביומטריים של מבקש תיעוד אוהש מתחת לגיל 49 .במקרים אלו ,בהתאם להגדרות החקיקה ,מתקבלת רק תמונת פנים ללא טביעות אצבע . המ קרה האמור לא אותר ונמנע על ידי מערכות הרשות הביומטרית בשל העובדה שלא בוצעה השוואה בין שתי התמונות .ההשוואה לא בוצעה בשל שינוי בהגדרות המערכת ,שינוי אשר נבע כתוצאה מבדיקה לא שלמה לתהליך עבודה בהקשר זה .המערכת באותו זמן ביצעה השוואות בין נתוני טביעות אצבע ,בין תמונות פנים של "מבוגרים למבוגרים "ובין תמונות פנים של "ילדים למבוגרים ,"אך כשמדובר היה בתמונות פנים של שני "ילדים ,"לא בוצעה כלל השוואה .העדר ההשוואה אפשרה במקרה זה את הנפקתם של שני דרכונים אלו . האירוע תוחקר בצורה מקיפה על ידי רשות האוכלוסין והרשות לניהול המאגר הביומטרי ובסיומו של התחקיר הופקו לקחים למניעת הישנות התקלה ובוצעו פעולות מתקנות .התחקיר המפורט, השינויים והפעולות שננקטו בעקבות המקרה הועברו לגורמים הרלוונטיים. הסיבה לעצירת הנפקה H1 H2 H3 H4 יולי – אוקטובר3102סה"כ נתונים ביומטריים של אדם כפי שהתקבלו בבקשת חידוש אינם דומים לנתונים ביומטריים שהתקבלו בבקשות קודמות של אותו אדם 99 90 14 22 10 089 נתונים ביומטריים של אדם דומים לנתונים ביומטריים של אדם אחר במאגר 49 2 0 9 31 הרכשה של אותה טביעת אצבע הן בימין והן בשמאל לאותו אדם 421 420 422 422 27 632 סה"כ 098 026 077 314 97 823 מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד71 מתוך111 8.01 . מבדקי אבטחה ופרטיות בהתאם לנדרש בצו ,עומדת הרשות לניהול המאגר הביומטרי בהנחיות הרשות הממלכתית לאבטחת מידע . כתוצאה מכך התקבלו מלוא האישורים הנדרשים להתחיל בתקופת המבחן .טרם התחלת תקופת המבחן בוצעו ברשות לניהול המאגר הביומטרי מגוון מבדקי אבטחה ,ביקורות וסקרי סיכונים על ידי רשויות הביטחון האמונ ות על הנושא וכן על ידי גורמים בלתי תלויים שעברו סיווג מתאים . כל ממצאי הסקרים נבדקו וטופלו .הפעילות החלה רק לאחר קבלת האישורים הנדרשים מכל הגורמים המוסמכים לכך . סקרי סיכונים ,ביקורות ומבדקי חדירה נוספים בוצעו כחלק מתוכנית העבודה השנתית וכחלק מהוראות החוק כאשר מטרתם אחת - להמשיך ולעמוד ברף האבטחה הגבוה הקיים היום .בשנת 9041 בוצעו מבדקי חדירה וסקר י סיכוני ם על ידי גורמי הביטחון הרלוונטיים ,אותם עברה הרשות בהצלחה. 8.00 . בדיקת אתר הגיבוי בהתאם לאמור ב צו, "בתקופת המבחן תבצע הרשות אחת לחצי שנה ניסוי מעבר לעבודה באתר הגיבוי .מדד להצלחה בניסוי ייחשב מעבר לעבודה באתר הגיבוי ,אשר בחלוף ששים שעות מתחילת ביצועו אפשר עבודה באתר הגיבוי." הרשות לניהול המאגר הביומטרי הקימה אתר גיבוי מאובטח ונפרד לחלוטין ממערכות האתר הראשי .אתר זה משמש כאתר חלופי בעת אסון .באתר הגיבוי בוצעו מספר ניסויים שמטרתם ולוודא כי בעת אסון ניתן להמשיך בשגרת הפעילות מהאתר החלופי . .במצב שגרה, באתר הגיבוי אין כל נתונים ביומטריים במהלך תקופת המבחן בוצעו תהלי כי התאוששות מאסון בכל חצי שנה ,אשר כלל ו מעבר מלא ועבודה באתר הגיבוי .העבודה באתר הגיבוי בוצעה בהצלחה מלאה וזאת בתוך פחות משישים שעות מתחילת המעבר ובהתאם לנדרש בצו. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד72 מתוך111 9. בדיקת חלופות בהתאם לנדרש בחקיקה אחד התהלי כים ה מרכזיים שבוצעו ב מהלך תקופת המבחן ה הי בחינת חלופות למאגר הביומטרי , כמתחייב מסעיף 14 של החוק ו כנדרש בצו .מסמך מפורט לנושא בחינת החלופות ה ופץ על ידי הרשו ת במרץ 3102 .להלן עיקרי התהליכים שבוצעו ותוצאותיהם: 9.0 . תיאור החלופות שנבחנו ה תהליך כלל בחינה של שמונ ה החלופות ש הוגדרו בסעיף2א לצו :והן מפורטות להלן 9.0.0 . מאגר מלא .חלופה זו כוללת שמירה של תמונת פנים וטביעות של שתי אצבעות 9.0.3 . מאגר תמונות פנים חלופה זו כוללת שמירה של תמונת פנים,בלבד .ללא טביעות אצבעות 9.0.2 . מאגר תמונת פנים וטביעת אצבע אחת .חלופה זו כוללת שמירה של תמונת פנים וטביעה של אצבע אחת 9.0.4 . מאגר טביעות אצבע .חלופה זו כוללת שמירה של טביעות של שתי אצבעות, ללא תמונת פנים 9.0.2 . מאגר טביעת אצבע בודדת .חלופה זו כוללת שמירה של טביעת אצבע בודדת 9.0.6 . מאגר תבניות ( חלופה זו כוללת שמירה של תבניותtemplates .) ללא שמירה של תמונות גולמיות התבניות הינן של שתי .טביעות אצבע ותמונת פנים מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד73 מתוך111 9.0.7 . תשאול חלופה זו כוללת שימוש באימות זהות המבוצע( על ידי תשאולABI60 ) לצורך מניעת ואיתור ניסיונות התחזות. בחלופה זו אין כל שמירה של מידע ביומטרי במאגר .בדיקת חלופת התשאול הינה באחרי ות רשות האוכלוסין ומתוארת במסמכי רשות האוכלוסין . בדיקת חלופה זו התבצעה באמצעות מודל .הסתברותי שפותח על ידי הלמ"ס פירוט לתוצאות בדיקת חלופה זו בסעיף2.2 .בהמשך המסמך 9.0.8 . מאגר בשיטת ההקבצים חלופה זו כוללת שמירה של תמונת פנים וטביעות של שתי אצבעות, כאשר המאגר מחולק להקבצים ( clusters ) על פי הצעתו של פרופסור עדי שמיר ממכון וייצמן למדע, כדי ליצור קישור חלש בין מידע .ביומטרי לזהות בפועל צורת הבדיקה מפורטת בסעיף2.7 להלן . בפועל התבצע תהליך תשאול לגבי כל אחת מהחלופות הכוללות מידע ביומטרי, כך שהבחינה של חלופות אלו כללה שילוב מובנה עם חלופת התשאול, שנבחנה גם כחלופה עצמאית . בתהליך הניקוד הופרדו החלופות וניתן ניקוד נפרד .גם לחלופות המשולבות תהליך ההרכשה היה תמיד אחיד וכלל נטילת תמונת פנים וטביעות של שתי אצבעות , ללא קשר לחלופה הנבחנת . 9.3 . עקרונות תהליך בחינת החלופות העקרונות שהנחו את תהליך מתן הציונים היו: 9.3.0 . סרגל אחיד יצירה של סרגל אחיד ל ניקוד החלופות ל .כל נושא נבדק הייתה יעד מרכזי בתהליך לשם כך נקבע גודל אחיד של מאגר ייחוס ושל מנת רשומות עבור כל התבחינים הנבדקים. הניקוד נעשה בצורה אחידה ברשות לניהול המאגר הביומטרי וברשות האוכלוסין , כאשר כל רשות נתנה ניקוד לנושאים הרלבנטיים עבורה . 9.3.3 . מגמה לאורך זמן במרבית המקרים יש לציר הזמן השפעה על הנושא הנבחן וב עתיד צפויה מגמה של הרעה בביצועים. מסיבה זו הופעל על כל אחד מהציונים בהם יש השפעה כזו ו .עבור כל חלופה, מקדם שמבטא את השפעת ציר הזמן תחילה ניתן הניקוד על פי המצב הנוכחי ולאחר מכן הופעל עליו המקדם בהתאם למגמה לאורך זמן באותו 60 nterview I y B uthentication A = ABI מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד74 מתוך111 נושא. המקדם משקף את מגמת ההפחתה .בביצועים הצפויה בעתיד אמות המידה לקביעת המקדם מפורטות במסמך נפרד. 9.3.2 . ציון סופי הציון הסופי של כל אחת מהחלופות הוא .סכום הציונים של עשרת סעיפי ההשוואה 9.3.4 . סוג הסורקים במהלך תקופת המבחן הוחלף סורק טבי עות האצבע המקורי לסורק מדגם אחר (כמפורט בסעיף 7.2 )לעיל בהתאמה הניקוד של החלופות הכוללות טביעות אצבעות ני( תן על פי ביצועי הסורקים החדשים התבססות על הסורקים הישנים הייתה גורמ ת לפסילה מידית של חלופות א לו, ב ש ל הביצועים ה ירודים של הסורקים הישנים) . 9.2 . הנושאים הנמדדים )(תבחינים בחינ ת החלופות ומתן הניקוד לביצועיהן נעש ו בהתאם ל עשר ה תבחינים המפורטים בסעיף2 ,לצו כ שלכל אחד מהם ניתן משקל יחסי על ידי הוועדה המייעצת , בהתאם לסעיף44 (א4) לצו , .בהתייעצות עם שתי הרשויות להלן עשרת התבחינים ומשקלם בבחינת החלופ ות , :כפי שנקבע על ידי הוועדה המייעצת # נושא נמדד משקל 0. יכולת איתור הרכשה כפולה 03% 3. יכולת איתור הזהות הכפולה 03% 2. מספר התראות השווא 06% 4. המורכבות התפעולית 2% 2. מתן מענה לרשות האוכלוסין 7% 6. מתן מענה למשטרת ישראל 2% 7. רמת השירות לתושב מבקש התיעוד 6% 8. יכולת הגנה על הפרטיות לפי חוק 07% 9. עלויות תקציביות 2% 01 . מתן מענה לדרישות אבטחת מידע 07% סה"כ 011% מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד75 מתוך111 9.2.0 . יכולת איתור הרכשה כפולה תבחין זה עוסק במספר הפעמים בהם ה חלופה הנבחנת איתרה הרכשה כפולה בצורה נכונה , כלומר ביכולת המערכת למלא את יעודה ולאתר ניסיונות התחזות. יכולת האיתור הנכון של כפילים נמדדה על פי עקומות ה- ROC61 של כל חלופה. חלופת התשאול נבחנה ע"י רשות האוכלוסין באמצעות מודל הסתברותי שפותח על ידי הלמ"ס , ה .מתואר בנפרד 9.2.3 . יכולת איתור הזהות הכפול ה תבחין זה עוסק ביכולת לאתר את הזהויות המעורבות באירוע של ניסיון התחזות, ללא התייחסות ליכולת להבחין בין המתחזה לקורבן או לתרום לתהליך האבחנה ביניהם. בחלופות הכוללות נתונים ביומטריים נעשה האיתור של הזהות הכפולה על ידי חיפוש הכפיל מול כל המאגר, כלומר על ידי חיפוש מסוגM:M (כל רשומה מול כל יתר המאגר ) ולא על חיפוש מסוג1:1 ., שאיננו רלבנטי לצורך זה 9.2.2 . מספר התראות השווא תבחין זה מתייחס למספר התראות השווא של המערכת, הכולל ות ארבעה סוגי אירועים עבור תרחישי הזיהוי ואימות הזהות ,כמפורט בסעיף 4 של הצו: 9.2.2.0 . אירועי התאמה מוטעית- False Match אירוע מסוג זה יתרחש כאשר המערכת תצביע על רשומה קיימת למרות שהנתונים מייצגים רשומה חדשה או רשומה קיימת אחרת .עבור מתחזה מתייחס אירוע זה לתרחיש של זיהוי מול המאגר ( 1:M .) 9.2.2.3 . אירועי אי- התאמה מוטעית- False Non-Match אירוע מסוג זה יתרחש כאשר המערכת תתריע שנתונים קיימים במאגר ,אינם מייצגים רשומה קיימת .