מדיניות לאומית אינטגרטיבית ליישומים ביומטריים
Transcription
מדיניות לאומית אינטגרטיבית ליישומים ביומטריים
משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- מדיניות לאומית ליישומים ביומטריים בישראל עמוד 1מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- תוכן עניינים פרק א' ב' ג' ד' ה' שם הפרק תקציר מנהלים מבוא ניתוח סיכונים עקרונות המדיניות ליישומים ביומטריים בישראל "גבולות הגזרה" "קווים מנחים" לניהול יישומים ביומטריים עמוד 3 8 16 21 31 41 נספחים נספח א' ב' ג' שם הנספח סיווג יישומים ביומטריים על פי תבחינים "קווים מנחים" ליישומים ביומטריים (כלי עזר לביצוע) מודל תפיסתי כללי למערכת ביומטרית כללית סה"כ עמודים86 : סימוכין המסמך (פנימי) ביומטריה 120-מהדורה ,2.5מתאריך 1.1.15 סיווג בלמ"ס סטטוס המהדורה מסמך לצורך היוועצות עמוד 2מתוך 86 עמוד 56 63 73 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- תקציר מנהלים .1 הסמכות להכנת המדיניות: 1.1הממונה על היישומים הביומטריים (להלן – הממונה) ,שואב את סמכויותיו משני מקורות :החוק להכללת אמצעי זיהוי ביומטריים ונתונים ביומטריים במסמכי זיהוי ובמאגר מידע ,התש"ע – (להלן – החוק) ,והחלטת ממשלה 4510מה 1 -באפריל 2012 (להלן – החלטה .)4510 1.2החלטה 4510הורתה על גיבוש המדיניות ,ובין היתר קבעה: ..." 1.2.1יועץ ראש הממשלה בנושא קביעת המדיניות בתחום הביומטריה"... ..." 1.2.2יגבש הממונה המלצה לראש הממשלה בדבר מדיניות לאומית אינטגרטיבית 1.2.3 ליישומים ביומטריים"... " ...ימליץ לראש הממשלה על מדיניות כוללת במשרדי הממשלה ,בתאגידים ממשלתיים ובגופים פרטיים ,בתחום היישומים הביומטריים ומאגרים ביומטריים ,לרבות לעניין :יעדים ,מדדים ,תקנים ,נהלים והנחיות באשר לגישה ,פיתוח ,הקמה ,תפעול ,תחזוקה ,בקרה ,הרחבה או צמצום של היישומים והמאגרים הביומטריים"... 1.3מסמך זה הינו מסמך המדיניות הלאומית ליישומים ביומטריים בהתאם להחלטה ,4510 וגובש לאחר קיום הליך היוועצות עם מטה התקשוב הממשלתי ,המטה הקיברנטי הלאומי במשרד ראש הממשלה ,החטיבה לסיכול איומי סייבר במשרד ראש הממשלה, הרשות למשפט ,טכנולוגיה ומידע (רמו"ט) במשרד המשפטים ,משרד המשפטים ועם הציבור הרחב. .2 הצורך בקביעת מדיניות: הצורך בקביעת מדיניות ממשלתית ליישומים ביומטריים ,נובע משלוש סיבות מרכזיות: 2.1מדובר בטכנולוגיה אשר יש בה כדי להביא להתייעלות ,לרווחים ,לשיפור תהליכים, להרחבה והנגשה של שירותים רבים במגזר הממשלתי – ציבורי ובמגזר הפרטי ,שיינתנו לתושבים בצורה יעילה יותר באופן משמעותי .נדרש לוודא כי פוטנציאל זה אכן יבוא לידי ביטוי – בצורה נכונה ומאוזנת; 2.2הסיכון הפוטנציאלי הקיים בגניבת זהויות ובשיבוש מאגרי מידע ,העלולים להוביל לנזק; 2.3הצורך לוודא הגנה על הפרטיות בכלל ובאשר להקמת מאגרי מידע ביומטריים בפרט. .3 "אוכלוסיות היעד" למסמך המדיניות: מסמך מדיניות זה נועד למספר "אוכלוסיות יעד" ,כמפורט להלן: 3.1ממשלת ישראל ,המאשרת את המדיניות. 3.2הדרג הניהולי במשרדי הממשלה ובגופים רלבנטיים אחרים ,האמורים ליישם את המדיניות הלכה למעשה. 3.3יחידת הממונה על היישומים הביומטריים ,כמסמך מנחה לפעילותה של היחידה. 3.4הציבור הרחב ,כמסמך המשקף את השיקולים שמנחים את מדיניות ממשלת ישראל בהקשר ליישומים ביומטריים. עמוד 3מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .4 "העידן הביומטרי": 4.1נכון למועד חיבור מסמך זה ,אנחנו נמצאים על סיפו של "העידן הביומטרי" .האתגר הוא – כניסה מתוכננת לעידן הביומטרי. 4.2כיום נעשה שימוש במנעד רחב מאוד ,הולך וגדל ,של יישומים ביומטריים ,במגזר הממשלתי ובמגזר הפרטי ,הן בארץ והן בעולם .דוגמה מובהקת לכך בישראל הינו פרויקט התיעוד הלאומי החדש של רשות האוכלוסין וההגירה. 4.3התחזית היא כי עד לשנת 2020מרבית היישומים הממוחשבים יאפשרו שילוב של טכנולוגיה ביומטרית כחלק בלתי נפרד מהיישום ,וכי יישומים ביומטריים יהוו נדבך עיקרי ומוביל לבקרת הגישה למשאבים ומערכות במאה ה .21-השאלה איננה האם יישומים ביומטריים יתפתחו -אלא מהי הדרך הנכונה והמושכלת ליצירת סביבה שעושה שימוש ביישומים ביומטריים. 4.4עיקרון יסוד במסמך מדיניות זה הינו איזון בין התועלות הצומחות משימוש ביישומים ביומטריים ובין החובה להגן על הפרטיות ,המידע והביטחון. .5 שאלות היסוד בבסיס המדיניות ומענה עליהן: 5.1שלוש שאלות היסוד העומדות בבסיס המדיניות ליישומים ביומטריים של ממשלת ישראל ,הינן: 5.1.1האם יש צורך בהתערבותה של המדינה? 5.1.2באיזו מידה ובאיזה אופן על הממשלה להתערב בשוק ,על מגזריו השונים ,על מנת להנחות ולכוון את אופן מימושם של יישומים ביומטריים? 5.1.3כיצד נכון לאפשר הקמה ושימוש ביישומים ביומטריים ,באופן אשר יביא למירב התועלות תוך הגנה מיטבית על הפרטיות ,המידע והביטחון? 5.2שלוש התשובות המרכזיות הניתנות במסגרת מסמך מדיניות זה ,הינן: 5.2.1מענה לשאלה הראשונה :יישומים ביומטריים הם אמצעי עזר אפקטיבי ביותר בתחום ההזדהות הבטוחה .היישומים הביומטריים תורמים ליצירת שכבת הזדהות אמינה יותר -מעבר לזיהוי על ידי כרטיס ("משהו שיש לך") ו/או סיסמה ("משהו שאתה יודע") .יישומים ביומטריים מפשטים ,מייעלים ומרחיבים את השירותים הניתנים ע"י המדינה וע"י המגזר הפרטי .הם מהווים אמצעי הגנה טוב יותר על הפרטיות ועל המידע ,הם אמצעי שמקל על "ביצוע עסקים" ויש בהם כדי לסייע בהנגשת שירותים ליישובים מרוחקים (פריפריה). יתרונותיהם ברורים וייעשה בהם שימוש. 5.2.2אולם ,בצד היתרונות הרבים טמון גם פוטנציאל נזק .שימוש לא מאוזן אשר אינו מבטיח הגנה על הפרטיות ,המידע והביטחון ,עלול לאיין את התועלות, הותרת תחום היישומים הביומטריים ללא הסדרה כוללת עלולה להביא לשימוש בלתי מבוקר בטכנולוגיה לצורך מעקב ,התחזות וגניבת זהות ,ובכך עשויה להיגרם פגיעה בפרטיות ,ואף נזק כלכלי או נזק אחר. 5.2.3מדובר בטכנולוגיה חדשנית המתפתחת בקצב מהיר מאוד ,השפעתה גדולה והיא מצריכה התייחסות מיוחדת .יש להיערך כבר בשלב זה ליצירת תשתית הסדרה מאוזנת המאפשרת את מימוש התועלות הגלומות בביומטריה מחד ,וצמצום הסיכונים הטמונים בה מאידך. 5.2.4ניתן לראות בעולם מספר מדינות שהחלו לפעול לבחינת הסדרתו של התחום וביניהן בריטניה וארה"ב. 5.2.5מטעמים אלו – המענה לשאלה הראשונה הינו חיובי :על המדינה להבטיח את הסדרתו המאוזנת של התחום. עמוד 4מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 5.2.6 5.2.7 5.2.8 .6 מענה לשאלה השניה :על מנת לקבוע את מידת המעורבות הממשלתית במגזרים השונים ביחס לניהול היישומים הביומטריים בישראל ,נבנה מודל של "גבולות גזרה" הכולל שורה של תבחינים המסייעים לקבוע ,בין היתר ,באילו מקרים יש מקום למעורבות .מודל זה מצביע על המגזרים ,סוג המשתמשים והיקפם וסוג המידע בעניינם נדרשת הסדרה במסלולים שונים בהתאם למאפיינים של היישום. על פי מסמך מדיניות זה ,הממונה על היישומים הביומטריים ילווה הקמה של יישומים ביומטריים ממשלתיים חדשים ,על פי מודל "מחזור החיים" של מערכות ממוחשבות .אכיפה ופיקוח בתחום היישומים הביומטריים יבוצעו בעיקר על ידי רגולטורים קיימים ,ובפרט רמו"ט ,במסגרת הסמכויות הנתונות להם על פי דין ותוך היוועצות עם הממונה על היישומים הביומטריים ,היכן שנדרש על מנת להבטיח את התנהלותו המאוזנת של תחום היישומים הביומטריים. במענה לשאלה השלישית :מימוש נכון של יישומים ביומטריים יתבסס על "קווים מנחים" ( )guidelinesאשר יפרטו כללי "עשה" ו"אל תעשה" ,בהתבסס על הניסיון הרב שנצבר ,בעולם ובישראל" .קווים מנחים" אלו הינם במתכונת כללית (גנרית) שיותאמו לארגון וליישום הספציפי באמצעות בדיקה מול "תבחינים" (קריטריונים) .כמו כן ,יוכנו הנחיות ייעודיות ליישומים מסויימים (כפי שבוצע עבור מערכות לניהול נוכחות עובדים משולבות ביומטריה) ,וניתן יהיה להכין הנחיות לשימוש במגזר מסויים או בטכנולוגיה ביומטרית מסויימת קול). פנים, אצבע, טביעות – (כגון המדיניות תהיה ,אם כן – לאפשר תשתית להקמת יישומים ביומטריים ,תוך ולנהלם. להקימם נכון בו לאופן באשר הנחיה בנוסף ובנפרד ,המעורבות הממשלתית תעודד מחקר ופיתוח ותעניק פרסים על הישגים וחדשנות .זאת על מנת לתת ביטוי לפוטנציאל המצוינות הקיים בקרב החוקרים והיוזמים בארץ. הסיכונים: גיבוש המדיניות נועד להתמודד עם הסיכונים הבאים: 6.1סיכון מס' :1שימוש לרעה במידע ביומטרי ,בפרט על ידי הצלבתו עם מידע נוסף, במטרה לזהות אדם בניגוד לרצונו ,ולהשתמש במידע זה בכדי לפגוע פגיעה פיזית, נפשית ,כלכלית או בפרטיות ,של אדם מסוים ,או של קבוצת אנשים ,עד כדי סיכון בטחוני ברמת מדינה ,או פגיעה בניהולה התקין. 