התומכים משוכנעים שהוא יסייע למנוע גניבת זהות וישפר את חיינו. המתנגדים מזהירים מפני דליפת מידע ואבטחה לא מספקת של הנתונים. אבל מה זה בעצם מאגר ביומטרי ואיזה מידע יהיה שמור בו?

התקנות שאושרו אתמול המחייבות את כל אזרחי ישראל להצטרף למאגר ביומטרי ולהצטייד בתעודות זהות חכמות, עדיין מעוררות סערה ציבורית, והמתנגדים מבטיחים להמשיך את המאבק נגדן באפיקים משפטיים. המאבק בעד ונגד המאגר הביומטרי נגוע גם בהיבטים פוליטיים רבים, אבל כאן ננסה לסביר על מה בדיוק המחלוקת, ומה היתרונות והסיכונים במאגר הביומטרי מבחינה מדעית ואת הפוליטיקה נשאיר בחוץ.

חוק המאגר הביומטרי, או בשמו המלא "חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע", הוגש לראשונה ב-2008, ביוזמת שר הפנים דאז, מאיר שטרית. הצעת החוק כללה הנפקת תעודות זהות חכמות, המכילות שבב שעליו מקודדים פרטים ביומטריים של נושא התעודה. כרגע מדובר בתמונות פנים ושתי טביעות אצבע. המידע לא יישמר רק על התעודה אלא גם במאגר ממשלתי מאובטח. לפי ההחלטה שאושרה, אזרחים יוכלו לבחור שלא לצרף טביעות אצבע למאגר, אלא רק תמונת פנים, אבל אז יקבלו תעודות לחמש שנים, במקום לעשר.

בין הנימוקים בעד החוק בולטת הסכנה של  גניבת הזהות הקיימת בתעודות הקיימות. לפי דבריו של ד"ר מיכאל בירנהק, דווקא מהמתנגדים להצעה: "השוו את תעודת הזהות שלכם לשטר של עשרים שקל. קשה יותר לזייף את השטר מאשר את התעודה". זה נכון, אבל תעודה חכמה לא מחייבת שמירת הנתונים במאגר כללי. נימוקים אחרים בעד המאגר כוללים סיוע בהליכים משטרתיים (באמצעות מאגר טביעות האצבע שהוא תוצר לוואי של המאגר הביומטרי), ואפשרות עתידית לביצוע הליכים רבים בצורה אוטומטית, באמצעות קורא כרטיסים ביתי, במקום המתנה בתורים ארוכים הנדרשת כיום. אז למה לא?

ובכן, נראה שרבים חושבים שיש יותר סיבות להתנגד לחוק מאשר לתמוך בו. בין המתנגדים תנועת מחאה בשם "no2bio", הכוללת בין השאר חברי כנסת, מדענים ואנשי אקדמיה. הטענות נגד המאמר מתחלקות לשני סוגים עיקריים. הראשון הוא חשש שהמידע ידלוף, כפי שקרה במאגרים רבים בעולם, כולל רישום האוכלוסין בישראל שדלף לרשת לפני כמה שנים. הסוג של הטענות נוגע לפגיעה האפשרית בחופש הפרט ובזכויותיו של אזרח במדינה דמוקרטית. כאמור בכתבה זאת אנו מתמקדים בפן המדעי, לכן לא נדון כאן בטענות מסוג זה.

מגבבים נתונים

בשלוש הזדמנויות שונות שלחו מדענים וחוקרים מאוניברסיטאות בארץ מכתבים לכנסת,  המתריעים מפני הסכנות הטמונות במאגר, בהן דליפת המידע ושימוש לרעה בנתונים. עם זאת, אפילו במכתב השלישי שעליו חתומים חוקרים מתחום מדעי המחשב ואבטחת המידע, יוני 2015, אין מידע אקדמי וגם הוא עוסק בזכויות האזרח ש לא נדון בהן כאן. חותמי המכתבים אינם מביעים התנגדות לשימוש בתעודת זהות חכמה אלא לאחסון פרטיהם הביומטריים של אזרחי ישראל במאגר.