במקום שבו הנתונים אכן זהים גם אירוע זה מתייחס לתרחיש של זיהוי מול המאגר ( 1:M .) 9.2.2.2 . אירועי קבלה מוטעית- False Accept אירוע מסוג זה יתרחש כאשר תוצאת ה השוואה הראתה התאמה בין הנתונים הביומטריים של התושב לבין הנתונים הכלולים במסמך זיהוי או במאגר לגבי אותו תושב, במקום בו לא ה י .יתה התאמה אירוע זה מתאים לתרחיש אימות הזהות ( 1:1 .) 61 haracteristics C perational O eceiver R = ROC , עקומה שמראה את יחסי הגומלין בין סוגי השגיאות במערכת .שמקבלת החלטות מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד76 מתוך111 9.2.2.4 . אירועי דחייה מוטעית- False Non-Match אירוע מסוג זה יתרחש כאשר תוצאת ה השוואה הראתה אי- התאמה בין הנתונים הביומטריים של התושב לבין הנתונים הכלולים במסמך זיהוי או במאגר לגבי אותו תושב, במקום בו ה י .יתה התאמה גם אירוע זה מתאים לתרחיש אימות הזהות ( 1:1 .) האירועים הרלבנטיים למאגר ולבחינת החלופות הם האירועים מסוג False Match והאירועים מסוג False Non-Match ,בתרחישי הזיהוי ( 1:M .)מספר האירועים משני הסוגים ה תקבל מתוך עקומות ה- ROC של כל אחת מהחלופות הביומטריות או ה תקבל מתוך המודל ההסתברותי של הלמ"ס עבור חלופת התשאול . המשקל בסעיף זה ניתן בצורה מלאה לביצועים במצב של 1:M (תרחיש הזיהוי) ו הניקוד נקבע על פי המספר הכולל של אירועי השווא . 9.2.4 . המורכבות התפעולית תבחין זה עוסק במורכבות התפעולית של מימוש כל אחת מהחלופות ברשות לניהול המאגר הביומטרי (או ברשות האוכלוסין עבור חלופת התשאול) ונקבע על פי מורכבות יישומה של כל חלופה , מורכבות הטמעתה של כל חלופה ו כמות כוח האדם הנדרש לעבודה ה שוטפת . מורכבות היישום תלויה בתהליכי העבודה .הנגזרים מכל חלופה. מורכבות ההטמעה תלויה ביכולת לאמת את ביצועי המערכת ולבצע בדיקות קבלה מרכיב כוח האדם נוקד על פי כמות שנות האדם שנגזרה מכל חלופה ומתייחס לכוח האדם הנדרש באופן שוטף ולא לאירועי ההחשדה . 9.2.2 . מתן מענה לר שות האוכלוסין תבחין זה עוסק במתן המענה לצרכי רשות האוכלוסין ומורכב מיכולת הטיפול באירועי החשדה, המשאבים הנדרשים למתן המענה ברשות האוכלוסין וזמן הטיפול בין מועד ההרכשה ועד לקבלת אישור הנפקה ,לתיעוד המבוקש כאשר יש אירוע של החשדה . הניקוד התבסס על מספר הזהויות המועברות לרשות האוכלוסין בכל אחת מהחלופות וכן על הזמן והמשאבים הנדרשים על מנת לטפל בהתראות אלה ברשות .האוכלוסין הניקוד .ניתן ע"י רשות האוכלוסין 9.2.6 . מתן מענה למשטרת ישראל תבחין זה עוסק במתן המענה למשטרה, בהתאם למענה של כל חלופה .לצרכי המשטרה המוגדרים בחוק סעיף זה שונה מהמענה לרשות האוכלוסין בגלל אופי שאילתות שונה– שאילתות זיהוי עבור המשטרה לעומת שאילתות אימות זהות ומניעת הרכשה כפולה .עבור רשות האוכלוסין הניקוד ניתן כאמור על ידי .משטרת ישראל, בהתאם לשיקולים המקצועיים שלה מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד77 מתוך111 9.2.7 . רמת השי רות לתושב תבחין זה עוסק בהשפעה שיש לכל חלופה על רמת השירות לתושב. בתהליך אימות הזהות אין ממשק ישיר עם התושב (למעט בתהליך התשאול, המתבצע בלשכות רשות האוכלוסין מול התושב ) ולכן סעיף זה מורכב רק מפרק הזמן שעובר מההרכשה ו עד לקבלת האישור להנפקת התיעוד המבוקש כאש ר אין אירוע של החשדה . פרק הזמן הנ"ל איננו כולל את זמן המשלוח ממערך ההנפקה לתושב וזמן המסירה ,שאינם רלוו נטיים לבחינת החלופות . 9.2.8 . הגנה על הפרטיות סעיף זה מתייחס להשפעה של כל חלופה על הפרטיות. המודל על פיו ניתן הניקוד מתבסס על ה תבחינים :הבאים סיכון גבוה יותר לפרטיות  סיכון נמוך יותר לפרטיות תמונות ?האם נשמרות תמונות או תבניות תבניות מידע רב ?מהי כמות המידע שנשמר מידע מועט מידע רב ?מהי כמות המידע שמועבר מידע מועט סיכון לנזק ממשי ?האם יש סיכון לנזק ממשי מהמידע אין סיכון לנזק ממשי מובהקות גבוהה ?האם מובהקות הזיהוי גבוהה או נמוכה מובהקות נמוכה קישור חזק לזהות ?האם המידע מקושר בצורה חזקה לזהות קישור חלש לזהות לא נדרש שת"פ ?האם נדרש שיתוף פעולה בנטילה נדרש שת"פ ניתן לשימוש אחר ?האם ניתן לעשות במידע שימוש אחר לא ניתן לשימוש אחר מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד78 מתוך111 9.2.9 . ע לויות תקציביות תבחין זה עוסק בעלות התקציבית של כל אחת מהחלופות, מבחינת מערכות המידע וכוח האדם הנדרש .לטיפול שוטף 9.2.01 . מענה לדרישות אבטחת מידע תבחין אבטחת המידע עוסק במצב אבטחת המידע של כל אחת מהחלופות ו מורכב מ התבחינים :הבאים 4) משך הזמן הדרוש למימוש תקיפה. 9) רמת המומחיות הנדרשת מהתוקף. 2) מידת ההיכרות עם יעד התקיפה. 1) עלות הציוד הנדרש למימוש התקיפה. 2) הסיכון לתוקף. 2) מידת הנגישות ליעד הנדרשת למימוש התקיפה. 7) "היכולת לקיים אבטחת מידע ברמת "סודי ביותר כנדרש בחוק. 9.4 . בדיקת החלופות הביומטריות וביצועיהן בפועל החלופות הכוללות נתונים ביומטריים הן: 4) מאגר מלא. 9) מאגר תבניות62 . 2) מאגר תמונות פנים. 1) מאגר תמונת פנים וטביעת אצבע אחת. 2) מאגר טביעות אצבע. 2) מאגר טביעת אצבע בודדת. 62 במרבית התבחינים תוצאות הבדיקה של מאגר תבניות זהות לתוצאות מאגר המלא, כיוון שמדובר בביצועי ה ,מערכת )הזהים בחלופה זו לביצועי המאגר המלא (ללא העבודה הידנית מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד79 מתוך111 7) מאגר בשיטת ההקבצים (בדיק ת ה חלופ ה ,הכוללת נתונים ביומטריים, מתוארת בנפרד בסעיף 9.7 להל ן). הערה נ תוני השוואת תמונות הפנים היו טובים בהרבה יחסית להצהרת היצרן ,כתוצאה מסמיכות הזמנים בין מופעים חוזרים של אותו אדם במאגר (פרק הזמן הממוצע העובר בין הגעת אדם פעם ראשונה לבין הגעתו פעם שניה להנפקת מסמך נוסף המתקבל במאגר כבקשת "חידוש "הנו קצר מאוד יחסית ועומד על שבועות ספורים בלבד . בפועל בעתיד ,יעמוד פרק זמן זה בממוצע על מספר שנים בין הגעה לחידושים) .מסיבה זו בוצע ניתוח נפרד לשני המצבים (ביצועים ע"פ הצהרת היצרן וביצועי האמת .) 9.4.0 . אי- התאמה מוטעית בהינתן סף להתאמה מוטעית ה איור שלהלן מציג את מספר ההתאמות המוטעות (חשודים ככפיל ) במנה בגודל40,000 רשומות מול מאגר בגדלים שונים ( 400 אלף ,מיליון ו- 40 מיליון רשומות .)בדיקה זו נעשית כאשר הסיכוי לאי- התאמה מוטעית מקובע על הערך2% , שהינו ערך מדד האיתור התקין לפי דרישת הצו. איור 1 1 0 1 629 1 3 0 0 0 0 0 10 4 6 2013 11 25 0 0 0 <1 0 100 35 58 3704 101 211 0 0 0 4 0 0 500 1000 1500 2000 2500 3000 3500 4000 דרישת החוק פנים אמת פנים עם חידוש בטווח בין שנה וחצי לשנתיים פנים יצרן אצבע ימין אצבע שמאל שתי אצבעות אצבע ימין ופנים אמת שתי אצבעות ופנים אמת אצבע ימין ופנים יצרן שתי אצבעות ופנים יצרן מספר התאמות מוטעות(חשודים) חלופות 100K 1M 10M מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד81 מתוך111 9.4.3 . התאמה מוטעית בהינתן סף לאי- התאמה מוטעית ה איור שלהלן מציג את אחוז אי-ההתאמ ות המוטעות ,כאשר הסיכוי להתאמה מוטעית מקובע על הערך הקבוע בצו ( 0.0004 למאגר בגודל 400 אלף , 0.004 למאגר בגודל מיליון ו- 0.04 למאגר בגודל 40 מיליון רשומות.) איור 2 הניתוח וחישוב התוצאות בוצעו ע"י רפא"ל/מחצ"ב . הערה 4. פנים אמת– .תוצאות ביצועי השוואת הפנים על כלל הרשומות במאגר 9. פנים עם חידוש בטווח של בין שנה וחצי לשנתיים– מדובר על חידושים בטווח של מעל42 .חודשים .ניתן לראות הרעה בביצועים אל מול הממוצע שעומד על חודשים ספורים בלבד 2. השיפור בתוצאות של השוואת האצבעות נובע מהתמקצעות ושיפור תהליכים בלשכות (ניקוי סורקים ע"י מגבון, הקפדה על נהלים וכו'), שמשפיע בין השאר על כלל החלופו.ת המשלבות אצבעות 5% 2.1% 4.3% 10% 5.1% 5.6% 0.4% 0.1% 0.01% 3.7% 0.3% 0% 4% 8% 12% דרישת החוק פנים אמת פנים עם חידוש בטווח בין שנה וחצי לשנתיים פנים יצרן אצבע ימין אצבע שמאל שתי אצבעות אצבע ימין ופנים אמת שתי אצבעות ופנים אמת אצבע ימין ופנים יצרן שתי אצבעות ופנים יצרן אחוז אי-התאמות מוטעות חלופות מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד81 מתוך111 9.2 . בחינה מקיפה למאגר המבוסס על תמונת פנים בלבד לאור המלצת הועדה המייעצת על יישום מאגר המבוסס על השוואת תמונות פנים בלבד , קיימה הרשות בחינה המרחיבה את הבדיקות אשר בוצעו במסגרת תקופת המבחן . ה בדיקה הורחבה מכיוון שהועדה המייעצת בחרה להמליץ לשר הפנים על שימוש בחלופה ש למעשה כשלה בבדיקות תקופת המבחן על פי המשקלים (אמות המידה) אותם קבעה הוועדה עצמה . ציוני בדיקות תקופת המבחן ניתנו בתאום מלא עם הועדה המייעצת ועל בסיס המשקלים שאותם קבע ה הועדה. החלופה כ שלה במבדקים בעיקר לאור נתוני היצרנים ולאור השפעת טווח הזמן בין ההרכשות (כאשר תוקף ה תיעוד הנו עשר שנים, המשמעות הנה שטווח הזמן הממוצע בין החידושים יהיה כ- 40 )שנים המבוצע לצורך חידוש תיעוד . רמת ריבוי התראות ה שווא ורמת אי איתור ה מתחזה כפי שעלו בבדיקות אינן מ אפשרות עמידה בדרישות החוק, אינן מאפשרות רמת שירות סבירה לתושבי המדינ ה ו אינן מאפשרות עמידה ביעדי החוק ולא במטרתו העיקרית שהנה תיעוד .