6.2סיכון מס' :2היעדר התשתית החוקית המתאימה הנחוצה להקמת יישומים ביומטריים בצורה אחראית ,שהיו יכולים להביא לתועלת רבה לפרט ולחברה כולה. עמוד 5מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .7 יעדי המדיניות והחזון: 7.1יעדי המדיניות והחזון הם: 7.1.1יישומים ביומטריים יתנו מענה מושכל ,בטוח ומאוזן לצרכים של הפרטים, התאגידים והגופים השונים של המדינה ,באופן אשר יביא ליותר התייעלות, חסכון ,רווחים כלכליים ובטחון. 7.1.2בהקשר זה" ,שימוש מושכל ,בטוח ומאוזן" כולל הגנה על הפרטיות ,המידע והביטחון ואיזון בין התועלת לבין הסיכון. 7.2מטרות המשנה של המדיניות הינן כדלקמן: 7.2.1חיזוק תהליכי אימות והזדהות ,והגנה על זהויות אזרחי ותושבי מדינת ישראל. 7.2.2השגת שיפור משמעותי ברמת מתן השירותים הניתנים לציבור והנגשתם ,הן על ידי המגזר הממשלתי והן על ידי מגזרים אחרים ,מבחינת נוחות ,זמינות וביטחון. 7.2.3גיבוש הסדרה מתאימה ,להקמת יישומים ביומטריים בצורה אחראית ומאוזנת, שתאפשר הטמעת יישומים ביומטריים במקומות שבהם היו יכולים להביא לתועלת והתייעלות. 7.2.4ביטול כפילויות של מערכות ותשתיות ממשלתיות להזדהות ,ובפרט – צמצום מאגרי מידע ביומטריים ממשלתיים וציבוריים. 7.2.5הרחבת היישומים הביומטריים על בסיס תעודת הזהות החדשה. 7.2.6יצירת הסדרים מיוחדים עם הגופים המיוחדים. .8 עקרונות "גבולות הגזרה": 8.1הימנעות מהטלת עומס הסדרה ו"נטל בירוקרטי" על הציבור בכלל ועל גופים עסקיים בפרט .האכיפה והפיקוח על מימוש מדיניות זו ,יבוצעו ככלל על ידי הרגולטורים הקיימים ובפרט רשם מאגרי המידע ברמו"ט ,כדי להביא ליישום המדיניות במסגרת הסמכויות הקיימות להם ,לרבות סמכויות אכיפה ופיקוח ,בכפוף לדין ,ובתיאום עם הממונה על היישומים הביומטריים. 8.2רמת המעורבות במגזר הממשלתי תהיה גבוהה .לנוכח מידת ההשפעה האפשרית של פרויקטים ממשלתיים על הציבור ,יחידת הממונה תבצע ליווי של פרויקטים ממשלתיים חדשים הכוללים יישומים ביומטריים ,בהתאם לרמת הסיכון ותבחינים נוספים ,החל משלב הייזום ועד להפעלה מבצעית ,תוך היוועצות עם הרגולטורים הרלוונטיים לתחום בו פועל היישום ,בפרט רשם מאגרי המידע ברמו"ט. 8.3ליווי דומה לפרויקטים ביומטריים של תאגידים ממשלתיים יבוצע לאחר היוועצות עם התאגידים ועם הרגולטורים הרלוונטיים ובכפוף לדין. 8.4במגזר הממשלתי ובמגזר התאגידים הממשלתיים ,תבוצע בדיקה של כל פרויקט הכולל יישום ביומטרי ,בשלב הייזום ,ובהתאם לניתוח רמת הסיכון ותבחינים נוספים ,יוחלט על מינון מעורבות הממונה והיקף הליווי .המטרה תהיה לתת כלים בידי כל מנהל משרד או גוף ממשלתי אחר ,להעריך בעצמו את מידת המעורבות הנדרשת ,בהתאם למודל "גבולות הגזרה" ,כאשר הממונה יתערב רק במידת ההכרח. 8.5רמת המעורבות במגזר הפרטי תהיה בדרך כלל נמוכה ,כאשר ייתכנו מקרים אשר בהם יהיה מקום להעמקת המעורבות ,עקב רגישות מיוחדת להגנת הפרטיות ,לביטחון ולאבטחת המידע. עמוד 6מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 8.6 .9 הימנעות מהתערבות-יתר בפעילות גופים שהינם בעלי סמכויות ואחריות על היישומים. אחריות הניהול הברורה תישאר אצל גופים אלו .המעורבות תהיה במינון המזערי המתחייב על מנת להבטיח שהיישומים ימומשו באופן מושכל ,בטוח ומאוזן. "הקווים המנחים": " 9.1הקווים המנחים" מהווים כלי עבור גופים המנהלים כיום ,או מתכננים לנהל בעתיד, יישומים ביומטריים ,ומציג בפניהם מספר עקרונות יסוד שלפיהם יש להקים ,להפעיל ולתחזק את היישומים הביומטריים. " 9.2הקווים המנחים" מהווים "מכשיר הנחייה" להגעה ליעד של יישום ביומטרי מאוזן, ומגדירים את הציפיות שיש מארגון המתעתד ליישם מערכת ביומטרית ,או שכבר מיישם מערכת כזאת .לדוגמה ,הציפיה היא שהארגון יבחן היטב את כניסתו ליישום ביומטרי ,ולא יעשה זאת כלאחר יד .לצורך כך עליו לנתח את היישום ,את היעדים והסיכונים ,ולתעד זאת במסמך ייזום מתאים ,טרם היציאה לדרך. " 9.3הקווים המנחים" מונים את עקרונות היסוד ,על פיהם יש לפעול: 9.3.1עקרון תכנון מראש וניתוח סיכונים 9.3.2עיקרון הגנת הפרטיות. 9.3.3עקרון שמירת קיום התכלית. 9.3.4עקרון השמירה על כבוד האדם וטיפול בחריגים. 9.3.5עקרון ההתייעלות. 9.3.6עקרון צמצום סיכוני אבטחת מידע 9.4כחלק מ"הקווים המנחים" ,גובשו "תבחינים" המגדירים אילו סעיפים של "הקווים המנחים" חלים על יישום או על ארגון ספציפי .התבחינים מאפשרים לאחראים על היישומים לבחון בעצמם ולהבין את היקף "הקווים המנחים" החל על יישום מסוים ,הן לגבי כלל "הקווים המנחים" והן בפרט לגבי הנחיות אבטחת מידע. 9.5בעניין "הקווים המנחים" התקיים תהליך של היוועצות והוא צפוי להתרחב עוד ,לאחר אישור מסמך המדיניות ע"י הממשלה .מדובר במסמך דינמי אשר יהיה צורך לעדכנו באופן עיתי בהתאם להתפתחות הטכנולוגית המתחדשת. .10סיכום: 10.1מסמך מדיניות זה מהווה מימוש המשימות שהוטלו על הממונה בהחלטת ממשלה .4510 10.2מדיניות לאומית אינטגרטיבית ליישומים ביומטריים והקווים המנחים אשר נשענים עליה ,מייצרים בסיס מאוזן למימוש הפוטנציאל הגלום בתחום ,מחד ,ומשפרים את ההגנה על המידע ,הפרטיות והביטחון ,מאידך. 10.3בהתאם לצורך יביא הממונה לאישור הממשלה שינויים מהותיים במדיניות. עמוד 7מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- פרק א' -מבוא עמוד 8מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- פרק א' – מבוא .1מהי ביומטריה: 1.1ביומטריה 1היא מונח המשמש לחלופין לתיאור תכונה או תהליך. כתכונה :מאפיין ביולוגי (אנטומי או פיזיולוגי) והתנהגותי הניתן למדידה ,אשר ניתן לעשות בו שימוש לזיהוי אוטומטי. כתהליך :שיטות אוטומטיות של זיהוי אדם בהתבסס על מאפיינים ביולוגיים (אנטומיים ופיזיולוגיים) והתנהגותיים הניתנים למדידה. 1.2השימוש בביומטריה הוא לצורך זיהוי אדם ,על פי מה שהינו ולא על פי המסמך שבידו (שעלול להיות מזויף) ,ולא על פי המידע שבידו (שעלול להיות גנוב או מועתק) ,אלא. אנו ניצבים בפתחו של "עידן ביומטרי" .2על פתחו של "עידן ביומטרי": 2.1 2.2 2.3 2.4 2.5 2.6 שימוש נרחב וחוצה מגזרים ביישומים ביומטריים ,ניתן למצוא ברבות מהמפותחות שבמדינות העולם .גופי ממשל ,גופי המגזר העסקי ,הרשאות גישה למערכות ממוחשבות, תשלומי רווחה ,שירותי בריאות וסלולארי ,הינם רק מקצת מהדוגמאות. משרד הפנים ורשות האוכלוסין וההגירה ,מנהלים בישראל בימים אלו פרויקט לאומי רחב היקף לתיעוד חכם משולב ביומטריה. שימוש בביומטריה במעברי גבול – בפרט תוך הסתמכות על הדרכון הביומטרי החדש שהפך לתקן בינלאומי במרבית מדינות העולם ,או נטילת ביומטריה ממי שמתכוון להיכנס למדינות כמו ארה"ב ,יפן ,מדינות האיחוד האירופי ועוד ,הינם כיום כבר דבר שבשגרה .גם בפרויקט המתבצע כיום במדינת ישראל ,נבחנת בנתב"ג מערכת ביקורת גבולות אוטומטית ( .)ABCמאות עמדות מסוג זה פרוסות כיום בנמלי תעופה שונים ברחבי העולם ,כאמצעי לייעול תהליכי המעבר בגבולות באופן שיאפשר מעבר מהיר ככל שניתן מחד ומניעה של פשיעה וטרור מאידך ,תוך שימוש בנתונים ביומטריים מאובטחים. מחקרים של חברות מחקר בינלאומיות ,פרסומים בתדירות יומית על יישומים ביומטריים במגוון רחב של תחומים ומדינות ,2נתונים על ההיקפים הכספיים של שוק הביומטריה בעולם כיום ותחזיות לשנים הקרובות ,מעידים על מגמה זאת. יישומים ביומטריים נמצאים כבר היום על שולחנם ,או בכף ידם ,של עשרות מיליוני בני אדם ברחבי העולם ,המשתמשים בטלפונים סלולאריים ,במחשבי כף יד ובמחשבים ניידים ,אשר הגישה אל המידע האישי הצבור בהם ,מוגנת באמצעות טביעת אצבע של בעל המכשיר .ישנן כיום מעל שני מיליארד רשומות ביומטריות הנאגרות במערכות מידע שונות בעולם ,והיד עוד נטויה. קצב החיים הולך וגובר ,הן בפן העסקי והן בפן החברתי -אישי .אנו נדרשים להגיב במהירות על אירועים ופעילויות שנמשכו בעבר זמן רב יותר .העולם הפך להיות "כפר גלובלי" .נפרצו מחסומים של זמן ומרחק. 1ההגדרה מתוך: The dawning of the Biometric Age :http://www.businessweek.com/innovate/content/may2009/id20090520_625039.htm 2 NSTC (National Science and Technology Council) – Biometrics Glossary עמוד 9מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 2.7 2.8 2.9 2.10 2.11 2.12 2.13 זהו עידן בו השימוש באמצעים ביומטריים יהיה חלק בלתי נפרד מחיינו -כאנשים פרטיים ,כעובדים בארגונים וכאזרחים" .