אחד המתנגדים למאגר הביומטרי הוא פרופ' עדי שמיר מומחה להצפנה מידע ממכון ויצמן למדע, חתן פרס טיורינג למדעי המחשב ופרס ישראל. בדיון ציבורי בשנת 2009 הציע שמיר להשתמש בפונקציית גיבוב (hash function)  כדי לעמעם את כוח המאגר בלי לפגוע בפונקציונאליות שלו.

בשונה מפונקציות חד-חד ערכיות, שמציבים בהן מספר ומקבלים ערך אחר, ייחודי בעבור המספר שהצבנו, פונקציית הגיבוב ממיינת קבוצה גדולה של מספרים לקבוצות בעלות גודל מוגדר.

אם הפונקציה – כלומר מפתח החלוקה – נשמרת בסוד, אפשר לקחת את כל טביעות האצבע במאגר ובמקום להצמיד שם של אדם לכל דגימה, באופן חד-חד ערכי, לשייך כל דגימה לקבוצה הכוללת 100 אנשים. במקרה של גניבת מידע, אם המאגר הוא חד-חד ערכי לפורצים יש גישה לכל המידע. אם המאגר ממויין לפי פונקציית הגיבוב, הפורצים אינם יכולים לדעת למי שייכת איזו טביעת אצבע, כי המידע הזה לא היה קיים שם מלכתחילה.

לדוגמה, אם הם רוצים להפליל אדם מסוים, שימוש בטביעת האצבע שלו יוכל להביא לקבוצה של 100 אנשים ולא אליו באופן ישיר. בנוסף, כפי שמסביר שמיר, שימוש בכמה טביעות מאותה קבוצה של 100 אנשים יצביע בוודאות גדולה על דליפה של המאגר מפני שאחרת הסיכוי שכל הטביעות הגיעו מאותה קבוצה הוא אפסי. עם זאת, גניבת זהות עדיין בלתי אפשרית מבחינה הסתברותית מפני שניתן יהיה לדעת שטביעת אצבע כלשהיא כבר נמצאת במערכת. מה שלא ניתן יהיה לעשות הוא לדעת למי שייכת איזו טביעה. עוד יתרון הוא שגם במקרה חירום שבו יכול לעלות צורך  "לכופף את הכללים" לא תהיה אפשרות טכנית לעשות זאת.

זיהוי פנים

מערכת זיהוי פנים  היא תוכנה שיכולה לקחת תמונה חדשה של אדם, ולפי מאגר של תמונות לזהות למי מהמאגר שייכת התמונה החדשה. אפשר להבין זאת טוב יותר כאשר נזכרים במערכת זיהוי הפנים של פייסבוק, אשר מתייגת אוטומטית פרצופים בתמונות. זיהוי פרצופים מתחלק לקטגוריות רבות, אך המטרה של כולם זהה, לזהות מי עומד מולנו לפי מאגר הפרצופים.

השיטה המסורתית מתייחסת לפרטים מזהים בפניו של אדם. למשל גודל הלסת, המרחק בין העיניים וגודל האף. שיטה מתקדמת יותר היא זיהוי תלת ממדי. בעזרת חיישנים תלת ממדיים, ניתן לזהות מאפיינים יחודיים אשר נעלמים מהעין בתמונה רגילה, כמו קווי המתאר של האף, הסנטר והעיניים, המשתנים עם שינוי ההבעה.  חוקרים מהטכניון הדגימו שימוש בתחום הגיאומטריה המטרית כדי לאפשר למערכת לזהות פנים של אדם מסוים, גם כשהבעתו מתחלפת. סוג נוסף של אמצעי לזיהוי פנים הוא הדפוסים שעל עור הפנים. חוקרים אחרים השתמשו בנקודות וקמטים יחודיים על עור הפנים כדי לקבל נתונים מתמטיים שיעזרו לשפר את ביצועי האלגוריתם לזיהוי פנים .