אחד לאדם אחד 9.2.0 . הסבר כללי לזיהוי ה מבוסס על השוואת תמונות פנים הגורמים המשפיעים על יכולת השוואת שתי תמונות של אותו אדם הם פרק הזמן אשר עבר בין נטילת התמונות וכן גורמים חיצוניים כגון תאורה, רקע ., מצג הראש ועוד את הגורמים החיצוניים מנטרלים בפרויקט כדוגמת פרויקט ה תיעוד הלאומי הביומטרי החכם על ידי שימוש בסביבת עבודה סטנדרטית ועקבית ככל שניתן לביצוע הצילומים. הגורם העיקרי היוצר הב דלים בין התמונות הנו פער הזמנים בין נטילתן. פער המתבטא ב שינויים בשל( הגדילה נות קדזהה) , שינויים במשקל, חשיפה לשמש, מחלות, איפור .שינוי בשיער ועוד פער זה מכונה בשפה המקצועית– Aging . 9.2.3 . תקציר ממצאי הבדיקה פרק זה מציג את תוצאות בחינת השפעת הזמן בין ה ה רכשות על ה דיוק (ביצועים) של מנוע זיהוי הפנים. ( הדיוק נמדד באחוז התאמות מוטעותFM ( ) ובאחוז אי התאמותFNM .) .ניכרת מגמה ברורה של הרעה בביצועים (דיוק) בכל הספים כפונקציה של הזמן בין ההרכשות בבדיקה מעשית שבוצע ה ,ברשות ברמת התר א ות שווא קבועה קיים אי איתור כפיל של0.2% ב קבוצה המונה חידוש תיעוד בטווח זמן של עד2 ,חודשים לעומת אי איתור כפיל ברמה של 1.2% בקבוצה המונה חידושי תיעוד בטווח זמן של.שנה וחצי עד שנתיים המשמעות היא שלגידול בטווח הזמן בין ההרכשות יש משמעות .מכרעת לגבי רמת אי איתור הכפיל בדוחותNIST האחרונים מ ן השנים9009 , 9040 בהם יש ניסוי דומה, מוצג קצב הרעה בביצועים דומה לזה שנצפה בניסוי זה (בפרקי הזמן שנמדדו). לא נראית מגמה של פתרון בעיית ה- Aging . מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד82 מתוך111 הטבלה הבאה מתארת את התפלגות החידושים במאגר הביומטרי נכון להיום .ניתן לראות שלמעלה ממחצית מן החידושים בוצעו בת וך פחות מחצי )שנה (בפועל מדובר על כחודשיים ,וקרוב ל- 20% מהחידושים בפחות משנה .הפרשי הזמנים בין ה ה:רכשות כיום קבוצה - חודשים # חידושים # מצטבר % חידושים % מצטבר 0 47546 47546 56.1% 56.1% 6 18889 66435 22.3% 78.4% 12 13824 80259 16.3% 94.7% 18 4161 84420 4.9% 99.6% 24 325 84745 0.4% 100.0% התפלגות זו אינה ההתפלגות הצפויה. סביר להניח שרוב החידושים יהיו בטווח זמן קרוב ל- 40 שנים בשל העובדה שתוקף ה תיעוד וא ה ל– 40 שנים. ניתן להעריך את טווח הזמן בין ההרכשות גם על פני הנתונים ש ,פורסמו במחקר אוסטרלי( D. White et al, “Error Rates in Users of Automatic Face Recognition Software”, 9042 ,), תוקף דרכון הוא כמו במדינת ישראל2 שנים לילד ו- 40 שנים למבוגר. הזמן הממוצע בין הרכשות שם הוא2.9 ( שניםSD = 4.7 ) ,לילדים ולמבוגרים2.7 ( שניםSD = 9.2 .) הרשות ביצעה בדיקה של השפעת זמן בין חידושים לבין יכולת המערכת לעבוד בדרישות החוק . תוצאות המבדקים מראות ,שקיבוע רמת תפיסת כפיל למשל עבור רמת אי איתור כפיל של4% ( 0.01 = FNMR ) בקבוצה0 נקבלFM של10^-9 (התרעות שווא) ואילו עבור קבוצה42 נקבלFM של10^-6 , כלומר גידול בהתרעות שווא של פי0111 בין חצי השנה הראשונה לבין חצי השנה הרביעי ת. המשמעות המעשית הנה צורך בזימון חוזר של עשרות ואף מאות מבקשי תיעוד מדי יום בחזרה לאימות זהות בל שכות רשות האוכלוסין ופגיע ה קשה ברמת מתן השירות . 9.2.2 . השפעת הגורם האנושי אחת הנקודות המשמעותיות והבעייתיות ביותר בעבודה המבוססת על השוואת תמונות פנים בלבד ה הינ יכולת הבקר האנושי להתמודד עם התרא תו שווא .בעוד שמומחה טביעות אצבע יכול כמעט בוודאות לקבוע אימות זהות או לשלול זיהוי ,ופסיקתו הינה ראייה מוצק ה בבית ה משפט ,לא כך הדבר ב זיהוי תמונת פנים . בבחינה אינטואיטיבית זיהוי פנים הינו לכאורה הליך קל ופשוט ,המבוצע על ידי כל אדם מגיל אפס כמעט וניתן להכשיר לכך את מפעילי המאגר .אולם בפועל ,במציאות, ישנם כשלים רבים בזיהוי .התבססות על זיהוי פנים בלבד תאפשר לניסיונות התחזות רבים יותר להצליח .הסיבה העיקרית לכך היא שהיכולת האנושית הגבוהה לזיהוי פנים מוגבלת לפרצופים מוכרים ונפגעת בצורה קשה מאד כאשר אנו נדרשים לזהות פרצופים שאינם מוכרים . מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד83 מתוך111 הבדיקה המקובלת בעולם לנושא זה היא ה-“ Glasgow Face Matching Test” A. Mike Burton, 2010/421 ,שבמסגרתה נדרשים הנבחנים לציין האם שתי תמונות הן של אותו אדם או של אנשים שונים , כאשר התמונות נלקחו במצלמות שונות ובהפרש זמן זעום זו מזו )(כרבע שעה . זוהי הקבלה ה טוב להשוואה שעושים בקרי גבול בין תמונות דרכון לאדם הניצב לפניהם .תהליך הבדיקה במאגר צפוי להיות גרוע בהרבה ,בגלל פער הזמן הגדול בין דגימות (עד כדי עשר שנים בחידוש תיעוד רגיל .) במחקר אחר( David White, 2015 ) מצויין כי למרות איכות התמונות הגבוהה ,הדומה לזו המתקבלת ממערך ההרכשה של רשות האוכלוסין ,עדיין מרבית הנבחנים בבדיקה הנ"ל טועים בין 42% ל- 90% מהמקרים , וזאת על אף שהבדיקה כללה מאות נבחנים שכולם בקרי גבול מנוסים .גם אצל בקרי גבול עם עשר ועשרים שנות ותק היו שיעורי שגיאות שהגיעו ל- 20% ואף ל- 10% במקרים מסוימים .הממוצע היה 72.9% וסטיית התקן הייתה 40.1% ,ללא השפעה משמעותית של שנות הותק .המשמעות היא שבממוצע גם בהכשרה ארוכה ומלאה ובתנאים מיט ביים צפוייה להתרחש טעות בזיהוי על למעלה מ- 90% מהאזרחים המגיעים לבדיקה ידנית. בתרחיש של זיהוי מול מספר מועמדים הביצועים אף גרועים יותר ,כאשר הם נותרים גרועים גם כשאיכות התמונות גבוהה .דבר זה מצביע בסבירות גבוהה על מגבלות יכולת העיבוד של הראיה האנושית ולא על מגבלות טכנולוגיות כלשהן ( David Robertson, Feb. 2015 .)באוכלוסייה שאיננה מיומנת התוצאות מגיעות במקרים מסוימים ל- 20% טעויות ( David Robertson, Feb. 2015 .)מלבד זאת ,יש נטייה ברורה לחשוב שזיהוי פנים הינו משימה קלה יותר ממה שהיא במציאות ,בעיקר כאשר הערכה זו ניתנת על ידי אנשים שאינם עוסקים בזיהוי של פרצופים שאינם מוכרים ( Kay L. Ritchie, 2015 .)גם כאשר עומד לרשות מבצעי הזיהוי זמן כרצונם אחוזי הדיוק נעים בים 20% ל- 20% במקרה הטוב ביותר ( Sarah D. Chiller-Glaus, 2015 .)במחקר שנעשה לאחרונה באוסטרליה ( D. White et al, “Error Rates in Users of Automatic Face Recognition Software”, 9042 ,), שם תוקף דרכון הוא כמו במדינת ישראל2 שנים לילד ו- 40 ,שנים למבוגר עלה כי מומחים בזיהוי פנים טועים בכ- 20% מהמקרים ,בעוד בקרים ללא הכשרה טועים כב- 12% מהמקרים. הערות: 4) כפי שמצוין בחלק מהמאמרים התפלגות הרשומות הזהות והשונות שהוצגו לבקר לא משקפת את המציאות .במציאות רוב ה ה מוחלט של ההתרעות ה ן התראות שווא ואילו בניסויים (למשל של white 2015 )מדובר בכ– 20% .בלבד התראות שווא ניתן להניח שדיוק הבקר יושפע לרעה מההתפלגות במציאות וקצב פספוס הכפיל יגדל אף מעבר לנתון במאמרים אלו. 9) הניסויים במאמרים עיל ל בוצעו על מאגר של 4.2 מיליון ,סביר להניח כי במאגר גדול משמעותית (במדינת ישראל צפוי מאגר של קרוב ל- 40 מליון רשומות )הביצועים יהיו אף פחות טובים. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד84 מתוך111 9.2.4 . סיכום בדיקת ביצועי מאגר המבוסס על תמונות פנים בלבד הדיוק של מערכת זיהוי פנים שמורכבת ממערכת ממוכנת שלאחריה פועל בקר תלויה בדיוק של י שנ החלקים , החלק הממוכן ו החלק האנושי .בש מה לב מוכן ,המערכת משווה זוג תמונות ומחליטה האם ןה זהות או שונות . תוצאת האמת עשויה להיות שהן זהות או שונות. ב שלב ה ידני ,הבקר עובר על כל התרא ות המערכת ומחליט האם מדובר בהתרא ת אמת או שווא. י בה נתן השפעת הזמן על אי איתור כפיל וכתוצאה מכך על רמת התר עו ה ת שווא ובה י נתן טעו יו ת הבקר האנושי כפונקציה של הזמן, אנו מקבלים מצב בו מנוע פנים בלבד אינו יכול לספק מענה למניעת הרכשה .כפולה המשמעות המעשית של רמת התר עות השווא הגבוהה הנה צורך בזימון חוזר של עשרות ואף מאות מבקשי תיעוד מדי יום בחזרה לאימות זהות בלשכות רשות האוכלוסין ופגיעה קשה ברמת מתן השירות עד .הפיכתה לבלתי אפשרית תוצאה זו בנוסף לרמת אי איתור הכפיל הגבוהה המוזכרת לעיל גורמ ו ת לחוסר יכולת לעמי .דה בדרישות החוק ובמטרתו העיקרית בהינתן מאגר המבוסס על תמונת פנים בלבד 9.6 . בדיקת חלופת התשאול בדיקת חלופת התשאול ומתן הניקוד עבורה נעש ו באחריות רשות האוכלוסין ,באמצעות מודל הסתברותי שפותח בלמ"ס .בדיקה זו מתוארת בנפרד במסמכי רשות האוכלוסין ,אך תוצאותיה משולבות גם במסמך זה . פירוט מלא של בחינ ת חלופ ה ת תשאול ותוצאותיה מוצגים בדוחות רשות האוכלוסין . חלופ ת התשאול נבחנה בשתי תצורות, כאשר תצורה אחת היא בחינת תהליך התשאול הקיים (בהנחה של שאלון ""דינאמי כלומר תשאול משופר בעקבות הפקת לקחים ברשות האוכלוסין בהתאם לתוצאות התשאול בתקופת המבחן ) והתצורה השנייה היא של תשאול מכויל בהתאמה ל דרישות הצו, כלומר תשאול שיוכל לעמוד בדרישת הסף של22% הסתברות לאיתור מתחזה . להלן סיכום תמציתי של בדיקת חלופת התשאול אשר ערך הלמ"ס ואשר תוצאותיה מפורטות כאמור בדו"ח המסכם הראשון.של רשות האוכלוסין ובנספחיו הלמ"ס פיתח מודל המאפשר לחשב את ההסתברות של מתחזים ברמות שונות של ידע ומקצועיות ל עבור את תהליך התשאול הקיים בהצלחה תוך בקשת תיעוד .בזהות בדויה המאפיינים של רמות הידע והמקצועיות סופקו על ידי מטה לוט"ר במשרד ראש הממשלה. הבדיקה בוצעה לאחר כשנה ב תקופת המבחן ועל בסיס תוצאות תשאול של כ– 100 .