העידן הביומטרי" נגזר ממגמות-על ( )mega-trendsשונות המשפיעות על חיינו ,ובהן "עידן המידע" 3ו"חברת המידע" :4אנו מוצפים במידע המגיע אלינו מכל עבר ,כל העת ,ובה בעת יוצרים בעצמנו מידע רב (קולי, מילולי וחזותי) שמופץ על ידנו לאנשים הקשורים עמנו – בני משפחתנו ,ידידינו ,עמיתינו לעבודה ואנשים נוספים במעגלי קשר רחבים. אחד ממאפייני "חברת המידע" היא התבססותה הרבה על אספקת שירותים. הטכנולוגיות החדשות בתחום התקשוב מאפשרות אספקת שירותים במהירות וביעילות מרחוק ,ללא שיש קשר פיזי בין המוכר לבין הקונה ,או בין נותן השירותים לבין מקבל השירותים ,באמצעות תווך רשת האינטרנט ,התווך הסלולארי והשילוב ביניהם ("בכל מקום"" ,בכל זמן" ו"מרחוק ללא נוכחות פיזית"). מהפיכת התקשורת הסלולארית הפכה את הניידות למאפיין מרכזי בפעילותנו כבני אדם: הטלפון הנייד מזהה אותנו ואת מקומנו ,ומאפשר לבצע פעולות רבות מעבר לשימוש המקורי של מכשיר הטלפון ,לרבות ,גלישה באינטרנט לצורך חיפוש מידע והתעדכנות שוטפת בחדשות ,באירועים ובהתרחשויות סביב כדור הארץ; ביצוע פעולות בנקאיות כולל תשלומים וקבלת שירותים; הצבעה לפרלמנט (במדינות מסוימות); תקשורת ברשתות חברתיות; מאות ואלפי אפליקציות מתוחכמות אחרות .ומאחר והזיהוי הוא חלק בלתי נפרד מפעילות זאת ,נדרש שגם הזיהוי יהיה "נייד" ויאפשר על פי הצורך מהימנות גבוהה. לנוכח ההתרחקות הפיזית בין המוסר למקבל ,או בין המוכר לקונה ,עולה במלוא חריפותה שאלת האמון ההדדי בין שני הצדדים לעסקה :כיצד אני כ"מקבל" יכול לתת אמון באתר האינטרנט שמציג עצמו כאתר הבנק שלי? ומהצד השני -כיצד יידע ויוודא נותן השירות, שמדובר באמת באדם הנכון -המתיימר להזדהות מולו בזהות מסוימת ,לפני שימסור לו נתונים אישיים ,רפואיים או כספיים ,שאולי כלל אינם שייכים לו? השאלות הללו מקבלות משמעות רבה לאור ההיקפים העצומים של העסקאות, התשדורות ,המסרים והקשרים ,שמחייבים יצירת "תשתית אמון" ממוחשבת ואמינה. במקביל להתפתחות העידן המקוון ,עלו וגברו סיכוני אבטחת המידע .זהו ככל הנראה מאפיין אנושי ,שלצד כל תעשיה מצליחה ,המגלגלת סכומי עתק ,יצמחו אלו שינסו לנצל אותה לרעה .הכייסים המודרניים אינם מסתפקים בכיסיהם של הנוסעים באוטובוסים או ההולכים ברחוב ,אלא שדרגו את פעילותם לפריצה לארנקים אלקטרוניים וליירוט עסקאות כספיות באינטרנט .שודדי הבנקים המודרניים אינם זקוקים עוד לפריצה לסניפי בנקים כשהם רעולי פנים ,אלא יכולים לבצע הונאות באינטרנט; גנבי כרטיסי האשראי, שבעבר "נאלצו" לגנוב כרטיסים בודדים מארנקים ,יכולים לפרוץ לאתרי אינטרנט ולשאוב מהם "במכה אחת" ,פרטי מאות ואלפי כרטיסי אשראי אותם יוכלו לנצל לצורך ביצוע פעולות הונאה ,ברחבי העולם. גם בתחומים אחרים לא קפאו העבריינים על שמריהם והתאימו את עצמם להתפתחויות הטכנולוגיות .עבריינים מתחזים לאנשים פיקטיביים ,עם שם ,מגדר וגיל בדויים ,ומסכנים ילדים ובני נוער שגולשים באינטרנט ,שמשתתפים בצ'אטים ובפורומים ברשתות החברתיות – עד כדי סכנת חיים או פגיעות נפשיות קשות. 3ר' לדוגמה http://www.law.co.il/media/computer -law/israel_infoage.pdf - 4ר' לדוגמה http://www.maor.gov.il/Maor/Pages/HE/HomePage.aspx - עמוד 10מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 2.14על מנת להתרשם מההיקפים הכמותיים ,בארה"ב נמסר כי בשנת 2011נגנבו שם 11.6 מיליון זהויות וכי הנזק מגניבת זהות בתקופה זאת עמד על 37מיליארד 5.$נזק נוסף נגרם כתוצאה מפגיעה במסחר ,שכן שיעור גבוה של גולשים נמנעים מביצוע פעולות קנייה בשל היעדר חשבון מתאים והצורך בבחירת שם משתמש /סיסמה לכל חשבון. 2.15בכל תחום שרק נביט בו ,הסיכונים הנובעים מחוסר היכולת לזהות בוודאות את "הצד שני" ,או לפחות לדעת בוודאות "האם הוא מי שהוא אומר שהינו" -הינם רבים וחמורים. 2.16אל תוך העולם המורכב הזה ,מגיעה הביומטריה ,המאפשרת – ככל שנעשה בה שימוש נכון – זיהוי חד-ערכי ברמת מהימנות גבוהה .והאתגר הוא – להיערך כיאות לעידן הביומטרי ולהיכנס אליו מוכנים ובאופן מתוכנן. 5מקורDr. Michael Garcia, Deputy Director of NSTIC NPO : Presentation at the London 2013 Conference on Biometric עמוד 11מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- "הַ קֹּל קוֹּל ַי ֲעקֹּב ,וְ הַ י ַָּדיִ ם יְ ֵדי עֵ ָּשו" (בראשית ,כז ,כב) .3סקירת רקע להתפתחות הביומטריה: 3.1 3.2 3.3 3.4 3.5 3.6 מאז שעשה יצחק שימוש במאפיינים פיזיים והתנהגותיים על מנת לנסות ולהבחין בין שני בניו ,כאמור בציטוט לעיל ,חלף זמן .המעבר מחברה שבטית ,קטנה וסגורה ,לחברת "הכפר הגלובלי" ,העצימה את הצורך בהזדהות .במהלך אלפי ומאות השנים האחרונות, נוצרו סוגים שונים של תעודות בהן צוידו אנשים ,על מנת שניתן יהיה לזהות את בעל התעודה ,או לפחות לשייכו לקבוצה מסוימת ולדעת " -הלנו אתה אם לצרינו?". תנועת תושבים בין נסיכויות ,מלכויות ומדינות ,הביאה להתפתחות מסמכי נסיעה ומסמכי מעבר (" )"laissez-passerובהם הדרכון ( )pass-portוהאשרה (.)visa המדינה המודרנית מעניקה זכויות ודורשת מתושביה לקיים חובות .על מנת להבטיח את מתן הזכויות ואכיפת החובות ,התפתחו אמצעי זיהוי שונים ובהם "תעודת זהות לאומית" .התפתחות הדמוקרטיה ועקרון "אדם אחד -קול אחד" ,מחייבים הזדהות מהימנה בקלפיות .לעיתים הזיהוי נעשה על פי תעודת הזהות הלאומית היכן שהיא קיימת, ולעיתים על פי תיעוד מזהה אחר הכולל את תמונת בעל התעודה לשם זיהוי "בעין" – כגון, דרכון או רישיון נהיגה .במדינות מסוימות ,זיהוי בעל זכות הבחירה בבחירות נעשה מול מאגר ביומטרי שהוקם לשם כך. המערכת הפיננסית המודרנית יצרה את כרטיס האשראי ואת אמצעי התשלום במכשירים ניידים ( .(mobile paymentsמערכות שירותי בריאות מחייבות את זיהוי החולה המבוטח באמצעות "כרטיס מבוטח" .התפתחות התחבורה היבשתית הביאה ליצירת רישיון הנהיגה .במקביל לגורם שמנפיק את התעודה ,מוענקות סמכויות לגורם שיבצע בדיקה ,בקרה והחלטה ,לגבי מהימנות התעודה (לדוגמה – בקרי גבול הבודקים דרכונים ומסמכי נסיעה אחרים בכניסה למדינה וביציאה ממנה). מלחמות וטרור מלווים את התפתחות המין האנושי משחר ההיסטוריה .במאבקים בין מדינות ,עמים וקבוצות אוכלוסייה ,נדרש לאמת האם ממול ניצב אזרח תמים השב לביתו, או טרוריסט המנסה לעבור במחסום ולבצע את זממו" .עצור – סיסמה" ,הינה קריאה המשמשת את המגינים על מקומות רגישים .סיסמה ( passwordאו (watchwordהיא מילה מוסכמת המאפשרת "מעבר בטוח" – בעוד שאי הכרת הסיסמה חוסמת את הגישה למקום ואף יכולה להיות הרת גורל. בעולם התקשוב ,הפכה הסיסמה לאמצעי מרכזי לזיהוי ולאימות משתמשים .ידיעת הסיסמה מאפשרת גישה למערכות רגישות ,לחשבונות כספיים ,למידע רגיש ולפעולות. הכרת הסיסמה של משתמש בעל הרשאות גבוהות יכולה לאפשר כניסה למערכת מידע תוך התחזות אליו ולבצע פעולות שיגרמו לנזקים עצומים .הסיסמה מחייבת שימוש בזיכרון האנושי .לעיתים ,עקב ריבוי סיסמאות וחוסר יכולת לנהלן בעל פה ,נאלצים לנהלן בצורה גלויה ,על ידי רישומן בכתב לצד אמצעי הכניסה הנוסף למערכת (כגון -שם משתמש) או אף על כרטיס הזיהוי עצמו ,דבר המוציא את העוקץ מהשימוש בהן כאמצעי מהימן ,שכן ניתן לגלות את הסיסמאות ולהשתמש בהן לרעה .בהקשר זה הכריז מנכ"ל pay-palכי "יש למחוק את הסיסמאות מעל פני האדמה" ,6וגורמים אחרים הכריזו כי "אולי הסיסמאות לא מתו ,אבל צריך להרוג אותן ,כי הן פשוט לא מתאימות לבני אדם". http://arstechnica.com/information-technology/2013/05/paypal-exec-aims-to-obliterate-passwords-from-the-face-of-the- 6 planet/ עמוד 12מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 3.7 3.8 3.9 3.10 3.11 3.12 3.13 3.14 ניתן להתרשם בהקשר זה מפעילות ארגון FIDOששם לו למטרה לפתח פתרונות המייתרים את השימוש בסיסמאות ,כולל פתרונות ביומטריים ,והכולל כחברים בו גופים 7 מסחריים משמעותיים ביותר בתחום ההזדהות. סקרים מסויימים מלמדים על כך שיש לאנשים בממוצע שלוש סיסמאות ברמות אבטחה שונות ,החוזרות על עצמן .סקר אחר מצביע על כ 25 -סיסמאות לאדם ,החוזרות על עצמן, וכי 76%מהפריצות מתבצעות באמצעות פריצת סיסמה .8השימוש בסיסמאות משווע 9 לשינוי משמעותי. התפתחות התחבורה והתקשורת שינו סדרי עולם .כמויות עצומות של אנשים נעים ממקום למקום .כמויות מידע ממוחשב בהיקפים גדולים מאוד מועברות ברשתות התקשורת .הדבר חיזק את הצורך בבדיקה ובבקרה של האנשים והמידע ,בצורה בטוחה ואמינה ,תוך סינון "הרעים" מ"הטובים" ותוך כדי זיהוי – "במי מדובר"? האמצעים ותהליכי העבודה הידניים הישנים ,שנועדו לתת מענה לבקרות אלו ,לא הספיקו עוד .ללא שינוי דראסטי ,רמת השירות הייתה אמורה לרדת משמעותית. ניתן להבין כיצד בנקודה זאת ,מתקשרת הביומטריה לחיינו :המושג "ביומטריה" מקורו בשפה היוונית " -ביו" פירושה "חיים" ו"מטריה" פירושה "מדידה" .הביומטריה היא תחום מדעי רחב העוסק בפיתוח וביישום של שיטות כמותיות וסטטיסטיות בפתרון בעיות הקשורות בביולוגיה .בין תחומי המשנה של הביומטריה נמצא גם תחום הזיהוי הביומטרי ,כלומר -ביומטריה כאמצעי זיהוי לאנשים ,שבו עוסק מסמך זה. ראשיתה של הביומטריה המודרנית נזקפת לזכותו של המדען האנגלי גולטון שפיתח את תורת הזיהוי לפי טביעות אצבע .מחקריו היו הבסיס לשיטת מיון וזיהוי פלילי ,שפותחה על ידי סר אדוארד הנרי ,ראש המשטרה המטרופוליטנית של לונדון ,ושימשה במשטרה הבריטית החל מתחילת המאה העשרים .