ליקויים בתקופת המבחן של המאגר הביומטרי גורמים לכך שבסופה של תקופה זו - המסתיימת בשבוע הבא (30.6.15) - לא ניתן להגיע להחלטה מושכלת בנוגע להפעלתו של המאגר. כך עולה (יום ג', 23.6.15) מדוח בנושא שמפרסם
מבקר המדינה,
יוסף שפירא.
תקציב הפרויקט להנפקת התעודות החכמות (שבמסגרתו יונפקו בשלב הראשון 5 מיליון תעודות זהות ו-5 מיליון דרכונים) הוא 760 מיליון שקל. מסגרת התקציב להקמת המאגר ולהפעלתו היא 46 מיליון שקל לחמש שנים. לתקופת המבחן חשיבות רבה ביותר, מדגיש שפירא, שכן בהתבסס עליה עתידות להתקבל החלטות בעלות משמעות ציבורית נרחבת, ובכללן כאלו הנוגעות הן לזכות לפרטיות והן למשמעות שתהיה לדליפת המאגר: האם יש צורך בקיום מאגר או ניתן להסתפק בחלופה אחרת; ומה היקף המידע הביומטרי שצריך להישמר במאגר.
תקופת המבחן בת השנתיים החלה ביוני 2013, ומשרד מבקר המדינה בדק את השנה הראשונה לביצועה תוך עידכון הפעולות שנעשו עד ינואר השנה. במהלך תקופה זו הונפקו תעודות זהות חכמות ל-430,000 איש. שפירא מצא, כי שמונת החודשים הראשונים של תקופת המבחן נוהלו ללא תוכנית כוללת, וכי רק בעקבות ממצאי הביקורת הודיע שר הפנים דאז,
גלעד ארדן, כי סמנכ"ל משרדו יהיה הגורם המרכז של הפרויקט.
לא הוכח שיש צורך
עוד נמצא, כי לא גובשה תשתית שתאפשר לבחון האם אכן קיים צורך במאגר הביומטרי לשם מניעת שימוש בזהויות כפולות, מהו היקפה של תופעה זו ומהו הנזק הנגרם ממנה. מערכת הליבה של הרשות לניהול המרכז הביומטרי היא מערכת השוואת נתונים - אך ההליכים לרכישתה התעכבו זמן רב. עקב כך, מנוהל המבחן על-ידי מערכת זמנית ולא על-ידי המערכת האמורה להיות מיושמת בפועל.
חמור מכך: תקופת המבחן החלה תוך שימוש בסורק טביעות אצבעות, שהן רשות האוכלוסין והן הרשות הביומטרית סברו שאינו מתאים לפרויקט. אולם החלפת הסורק החלה רק ביולי שעבר - שנתיים לאחר שהתעוררו הספקות לגביו, ולאחר שכבר נטלו באמצעותו טביעות אצבעות של 430,000 אזרחים. בסופו של יום, הכוונה היא לבחון מחדש את המערכת באמצעות הסורק החדש ולא להשתמש בנתונים שנאגרו בסורק הישן.
לא ממש בודקים חלופות
אחת המטרות המרכזיות של תקופת המבחן הייתה לבדוק חלופות למאגר הביומטרי, אך גם זאת נעשה בצורה חלקית בלבד - קובע המבקר. חלופה אחת היא תשאול: יצירת מאגר שאלות, שהתשובות הנכונות עליהן מצד מבקש התעודה יוכיחו שהוא אינו מתחזה. אולם נכון לספטמבר 2014 חלופה זו כלל לא גובשה.
תקופת המבחן החלה כאשר תהליך התשאול התבסס על המידע הרשום לגבי התושב במרשם האוכלוסין בלבד. רשימת השאלות כללה 40 שאלות, אשר חלקן לא היו רלוונטיות לכל התושבים. גם נכון לאוגוסט 2014, רשימת השאלות נותרה מצומצמת והכילה כ-50 שאלות. בניגוד להוראות, במקרים שבהם תושבים נכשלו בתשאול, הוצגו להם שאלות נוספות עד שהצליחו. כך נוצר החשש, שמתחזים יגלו מספר רב של שאלות ויוכלו להתגבר עליהן.
תקופת המבחן אמורה לבדוק גם מהו היקף המידע הביומטרי שצריך להישמר במאגר. במסגרת זו נבחנות החלופות האלה: זיהוי ואימות זהות על-פי השוואה של כל אחת מתמונות שתי טביעות אצבעות ותמונת פנים - כל אחת לחוד ובצירופים שונים יחד; זיהוי ואימות זהות על-פי השוואה של תבניות (הנתונים המופקים מהאמצעים הביומטריים הניטלים מהתושב) של שתי האצבעות ותמונת פנים; זיהוי ואימות זהות על-פי השוואה של תמונת טביעות שתי אצבעות ושל הפנים (המתכונת הנוכחית). אולם בדיקתן של חלופות אלו נתקלת בקשיים משמעותיים בשל הבעיות עם הסורק.