אלף איש בניתוח תוצאות התשאול שביצע הלמ"ס התברר כי ההסתברות של עבריינים בעלי יכולת ארגון ואיסוף מידע לצלוח את תהליך מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד85 מתוך111 התשאול הנה גבוהה ,מאוד. למעשה עבריין כזה יעבור בהצלחה את תהליך התשאול בבקשת זהות בדויה בהסתברות גבוהה יותר מכפי שיעבור את התהליך בהצלחה האדם התמים .בעל הזהות האותנטית בנוסף, ההסתברות של עבריין 'קטן ,'ברמת ידע והכנה נמוכים ביותר ,לעבור את תהליך התשאול גבוהה בהרבה מהרמה הנדרשת בצ ו, המג דירה2% אי איתור מתחזים. תוצאה זו תואמת את הניסיון המעשי ,בשטח כאשר בפועל לא התגלה ולו ניסיון התחזות אחד באמצעות תהליך התשאול. לעומת זאת , ארעו מספר מקרים של ניסיונות התחזות לא ש אותרו באמצעות התשאול .ונמנעו על ידי ההשוואה במערכות הרשות הביומטרית גם אם נניח כי תהליך התשאול מונע במידה מסוימת ינ סיונות של התחזות ,חוסר היכולת לגלות את זהותו האמיתית של המתחזה גורע מיכולתו של התשאול להוות גורם מרתיע מפני ינ סיונות התחזות וגניבת זהות אשר יבוצעו בצורה חוזרת ונשנית. קיום מאגר ביומטרי מאפשר "לקבע" את זהות מבקש ה תיעוד ומהווה למעשה .כלי מניעתי בהקשר זה 9.7 . בדיקת שיטת ההקבצים בסעיף 2א( 'ס"ק 2 )של הצו ניתנה לממונה על ה יישומים ה ביומטריים משרד רוה"מ ולוועדה המייעצת הסמכות להורות על בדיקת אופני זיהוי נוספים .מכוח סמכות זו התקבלה הנחייה לבחון גם את שיטת ההקבצים שהציע פרופ 'עדי שמיר ממכון וייצמן למדע .שיטה זו נועדה לספק תועלת ייחודית בתחום ההגנה על פרטיות התושבים. השיטה מתבססת על שמירת הנתונים הביומטריים במאגר הבנוי מהקבצים( Clusters ,)כאשר הקישור בין נתונים ביומטריים ל בין זהות בעל הנתוני ם הינו קישור "מעומעם ,"כלומר קישור לקבוצת זהויות ולא זהות יחידה . תיאור הבדיקה המובא להלן הינו חלקי ונועד להמחיש את מורכבות הבדיקה של חלופה זו .הבדיקה המלאה מתוארת בפירוט במסמ כים נפרד ים שהופ צו לגורמים הרלוונטיים . תצורת הבדיקה נקבעה על בסיס אפיון מפורט ביותר אשר מסתמך בין השאר על מספר דיונים שהתקיימו עם 'פרופ עדי שמיר .תצורת הבדיקה הוצגה במפורט לממונה על היישומים הביומטריים . 9.7.0 . מטרות הבדיקה של שיטת ההקבצים מטרת הבדיקה הייתה בעיקר לבחון האם שיטת ההקבצים אכן נותנת מענה סביר ל מניעת הרכשות כפולות, וליתר המטרות המוגדרות ב חוק .לצורך כך נבחנה שיטת ההקבצים על פי עשרת התבחינים אשר נקבעו בצו ולאור ם נ בחנ ו כל החלופות כמפורט בסעיף2.2 .לעיל הערה תבחין מתן המענה למשטרה ו סיוע בזיהוי בעת א ירוע רב נפגעים מתייחסים לתהליכים שאינם מיושמים בתקופת המבחן, ולפיכך לא ניתן היה לבדוק באופן מעשי את השפעת שיטת ההקבצים ,עליהם אלא לכל .היותר לתאר כמה מההשפעות הצפויות באופן תיאורטי מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד86 מתוך111 9.7.3 . אופן הבדיקה להלן תהליך הבדיקה שבוצעה: 9.7.3.0 . בדיקה איכותנית מקדימה שיטת ההקבצים הינה רעיון תיאורטי שניתן ליישמו מעשית בכמה אופנים (תצורות). הניתוח שבוצע בחן ראשית את האפשרויות והפרמטרים ליישום המעשי של השיטה בתצורות שונות, בהתייחס להצעת פרופ' שמיר, למעטפת הביצועים האפשרית והנדרשת ולתרחישי השימוש במאגר. המטרה של שלב זה הייתה להצביע על התצורה המיטבית למימוש החלופה .. תהליך הבחינה האיכותנית א י פשר התמקדות בתצורה המיטבית לצורך שאר ה בדיקות ה כמותיות ו ה.השוואה אל מול חלופות אחרות תצורת היישום המי טבית היא זו שמ ושוו ית לשאר החלופות הנבחנות בהתאם למדדים אלו ו מנוקדת .בהתאם 9.7.3.3 . בדיקה כמותית ממוחשבת הבדיקות הממוחשבות על התצורה המיטבית נועדו לקבל ת מדדים כמותיים אמינים לביצועי תצורת היישום המיטבית של שיטת ההקבצים . הבדיקות הממוחשבות כללו תרחישים שונים של השוואות ביומטריות של רשומות שהורכשו עם רשומות קיימות במאגר המבוסס על שיטת ההקבצים. כדי להבטיח שתוצאות הבדיקה תשקפנה את תנאי האמת, הבדיקה בוצעה בעזרת רשומות אמיתיות , אך באופן שאיננו משולב בתהליכי הייצור התפעוליים במ.אגר 9.7.3.2 . הערכת הבדיקות האיכותניות והכמותיות הניתוח האיכותני והכמותי של התצורה המיטבית התבצע בהתאם לרשימת המדדים והתבחינים המפורטת בצו הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע (סעיף2 (ב)) ובמסמכי ההמשך . 9.7.2 . תצורות לבחינה שיטת ההקבצים הינה כאמור רעיון תיאורטי וכתוצאה מכך ישנן מספר תצורות למימושה המעשי ומספר דרגות חופש במימוש זה . בחירת התצורה משפיעה על תועלתה ועלותה של שיטת ההקבצים, ומכאן שיש לנפות אפשרויות שאינן רלוונטיות ליישום: כאלו שלא תתרומנה לשיפור הנדרש בתחום הפרטיות, כאלו .שלא תאפשרנה למאגר למלא את ייעודו או כאלו שעלותן התפעולית גבוהה מאוד :להלן הנושאים העיקריים לגביהם קיימות אפשרויות יישום שונות מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד87 מתוך111 9.7.2.0 . גודל ההקבץ וגודל המאגר שיטת ההקבצים תלויה בכמות הרשומות בכל הקבץ מול גודל המאגר, כדי להשיג איזון מיטבי בין השמירה על הפרטיות לצר ,)כים התפעוליים. אם כמות ההקבצים תקטן (פחות מכמה אלפים ההסתברות להצלחת התחזות לאדם אקראי אחר תעלה והמאגר לא יוכל להבדיל בצורה אמינה בין הזהויות ולמנוע הרכשות כפולות. אם כמות הרשומות בכל הקבץ תקטן (ממספר גבוה של מאות רשומות), תיפגע התועלת מהשיטה, משום שלא י.ושג שיפור משמעותי בהגנה על הפרטיות ,מדדים אלו .של גודל המאגר וגודל ההקבץ, באים זה על חשבון זה 9.7.2.3 . אלגוריתם הקצאת הרשומות להקבצים נושא זה מתייחס לשיטת הבחירה של ההקבץ אליו תשויך רשומה נכנסת חדשה . אם שיטת השיוך מאפשרת הקבצים עם כמות רשומות קטנה, פרטיות האזרחים שמשויכים להקבצים אלו לא תשופר משמעותית. מאידך, אם שיטת השיוך מאפשרת הקבצים עם מספר רשומות רב יחסית, קל יותר לאדם ,להתחזות לאדם אחר מאותו הקבץ (במצב של חשיפת הקבץ או יכולת לחזות שייכות להקבץ במיוחד כאשר גודל המאגר קטן ומספר ההקבצים בהם יש מידע עדיין קטן מדי ). כתוצאה מהאמור לעיל נרצה :לבחור באלגוריתם הקצאת רשומות שישמור על 4) פרטיות. 9) סיכוי נמוך להצלחת התחזות. 2) "סיכוי נמוך להצלחת "פושע צולף )(התחזות לאדם ספציפי. 9.7.2.2 . צימוד או פיזור הדגימות מהותה של שיטת ההקבצים הינה "עמעום" הקישור בין הנתונים הביומטריים לבין הזהות בפועל של מי שהנתונים שייכים לו. ישנן כמה אפשרויות ליישום הקישור המעומעם, כלומר לשיוך הדגימות של :זהות אחת להקבצים, כמתואר להלן 9.7.2.2.0 . דגימות בהקבצים שונים שלוש הדגימות של כל זהות(9 טביעו )ת אצבע ותמונת פנים מפוזרות בין הקבצים שונים. במצב זה, קיימת מערכת הקבצים נפרדת לתמונות פנים, ומערכת הקבצים נפרדת לטביעות האצבעות .)(עם או בלי הבחנה בין אצבעות ימין ושמאל 9.7.2.2.3 . הדגימות לא מצומדות, אך נמצאות באותו הקבץ שלוש הדגימות של כל זהות נמצאות באותו הקבץ אך אינן מצומדות יחד. במצב זה, עבור זהות 'מסוימת יצוין שדגימותיה נמצאות בהקבץ מסוים (לדוגמה מס2 ). בהקבץ זה יימצאו תמונות כל הזהויות, וטביעות האצבע של כל הזהויות, ללא יחס סדר ביניהן (כלומר ללא יכולת לשייך טביעת )אצבע לאחרת או לתמונת פנים כשייכות לאותה זהות . מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד88 מתוך111 9.7.2.2.2 . הדגימות מצומדות כל שלוש הדגימות של זהות מצומדות יחד ונמצאות באותו הקבץ. במצב זה, עבור כמות מסוימת של זהויות (לדוגמא4,000 ), מצוין ש נתוניהם הביומטריים נמצאים בהקבץ מסוים (לדוגמא מס ' 2 .) 9.7.2.4 . היתוך תוצאות ההשוואה סוגיה קשורה לצימוד או פיזור הדגימות הינה בחירת אלגוריתמים להיתוך תוצאות ההשוואה בין הדגימות הביומטריות של הרשומה הנכנסת (שתי טביעות האצבע ותמונת הפנים). לכל אחת משלוש הדגימות ברשומה נכנסת יהיו מספר דגימות דומות במאגר שיוצפו ע"י מנועי ההשוואה הביומטריים ו לכן נדרש היתוך מושכל בין התוצאות . 9.7.4 . תרחישים לניתוח ע"פ החוק, המאגר הביומטרי מיועד לבצע ארבע פעולות. על מנת שתצורה מסוימת של שיטת ההקבצים .תהיה רלוונטית ליישום החוק, עליה לתמוך בכל ארבע הפעולות ראה פירוט של השאילתות האפשריות בסעיף 0 .לעיל 9.7.2 . השלכות משפטיות שיטת ההקבצים אינה תואמת את החוק הקיים במספר סעיפים ,ו:מחייבת בחינה משפטית מעמיקה 9.7.2.0 . עקרון העמימות 9.7.2.0.0 . סעיף2 )(ב .ניתן להעביר נתונים ביומטריים באופן פרטני לצורך הליך הנוגע לנטילה, הפקה או הנפקת תיעוד 9.7.2.0.3 . סעיף01 )(ב יהיה ניתן לקשר בין נתונים ביומטריים שבמאגר הביומטרי לבין מספר זהותו במרשם האוכלוסין .של התושב אליו הם מתייחסים 9.7.2.0.2 . סעיף07 מתאפשרת העברת נתונים מהמאגר לצורך .חקירת פשעים, מניעת ביצוע עבירות וכיו"ב 9.7.2.0.4 . סעיף32 ( )(א3 ) .יש לשמור את הנתונים הביומטריים בדרך שתמנע שימוש בהם בניגוד להוראות החוק מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד89 מתוך111 נראה שהגדרות החוק לגבי העברת נתונים באופן פרטני וכן דרישת החוק שניתן יהי ה לקשר בין הנתונים לזהות, סותר ות את עקרון העמימות שבב סיס שיטת ההקבצים. יש צורך בבחינה משפטית של הסוגיה לצורך הבנה האם העברת תוצאות עמומות תואמת את תכלית החוק להעברת .