הסיכון שבעבירות הפליליות והאיום שהן מציבות על יציבות החברה ,הביא לפיתוח אמצעים לזיהוי חשודים בפלילים .הביומטריה השכילה לענות על צורך זה ,ומשמשת למטרות כאלו עד היום ,בכל רחבי העולם ,עם מערכות שהולכות ומשתכללות עם השנים. הזעזוע שנגרם בארה"ב בפרט ובעולם בכלל ,בעטיים של אירועי ה 11 -בספטמבר ,2001 חיזק את הצורך במענה כנגד פעולות טרור .אירוע טראומטי זה גרם בין היתר להאצת השימוש בביומטריה במעברי הגבול ועל ידי רשויות לאכיפת חוק .באותם ימים ,הוצגה הביומטריה לעיתים בתור "כדור הכסף" ( )silver bulletשיביא ל"פתרון קסם" לבעיות אלו .עד מהרה הדברים חזרו לפרופורציה ,מתוך הבנה שמדובר אמנם באמצעי עזר רב- עוצמה ,אך שגם הוא חשוף לתקלות ולשגיאות שיש למנוע ולבקר ,ומהווה חלק ממערכת כוללת של תהליכי עבודה ונהלים שיש להקים על מנת להשיג את המטרות המבוקשות. עבודת מחקר ותקינה רבת היקף ,שהתבצעה בשיתוף מומחים ממדינות רבות מרחבי העולם ,הביאה ליצירת הדרכון האלקטרוני ,הכולל מידע ביומטרי .10במקביל התפתחו מערכות ביקורת גבולות שמסוגלות לקרוא את הדרכון ,לחלץ ממנו את המידע הביומטרי, להשוות מידע זה למידע הנרכש מהנוסע הניצב מול בקר הגבול ולקבוע אם הנוסע יכול לעבור במעבר הגבול או לא .בתוך מספר שנים קצר יחסית ,הונפקו מאות מיליוני דרכונים של אזרחים במעל 100מדינות ,והחל מיולי 2013גם במדינת ישראל. /http://fidoalliance.org 7 8מקורDr. Michael Garcia, Deputy Director of NSTIC NPO : Presentation at the London 2013 Conference on Biometric http://www.pcworld.com/article/150874/password_brain_power.html 9 http://www.pcmag.com/article2/0,2817,2386533,00.asp 10תווי פנים הינם ביומטריה מנדטורית ,טביעות אצבע וקשתית העין -אופציונליים עמוד 13מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 3.15 3.16 3.17 3.18 3.19 3.20 השלב הבא בהתפתחות מערכות ביקורת הגבולות הן מערכות ממוחשבות אוטומטיות אנושי בקר ללא הגבולות ביקורת משימת את שמבצעות ( .(Automated Border Control – ABCהתוצאה – מערכות אשר מגבירות באופן משמעותי את הביטחון ,מאפשרות לנהל סיכונים ולהתמקד בגורמי הסיכון .מערכות אלו מעבירות כמויות גדולות של נוסעים" ,ללא מגע יד אדם" ,תוך חיסכון כלכלי ועמידה בקבועי הזמן המאתגרים בשדות התעופה המודרניים .תחום זה מעסיק מאד מדינות המעונינות לייעל את תהליכי העבודה במעברי הגבול בפרט ובנמלי התעופה בכלל. הפוטנציאל זוהה על ידי השוק האזרחי/מסחרי והביומטריה השתלבה בתחומים רבים: נוכחות עובדים; בקרת כניסה פיזית למתקנים; בקרת כניסה למערכות ממוחשבות; ביצוע העברות (טרנזקציות) של מידע וכסף; משיכת כספים מכספומטים; מתן שירותים רפואיים וחלוקת תרופות; קבלת הקצבות כספיות; קבלת שירותים באמצעות האינטרנט לרבות תשלומים באינטרנט; זיהוי במערכת החינוך; זיהוי חסרי בית להענקת תמיכה סוציאלית; זיהוי בבחירות; זיהוי חוליגנים במשחקי כדורגל; ועוד. טכנולוגיות ביומטריות שונות התפתחו לשימושים ביטחוניים ומסחריים .לצד טביעות האצבע הוותיקות ,קיים שימוש הולך וגובר בזיהוי תווי פנים; קשתית העין; קול; תבנית כלי הדם; ולבסוף ,ה ,DNA -המשמש כיום בעיקר ליישומים משטרתיים של זיהוי פלילי. יישומים ביומטריים כוללים זיהוי ביומטרי של האדם ,כאשר לאחר הזיהוי אמור להתבצע תהליך נוסף ,המתבסס על תוצאת הזיהוי ,כגון :מתן שירות או מניעת שירות; מתן זכות מעבר או מניעת זכות מעבר; מתן מידע או מניעת מתן מידע. הביומטריה מאפשרת לזהות גורמים עוינים או חשודים מחד ,ומאפשרת התפתחות כלכלית מואצת והקלה בחיי היום-יום מאידך .היא נותנת מענה אמין ונוח לפונקציית ההזדהות. יחד עם זאת ,עולות מספר שאלות בסיסיות ,הקשורות ביישומים אלו :בביומטריה נעשה שימוש במאפיינים פיזיים והתנהגותיים של האדם .לצד הזיהוי המהימן ,מהו הסיכון לאדם עצמו בכך שמאפייניו הם המייצגים אותו ולמעשה הם "הסיסמה שלו"? מה קורה כאשר מערכת ביומטרית נכשלת בזיהוי ,על מה ניתן אז להסתמך כדי להוכיח את הזהות "האמיתית"? מהו הסיכון בכך שמאגר ביומטרי (כגון מאגר טביעות אצבע) גדול ,ייפרץ, ייחשף ,ישובש או ייעשה בו שימוש לרעה? כל אלו הן שאלות שיש לברר אותן כחלק מהמדיניות בתחום היישומים הביומטריים. .4סטטוס היישומים הביומטריים בישראל: 4.1מדינת ישראל הייתה עד לפני מספר שנים ,בין החלוצות בעולם ביישומים ביומטריים רחבי היקף ,בפרויקטים כגון: 4.1.1מעבר גבול אוטומטי בנתב"ג ,מבוסס ביומטריה של גיאומטריית כף יד :מערכת למעבר מהיר בנתב"ג ,קיימת מאז .1998מעל מיליון אזרחים ישראליים הצטרפו אליה באופן וולונטארי ,עקב רצונם להקל על עצמם ולזרז את תהליך ביקורת הגבולות. 4.1.2פרויקט "בזל" :מערכת לניהול המעבר בין ישראל לשטחי הרשות הפלסטינאית. 4.1.3מעו"ז :מערכת המשלבת ביומטריה לזיהוי עובדים זרים. 4.2במשך מספר שנים ,חל עיכוב בהתפתחות היישומים הביומטריים בישראל ,לעומת ההתקדמות באותה תקופה בעולם (למשל בארה"ב או באיחוד האירופי). עמוד 14מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 4.3 4.4 4.5 4.6 4.7 4.8 4.9 בישראל מתנהל מאז יולי ,2013פרויקט לאומי רחב היקף לתיעוד חכם משולב ביומטריה, הכולל דרכונים ותעודות זהות משולבי ביומטריה .שילוב הביומטריה בתעודת הזהות ,נועד להביא לקיומו של מרשם אוכלוסין אמין ,לשפר את אמצעי הזיהוי שבידי גורמי אכיפת החוק ,ולהגיע לתוצאה מהימנה בבדיקת "אדם מול תעודה". בה בעת ,הוא אוצר בתוכו פוטנציאל עצום לצורך מתן שירותים משופרים לתושבים. מוקמת על ידי משרד הפנים מערכת "מעבר מהיר" ( ,)ABCהמבוססת על הדרכון החדש. בתחום הצבאי ,מוטלת על הצבא אחריות להתמודד עם זיהוי חללים ועם גופות של נעדרים ,על מנת להביאם למנוחת עולם ולאפשר למשפחותיהן להתייחד עם זכרם. בהתאם הוקם מאגר ביומטרי של המתגייסים לצה"ל ,התומך בבדיקת זהות לחללים, נפגעים ונעדרים. מערכת ביומטרית מבוססת טביעות אצבע הוקמה בשירות התעסוקה ("התייצבומט"). המערכת מאפשרת למבקשי עבודה להזדהות באמצעות טביעת אצבע ולדווח במכשיר על התייצבותם – הן לצורך קבלת דמי אבטלה והן לצורך איתור משרות פנויות ,מבלי שיידרשו להיכנס פיזית לתוך לשכות שירות התעסוקה ולהתייצב בפני פקיד. קיימת מערכת ביומטרית מבוססת טביעות אצבע בקופת חולים "מכבי" ,שנועדה להחליף את השימוש בכרטיסים מגנטיים לזיהוי המבוטחים ולמניעת הונאות. קיימות מערכות מבוססות טביעות אצבע לניהול נוכחות עובדים למורים במשרד החינוך וכן ברשויות מקומיות מסוימות. כל אלו מראים על הצורך בקביעת מדיניות שתנחה את אופן מימוש היישומים הביומטריים השונים. .5מה בין "המאגר הביומטרי" ופרויקט התיעוד הלאומי החכם משולב הביומטריה של משרד הפנים ,לבין מסמך המדיניות? 5.1 5.2 5.3 5.4 5.5 בישראל נערך דיון ציבורי מקיף בסוגית המאגר הביומטרי כחלק מפרויקט התיעוד החכם. חוק הכללת אמצעים ביומטריים ונתונים ביומטריים בתיעוד ובמאגר ,התש"ע 2009 - (להלן " -החוק") ,מסדיר בפירוט את אופן ניהול פרויקט התיעוד החכם וקובע בין היתר תקופת מבחן של שנתיים במרכזה בחינת הצורך בקיום המאגר הביומטרי. סעיף 30לחוק קובע כי ראש הממשלה ימנה ממונה על היישומים הביומטריים אשר בין תפקידיו לפקח על יישומו של החוק ,התקנות והכללים שמכוחו ,לרבות על "תקופת המבחן" האמורה לעיל.11 מסמך זה אינו עוסק בסוגיית המאגר הביומטרי אשר נבחנת ,כאמור ,בנפרד. תיעוד חכם משולב ביומטריה יונפק לתושבי מדינת ישראל ,תהיה אשר תהיה החלטת הממשלה והכנסת באשר לקיומו של מאגר ביומטרי .להנפקת התעודות עצמן ישנן השלכות לגבי המדיניות הלאומית שתפורט להלן. מסמך זה עוסק בגיבוש המדיניות הלאומית הכוללת לגבי יישומים ומאגרים ביומטריים בישראל .מדובר בנושא הנוגע לחייו של כל תושב בישראל. 11ראה נוסח מלא בסעיף 30לחוק עמוד 15מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- פרק ב' – ניתוח סיכונים עמוד 16מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- פרק ב' – ניתוח סיכונים .1מהות הסיכונים: 1.1קביעת המדיניות מתבססת על ניתוח הסיכונים .מימוש המדיניות יתבסס על ניהול הסיכונים .עדכון המדיניות יתבסס על הפקת הלקחים מתהליך ניהול הסיכונים. 1.2ניתוח הסיכונים מתבצע לצורך זיהוי מוקדם ככל האפשר של הסיכונים ,ולניהולם המבוקר לאורך זמן .ניהול זה כולל בדיקה עיתית של הגדרת הסיכונים עצמם ,על מנת לבחון האם הם עדיין רלבנטיים ,האם השתנו הפרמטרים של מרכיביהם ,והאם התגלו סיכונים חדשים שלא נלקחו בחשבון ויש לתת עליהן את הדעת כעת. 1.3כדי למקד את קביעת המדיניות ,יש בשלב ראשון לאפיין את הבעיה (הסיכונים) ולעמוד על הסיבות להיווצרותה .