חלופה נוספת שיש לבדוק היא הצעתו של פרופ' עדי שמיר ממכון ויצמן ולפיה המידע הביומטרי יאוחסן במאגר בהקבצים, המנתקים את הקשר החד-חד ערכי בין נתוניו הביומטריים של אדם ובין זהותו. נתונים ביומטריים של אדם יקושרו לרשימה של כמה מאות זהויות ולא לזהות יחידה (שיטת ההקבצים). כך ניסיון לאתר זהות של אדם באמצעות נתוניו הביומטריים שבמאגר תניב תוצאה של כמה מאות זהויות אפשריות. אולם נכון לספטמבר 2014 לא החלה בדיקה זו.
מיליונים לספק התעודות
בדוח שפרסם בשנת 2011 ציין משרד מבקר המדינה, כי משרד הפנים חתם בדצמבר 2008 על הסכם עם ספק לייצור תעודות חכמות, לפני שהוסדרו בחקיקה ראשית שינויי החקיקה הדרושים. נוכח החלת החוק בהדרגה במסגרת תקופת המבחן, הועלה אז חשש שגם בתום חמש השנים לא יונפקו 5 מיליון רכיבי פרסונליזציה (הטמעת נתוניו האישיים של התושב בתעודה הגולמית), וכי השנה הנוספת, המספקת "רשת ביטחון" של 500,000 רכיבי פרסונליזציה, לא תכסה על הפער שייווצר. כך יקבל הספק תשלום גם עבור רכיבי פרסונליזציה שלא יסופקו.
חששות אלו התממשו. בסוף 2012 הסתיים ייצורן של 5 מיליון תעודות זהות גולמיות, תמורתן שילם משרד הפנים 190 מיליון שקל. על-פי הערכות רשות האוכלוסין, עד יולי 2015, מועד סיום תקופת ההתקשרות עם הספק (ללא מימוש האופציה להארכת ההתקשרות בשנה נוספת), יבוצעו פרסונליזציות לכמיליון תעודות בלבד. בהתאם לתנאי ההסכם, יהיה על המדינה לשלם לספק 60 מיליון שקל עבור 4 מיליון הפרסונליזציות הנוספות, וזאת ללא קבלת תמורה.
בעקבות זאת, סיכמו המדינה והספק, כי הסכום שישולם ללא קבלת תמורה יופחת ויעמוד על 15 מיליון שקל; הסכם ההתקשרות עם הספק יוארך עד לשנת 2025; המדינה תתחייב לרכוש 2 מיליון תעודות גולמיות נוספות על חמשת המיליונים שנרכשו.
לבדוק שוב את האבטחה
שפירא קובע, כי לפני שתתקבל החלטה בדבר הצורך בקיומו של מאגר ביומטרי, על משרד הפנים להביא לפני מקבלי ההחלטות מידע על-אודות תופעות גניבת הזהות וההתחזות והנזק הנגרם מהן. אין להסתפק בנתונים על הקלות שבה ניתן לזייף את התעודות הישנות - נתונים המצדיקים את המעבר לשימוש בתעודות חכמות, אך לא בהכרח את הצורך במאגר - אלא יש לנסות ולהעריך מה תהיה היכולת לקבל תעודות כפולות ומה יהיה הנזק בגינה לאחר המעבר לשימוש בתעודות חכמות.
עוד מציין שפירא, כי כאמור הן במאגר והן על גבי התעודות החכמות מצויות מאות אלפי טביעות אצבע שנסרקו בסורק שהוחלט להחליפו. על שתי הרשויות לבחון ביסודיות את ההשפעות הצפויות של קיומן של טביעות אצבע אלה ושל החלפת הסורק ולפעול בהתאם. כמו-כן, יש לוודא שבחינת החלופות תיעשה באופן מלא וברמת סמך מספקת.
עוד קובע שפירא: "נוכח ההשלכות העלולות להיות לדליפת מידע בעת הנפקת תעודות חכמות ושמירת המידע במאגר, בטרם תתקבל החלטה בסיום תקופת המבחן, על שתי הרשויות לשוב ולוודא כי כל מערכי הטכנולוגיה, התפעול והמערך הביומטרי ליישום החוק עומדים בתקנים וברמת האבטחה של הרשות הממלכתית לאבטחת מידע במשרד ראש הממשלה ושל נוהלי רשות האוכלוסין והרשות לניהול המאגר הביומטרי. ראוי ששר הפנים ישוב ויפנה לרשות הממלכתית לאבטחת מידע במשרד ראש הממשלה על-מנת לקבל את עמדתה בנושא אבטחת המידע בפרויקט על כל היבטיו".