נתונים לצרכי חקירה ומניעת ביצוע עבירות 9.7.2.3 . סינון תוצאות שאילתת זיהוי 9.7.2.3.0 . סעיף01 )(א .המאגר הביומטרי לא יכלול פרטי רישום של התושב או כל פרט מזהה אחר 9.7.2.3.3 . סעיף01 )(ג .המאגר הביומטרי יהיה חסוי ולא יימסר ממנו מידע, אלא לפי הוראות החוק 9.7.2.3.2 . סעיף03 .העברת מידע מהמאגר הביומטרי וגישה אליו מותרות בהתאם להוראות לפי חוק זה, בלבד 9.7.2.3.4 . סעיף34 )(א .אין למסור נתונים ביומטריים, תוצאות זיהוי וכיו"ב אלא לפי החוק ע"פ סעיפים40 ,)(ג49, ו- 91 לא נ יתן להוציא מהמאגר רשימות זהויות לסינון לגוף חיצוני. ע"פ סעיף40 (א) המאגר הביומטרי לא יכלול פרטי רישום או פרט מזהה, ולכן לא ניתן לבצע סינון ביוגרפי ע"י הרשות הביומטרי ת. 9.7.2.2 . שאילתת זיהוי סעיפים 41 , 42 , 47, העברת תוצאות זיהוי .קיים ספק אם רשימת זהויות מהקבץ תואמת את הגדרות החוק לתוצאות זיהוי. אם אינה תואמת, לא ניתן להעבירה לפי סעיפים40 , )(ג49 . 9.7.2.4 . שאילתת נתונים ביומטריים 9.7.2.4.0 . סעיף2 )(ה .נתונים ביומטריים לא ייאגרו באופן ממוחשב, למעט במאגר הביומטרי 9.7.2.4.3 . סעיף07 מאפשר להעביר למשטרה נתונים ביומטריים בהתאם לאישור בית משפט, ובלבד שאין בהעברת .המידע כדי לפגוע במידה על הנדרש בפרטיותו של אדם מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד91 מתוך111 9.7.2.4.2 . סעיף08 מאפשר להעביר למשטרה נתונים ביומטריים לצורך חקירת קבלת מסמך זיהוי תוך מסירת פרטים .)כוזבים (התחזות בשיטת ההקבצים לא ניתן לזהות במאגר מהם הנתונים הביומטריים השייכים לאדם מסוים, ולא ברור שהעברת רשומות רבות מהקבץ למשטרה תואמת את הגדרות החוק, במיוחד לאור הפגיעה .בפרטיות בעלי הזהויות האחרות שבהקבץ 9.7.2.2 . אסון המוני ע"פ דברי ההסבר לחוק, המטרה השלישית להקמת המאגר הינה זיהוי אנשים ללא מסמ ,כי זיהוי .למשל במקרי זיהוי נפגעים וחללים עקב פיגוע המוני או אסון טבע שיטת ההקבצים יוצרת חסם מערכתי לכמות שאילתות הזיהוי שניתן לבצע בו זמנית, ועל כן אינה מאפשרת זיהוי עבור כמות רבה של שאילתות., בניגוד למטרות המאגר בנושא זה 9.7.6 . סיכום תמציתי לבדיקות שיטת ההקבצי ם מאגר המנוהל בשיטת ההקבצים רגיש לרמת דיוק ההשוואה הביומטרית הממוכנת יותר ממאגר המנוהל בשיטה הרגילה. הבדיקה נועדה לבחון רגישות זו , את יכולות השיטה לאפשר מענה בתרחישי אימות זהות ,ומניעת הרכשה כפולה את משמעותה מבחינת ההשלכות של אירועי FA - False Accept (זיהוי רשומה נכנסת כמישהו אחר – בטעות ,)אירועי FR - False Reject (אי התאמה בין רשומה נכנסת לרשומה קיימת של אותו אדם – בטעות ,) איכות הדגימות, השלכות של רשומות חלקיות ושל רשומות חסרות ועוד . להלן :עיקרי המסקנות מהבדיקה 4. שיטת ההקבצים מאפשרת מניעה של הרכשה כפולה ברמת הסתברות נמוכה יותר מהשיטה הרגילה בשל החשיפה לאיום התחזות בתוך אותו הקבץ (באופן אקראי ,ע"י "פושע צולף "או כאשר נחשף ההקבץ .) ,בנוסף בירורי רשות האוכלוסין לגבי נסיונות התחזות צפויים לדרוש משאבים רבים מאוד , לגרום טרדה לאזרחים לא מעורבים ,להגיע למסקנה סופית בפחות מקרים ,ולגרום לסיכונים לפרטיות ולהתחזות בשל חשיפת הקבצים – באופן המטיל ספק באפקטיביות הפרקטית של השיטה. 9. השיטה מאפשרת אימות זהות ,אך חשופה לנסיונות התחזות בתוך אותו הקבץ ולתקיפות שינוי אצבעות .עם הזמן שאילתות החידוש והאימות צפויות להשחית רשומות קודמות באופן איטי והדרגתי אך בכמות כוללת גדלה .הטיפול במקרים בהם הרשומה הקיימת לא מאותרת ,למשל בשל FR או שינוי באצבעות הנדגמות ,נעשה מורכב. 2. שאילתות הזיהוי אכן צפויות להגדיל את העומס התפעולי כתכונה של שיטת ההקבצים הרצויה מבחינת עקרונות השיטה .יחד עם זאת ,לעומת שאילתות זיהוי במאגר רגיל ,מידת הוודאות בתוצאות השאילתא תפחת ,אחוזי ההצלחה במתן מענה לשאילתא יפחתו ,ישנם קשיים במיקום מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד91 מתוך111 שלב הסינון הדמוגראפי של המענה ,אזרחים לא מעורבים מההקבץ המזוהה צפויים פגע י לה ,נפתח פתח להתחזות מושלמת בתוך אותו הקבץ לאורך שנים ,ונדרש תהליך "שקשוק "שגורר מספר בעיות .שילוב נתונים חיצוניים למאגר יכולים לאפשר בירור זהות האדם מתוך נתונים ביומטריים במאמץ לא גבוה ., ובכך לנטרל את יתרונות השיטה 4 . שאילתת בירור פרטים ביומטריים צפויה לפגוע בפרטיות של אזרחים לא מעורבים בשל חשיפת נתונים רבים ולסבול משיעורי הצלחה ומידת ודאות נחותים .נראה שבניגוד לעקרונות השיטה , במקרים רבים ניתן יהיה למצוא את דגימות האזרח במאמץ נמוך. 2. באופן מעשי לא ניתן לבצע השוואת תמונות ילדים (מתחת לגיל49 , ללא טביעות אצבע), בשל תצורת יישום המאגר בשיטת ההקבצים .ויכולות מנועי השוואת תמונות הפנים 6 . שיטת ההקבצים אינה תואמת את החוק הקיים במספר סעיפים ,ו מחייבת בחינה משפטית מעמיקה , כפי שמפורט בסעיף 9.7.5 .לעיל מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד92 מתוך111 9.8 . תוצאות בדיקת כל החלופות והציונים פירוט מלא של אופן מתן הציונים ותהליכי החישוב ניתן לראות במסמך בחינת החלופות המפורט שהועבר לגורמים הרלוונטיים . הציונים ניתנו על ידי הרשות הביומטרית, רשות האוכלוסין בנושאים הרלוונטיים אליה, משטרת ישראל בנושאים הרלוונטיים אליה, ובהתייעצות עם הועדה המייעצת ובהתאם למשקלים שקבעה הועדה. ( 'הציונים שניתנו לטביעות האצבע מבוססים על השימוש בסורק 'החדש ש הוחלף בלשכות ב סוף שנת 9041 .) הציונים שניתנו לתמונות הפנים מבו ססים על נתוני היצרן ל שיקוף השפעת טווח הזמנים .על יכולות הזיהוי להלן התוצאה הסופית של בחינת החלופות על פי התבחינים המתוארים בסעיף 9.3 (ללא שילוב תשאול): ציון סופי אבטחת מידע עלות תקציבית פרטיות רמת שירות לתושב מענה למשטרה מענה לרשות האוכלוסין מורכבות תפעולית דיוק המערכת יכולת איתור הזהות הכפולה יכולת איתור הרכשה כפולה החלופה # 76.25 15.56 1.21 7.82 4.80 4.25 6.02 0.50 16.00 8.40 11.70 שתי ט ביעות אצבע 1 55.99 15.56 1.21 7.82 3.84 3.55 4.20 0.22 11.20 8.40 0.00 ט ביעת א צבע אחת 2 44.38 15.56 1.21 7.65 3.36 1.80 4.50 0.60 0.00 9.71 0.00 תמונת פנים 3 77.94 15.56 1.21 5.36 4.80 3.90 6.02 1.50 16.00 12.00 11.60 תמונת פנים + ט ביעת א צבע אחת 4 80.16 15.56 1.21 5.36 4.80 5.00 6.02 2.50 16.00 12.00 11.72 תמונת פנים + שתי ט ביעות אצבע (מאגר מלא) 5 33.86 6.12 2.80 14.03 6.00 0.00 2.66 2.25 0.00 0.00 0.00 תשאול נוכחי 6 43.43 6.12 1.87 13.26 6.00 0.00 2.66 2.13 0.00 0.00 11.40 תשאול מכויל לצו 7 51.57 15.56 1.01 7.14 1.80 1.35 1.38 0.00 8.00 3.62 11.72 הקבצים 8 65.78 15.56 1.21 6.89 0.00 3.10 0.92 1.60 12.80 12.00 11.71 תבניות 9  :הערה מפתח המספור ל הצגה ב גרפים המופיעים בהמש ך הנו בהתאם ל מספרי החלופות כפי ש מופיעים בטבלה שלעיל. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד93 מתוך111 איור 2 – תרשים ציוני החלופות להלן ציוני החלופות ,ממוינות לפי סדר יורד: ה ציון החלופה 80.2 + פנים שתי ט ביעות אצבע 77.9 + פנים ט ביעת אצבע אחת 76.3 שתי ט ביעות אצבע 65.8 תבניות 56.0 ט ביעת אצבע אחת 51.6 הקבצים 44.4 פנים 43.4 תשאול מכויל לצו 33.9 תשאול נוכחי 0.0 10.0 20.0 30.0 40.0 50.0 60.0 70.0 80.0 90.0 76.3 56.0 44.4 77.9 80.2 33.9 43.4 51.6 65.8 מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד94 מתוך111 איור 7 – ציוני החלופות בסדר יורד המסקנה הבולטת היא שהחלופות הכוללות את הכמות המרבית של נתונים ביומטריים הן אלו שנותנות מענה ראוי ביותר לדרישות החוק להלן פירוט תוצאות ההשוואה עבור כל אחד מהתבחינים: 9.8.0 . יכולת איתור הרכשה כפולה עבור תבחין זה החלופות הכוללות את מרב הנתונים הביומטריים וכן חלופת התשאול המכוילת לדרישות הצו נותנות את הביצועים הטובים ביותר בצורה מובהקת. חלופת התשאול בתצורה הקיימת, חלופת פנים בלבד וחלופת טביעת אצבע בודדת אינן מאפשרות עמידה בדרישות החוק ,וציונן .הוא אפס 0.0 10.0 20.0 30.0 40.0 50.0 60.0 70.0 80.0 90.0 פנים + שתי ט"א פנים + ט" א אחת שתי ט"א תבניות ט" א אחת הקבצים פנים תשאול מכויל לצו תשאול נוכחי 80.2 77.9 76.3 65.8 56.0 51.6 44.4 43.4 33.9 מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד95 מתוך111 איור 2 – השוואת תבחין יכולת איתור הרכשה כפולה 9.8.3 . יכולת איתור הזהות הכפולה עבור תבחין זה החלופות של מאגר מלא ,מאגר תבניות או מאגר של תמונות פנים +טביעת אצבע בודדת נותנות את הביצועים המיטביים. חלופת פנים בלבד ,טביעת אצבע בודדת ושתי טביעות אצבע נותנות ביצועים בינוניים. חלופת ההקבצים נותנת ציון נמוך. חלופות שתי תצורות התשאול אינן עומדות בדרישות החוק בתבחין זה ,וציונן הוא אפס. איור 2 – השוואת תבחין יכולת איתור זהות כפולה 0.00 5.00 10.00 15.00 1 2 3 4 5 6 7 8 9 11.70 0.00 0.00 11.60 11.72 0.00 11.40 11.72 11.71 יכולת איתור הרכשה כפולה 0.00 5.00 10.00 15.00 1 2 3 4 5 6 7 8 9 8.40 8.40 9.71 12.00 12.00 0.00 0.00 3.62 12.00 יכולת איתור הזהות הכפולה מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד96 מתוך111 9.8.2 . מספר התראות השווא החלופות הטובות ביותר עבור תבחין זה הן חלופת ,התבניות המאגר המלא , חלופת שתי טביעות אצבע . טביעת אצבע בודדת+ וחלופת פנים מאגר של טביעת אצבע בודדת ו מאגר בשיטת ההקבצים מספקים ביצועים בינוניים. יתר החלופות, נותנות ביצועים גרועים ומייצרות כמות גדולה ובלתי סבירה של התר .