הסיכונים מוצגים באופן כולל וללא התייחסות קונקרטית לפרויקט ספציפי ולסיכונים של פרויקט ספציפי ,דבר שייעשה בנפרד לגבי כל פרויקט. .2אפיון הבעיה (הסיכונים): 2.1גניבת זהות והתחזות תוך שימוש במידע ביומטרי שנחשף: 2.1.1נתונים ביומטריים שונים במהותם מנתונים מינהליים הקשורים למחזור החיים של האדם .נתונים מינהליים הם ברי-עדכון ותיקון (כגון – שם ,כתובת ,מצב משפחתי) .נתונים ביומטריים מאפיינים את האדם עצמו ,ולפיכך ,במרבית המקרים ,אינם ברי-עדכון ותיקון בצורה פשוטה. 12 2.1.2מאפיין נוסף של נתונים ביומטריים הוא שאינם ניתנים לביטול בצורה פשוטה . כאשר משתמשים בסיסמת זיהוי ,ניתן להחליפה לסיסמה חדשה אחרת לאחר שהסיסמה הקודמת נחשפה ,או נשכחה .מאידך ,לא ניתן לשנות בצורה פשוטה תווי פנים או טביעות אצבע. 2.1.3היבט משלים לכך ,היא העובדה שמספר אפשרויות ההחלפה של הביומטריה הינו מוגבל מטבעו .קיימים תווי פנים יחידים ,קיימות עשר אצבעות ושתי עיניים (עבור קשתית העין) .לעומת זאת ,בחירת סיסמה או מפתח אחר (כגון צמד מפתחות פומבי -פרטי) ,נעשים מתוך מרחב אפשרויות גדול מאד שאינו מוגבל באופן מעשי .מגבלה זאת משמעותה שביומטריה אינה יכולה לשמש כ"מפתח" במובן המקובל בתחום ההצפנה. 2.1.4שילוב של המאפיינים הנ"ל ,יוצר את הסיכון לפיו אם הנתונים הביומטריים ייחשפו וייקשרו לאדם מסוים ולנתוניו האישיים ,עלולה להיווצר פגיעה של ממש בזהותו (עד כדי גנבת זהותו) או בפרטיותו. 2.1.5דוגמה אחת לכך ,היא אפשרות "השתלת" טביעות אצבע של אנשים חפים מפשע, שנגנבו ממאגר ביומטרי כלשהו ,בזירת פשע .בהקשר זה יש לציין שניתן "להשתיל" טביעות אצבע בצורה זדונית גם מטביעות שנלקחות ממקומות פומביים או אחרים ,שהושארו בהם ובמקרים רבים זהו מקור קל ונגיש יותר להשגת טביעות אצבע ביחס לפריצה למאגר ,בפרט אם שמורות בו תבניות המאפיינים בלבד ולא התמונות הגולמיות של הביומטריה. 12לפיכך ,מחקרים הנעשים לגבי "ביומטריה ברת-ביטול" הם בעלי משמעות להתמודדות עם חסרון זה של הביומטריה עמוד 17מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 2.1.6דוגמה שניה לפגיעה ,היא שימוש בביומטריה שנחשפה במערכת אחת ,כגון – פריצת מאגר טביעות אצבע הכולל תמונות ( ,)imagesלצורך גישה למערכת מידע אחרת ,לדוגמה – לכספומט למשיכת מזומן שהגישה אליו מבוקרת ע"י טביעת אצבע .אם הבנק המפעיל את הכספומטים ינסה לחסום את הגישה על ידי השוואה לטביעות אצבע שנגנבו (בהנחה שמקרים אלו ידועים) ,הדבר יחסום למעשה גם את הגישה של האדם התמים שטביעות האצבע שלו נגנבו .זאת, לעומת פתרון של חסימת כרטיסי אשראי גנובים ,כשאדם יכול לקבל כרטיס אשראי חלופי במקום הכרטיס הגנוב .הדוגמה לעיל ממחישה את הקושי שביישום מנגנון ביטול יעיל למאפיינים ביומטריים .אחת משיטות ההתמודדות בשנים האחרונות כנגד סיכון זה ,הינה הכנסת מנגנוני "בדיקת חיות" לביומטריה. 2.2מעקב (:)surveillance 2.2.1סיכון נוסף הוא היכולת להשתמש בנתונים ביומטריים כאמצעי לזיהוי אנשים ,גם ללא רצונם וללא ידיעתם ,כמו בשיטות של זיהוי תווי פנים או זיהוי קשתית העין. ניתן לצלם אנשים במצלמות אבטחה ,כשהם עוברים ברחוב וחולפים מול המצלמה ,או במתקנים ציבוריים אחרים ,ולבדוק צילומים אלו מול "רשימות מעקב" (.)watch list 2.2.2ניתן לאתר בצורה זאת עבריינים מבוקשים ולמנוע פשיעה .ניתן לאתר אוהדים "חוליגנים" בקהל צופים במגרש כדורגל כדי למנוע כניסתם למגרש או להרחיקם ממנו :אלו פעולות שנועדו להגן על שלום הציבור .מאידך ,עלול להיווצר מצב של שימוש לרעה לצורך מעקב באופן שחורג מסמכות או שלא למטרות חוקיות. 2.2.3בהקשר זה יש לומר כי תמונת תווי פנים אינה נתון סודי ,אלא גלוי לעין .ניתן להשיג תמונת תווי פנים גם ללא צורך בפריצה למאגר ,אלא ממקורות גלויים (כמו רשתות חברתיות דוגמת )facebookאו מצילום במצלמה ברחוב במקום ציבורי. מקורות אלו עשויים להיות נוחים יותר מאשר מאגר מאובטח ,מעבר לצורך בפריצתו ,שכן ניתן לקשור בקלות יתרה את תמונת תווי הפנים לזהות האדם, לעומת מאגר ביומטרי אשר במקרים מסויימים נעשתה בו הפרדה בין הנתונים הביומטריים לנתונים הדמוגרפיים. 2.3חשיפת מידע בריאותי /אישי: 2.3.1ישנם מקרים שבהם הנתונים הביומטריים אינם מהווים רק "מפתחות זיהוי" אלא שהם יכולים לשקף גם מידע בריאותי ואישי :ישנם מקרים בהם ניתן לאתר תגובות רגשיות של אדם לפי ניתוח השינויים בתווי פניו על ידי .micro-gestures במקרה של קשתית העין ,ניתן להסיק מהתמונה לגבי פגיעה בראייה .במקרה של ,DNAככל שיהיו יכולות זמינות של פיענוח וניתוח של מרכיבי ה ,DNA -תהיה קיימת היכולת להסיק מסקנות רבות לגבי המאפיינים הגנטיים של אותו אדם. וככל שהמחקר בתחום זה ילך ויתפתח ,המידע שניתן יהיה להסיק מכך יהיה רב יותר וחושפני יותר. 2.3.2אשר על כן ,נתונים ביומטריים נחשבים כנתונים בעלי רגישות מיוחדת עם השלכות על פרטיות האדם. 2.3.3יחד עם זאת ,מוסדות רבים כמו – בנקים ,בתי-חולים ,קופות חולים ,חברות סלולאר ,חברות אשראי ומשרדי ממשלה ,מחזיקים כבר כיום בידיהם מידע עצום ורגיש ,שאינו ביומטרי ,על רובנו. עמוד 18מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 2.4סיכונים הקשורים לאופן האיחסון של המידע הביומטרי: 2.4.1הסיכונים שתוארו בסעיף 2לעיל מתייחסים לנתונים ביומטריים באופן כללי. 2.4.2הסיכונים לחשיפת נתונים ביומטריים קשורים בצורה הדוקה לאופן איחסונם, ובפרט -האם הם נאגרים במאגר ביומטרי ,או שהם נשמרים רק על גבי כרטיסים חכמים tokens ,או התקנים אחרים ,שם הם מאובטחים באמצעי הגנה שונים. 2.4.3רמת הסיכון תשתנה בהתאם לאופן האיחסון .מאגר מידע ,מעצם היותו כלי קיבול לכמות גדולה של רשומות ,מגדיל את הסיכונים .ניטרול הסיכונים מחייב נקיטת אמצעי אבטחת מידע שונים ,אשר עיקרם מפורט בפרק ג' – עקרונות המדיניות ליישומים ביומטריים ,ובפרט בסעיף 7שם – "עקרונות מדיניות אבטחת המידע ליישומים ביומטריים" ,וכן בפרק ה' " -קווים מנחים" ליישומים ביומטריים. 2.4.4שמירת המידע יכולה להיעשות בשתי צורות עיקריות :שמירת תמונה ( )imageאו שמירת תבניות המאפיינים שמוצו מתוך התמונה (.)features in template שמירת תבניות המאפיינים מקטינה את הסיכון שבאגירת מידע של תמונות, אולם יש לה מחיר בכל הקשור לתלות בספק המערכת ,היכולת לעבור מספק אחד לספק אחר ללא צורך בקליטה מחדש של כל המאגר והאפשרות לעדכונים במקרה של גילוי פריצה או עדכון טכנולוגי. 2.4.5אמצעי נוסף להפחתת הסיכון הוא הפרדת המידע האלפאנומרי מהמידע הביומטרי ,על מנת להקשות על תקיפה שתאפשר את הקישור ביניהם. 2.4.6במקרה של אחסון מידע ביומטרי במכשירים ניידים ,נושא שהפך אקטואלי בשנה האחרונה ,אזי מתן גישה למחשב הנייד או לטלפון הסלולארי באמצעות קורא טביעת האצבע ,במקום לזכור (לאבד ,למסור ,לשכוח ,לכתוב) סיסמת כניסה, הופכת מכשירים אלו לבטוחים יותר ,ואת השימוש בהם לידידותי וליעיל יותר. ואולם ,מימוש לא נכון של יישומים כאלו ,מבלי שנלקחו בחשבון היבטי אבטחת המידע ,עלול לגרום למפגע אבטחתי .הימנעות משימוש בטכנולוגיות חדשות, יעילות ובטוחות ,מהווה חסם להתפתחות שיכולה להביא תועלת רבה לציבור. לכן ,יש צורך במתן מענה לאחסון ושימוש במידע ביומטרי במכשירים ניידים. .3סיכום ביניים: 3.1ניתן לומר שהשימוש ביישומים ביומטריים ,בפרט יישומים הכוללים מאגרי מידע ביומטריים ,מייצר פוטנציאל נזק העלול להיגרם לפרט -ובמקרים מסוימים גם למדינה, היה ונעשה במידע שימוש בלתי מבוקר ,או היה ונגרם דלף מידע. 3.2אירועים כאלה ,ובפרט אירועי דלף מידע ,עלולים לגרום לנזקים ,כאשר ניתן יהיה לקשור את המידע הביומטרי לנתונים הביוגרפיים האישיים של אנשים (כגון -מספרי זהות, שמות ,כתובות מגורים ,ומידע רגיש כגון -מידע רפואי ומידע כספי) ,ולאחר מכן לעשות שימוש לרעה בנתונים אלו (כגון – מעקב לצורך הפללה /הכפשה ,עבריינות פיננסית, מודיעין וכד'). 3.3אירוע דלף מידע ממאגר ביומטרי עלול לגרום לפגיעה בפרטיות ,לפגיעה פיזית ו/או כלכלית ,ובמקרי קיצון -להפללת אנשים חפים מפשע ,לפגיעה בביטחון המדינה ובניהולה התקין. עמוד 19מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 3.4מאידך ,אל מול הסיכונים האמורים ,גלומים ביישומים הביומטריים תועלות והזדמנויות: ישנם יישומים ביומטריים ,עם או בלי מאגר בצדם ,אשר מממשים את פוטנציאל ההתייעלות ושיפור איכות החיים ,משפרים את הביטחון האישי והלאומי ומייצרים תועלות ברמת הפרט ,ברמה הארגונית וברמת החברה והמדינה .לשם דוגמה ,מעבר הגבול האוטומטי המבוסס על גיאומטריית כף היד המופעל בנתב"ג ,הינו פופולרי מאוד וזכה למעל למיליון משתמשים .קיימת תופעה דומה בעולם של מערכות "נוסעים מתמידים", שגם אליהם ההצטרפות היא בגדר רשות ,ושיעורי ההשתתפות בהן גבוהים מאוד .כך גם במקרה של מערכת ההתייצבות והזיהוי של שירות התעסוקה בישראל. 