שיטה נוספת ומעניינת לזיהוי פנים היא השילוב של צילום תרמי (באורך גל תת-אדום) עם צילום רגיל. החוקרים הראו שכאשר מצלמים בתוך מבנה סגור, ההבדל לא משמעותי. 97 אחוזי דיוק (זיהוי מוצלח) לתמונה רגילה, לעומת 94 אחוז לתמונה תרמית ו-98 אחוז לשילוב של השניים. אך בצילום-חוץ הראו החוקרים את ההבדל המשמעותי. תמונה רגילה הניבה 67 אחוזי דיוק, צילום תרמי הניב 83 אחוז ושילוב של השניים הגיע ל-89 אחוזי דיוק. המחקר נעשה בתנאי מזג אוויר שונים.

מערכות לזיהוי פנים מבוססות על מדידת גדלים ומרחקים של מאפייניים שונים, או על מדדים מורכבים יותר | צילום: Shutterstock
מערכות לזיהוי פנים מבוססות על מדידת גדלים ומרחקים של מאפייניים שונים, או על מדדים מורכבים יותר | צילום: Shutterstock

זיהוי טביעת אצבע

קיימים כמה סוגי חיישנים המשמשים ליצירת תמונה של טביעת האצבע לצורכי זיהוי. חיישן אופטי, הוא מצלמה אלקטרונית קטנה שפשוט מצלמת את האצבע המוצמדת אליה. חיישן על קולי משתמש בגלי קול בתדירות גבוהה (אולטסאונד) אשר מסוגלים לחדור דרך השכבה העליונה של העור, אפידרמיס, ולצלם את השכבה שמתחתיה, הדרמיס, המציגה את אותם דפוסים. שיטה זאת נועדה בין השאר להתמודד עם שכבת אפידרמיס פגומה או מלוכלכת. שיטה נוספת עושה שימוש בקיבול חשמלי, ומתבססת על העובדה ששכבת הדרמיס מוליכה חשמל בעוד שכבת האפידרמיס מבודדת. בשיטה זאת נעשה שימוש בקורא טביעות האצבע של מכשירי אייפון.

אלגוריתמים לזיהוי טביעות אצבע מתבססים לרוב על שני שלבים. השלב הראשון הוא עיבוד ראשוני של התמונה כדי להפוך אותה קלה לזיהוי. העיבוד כולל שיפור בקונטרסט והחדות של הטביעה, ומירכוזה בפריים, כך שמרכז הטביעה יהיה במרכז התמונה. השלב השני הוא שלב הזיהוי שמתבסס על מאפיינים יחודיים של כל טביעת אצבע. אך גם אלגוריתמים אפשר לרמות. בשנת 2002 פרסם קריפטוגרף יפני הדגמה כיצד באמצעות כלים ביתיים (ברובם) ודובוני גומי, הוא הצליח לרמות מערכת לזיהוי טביעות אצבע בארבעה מתוך חמישה נסיונות.

הרשויות לא שיתפו עם הציבור פרטים טכניים על אלגוריתם הצפנת המידע או אלגוריתם זיהוי פנים של המאגר הביומטרי. אם מסתמכים על סרטון התדמית של רשות האוכלוסין, אפשר להניח שמדובר באלגוריתמים מתקדמים. בנוסף על כל שנאמר כאן, נראה שהמחלוקת העיקרית אינה על נושאים טכניים הקשורים במאגר, אלא על עניינים עקרוניים של  זכויות האזרח לפרטיות.

לסיום, שני שירי ראפ שגם אם לא יסייעו לגבש דעה על המאגר הביומטרי, אולי לפחות ישעשעו אתכם:

שיר ראפ שפירסמה רשות האוכלוסין, המסביר את יתרונות המאגר וחשיבותו: 

והתשובה של מתנגדי המאגר הביומטרי, בראפ מחאה משלהם:

 

5 תגובות

  • ריקרדו

    טיעונים נגד המאגר מתרכזים בתפל ומפספסים את העיקר.