אות שווא איור 40 – השוואת תבחין דיוק המערכת 9.8.4 . המורכבות התפעולית עבור תבחין זה חלופות התשאול (בשתי התצורות) וחלופת המאגר המלא נותנות את הביצועים המיטביים (המורכבות הנמוכה ביותר). עבור חלופת התבניות וחלופת פנים וטביעת אצבע בודדת המורכבות היא בינונית. ית ר החלופות נותנות ביצועים נמוכים, כאשר חלופת ההקבצים נותנת את המורכבות הגבוהה .ביותר 0.00 5.00 10.00 15.00 20.00 1 2 3 4 5 6 7 8 9 16.00 11.20 0.00 16.00 16.00 0.00 0.00 8.00 12.80 דיוק המערכת- התראות שווא מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד97 מתוך111 איור 44 – השוואת תבחין מורכבות תפעולי 9.8.2 . מתן מענה לרשות האוכלוסין עבור תבחין זה החלופות הכוללות של מאגר מלא, שתי טביעות אצבע או פנים וטביעת אצבע בודדת נותנות ביצועים טובים. חלופת טביעת אצבע בודדת וחלופת פנים נותנות ביצועים בינוניים- גבוהים, חלופות התשאול נותנות ביצועים בינוניים-נמוכים וחלופת ההקבצים והתבניות נותנ ו ת את הביצועי ם הגרועים .ביותר איור 49 – השוואת תבחין התאמה לרשות האוכלוסין 0.00 0.50 1.00 1.50 2.00 2.50 1 2 3 4 5 6 7 8 9 0.50 0.22 0.60 1.50 2.50 2.25 2.13 0.00 1.60 מורכבות תפעולית 0.00 2.00 4.00 6.00 8.00 1 2 3 4 5 6 7 8 9 6.02 4.20 4.50 6.02 6.02 2.66 2.66 1.38 0.92 מענה לרשות האוכלוסין מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד98 מתוך111 9.8.6 . מתן מענה למשטרת ישראל הניקוד .עבור תבחין זה ניתן ע"י משטרת ישראל, בהתאם לשיקוליה המקצועיים המאגר המלא מספק מענה מיטבי למשטרת ישראל. מאגר שיש בו טביעת אצבע בודדת, גם יחד עם תמונת פנים, או מאגר של .שתי טביעות אצבע מספקים מענה בינוני. גם מאגר תבניות מספק מענה בינוני, אך נמוך יותר מהיתר חלופות התשאול אינן מספקות מענה כלל. חלופות ההקבצים או מאגר תמונות פנ ים בלבד מספקות מענה .חלש איור 42 – השוואת תבחין מענה לצרכי המשטרה 9.8.7 . רמת השירות לתושב עבור תבחין זה חלופות התשאול מספקות מענה מיטבי, עקב קבלת אישור מידי להנפקת תיעוד והעדר .הצורך בטיפול נוסף כלשהו חלופת התבניות יוצרת את הפגיעה המרבית בשירות לתושב, כמו גם חלופת ההקבצים, הטובה ממנה במ קצת .יתר החלופות מספקות מענה בינוני או בינוני- .גבוה עבור תבחין זה איור 41 – השוואת תבחין רמת שירות לתושב 0.00 2.00 4.00 6.00 1 2 3 4 5 6 7 8 9 4.25 3.55 1.80 3.90 5.00 0.00 0.00 1.35 3.10 מענה למשטרה 0.00 2.00 4.00 6.00 1 2 3 4 5 6 7 8 9 4.80 3.84 3.36 4.80 4.80 6.00 6.00 1.80 0.00 רמת שירות לתושב מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד99 מתוך111 9.8.8 . הגנה על הפרטיות עבור תבחין זה ניתן לזהות שלוש קבוצות מובחנות היטב ,. חלופות התשאול נותנות מענה מיטבי לפרטיות כאשר התשאול הנוכחי (שכאמור אינו עומד בדרישות הצו) הוא המיטבי ביותר. החלופות הכוללות כמות רבה יותר של מידע ביומטרי מקבלות ציון בינוני-נמוך ויתר החלופות מקבלות ציון בינוני- .גבוה איור 42 – השוואת תבחין הפרטיות 9.8.9 . עלויות תקציביות חלופת התשאול בתצורה הנוכחית הינה החלופה המיטבית עבור תבחין זה. יתר החלופות מקבלות ציונים בינוניים וחלופת התשאול המכויל לדרישות הצו מקבלת ציון בינוני- .גבוה איור 42 – השוואת תבחין עלות תקציבית 0.00 5.00 10.00 15.00 1 2 3 4 5 6 7 8 9 7.82 7.82 7.65 5.36 5.36 14.03 13.26 7.14 6.89 פרטיות 0.00 1.00 2.00 3.00 1 2 3 4 5 6 7 8 9 1.21 1.21 1.21 1.21 1.21 2.80 1.87 1.01 1.21 עלות תקציבית מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד111 מתוך111 9.8.01 . מענה לדרישות אבטחת מידע עבור תבחין זה מתקבלת הפרדה ברורה בין קבוצת חלופות התשאול לקבוצת יתר החלופות ,הנובעת מהיכולת לקיים מערכת מבודלת ( “air gap” ) עבור קבוצת החלופות הביומטריות, ללא קשר לצורת .המימוש איור 47 – השוואת תבחין אבטחת מידע 9.9 . תוצאות בדיקת החלופות ב משולב עם ביצוע תהליך תשאול בהתאם לדרישות הצו .נבחנו החלופות גם בשילוב תוצאות תהליך התשאול שילוב של חלופות הכוללות מידע ביומטרי עם חלופת התשאול המיטבית מבין השתיים צפוי לשפר את יכולת איתור ההרכשה הכפולה אולם מצד שני הוא צפוי לפגוע בדיוק המערכת ולייצר הרבה יותר התראות שווא. זאת בשל הסיבה שתהליך תשאול המיועד לתת מענה לאיתור מתחזים פוטנציאליים מייצר התראות שווא רבות, בלא קשר לתהליך המבוצע במערכות הרשות הביומטרית .נושאים נוספים המושפעים מהשילוב הם הפרטיות (עקב החיבור של יותר מאגרי מידע ,)העלות התקציבית ואבטחת המידע . 0.00 5.00 10.00 15.00 20.00 1 2 3 4 5 6 7 8 9 15.56 15.56 15.56 15.56 15.56 6.12 6.12 15.56 15.56 אבטחת מידע מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד111 מתוך111 להלן התוצאה:הסופית של בחינת החלופות הבדידות, משולבות עם תשאול, על פי אותם תבחינים ציון סופי ללא שילוב ציון משולב עם תשאול נוכחי ציון משולב עם תשאול מכויל לצו אבטחת מידע עלות תקציבית פרטיות רמת שירות לתושב מענה למשטרה מענה לרשות האוכלוסין מורכבות תפעולית דיוק המערכת יכולת איתור הזהות הכפולה יכולת איתור הרכשה כפולה החלופה 76.25 54.22 54.37 13.22 0.07 5.27 4.80 4.25 6.02 0.35 0.00 8.40 11.99 שתי ט ביעות אצבע 55.99 50.30 50.62 13.22 0.07 5.27 3.84 3.55 4.20 0.10 0.00 8.40 11.97 ט ביעת אצבע אחת 44.38 38.36 50.30 13.22 0.07 5.10 3.36 1.80 4.50 0.60 0.00 9.71 11.94 פנים 77.94 56.63 56.82 13.22 0.07 4.08 4.80 3.90 6.02 0.75 0.00 12.00 11.98 פנים + ט ביעת אצבע אחת 80.16 58.79 58.93 13.22 0.07 4.08 4.80 5.00 6.02 1.75 0.00 12.00 11.99 פנים +שתי ט ביעות אצבע (מאגר מלא) 51.57 39.15 39.29 13.22 0.07 5.87 1.80 1.35 1.38 0.00 0.00 3.62 11.99 הקבצים 65.78 46.87 47.01 13.22 0.07 5.61 0.00 3.10 0.92 0.10 0.00 12.00 11.99 תבניות ניתן לראות ש רמת דיוק המערכת (שיעור התראות השווא )נפגע ת בצורה קשה ומשפיע ה על הציון הכולל בשל ,משקלו הרב של הסעיף יכולת האיתור השתפרה ,הפרטיות השתנתה במעט לרעה והעלות המצטברת (בהשוואה לעלות החלופה הזולה ביותר ללא קשר לשילוב )נפגעה אף היא .אבטחת המידע נפגעה במקצת . כמו כן, ניתן לראות כי אין שינוי ב סדר ה חלופות המובילות (מאגר מלא ופנים +טביעת אצבע בודדת .) 9.01 . סיכום פרק בחינת החלופות האמור לעיל בפרק זה מסכם את תהליכי הבדיקות אשר בוצעו ברשות הביומטרית במשך כשנה וחצי לבחינת החלופות כנדרש בצו. המשקלים לכל תבחין ונושא נבדק ניתנו על ידי הועדה המייעצת בראשות הממונה על .היישומים הביומטריים הציונים ניתנו על ידי הרשות הביומטרית, רשות האוכלוסין בנושאים הרלוונטיים אליה, משטרת ישר ,אל בנושאים הרלוונטיים אליה ובהתייעצות עם הועדה המייעצת ואף עודכנו בהתאם .להערות הועדה ניתוח הנתונים נערך עלי ידי מומחים בתחום הביומטריה וחקר הביצועים וכן על י די המכון למחקרים צבאיים "ברפא ל, וממנו:עולות מספר נקודות מרכזיות 1 . קו הבסיס לבחינת החלופות ולהשוואה ביניהן, המהווה למעשה תנאי סף, הנו יכולתה של כל חלופה נבדקת לאפשר עמידה בדרישות החוק הבסיסיות בנוגע לרמות הדיוק,ולביצועים כפי שהינן מוגדרות בצו מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד112 מתוך111 .דרישות בנוגע ליכולת איתור המתחזים והיקף התראות השווא של המערכת חלופת השימוש בא צבע אחת בלבד, או ,חלופת השימוש בתמונת פנים בלבד ללא שילוב ביומטריות נוספות או אלמנטים נוספים אחרים , אינן מאפשר ו.ת עמידה בדרישות החוק הבסיסיות 9. תוצאות הניתוח והציונים מתייחסים ליכולת של כל חלופה לתת מענה לאורך זמן. בתקופת המבחן החידושים (אשר על בסיסם מבוצעות בדיקות הביצועים), מבוצעים בטווח זמן קצר מאוד (בממוצע חודשים ספורים )ואילו המאגר הלאומי צפוי להיות מאגר בו החידושים יהיו בטווח זמן הקרוב לתוקפן של התעודות ,קרי עד 40 שנים .לכן בבחינת החלופות נעשתה בדיקה לגבי יכולת החלופות לאפשר מענה לאורך זמן באיתור הרכשה כפולה ובעמידה בפרמטרים הנוספים. הן על פי נתוני יצרן והן ע"פ מבחני NIST בהתאם למנועי ההשוואה שבשימוש הרשות ,חלופת השימוש בתמונת פנים בלבד ,ללא שילוב ביומטריות נוספות או אלמנטים נוספים כגון קיצור תוקף התיעוד, צילום תמונה 'מצוינת' הכוללת הורדת כיסוי ,ראש, שילוב נתונים דמוגרפיים באמגר ועוד אינה מאפשרת עמידה בדרישות החוק הבסיסיות . 3 . על מנת לשמר את היכולת לבצע תהליכי תפעול וטיפול בתוצאות ההשוואה אשר מעלה המערכת, ולשם שימור מ רשם אוכלוסין תקין וכפי שניתן לראות מן הנעשה בפרויקטים דומים ,בעולם יש צורך חיוני בשמירה ו ב השווא ה גם של .תמונות פנים במאגר 4 . החלופ ות אשר מאפשר ו ת את רמת איתור ההרכשה הכפולה הטובה ביותר הנן חלופת מאגר מלא הכוללת שתי ט"א ותמונת פנים , חלופת התבניות וחלופת שיטת ההקבצים. 2. החלופות אשר מאפשרות את איתור הזהות הכפולה ברמה הגבוהה ביותר הנן חלופות ט"א אחת בשילוב תמונת פנים ,, חלופת תבניות ו.