3.5לפיכך ,נדרש להציג אל מול כל סיכון ,את האמצעים האפשריים למניעה וצמצום נזקים. .4הגדרה רשמית של הסיכונים ביחס למדיניות הלאומית: 4.1בהתאם לניתוח דלעיל ,הוגדרו הסיכונים המהותיים המנחים מסמך מדיניות זה ,כדלקמן: 4.1.1 4.1.2 4.2 4.3 4.4 4.5 סיכון מס' :1שימוש לרעה במידע ביומטרי ,בפרט על ידי הצלבתו עם מידע נוסף ,במטרה לזהות אדם בניגוד לרצונו ,ולהשתמש במידע זה בכדי לפגוע פגיעה פיזית ,נפשית ,כלכלית או בפרטיות ,של אדם מסוים ,או של קבוצת אנשים ,עד כדי סיכון בטחוני ברמת מדינה ,או פגיעה בניהולה התקין. סיכון מס' :2היעדר התשתית החוקית המתאימה הנחוצה להקמת יישומים ביומטריים בצורה אחראית ,שהיו יכולים להביא לתועלת רבה לפרט ולחברה כולה. סיכוני-העל הללו מנחים את קביעת המדיניות ,שנועדה לתת להם מענה .יובהר כי אין הכוונה כאן להגדרת סיכונים ברמת פרויקט בודד ,אשר ייבחנו לגבי כל פרויקט בנפרד. ניתוח סיכונים זה משמש תשתית לניתוח מעורבות המדינה ביישומים ביומטריים שונים, בהקשר לדיון ב"גבולות הגזרה" .מעורבות הממשלה אמורה למנוע נזקים במקרה של יישומים שאינם לוקחים באופן מספק תקנים best practices ,וניסיון קודם ,עקב חוסר מודעות או חוסר נגישות למידע. הצורך בהסדרה מתאימה ,אשר תסייע להקמת יישומים ביומטריים בצורה אחראית ,אינו ייחודי לתחום היישומים הביומטריים ,אלא מאפיין רבים מהתחומים הטכנולוגיים. כידוע ,הטכנולוגיה מתפתחת בקצב מהיר ,ועדכון ההסדרה לעיתים אינו מהיר דיו על מנת להתאים למציאות החדשה .על כן ,על מנת לאפשר הקמת יישומים ביומטריים בצורה אחראית ,יש לוודא קיומה של הסדרה מתאימה. "קבוצת הייחוס" לבחינת השפעת נזקים אפשריים ,מתבססת על היקף האוכלוסייה (מספר הנרשמים למערכת) ,מאפייני האוכלוסיה (כלל האזרחים /תושבים ,עובדים, לקוחות קבוצות משנה וכיו"ב) ,ואופי המערכת (מערכת לאומית; מערכת עסקית; מערכת תפעולית) .נזק משמעותי עלול להיגרם בעיקר ביישומים לאומיים גדולים ,אך לא רק בהם. עמוד 20מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- פרק ג' – עקרונות המדיניות ליישומים ביומטריים בישראל עמוד 21מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- פרק ג' – עקרונות המדיניות ליישומים ביומטריים בישראל .1 .2 שלוש שאלות היסוד העומדות בבסיס המדיניות ליישומים ביומטריים של ממשלת ישראל, הינן: 1.1האם יש צורך בהתערבותה של המדינה? 1.2באיזו מידה ובאיזה אופן על הממשלה להתערב בשוק ,על מגזריו השונים ,על מנת להנחות ולכוון את אופן מימושם של יישומים ביומטריים? 1.3כיצד נכון לאפשר הקמה ושימוש ביישומים ביומטריים ,באופן אשר יביא למירב התועלות תוך הגנה מיטבית על הפרטיות ,המידע והביטחון? שלוש התשובות המרכזיות הניתנות במסגרת מסמך מדיניות זה ,הינן: 2.1מענה לשאלה הראשונה :יישומים ביומטריים הם אמצעי עזר אפקטיבי ביותר בתחום ההזדהות הבטוחה .היישומים הביומטריים תורמים ליצירת שכבת הזדהות אמינה יותר מעבר לזיהוי על ידי כרטיס ("משהו שיש לך") ו/או סיסמה ("משהו שאתה יודע").יישומים ביומטריים מפשטים ,מייעלים ומרחיבים את השירותים הניתנים ע"י המדינה וע"י המגזר הפרטי .הם מהווים אמצעי הגנה טוב יותר על הפרטיות ועל המידע ,הם אמצעי שמקל על "ביצוע עסקים" ויש בהם כדי לסייע בהנגשת שירותים ליישובים מרוחקים (פריפריה) .יתרונותיהם ברורים וייעשה בהם שימוש. 2.2אולם ,בצד היתרונות הרבים טמון גם פוטנציאל נזק .שימוש לא מאוזן אשר אינו מבטיח הגנה על הפרטיות ,המידע והביטחון ,עלול לאיין את התועלות ,הותרת תחום היישומים הביומטריים ללא הסדרה כוללת עלולה להביא לשימוש בלתי מבוקר בטכנולוגיה לצורך מעקב ,התחזות וגניבת זהות ,ובכך עשויה להיגרם פגיעה בפרטיות ,ואף נזק כלכלי או נזק אחר. 2.3מדובר בטכנולוגיה חדשנית המתפתחת בקצב מהיר מאוד ,השפעתה גדולה והיא מצריכה התייחסות מיוחדת .יש להיערך כבר בשלב זה ליצירת תשתית הסדרה מאוזנת המאפשרת את מימוש התועלות הגלומות בביומטריה מחד ,וצמצום הסיכונים הטמונים בה מאידך. 2.4ניתן לראות בעולם מספר מדינות שהחלו לפעול לבחינת הסדרתו של התחום וביניהן בריטניה וארה"ב. 2.5מטעמים אלו – המענה לשאלה הראשונה הינו חיובי :על המדינה להבטיח את הסדרתו המאוזנת של התחום. 2.6מענה לשאלה השניה :על מנת לקבוע את מידת המעורבות הממשלתית במגזרים השונים ביחס לניהול היישומים הביומטריים בישראל ,נבנה מודל של "גבולות גזרה" הכולל שורה של תבחינים המסייעים לקבוע ,בין היתר ,באילו מקרים יש מקום למעורבות .מודל זה מצביע על המגזרים ,סוג המשתמשים והיקפם וסוג המידע בעניינם נדרשת הסדרה במסלולים שונים בהתאם למאפיינים של היישום. 2.7על פי מסמך מדיניות זה ,הממונה על היישומים הביומטריים ילווה הקמה של יישומים ביומטריים ממשלתיים חדשים ,על פי מודל "מחזור החיים" של מערכות ממוחשבות. אכיפה ופיקוח בתחום היישומים הביומטריים יבוצעו בעיקר על ידי רגולטורים קיימים ,ובפרט רמו"ט ,במסגרת הסמכויות הנתונות להם על פי דין ותוך היוועצות עם הממונה על היישומים הביומטריים ,היכן שנדרש על מנת להבטיח את התנהלותו המאוזנת של תחום היישומים הביומטריים. עמוד 22מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 2.8במענה לשאלה השלישית :מימוש נכון של יישומים ביומטריים יתבסס על "קווים מנחים" ( )guidelinesאשר יפרטו כללי "עשה" ו"אל תעשה" ,בהתבסס על הניסיון הרב שנצבר ,בעולם ובישראל" .קווים מנחים" אלו הינם במתכונת כללית (גנרית) שיותאמו לארגון וליישום הספציפי באמצעות בדיקה מול "תבחינים" (קריטריונים) .כמו כן ,יוכנו הנחיות ייעודיות ליישומים מסויימים (כפי שבוצע עבור מערכות לניהול נוכחות עובדים משולבות ביומטריה) ,וניתן יהיה להכין הנחיות לשימוש במגזר מסויים או בטכנולוגיה ביומטרית מסויימת (כגון – טביעות אצבע ,פנים ,קול). המדיניות תהיה ,אם כן – לאפשר תשתית להקמת יישומים ביומטריים ,תוך הנחיה באשר לאופן בו נכון להקימם ולנהלם. בנוסף ובנפרד ,המעורבות הממשלתית תעודד מחקר ופיתוח ותעניק פרסים על הישגים וחדשנות .זאת על מנת לתת ביטוי לפוטנציאל המצוינות הקיים בקרב החוקרים והיוזמים בארץ. .3 משמעויות אי-קיומה של מדיניות ליישומים ביומטריים: 3.1עד היום ,לא גובשה מדיניות לאומית כוללת באשר ליישומים ביומטריים; לא הוגדרו "כללי משחק" אחידים; וכל מערכת טופלה לגופה ,ללא ראייה כוללת .נדרש לבחון ,לגבי המערכות אשר הוקמו טרם הגדרתה וקביעתה של מדיניות מוסדרת ,מהן השלכות המדיניות העדכניות על אופן תפעולן והתפתחותן. 3.2בנוסף ,ישנן תכניות ויוזמות שונות להקמת יישומים ביומטריים חדשים ,בממשלה, במגזר התאגידים הממשלתיים ובמגזר הפרטי. 3.3אי-קיומה של מדיניות לאומית כוללת ,גורמת לחוסר יכולת הכוונה ,לכפילויות ולאי- הבטחת קישוריות – הן לגבי יישומים קיימים והן לגבי יישומים חדשים. 3.4מאידך ,קיימת התפתחות מהירה של טכנולוגיות חדשניות המשתנות בהתמדה .קיום מדיניות יאפשר להנחות ,לתאם ולבקר את אופן מימוש היישומים השונים. 3.5הטכנולוגיות הביומטריות המובילות ,מיוצרות ברובן על ידי חברות בינלאומיות. יישומים ביומטריים מחייבים ככלל רכישת מוצרים בינלאומיים ,שלגביהם אין למדינה שליטה .לדוגמה ,שילוב טביעת אצבע במכשירים ניידים או במכשירים סלולאריים ,תוך הפצתם למיליוני משתמשים .גם על תקנים בינלאומיים אין למדינת ישראל שליטה או השפעה יתרה ,והם מאומצים בישראל ככלל כפי שנקבעו בתהליך התקינה הבינלאומי. 3.6בהתאם לאמור לעיל ,הממשלה החליטה שיש לקבוע מדיניות כזאת ,ששתיים מתוצאותיה העיקריות ,אשר יוצגו בפרקים הבאים ,הן: 3.6.1הגדרת "גבולות הגזרה" באשר להתערבות הממשלה במגזרים השונים. 3.6.2קביעת "קווים מנחים" ליישומים ביומטריים קיימים ומתוכננים. .4 יעדי המדיניות והחזון: 4.1יעדי המדיניות והחזון הם: 4.1.1יישומים ביומטריים יתנו מענה מושכל ,בטוח ומאוזן לצרכים של הפרטים, התאגידים והגופים השונים של המדינה ,באופן אשר יביא ליותר התייעלות, חסכון ,רווחים כלכליים ובטחון. 4.1.2בהקשר זה" ,שימוש מושכל ,בטוח ומאוזן" כולל הגנה על הפרטיות ,המידע והביטחון ואיזון בין התועלת לבין הסיכון. עמוד 23מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 4.2מטרות המשנה של המדיניות הינן כדלקמן: 4.2.1חיזוק תהליכי אימות והזדהות ,והגנה על זהויות האזרחים ותושבי מדינת ישראל. 4.2.2השגת שיפור משמעותי ברמת מתן השירותים לציבור והנגשתם ,הן על ידי המגזר הממשלתי והן על ידי מגזרים אחרים ,מבחינת נוחות ,זמינות וביטחון. 4.2.3גיבוש הסדרה מתאימה ,להקמת יישומים ביומטריים בצורה אחראית ומאוזנת, שתאפשר הטמעת יישומים ביומטריים במקומות שבהם היו יכולים להביא לתועלת והתייעלות. 4.2.4ביטול כפילויות של מערכות ותשתיות ממשלתיות להזדהות ,ובפרט – צמצום מאגרי מידע ביומטריים ממשלתיים וציבוריים. 4.2.5הרחבת היישומים הביומטריים על בסיס תעודת הזהות החדשה. 