    שלום,
    נדיר למצוא מדינה בה האזרח הצליח לכופף את ידי הממשל ולגרום לביטול חוק, אין לשכוח שבמדינה דמוקרטית הממשל מורכב מנציגים שנבחרו ע"י העם ועל כן אלו אמורים לפעול לטובת האינטרס של רוב אזרחי המדינה, גם חוק המאגר הביומטרי נכתב בכוונה להגן על האזרח מפני פגיעה בו והוא הגיוני ומתאים למציאות הדיגיטלית של המאה ה-21, כל טיעוני הנגד מתרכזים ביכולת הממשל להגן על מאגר הנתונים הרגיש ולדעתי הפתרון היעיל אשר יקרב את שני הצדדים הוא שהממשל יסכים לקלוט קבוצת מומחים המתנגדים לחוק ואלו יגבשו יחד עם המומחים מטעם הממשל המצדדים בחוק את הדרך בה חוק זה צריך להיות מיושם, הן מבחינה טכנית והן מבחינה אתיקה.
    אך כפי שכתבתי בכותרת, מתנגדי המאגר מפספסים את העיקר והעיקר הוא:
    נניח לרגע שהמאגר מוגן בהתאם לדרישות של המתנגדים כך שבאמת לא ניתן לפריצה והמידע שבו לא משמש למטרות אפלות, הבעיה היא שלאזרח אין שום דרך להגן על המידע שמסר למדינה אך נמצא ברשותו. נניח שמסרתי את טביעת האצבע שלי והמדינה שומרת על מידע זה בקנאות, לכאורה הכול "בסדר" אך אני לא מסתובב עם כפפות בידיים וגורמים פליליים החפצים בטביעת אצבע של אדם ללא עבר פלילי יכולים לעקוב אחרי ולגנוב את טביעת האצבע שלי מהכוס ששתיתי כשישבתי במסעדה או מהדלת של המכונית שלי או מדלת הבית או מהמקלדת במחשבי ולהשתמש בטביעה זו ליצירת ת.ז. ביו "תקנית".
    כל דבר ניתן או לזיוף או לגניבה וזו הסיבה שמעת לעת המדינה מחליפה את השטרות והמטבעות אך האזרח לא ישנה את טביעת אצבעותיו או את מבנה הפנים (ניתוח פלסטי) אך גורמים אפלים המעוניינים בזהות ללא עבר חשוד כן ישקיעו בכך.
    על כן בעצם על ידי חקיקת חוק זה המדינה מעמידה אותי בסכנה כמטרה עבור אותם גורמים אפלים המעוניינים להתחזות לאדם נורמטיבי שזה אני, ולי אין אמצעים להגן על המידע הכול כך רגיש, הרי אם בעתיד המאגר יכלול נתוני די.אנ. איי. יהיה קל מאוד לגנוב אותו מהשיער שנשר במספרה או משוחד שניתן לעובד בקופ"ח תמורת דגימת דם, שתן או רוק. והכי חמור הוא שבמידה ומידע זה יושתל בזירת פשע אני כאזרח תמים לא אוכל להתגונן משפטית כי לכאורה מידה ביומטרי לא ניתן לזיוף... אך ניתן לגנוב אותו ממני ולאו דווקא מהמאגר הממשלתי.
    תודה.

  • דניאל

    ריקרדו שלום.

    ריקרדו שלום.
    תודה על תגובתך המפורטת.
    ככתוב בכתבה: "כאמור בכתבה זאת אנו מתמקדים בפן המדעי, לכן לא נדון כאן בטענות מסוג זה."
    הצגתי מספר טענות פופולריות בלי לאמר מה נכון או לא נכון, עיקר או תפל.
    מטרתה של הכתבה היא לקחת את הנושא החדשותי ולגעת באספקטים מדעיים הקשורים בו כמו זיהוי טביעות אצבע ופנים, או פונרציית הגיבוב.

  • ריקרדו

    תיקון שגיית כתיב, בפסקה

    תיקון שגיית כתיב, בפסקה האחרונה מידה ביומטרי=מידע ביומטרי.

  • קוראת

    טעות מבלבלת

    לפי ההחלטה שאושרה, אזרחים יוכלו שלא לבחור שלא לצרף טביעות אצבע למאגר, אלא רק תמונת פנים, אבל אז יקבלו תעודות לחמש שנים, במקום לעשר. - ״שלא״ אחד מיותר, לא?

  • מומחה מצוות מכון דוידסוןאיתי נבו

    תודה!

    תוקן. תודה על תשומת הלב