חלופת מאגר מלא הכוללת שתי ט"א ותמונת פנים 6 . החלופות אשר מאפשרות פעילות תוך שמירת רף מינימלי של שגיאות ומינימום התראות שווא הנן חלופות ט"א אחת בשילוב תמונת פנים .וחלופת מאגר מלא הכוללת שתי ט"א ותמונת פנים 7. חלופת שתי טביעות אצבע בלבד - חלופת שתי אצבעות עומדת בדרישות החוק, הן לגבי התראות שווא והן לגבי יכולת איתור מתחזה אך יישומה המעשי של חלופה זו התברר כלוקה בחסר וזאת בשל העובדה כי חלופה זו לא תאפשר מניעת התחזות ותמיכה תפעולית שוטפת בשל העובד ה ש עבור כ- 4.2% מבקשות החידוש לא ניתן להשוות אף אחת משתי האצבעות ברשומת חידוש לעומת רשומה קודמת, בשל שילוב של אצבעות חסרות, דגימה באי כות נמוכה, ו/או דגימת אצבע שונ ה. בנוסף, עבור כ- 1% מהאוכלוסייה לא נית ן .להשתמש בבקשות חידוש באחת מבין אצבע ימין או אצבע שמאל להשוואה מול הרשומה הקודמת במקרים אלו ובמקרים נוספים דומים, איתור הכפילים אל מול הרשומה הקודמת ושאר המאגר יתבצע ל ,מעשה רק על בסיס אצבע אחת חלופה שאינה עומדת בדרישות החוק. עבור כ- 0.9% מהאוכלוסייה, לא ניתן להרכיש טביעת אצבע תקינה כלשהי. עבור כ- 0.7% נוספים, ניתן להרכיש רק טביעת אצבע אחת .תקינה לגבי כל קבוצות אוכלוסייה אלו לא ניתן לממש בדיקות זיהוי או אימות זהות יעילות. 8 . חלופת טביעת אצבע אחת + תמונת ם פני מעלה באופן משמעותי את כמות התראות השווא, בפרט בשל העובדה המתוארת לעיל לגבי הקשיים הקיימים בהרכשות תקינות של טביעות אצבע. שימוש באצבע אחת מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד113 מתוך111 בלבד מעלה במספר סדרי גודל את הסבירות למצבים בהם לא תתקבל טביעת אצבע כלל וההשוואה תסתמך על תמונות פנים בלבד, אשר מספקו .ת רמת דיוק שאינה עומדת בדרישות החוק 9 . חלופת התשאול לא מאפשרת מתן מענה הולם לבעיית גניבת הזהות וההתחזות כפי שמובהר במסמך זה וכפי שמובהר במסמכי רשות האוכלוסין, לאור הבדיקות שבוצעו על ידה בהובלת הלשכה המרכזית .לסטטיסטיקה 11 . חלופת שיטת התבניות מאפשרת מניעת הרכשה כפולה ואיתור מתחזה ברמה גבוהה, אך יישומה של שיטה ז ו אינו מאפשר ניהול תקין של פרויקט תיעוד בקנה מידה לאומי בשל חוסר היכולת לבצע עבודת השוואה ידנית לאימות התראות המערכת. המשמעות היא ריבוי בלתי סביר של התראות שווא ומניעת יכולת תפעול תקין של הנפקת תיעוד לתושבי המדינה. 11 . .מבחינת אבטחת המידע ניתן להבחין כי בפועל אין הבדל משמעותי בין החלופות חליפת האבטחה אשר .תסופק תינתן בכל מקרה ותתבסס על מעגלי אבטחה כנדרש, ללא תלות בחלופה אשר תיושם בפועל 12 . חלופת שיטת ההקבצים לא מספקת מענה הולם לדרישות החוק במספר סעיפים . ,בנוסף לכך בתחום ההגנה על הפרטיות ש היווה את הבסיס להצעת השיטה, יישו מה יכתיב קיום תהליכים אשר ידרשו מהרשות הוצאת מאות ואף אלפי מספרים מזהים לרשות האוכלוסין במסגרת תהליכי ההנפקה ובהמשך .אף למשטרה במסגרת תשאול נקודתי שיבוצע במתן מענה לשאילתת האימות וכן לשאילתת הזיהוי קיימות מגבלות לא פשוטות וביצועי השיטה ירודים יחסית לביצועי החלופות הכוללות מגוון נתונים .ביומטריים וקישור למספר המזהה 13 . הנקוד ה המרכזית ה עולה מבחינת החלופות, הינה כי ככל שיבוצע שימוש במגוון רחב יותר של נתונים ביומט ריים תשתפר .יכולת איתור המתחזים כשבמקביל תרד למינימום כמות התראות השווא בתצורה זו תתאפשר עמידה במטרת החוק שהנה מניעת הרכשה כפולה, תוך מתן שירות ברמה טובה לאזרחי .המדינה והגנה מלאה על פרטיותם מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד114 מתוך111 01 . תקציב הרשות לניהול המאגר הביומטרי מסגרת התקציב להקמת הרשות לניהול המאגר הביומטרי ולהפעלתה עומדת על כ – 61 מיליון ₪ לחמש שנים מיום הקמת הרשות בסוף שנת 3100 . סכום זה מהווה כ – 7% בלבד מתקציב פרויקט התיעוד הלאומי החכם ,אשר עיקר עלויותיו נגזרות מתפעול מערך ההרכשה בלשכות רשות האוכלוסין ומתפעול מערך הנפקת תעודות הזהות והדרכונים שברשות האוכלוסין ,מערכים אשר יפעלו ללא קשר לקיום המאגר הביומטרי . מסגרת תקציב הרשות לניהול המאגר הביומטרי כוללת את סך כל הוצאות ועלויות הרשות לשנים אלו .כולל עלויות שכר עובדי הרשות ויועצים חיצוניים ,כולל הקמת מערך המחשוב ותחזוקתו ,רכש מערכות והטמעתן , כולל עלויות אבטחה פיסית ואבטחת מידע ,כולל עלויות שכירות אתר הרשות ,הוצאות תפעול ,עלויות אתר גיבוי ,הסברה ויחסי ציבור וכל הוצאה נדרשת נוספת . מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד115 מתוך111 00 . ה אפשרויות ב תום תקופ ה ת מבחן ומשמעויותיהן על פי סעיף 14 (2 )לחוק ,עד תום תקופת המבחן ,עד תאריך 24 במרץ 9042 ,שר הפנים באישור הכנסת (במליאתה ) וכן באישור וועדת השרים ליישומים ביומטריים ,ולוועדה של הכנסת שבה יהיו חברים חברי ועדת הכנסת המשותפת ליישומים ביומטריים וחברי ועדת הכנסת המשותפת ובהתייעצות עם שר המשפטים ובהסכמת שר האוצר ,יוכל להחליט על אפשרות אחת מתוך ה אפשרויות הבאות: 00.0 . החלה מנדטורית השר יכול לקבוע בצו כי הוראות החוק הביומטרי יחולו על כלל התושבים .כתוצאה מבחירה באפשרות זו צפוי לחול שינוי בקצב ההצטרפות של התושבים בהתאם לפרק הזמן שייקבע בצו .במידה וייקבע פרק זמן של מספר שנים להצטרפות כלל התושבים לעידן עוד י הת הביומטרי ותופסק הנפקת עוד יתה ה ישן ,הצפי נו יה לגידול בשיעור כפול עד פי 2 משיעור ההצטרפות הקיים כיום .בנוסף ,אם תיבחר חלופה זו ,הרשות תידרש תת ל מענה לשאילתות גורמי הביטחון ואכיפת החוק ,בהתאם להגדרות החוק . עבור הרשות קיימות להחלטה זו משמעו ת יו בעיקר ב נושא משאבי כוח אדם נדרשים ,היבטי תפעול ותשתיות מערך המחשוב .התוספת אינה משמעותית בהתחשב ב חלקו היחסי הקטן של תקציב הרשות לניהול המאגר הביומטרי מכלל תקציב הפרויקט (הכולל את תקציב רשות האוכלוסין ובפרט מערך ההרכשה בלשכות והנפקת ה תיעוד במערכי ההנפקה .) 00.3 . הארכת תקופת המבחן ניתן לקבוע בצו כי תקופת המבחן תוארך לתקופה שלא תעלה על שנ ה ושלושה חודשים נוספים (בנוסף על ההארכה בתשעה חודשים עליה הוחלט ביוני9042 ) .כתוצאה מבחירה באפשרות זו לא צפוי שינוי בקצב ההצטרפות של התושבים ו הרשות לא ת ידרש לתת מענה לגורמי הביטחון ואכיפת החוק .אם יוחלט על הארכה מי רבית צפוי המאגר לכלול בתום ארבע שנות תקופת מבחן (בהתאם לקצב ההצטרפות הנוכחי ,)את פרטיהם הביומטריים של כ- 4.2 מיליון תושבים. משמעויות אפשרות זו דומות ,אם כי פחותות ,ממשמעויות ה אפשרות הראשונה של ההחלה המנדטורית . 00.2 . החלה הדרגתית ניתן לקבוע בצו כי החלת החוק תהיה הדרגתית ובתנאים שייקבעו בצו .החלה הדרגתית משמעותה החלת החוק כמנדטורי במסגרת לוח זמנים קצוב ,כפי שייקבע על ידי השר ,או לחלופין החלת החוק בצורה שאינה כוללת את כל סעיפיו מהשלב הראשון. משמעויות אפשרות זו דומות ,אם כי פחותות ,המ משמעויות של האפשרות הראשונה . מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד116 מתוך111 00.4 . הימנעות מהוצאת צווים אם לא הוצא צו כאמור לעיל עד תום ארבע שנים מתחילת תקופת המבחן( ,היינו עד 92 ביוני 9047 ) - יימחק המאגר הביומטרי .יש לתת את הדעת לצורך בצו שיאפשר המשך פעילות בתקופה זו ולשינויי חקיקה שיידרשו. המשמעות העיקרית של הארכת תקופת המבחן מבחינת תושבי מדינת ישראל, הנה המשך הנפקה במקביל של תיעוד 'ישן' ו תיעוד ביומטרי חכם. מבחינת תופעת ההתחזות וגניבת הזהות המשמעות הנה כי עבריינים וגורמי טרור יכולים להמשיך לעשות שימוש ב תיעוד הישן ובתהליכי הזיוף הקיימים על מנ ת להמשיך ולהשיג תעודות .בזהויות בדויות מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד117 מתוך111 03 . סיכום והמלצות מסמך זה מפרט את הנושאים אשר נבחנו על ידי הרשות לניהול המאגר הביומטרי במהלך תקופת המבחן. נושאים .אשר נקבעו בחוק ובצו ואשר פורטו במסמך פרוטוקול תקופת המבחן אחד הנושאים העיקריים שנבחנו הנו עמיד ת ה רשות במדדים ש נקבעו בצו בכל הקשור ל ביצועי המערכת הביומטרית ל איתור מתחזים ומספר התראות השווא . נושא ים נוס פים ש נקבע ו בצו ועו ים מד במרכזה של תקופת המבחן ה ם בחינת נחיצות המאגר ו בחינת חלופות למאגר הביומטרי במתכונתו המלאה .מראשית תקופת המבחן פעלה הרשות לבחינת ה חלופות שנקבעו בצו ועל ידי ממונה היישומים הביומטריים במשרד רה ."מ התבחינים לפיהם נמדדו החלופות ו תוצאות בחינת החלופות מתוארים בפירוט ב פרק2 לעיל . עוד מפורטים במסמך זה השינויים והשיפורים הטכנולוגיים וכן תיקון התקנות ,אשר בוצעו כחלק מתהליך של למידה והפקת לקחים במהלך תקופת המבחן. תקופת המבחן ופרק הזמן אשר קדם לה ,מימי עבודת המטה אשר בוצעה בהובלת המטה ללוחמה בטרור בשנת 9007 ,אפשרו לגורמים המקצועיים השונים לבחון ולקבל החלטות בדבר ת צורת התיעוד הלאומי הראוי למדינת .ישראל בעידן הנוכחי ובתכנון צופה פני עתיד נדרשת יכולת אמינה ומהימנה לזיהוי אזרחי מדינת ישראל ותושבי,ה אם במסגרת מתן שירותי ממשלה בגישה פיסית או מקוונת, אם בצריכת שירותים מסחריים-פיננסיים , אם בעת הזדהות בהצבעה בבחירות לאומיות או מוניציפליות ואם במסגרת הזדהות בעת קבלת שירותים רפואיים או .במסגרות אחרות ההחלטה ש התקבלה בשנת9002 שו קיבלה תוקף בחקיקה ראשית בשנת9002 גרסה כי יש לשלב הנפקת תיעוד מאובטח הכולל נתונים ביומטריים של בעל התיעוד עם שמירת הנתונים הביומטריים בבסיס נתונים מרכזי שיבטיח שלכל אדם יה יה תיעוד .