4.2.6יצירת הסדרים מיוחדים עם הגופים המיוחדים. .5 עקרונות מסגרת למימוש יישומים ביומטריים: 5.1תכנון מראש וניתוח סיכונים: 5.1.1יישומים ביומטריים מאפשרים לספק שורה גדולה של שירותים חדשים, בטוחים ופשוטים ,הן לתושבי המדינה על ידי הממשלה והמגזר הציבורי ,והן ללקוחות/צרכנים על ידי גופים עסקיים הפועלים משיקולי רווח כלכלי. 5.1.2יחד עם זאת ,בצד יתרונות השימוש בזיהוי הביומטרי החד-ערכי קיימים גם סיכונים ,כאשר העיקרי בהם הוא הקושי הרב ,עד כדי חוסר יכולת" ,לבטל" או "להחליף" מידע ביומטרי לאחר שנחשף ו/או נעשה בו שימוש לרעה (שלא כמו, לדוגמא ,במקרה של סיסמאות רגילות) .התממשותם של הסיכונים עשויה להביא לפגיעה בביטחון ,במידע ובפרטיות. 5.1.3השימוש במערכת ביומטרית צריך שיהיה מושכל ,אחראי ומידתי בהקשר הרלבנטי. 5.1.4ההחלטה על שימוש במערכת ביומטרית נדרשת להישען על ניתוח מקדים שייעשה בגוף ויתועד על ידו .הניתוח המקדים יתועד ויכלול שקילת חלופות לעצם השימוש ביישומים ביומטריים ,כולל ניתוח היתרונות אל מול הסיכונים הכרוכים בכך (ראה גם להלן לגבי "תכנון לפרטיות") .התיעוד נועד לוודא שהחלטות בעניין זה אינן מתקבלות כלאחר יד ,אלא רק לאחר שנבדקו השיקולים השונים. 5.2עיקרון הגנת הפרטיות: 5.2.1החלטתו של אדם למסור את נתוניו לידי צד שלישי ,מהווה ויתור מסוים על פרטיותו .כך גם לגבי מסירת נתונים ביומטריים למשמרת במערכת ממוחשבת, על מנת ליהנות מיתרונות היישומים הביומטריים הנלווים אליה .יחד עם זאת, אין הוא מהווה ויתור גורף על הפרטיות. 5.2.2לפיכך ,ניהול יישומים ביומטריים חייב להסדיר ולהבטיח ,לצד התועלות ,גם את פרטיותם ,ביטחונם וכבודם של המשתמשים שמהם ניטלו אמצעי הזיהוי הביומטריים ,תוך נקיטת אמצעי אבטחת מידע מתאימים 5.2.3השימוש במערכת ביומטרית צריך שיהיה מושכל ,אחראי ,מאוזן ומידתי. עמוד 24מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 5.2.4תכנון לפרטיות ( :)Privacy by designמערכת ביומטרית צריכה להיות מתוכננת תוך שילוב ותכנון מראש של היבטי הגנת הפרטיות .האם מערכת שאינה כוללת מאגר ביומטרי נותנת מענה לצרכים ולמטרות היישום ,בהתחשב בכל השיקולים הרלוונטיים. 5.2.5יש לשאוף לצמצום ככל שניתן של היקף המידע הנאסף (הן מבחינת סוג הביומטריה הנבחרת ומספר סוגי ו/או אמצעי הביומטריה הנאספים/נשמרים), והגבלת משך זמן שמירת המידע. 5.2.6כמו כן קיימים כלים שונים מתחום אבטחת המידע (ראו להלן) אשר משמשים לצורך הגנת הפרטיות. 5.2.7ניהול יישום ביומטרי ,הכולל מאגר ביומטרי אשר לגביו חלה חובת רישום, כפוף לחוק הגנת הפרטיות ,התשמ"א ,1981 -והתקנות שמכוחו. 5.3עקרון שמירת קיום התכלית: 5.3.1יש לוודא כי מטרות האיסוף והשימושים במידע הביומטרי במסגרת היישום הביומטרי ,נשמרים בהתאם לתכלית המקורית שנקבעה. 5.3.2יש לוודא באופן רציף כי לא נעשה שימוש במידע הביומטרי למטרות השונות מהתכלית המקורית שנקבעה והוצהרה מלכתחילה בפני המשתמשים ,טרם הרכשת הביומטריה מהם. 5.4עקרון שמירה על כבוד האדם וטיפול בחריגים: 5.4.1בתכנון המערכת ויישומה ,יש להבטיח שמירה על כבוד האדם ,הן בתהליכי ההרכשה ,הן בתהליכי אימות הזהות ,והן בטפול בתוצאות ההשוואה. 5.4.2יש לקבוע הליכי טיפול באוכלוסיות חריגות .הגדרת אוכלוסייה חריגה יכולה להיות בין כתוצאה ממגבלות פיזיולוגיות (לדוגמה – אנשים שלא ניתן ליטול מהם טביעות אצבע באיכות המזערית הנדרשת) ,או כתוצאה ממגבלות המערכת הביומטרית עצמה (כגון – התנאים הפיזיים בהם נלקחות דגימות ביומטריות לאימות) ,או בשל סיבה אחרת בגינה יש לפטור אוכלוסייה זו או אחרת משימוש ביישום ביומטרי. 5.4.3יש לשאוף לכך כי ,ככל שניתן ,דרכי טיפול בחריגים לא יפלו לרעה שום אוכלוסייה ,ביחס לאוכלוסייה המטופלת בערוץ הביומטרי. 5.5עקרון ההתייעלות: 5.5.1יישומים ביומטריים מאפשרים לחברות ולגופי השוק הפרטי ,כמו גם לממשלה ולמגזר הציבורי ,להתייעל ,להקל על "עשיית עסקים" ולפעול באופן בטוח ופשוט יותר .כל אלו מתאפשרים תוך עשיית שימוש בזיהוי הביומטרי שהינו מן המדויקים ביותר שהטכנולוגיה מספקת כיום ומבוסס על מידע שאדם נושא עימו תמיד .המשמעות עבור המגזר הפרטי הינה כלכליות ורווחיות .המשמעות עבור המגזר הציבורי הינה הסרת חסמים בירוקראטיים ,ביטול כפילויות, חדשנות וגמישות ,מתן שירותים ברמה גבוהה וזמינה יותר ובכך גם תרומה כלכלית לתל"ג. 5.5.2יישומים ביומטריים מסוימים מייתרים את הצורך בשימוש בסיסמאות ,כולל הצורך לזכור ולשמור סיסמאות שונות ורבות על מנת להזדהות בפני מערכות ויישומים שונים .בכך יש כדי להביא לתהליך הזדהות ואימות זהות פשוט ויעיל יותר. 5.5.3יש למצות באופן המיטבי את היתרון בתהליך ההזדהות היעיל אשר היישומים הביומטריים מאפשרים ,להשגת תועלות לפרט ולמדינה. עמוד 25מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- " 5.5.4שם המשחק" הוא איזון בין התועלות לבין הסיכונים ,וזאת באחריות כל גורם מיישם .תפקיד מערך ההסדרה הינו להבטיח איזון זה ,ככל שניתן. 5.6עקרון צמצום סיכוני אבטחת מידע: 5.6.1כאמור ,ביתרונות הזיהוי הביומטרי החד-ערכי טמון גם סיכון ,בין היתר בשל הקושי הרב ,עד כדי חוסר היכולת" ,לבטל" או "להחליף" מאפיינים ביומטריים לאחר שנחשפו ,והשימוש לרעה שניתן לעשות במידע הביומטרי שדלף. 5.6.2יש לנתח את סיכוני אבטחת המידע של כל יישום ביומטרי מראש ,ולנהל סיכונים אלו בצורה שיטתית .יש לנסות ולצמצם מראש את סיכוני אבטחת המידע על ידי שילובם בשיקולי התכנון ,כבר מהשלבים המוקדמים של תכנון המערכת. 5.6.3יש להבטיח שרמת אבטחת המידע לא תישחק לאורך זמן ,מסיבות ארגוניות, תקציביות או משמעתיות. .6 עקרונות ספציפיים למימוש היישומים הביומטריים: 6.1בנוסף לעקרונות הכלליים שתוארו לעיל ,גובשו שלושה עקרונות נוספים ,בנושאים ספציפיים ,כמפורט להלן. 6.2עיקרון הרחבת היישומים ביומטריים על בסיס התיעוד החכם החדש: 6.2.1מדינת ישראל קיבלה החלטה לתת בידי אזרחיה תעודות זהות ודרכונים חכמים המכילים גם מידע ביומטרי .היקף ההשקעה בפרויקט התיעוד החכם, ופוטנציאל היתרונות הגלום בשימוש מושכל בהן ,מחייב פעולה שמטרתה הרחבת השימושים והשירותים על בסיס תעודת הזהות .יובהר שאין הכוונה להתייחס במסמך זה לשימוש במאגר הביומטרי אשר הגישה אליו היא מצומצמת ומוגדרת בחוק ,ואשר נחיצותו נבדקת במסגרת תקופת המבחן.13 6.2.2יש לפעול להשגת מירב התועלות להזדהות מאובטחת על בסיס תעודת הזהות החכמה ,באופן שיאפשר את הרחבת סל השירותים הניתנים לתושבים, התייעלות בתהליכי עבודה ,הקלה ופשטות באופן מתן שירותים ,והקלה על "עשיית עסקים" בישראל .כל זאת -בכפוף להגנה על הפרטיות ואבטחת המידע. 6.3עיקרון צמצום המאגרים הביומטריים: 6.3.1ככלל ,יש לשאוף לצמצום המאגרים הביומטריים .כפי המפורט לעיל תחת עקרונות הפרטיות ,על גוף הבוחר לנהל יישום ביומטרי לשקול האם ניתן לקיימו ללא מאגר ביומטרי. 6.3.2שאיפה זאת נובעת משני מקורות :המקור האחד נובע משיקולי הגנת הפרטיות ואבטחת מידע ,המקור השני נובע משיקולים פונקציונליים וכלכליים של מניעת כפילויות באחסון מידע ביומטרי של התושבים במאגרי מידע מקבילים, והשקעות כספיות עודפות של המדינה. 6.3.3אמירה כללית זו צריכה להיבחן למול נסיבות המקרה הפרטני ובהתחשב בשיקולים נוספים הרלוונטיים להחלטה על אופן הקמת מערכת. 6.3.4עקרון צמצום המאגרים הביומטריים יחול ביתר שאת במגזר הממשלתי, ובמקרים מסוימים עשוי לחול גם לגבי מאגרים ביומטריים במגזר הפרטי. 13חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע ,התש"ע – ,2009קובע את האופן בו יינתנו בידי תושבי מדינת ישראל תעודות זהות ומסמכי נסיעה חכמים משולבי ביומטריה .החוק קובע כי הוראותיו יבחנו במסגרת "תקופת מבחן" בת שנתיים בה תיבחן גם נחיצותו של המאגר הביומטרי ומטרותיו. עמוד 26מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 6.3.5ככל שמדובר על העברת מידע בין גופים ציבוריים ,הדבר יתבצע בכפוף לכל דין, לרבות חוק הגנת הפרטיות ,התשמ"א – ,1981והתקנות שמכוחו. 6.4עיקרון ההסדרים המיוחדים: 6.4.1מדינת ישראל מתמודדת עם אתגרים מורכבים ביותר בתחום הביטחוני ,כולל לחימה בטרור ,הגנה כנגד תקיפות סייבר ,מאבק בפשיעה המאורגנת וכיו"ב. 6.4.2על בסיס המדיניות ומימושה ,יש ליצור "הסדרים מיוחדים" לגופים הכוללים את -משטרת ישראל ,צה"ל ,שירות ביטחון כללי ,המוסד למודיעין ולתפקידים מיוחדים ,הגופים המונחים ע"י מלמ"ב במשרד הביטחון ,ושרות בתי הסוהר כפי שנדרש בהחלטה .4510 .7 עקרונות מדיניות אבטחת המידע ליישומים ביומטריים: 7.1כללי: 7.1.1במסגרת תפקידי הממונה על היישומים הביומטריים המופיעים בהחלטת ממשלה ,4510בסעיף 2ד' ,מוגדר כי עליו להמליץ לראש הממשלה על "מדיניות כוללת במשרדי הממשלה ,בתאגידים ממשלתיים ובגופים פרטיים ,בתחום אבטחת מאגרי המידע הביומטריים ,לרבות לעניין :נהלים ותקני האבטחה, חומרה וקישוריות בין המאגר למשתמשים בו ,למעט בנושאים המוסדרים בחוק להסדרת הביטחון בגופים ציבוריים ,התשנ"ח– .1998תקני האבטחה שיומלצו על-ידי הממונה ,ייקבעו לאחר היוועצות עם המטה הקיברנטי הלאומי במשרד ראש הממשלה (להלן -המטה) ,ולא יהיו פחותים מתקני האבטחה שייקבעו בעתיד ביחס לכלל המאגרים על-ידי המטה או על-ידי גוף אחר שיוסמך לכך על ידי המטה". 