אחד בלבד בזהותו האמיתית בהתאם להוראות החוק ,התקיימו בתקופת המבחן ,ש החלה ביוני 9042 ,מבדקים ומבחנים רבים ש תכליתם העיקרית א הי בחינת הנחות היסוד אשר עמדו בבסיס ההחלטות שהובילו לחקיקה ,ובפרט נחיצות קיומו של המאגר הביומטרי. תמצית ממצאי בדיקות תקופת המבחן: 4. מנתוני משטרת ישראל וכן ממסקנות עבודת המטה של הלוט"ר שבוצעה במהלך שנת9041 עולה כי תופעת עבריינות הזיוף וההונאה הנה תופעה רחבת היקף ומולטי-דיסציפלינארית המהווה איום כלכלי ,חברתי וביטחוני ברמה הבינלאומית בכלל ולתושבי מדינת ישראל בפרט . 9. תופעות העבריינות הנלוות להתחזות וגניבת זהות באות לידי ביטוי בכל תחומי החיים, החל מפתיחת חשבון בנק ומשיכת כספים בזהות מזויפת ,דרך קבלת תגמולים מהמוסד ל ביטוח לאומי במרמה, דרך מכירת דירות וכלי רכב תוך התחזות ,לאחר .ועד הצבעה בזהות בדויה בבחירות לצד תופעות אלו קיימת מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד118 מתוך111 תופעת ה פעילות החבלנית ה עוינת וסיוע לפעילות זו תוך שימוש בזהויות בדויות .היקף הבעיה בישראל מחייב פתרון בטווח הקצר ובטווח הארוך . 2. התיעוד הביומטרי החכם אינו ניתן לזיוף ולפיכך התופעה של התחזות במטרה לקבל תיעוד ""לגיטימי ,מהמדינה שכבר ,כיום היא רחבת היקף תגדל עשרות מונים ככל ש התיעוד החכם יהיה נפוץ יותר .מצד ,שני כפי שעולה ממבדקי הלשכה המרכזית לסטטיסטיקה ורשות האוכלוסין וההגירה ,ביצוע התשאול על ידי פקיד אינו נותן מענה מהימן דיו ל איתור עבריין ה מנסה לקבל תיעוד .תוך התחזות לאחר נוסיף על כך את כניסת מדינת ישראל ן יד לע הדיגיטלי בו שירותים ויישומים רבים יתקבלו בצריכה מרחוק ו בצריכה מקומית, תוך הזדהות המבוססת, ,)(בחלקה על התיעוד הביומטרי החכם, והתוצאה היא הגדלת א טרקטיביות התיעוד ו רצונם של גורמים עבריינים וטרוריסטיים לקבל תיעוד ""לגיטימי בזהות בדויה . 1. כפי שניתן לראות מהנעשה בפרויקטים מקבילים בעולם, במדינות בהן החלה הנפקת תיעוד ,מאובטח הצטמצם שיעור המסמכים המזויפים בעוד תופעת זיוף הזהות ה וה תחזות מול פקיד התרחבה משמעותית . 2. בחינת החלופות הנרחבת אשר בוצעה במהלך תקופת המבחן הביאה למסקנה חד משמעית בדבר חוסר התאמתה של שיטת ההקבצים כשיטת יישום למאגר הביומטרי במסגרת פרויקט ה תיעוד .הלאומי החדש בחינת החלופות אף הובילה את מומחי המרכז למחקרים צבאיים ברפא"ל ואת מומחי הביומטריה אשר בחנו את הנושא למסקנה חד משמעית בדבר העובדה ששימוש במגוון רחב של נתונים ביומטריים במסגרת תהליכי השוואת הנתונים, יאפשר איתור מתחזים ומניעת גניבת זהות בצורה מדויקת ויעילה, בד בבד עם .כמות מינימלית של התראות שווא האמצעי הטכנולוגי אשר מאפשר את יישום המסקנות העולות מן ה הסבר התמציתי שלעיל הנו בסיס נתונים מרכזי ,המאגר הביומטרי ,אשר מכיל נתוני טביעות אצבע ותמונת פנים של מבקשי התיעוד. 2. המאגר הביומטרי הוא האמצעי .אשר מהווה את לב לבו של הפרויקט כולו ביצוע אימות ה זהות על ידי מערכות המאגר בטרם הנפק ת התיעוד מאפשר לוודא כי לכל אדם יהא תיעוד אחד בלבד בזהותו האמיתית. היטיבו לבטא זאת ,חוקרי המכון למדיניות נגד טרור במרכז הבינתחומי ,אשר בסיכום עבודת מחקר ם, ציינו כי יישום המעבר לתיעוד חכם בלבד ,ללא שילובו עם המאגר הביומטרי ,עשוי להחמיר את המצב הקיים .בהיבטי הפשיעה תוך שימוש בזהויות בדויות להערכתם ,במידה ויהיה ניתן לקבל תיעוד חכם ,אשר אמינותו גבוהה ,תוך זיוף הזהות ,תעלה רמת הסיכון ביחס לזו הקיימת היום. מסקנה זו תומכת במסקנות העולות מעבודות המחקר הנוספות אשר צוינו בדוח זה ואשר בסיכומן עולה כי השילוב של תיעוד ביומטרי חכם שאינו ניתן לזיוף יחד עם שימוש במאגר ביומטרי יאפשר חבילת אבטחה והגנה מלאה על זהות אזרחי מדינת ישראל ויאפשר הנפקת תיעוד .בעל רמת מהימנות הולמת למטרותיו ניהול המאגר הביומטרי ואבטחתו הופקדו בידיה של הרשות לניהול המאגר הביומטרי .זהו צעד תקדימי המלווה בהשקעת תשומות ייחודיות ,, אשר בוצעו בהתאם לחוק וזאת לאור רמת ה .רגישות הגבוהה של המידע הביומטרי ברשות אשר פועלת בכפיפות לשר הפנים ישנם בעלי תפקידים ש אחראים לאבטחת הנתונים ולהגנה על פרטיות האזרחים ו אשר מבצעים זאת בצורה מקצועית ו מיטבית . הרשות מונחית ומבוקרת בנושא האבטחה על ידי הגור ם הרלוונטי בשירות הביטחון הכללי, זאת בכל היבטי האבטחה הפיסית ואבטחת המידע, כולל בתצורת המערכות מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד119 מתוך111 ובתהליכי העבודה. גורם זה הביע ,את שביעות רצונו מרמת האבטחה הקיימת בכל היבטי פעילות הרשות. בנוסף פעילותה של הרשות מפוקחת על .ידי הממונה על היישומים הביומטריים במשרד ראש הממשלה הרשות ,ועובדיה פועלים בהתאם למסגרת ולקווים המנחים של הקוד האתי אשר נכתב על ידי הפרופסור אסא כשר .ואשר הוטמעו בתהליכי העבודה הנהוגים ברשות, הן בממשקים הפנימיים והן כלפי חוץ תצורת הקמת המאגר הביומטרי מאפשרת איזון ראוי בין ההגנה על הפרטיות לבין יכולת ההתמודדות עם הפשיעה ופעילות הטרור העלול ות .להתבצע תוך שימוש בהתחזות ובזהויות גנובות זאת על ידי שימוש במינימום נתונים אשר מאוחסנים ומעובדים במערכות הרשות הביומטרית ו הכוללים אך ורק שתי טביעות אצבע ו צילום פנים , לצד .מנגנונים מתקדמים ותהליכי עבודה מתאימים אשר מאפשרים רמה גבוהה ביותר של אבטחה והגנה על הפרטיות במהלך שנת9041 ריכז מטה הלוט"ר במשרד ראש הממשלה עבודת מטה מקיפה לבחינת עמדת גורמי הביטחון ואכיפת החוק וגורמי מדינה נוספים בדבר נחיצות המאגר הביומטרי. התוצר של עבודה זו הנו מסמך מסווג הכולל המלצה חד משמעית חיובית בדבר צידודם של גורמי הביטחון בקיומו ובנחיצותו של המאגר הביומטרי במסגרת פרויקט התיעוד .הלאומי החכם המסקנה החד משמעית העולה מתוך עבודות המחקר והבדיקות המקיפות אשר בוצעו בתקופת המבחן ואשר סיכומן מופיע בדוח זה , הנה כי תקופת המבחן וחובותיה בוצעו במלואן ו בהצלחה רבה תוך יישום מלא של כל דרישות החוק. ההצלחה באה לידי ביטוי הן בהיענות הציבור להצטרפות לפרויקט, המעידה על רמת האמון הגבוהה בפרויקט, ו הן ביכולות המקצועיות של מערכות הרשות ועובדיה באיתור אירועי אמת ובהצלחה בבדיקות .היזומות תוצאות מבחני הנחיצות והחלופות מובילים בצורה חד משמעית ל מסקנה בדבר הצורך ב יישום מאגר ביומטרי הכולל תמונות פנים וטביעות אצבע , אשר יאפשר מניעת התחזות וגניבת זהות ויספק עוד י לת החכם את רמת .המהימנות הנדרשת האפשרות המומלצת במסגרת תום תקופת המבחן הנה החלה של החוק על כלל התושבים במהלך הדרגתי של מספר שנים כפי שיקבע שר הפנים בצו . ה חלה זו של החוק תאפשר למדינת ישראל להתמודד עם התופעות ההרסניות של השימוש עוד י בת מזויף ובגניבת זהות, תאפשר למדינה למלא את חובתה כלפי אזרחיה בשמירה על זהותם ובהגנה על פרטיותם וכן תאפשר למדינה להצטרף למועדון המדינות המתק דמות אשר מציעות ומיישמות שירותי ממשל זמין ויישומים נוספים אשר מבוססים על מהימנות התיעוד וזהות האזרח. מדינת ישראל משרד הפנים הרשות לניהול המאגר הביומטרי בלמ"ס עמוד111 מתוך111 02 . נספחים: 1 . תורת ההפעלה ל תיעוד לאומי ולמאגר ביומטרי במדינת ישראל– סיכום עבודת המטה שהובלה על ידי מטה לוט"ר במל"ל שבמשרד ראש הממשלה– מאי3118 . 2 . פרוטוקול תקופת המבחן – מסמך מפורט אשר אושר ונחתם על ידי ראשי הרשויות ביוני3102 ומהווה .תכנית עבודה לתקופת המבחן 3 . נחיצות המאגר הביומטרי פרקI – תופעת ה הרכשות ה כפולות וגניבת הזהויות– אוגוסט3104 . 4 . נחיצות המאגר הביומטרי פרקII – מאגרים ביומטריים ומגמות עולמיות בתחום הביומטריה– דצמבר 3104 . 5 . ה תיעוד החכם והמאגר הביומטרי ככלי למניעת פשיעה וטרור– עבודת מחקר אקדמית שבוצעה על ידי המכון למדיניות נגד טרור במרכז ה בינתחומי – ינואר3102 . 6 . נחיצות המאגר הביומטרי פרקIII – תאור מפורט לתהליכי ותוצאות בחינת החלופות ברשות– מרץ 3102 . 7 . סיכום עבודת מטה לוט"ר לבחינת נחיצות המאגר הביומטרי בתאום עם גורמי הביטחון וגופי מדינה נוספים– דצמבר3104 . 8 . דו "חות בחינת ביצועי המערכות הביומטריות ברשות - המכון למחקרים צבאיים ב רפא "ל – במהלך השנים3104 – 3102 . 9 . דו"חות חצי שנתיים אשר פורסמו על ידי הרשות ואשר מסכמים ארבע תקופות בנות חצי שנה במהלך ,תקופת המבחן. הדוחות הועברו כנדרש בחוק לשר הפנים, ראש הממשלה, שר המשפטים, שר האוצר .השר לביטחון פנים ולוועדות הכנסת הרלוונטיות 11 . מסמך התייחסות הרשות לטענות המתנגדים שהובאו במסמך ניתוח הדוח המסכם מטעמם, אוגוסט 3102 . 11 . הקוד האתי של הרשות לניהול המאגר הביומטרי מאת פרופסור אסא כשר- פברואר3102 . 12 . הוועדה המייעצת המפקחת על התנהלות תקופת המבחן ובחינת תוצאותיה- דו"ח מסכם והמלצות לקראת תום "תקופת המבחן" – מאי3102 . 13 . מסמך התייחסות הממונה על היישומים הביומטריים במשרד ראש הממשלה לדו"ח מבקר המדינה בנושא "תיעוד לאומי ביומטרי- תקופת מבחן" לקראת דיון הוועדה לביקורת המדינה בדו"ח– יוני3102 14 . מסמך התייחסות הרשות הביומטרית לדוח הועדה המייעצת, אוגוסט3102 . 02 . למידע נ וסף ונתונים - אתר האינטרנט של הרשות הביומטרית :בכתובת http://biodb.gov.il/Pages/default.aspx