7.1.2בהתאם לאמור לעיל ,מובאת בזאת המדיניות המוצעת על ידי הממונה בתחום אבטחת מאגרי המידע הביומטריים בישראל .מובהר כי מאגרי מידע כוללים גם את יישומי הגישה אליהם והשימוש בהם. 7.1.3יודגש כי נושא אבטחת מידע הוא שיקול מרכזי בהקשר להקמה ,שימוש וניהול יישומים המשלבים אמצעים ביומטריים בהליך הזדהות המשתמשים כלפי היישום/שירות ובוודאי ,כאשר השירות הניתן כרוך בסיכון לגניבת זהות. 7.1.4מעטפת הגנה מיטבית ,מוכחת וברת תיקוף ,הנמשכת לאורך כל מחזור החיים של יישומים ביומטריים ,הינה חשובה הן לגוף נותן השירות והן לציבור המשתמש בשירותי הזיהוי/אימות בבואו לקבל שירותים ממגזרים שונים במשק. 7.1.5קיים סיכון רב ליכולת המימוש והפריסה של יישומים מבוססי ביומטריה ללא השגת אמון הציבור בחוזקה של מעטפת הגנה השומרת על מזהיו הביומטריים. לאור זאת ,אבטחת רכיבי הזיהוי הביומטריים במערכות המספקות שירותי זיהוי ואימות ,מהווה מקדם צמיחה והתייעלות לשימוש ביישומים ביומטריים. 7.1.6חובתה של המדינה בהגנה על זהותו של אדם הינה חזקה ביותר כאשר השירותים אותה היא מספקת או מתירה לגופים אחרים לספק ,מותנים בחובת זיהוי המשלב אמצעים ביומטריים .שכן ,במקרים אלו ,אין לצרכן ברירה אלא להסכים לתהליך הרכשת נתוניו הביומטריים. עמוד 27מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 7.2מטרות מדיניות האבטחה המוצעת: 7.2.1הצגת מסגרת דרישות ייחוס להגנה על יישומים ביומטריים בישראל ,המחייבת במימוש את כלל הגופים המפעילים יישומים ביומטריים או מתעתדים להקימם והמופיעים בחוקים ,תקנות ,צווים ובהחלטות ממשלה שונות העוסקות ביישומים ביומטריים .קביעת שפת מונחים משותפת הנוגעת להכרות עם התהליכים והאמצעים הנדרשים להיות משולבים בתוכנית ההגנה על היישומים הביומטריים ,בכל הנוגע לדרישות אבטחת המידע והגנת הפרטיות. 7.2.2שמירת רמה גבוהה ומתמשכת של מעטפת אבטחת המידע. 7.2.3שיפור רמת אבטחת המידע בציר הזמן כדי להתאימה לרמת איומי ייחוס חדשים ,ככל שיתקיימו. 7.3איומים ותרחישי ייחוס: 7.3.1הקמת יישום ביומטרי לצורכי זיהוי ,לא כל שכן יישום ביומטרי הכולל מאגר נתונים ביומטריים ,מאפשר את זיהויו של אדם בדרגת אמינות גבוהה מאוד, שאיננה ניתנת כמעט לזיוף אלא בתנאי שמצליחים לזייף את המרכיב הביומטרי בו מזדהים ,דבר שהינו בדרגת קושי גבוהה יותר מזיוף אמצעי זיהוי אחרים. 7.3.2מדינת ישראל ,כמו מדינות רבות נוספות בעולם ,אימצה את הליך הזיהוי הביומטרי כחלופה בטוחה מועדפת לזיהוי תושביה בתיעוד לאומי ומממשת זאת בפרוייקט המבוצע באחריות משרד הפנים ,ואשר מוסדר בפירוט בחוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התש"ע – .2009בעניינו של המאגר הביומטרי אשר הוקם מכוח החוק הנ"ל קיימות בחוק הוראות ספציפיות .יודגש כי מסמך זה אינו מתייחס לפרוייקט המבוצע באחריות משרד הפנים ,ובכלל זה למאגר הביומטרי .לצד מאגר זה ,אם כי בהיקפים מצומצמים יותר ,קיימים כבר כיום מאגרי מידע המכילים נתונים ביומטריים של תושבי ישראל בחתכי אוכלוסיה שונים לצורכי זיהוי שונים: ביטחוניים ,רפואיים ,עסקיים ואחרים. 7.3.3השגת גישה למאגר ביומטרי או גישה למאגרי מידע אחרים בהיקפים מצומצמים יותר ,או גישה למידע ביומטרי העובר בתווך תקשורת או ביחידות הקצה ,ע"י גורמים בלתי מוסמכים /בלתי מורשים ,מקנה בידם יכולות לבצע מניפולציות שונות ממניעי פשיעה כלכלית ,פגיעה בפרטיות ואף פגיעה בביטחונה ו/או ניהולה התקין של המדינה. 7.3.4השגת נתונים ביומטריים שלא בסמכות ורשות מתוך יישום המשלב ביומטריה בתהליך ההזדהות ,עלולה אף לשמש כאמצעי הזדהות במערכת שונה המשלבת הזדהות ביומטרית מאותו סוג. 7.3.5איומי הייחוס כנגד יישומי זיהוי ביומטריים המתבססים על טכנולוגיות מידע, דומים במאפייניהם לאיומי ייחוס כנגד מערכות מידע בכלל ,כאשר במקרה זה האיומים המרכזיים הם גניבת הזהות ושימוש בה שלא על ידי בעליה ,עקיפת רכיב הזיהוי וגישה ישירה למערכת המידע או שיבוש היישום וכפועל יוצא - שיבוש תפקוד המערכת בה משולב היישום הביומטרי. עמוד 28מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 7.3.6היווצרותם של איומי ייחוס היא פועל יוצא מנקודות תורפה הנוצרות בתהליכי עבודה בארכיטקטורת מחשוב שגויה ,הטמעה טכנולוגית שגויה של היישום, כשלי הגדרות ציוד בכלל ורכיבי הציוד הביומטרי בפרט וכשלי תוכנה .כל אלו ניתנים לניצול על ידי בעלי ידע מתאים למטרות לא רצויות העלולות לפגוע בפרט או במדינה. 7.3.7איומי הייחוס כנגד מערכות מחשוב ,בין אם הם משלבים או שאינם משלבים אמצעים ביומטריים לצורך הזדהות ,הינם רבים ומגוונים .יכולות גורמי תקיפה במרחב הסייבר כיום הן גבוהות ביותר ומתרבות ומתעצמות בקצב מהיר ,ומנגד משקלם של איומי ייחוס אחרים לא פחת .יכולות מימוש תרחישי איום לוגייםבמרחב הסייבר כיום אינן נחלת מעצמות בלבד אלא נחלתם של גורמים רבים ומגוונים ובהם ארגונים ,קבוצות ופרטים ,שרכשו ושיתפו ידע ממקורות רבים ושונים ,לרבות שיתופי ידע ברשת האינטרנט .לנוכח התועלות שיכולים גורמים עוינים להרוויח ,לו השיגו מאחז במאגר ביומטרי או בתווך התקשורת אליו וממנו ,והנזק החמור שיכול להיגרם מכך למדינה ,נדרשת השתת רמת הגנה בעלת רף גבוה במיוחד. 7.3.8רף זה ניתן יהיה להשגה כאשר יינתן מענה לכל התרחישים השונים המאפשרים את התממשותם של איומי הייחוס .המענה הביטחוני/אבטחתי יאפשר זיהוי מהיר של תרחישי האיום בהתהוותם ,יכולת הכלתם ,ניהולם ונטרולם ובהתקיים הצורך ,מעבר מהיר לשיקום והשבת רכיב הזיהוי הביומטרי לפעילות תקינה. 7.4מדיניות הגנה לאומית על יישומים ביומטריים בישראל: 7.4.1אבטחת מידע הינה אוסף של נהלים ,אמצעים טכנולוגים ותהליכים שנועדו להגן על מידע הנדרש בחיסיון ,ועל חסינות תפקוד מערכות מידע התומכות בו .כל זאת ,ללא קשר למהות המידע .לדוגמה :מיפוי מידע רגיש/קריטי במערכת נתונה ,סקרי סיכונים ,סיווג משרות ,הגדרת משתמשים על בסיס צורכי תפקיד ו"הצורך לדעת" ( ,)NEED TO KNOWאבטחת רשומות (סיווג ,סימון, העתקה ,הדפסה ,אחסון ,הפצה ,השמדה) ,סידורי אבטחה פיזיים ,בקרות גישה, הצפנה ,כלי סינון תוכן ,ניטור ,רישום ועוד .בתפיסה זו אין כל הבדל בשאלה אם מדובר במידע הנוגע לצנעת הפרט או במידע רגיש אחר. 7.4.2לאור האמור לעיל ,בכל הנוגע לאמצעי אבטחת מידע טכנולוגיים ביישומים ביומטריים ,לא נדרשת הפרדה בין אמצעים עבור הגנת הפרטיות ואמצעים עבור הגנת מידע מכל סוג אחר ,ככל שקיימת לגביו דרישות חיסיון מתוקף כל חוק, תקנה ,רגולציה או נהלים פנימיים .אוסף האמצעים והתהליכים הוא זהה ,הגם, שעוצמת השימוש בהם עשוייה להשתנות בהתאם לרגישות המידע ,בין אם מידע הנוגע לניהולה התקין של המדינה או מידע הנוגע לצנעת הפרט. 7.4.3יחידת הממונה נדרשת להכיר את היישומים הביומטריים הקיימים במדינת ישראל ,שהינם רלוונטיים על פי "גבולות הגזרה" ,לצורך בקרה ועדכון ההנחיות הנוגעות למעטפת הגנה מתאימה למידע הביומטרי. עמוד 29מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 7.4.4 מעורבות היקף הליווי של יחידת הממונה ובפרט המעורבות בהגדרת דרישות ההגנה על יישומים ביומטריים בגופים הממשלתיים הינה בין היתר בהתאם למאפייני היישום כדלהלן (הערה :תבחינים מחייבים מוצגים בפרק ד' – "גבולות גזרה" ,סעיף 4שם): 7.4.4.1פוטנציאל פגיעה בביטחון המדינה -פוטנציאל פגיעה בחיסיון מידע בטחוני רגיש. 7.4.4.2פוטנציאל פגיעה בניהולה התקין של המדינה -פגיעה במושאי תשתית ו/או שלטון קריטיים. 7.4.4.3פוטנציאל פגיעה בפרטיות – חשיפת פרטים אישיים של אזרחי המדינה ו/או הטרדתם. 7.4.4.4פוטנציאל נזק כלכלי אישי – פוטנציאל הונאות ,מעילות. 7.4.4.5כמות הנתונים הביומטריים של הפרטים המשולבים ביישום. 7.4.4.6יישום נטול מאגר או יישום המשלב מאגר. 7.4.4.7תפוצת השימוש ביישום – שימוש עבור ארגון נתון או שימוש עבור מספר ארגונים. עמוד 30מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- פרק ד' – "גבולות הגזרה" עמוד 31מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- פרק ד' – "גבולות הגזרה" .1רקע: 1.1בעגה הצבאית" ,גבולות גזרה" מגדירים את הקו המפריד בין שתי יחידות שכל אחת אחראית על תחום שטח מסוים במרחב לחימה" .גבולות גזרה" נועדו לתחם בין הכוחות, כך שיוכלו לבצע את משימתם ללא הפרעה האחד לשני ותוך תיאום ביניהם .מושג זה הושאל בהתאמה גם להגדרת גבולות אחריות בין גופים אזרחיים הפועלים בתחום כלשהו. " 1.2גבולות הגזרה" במובן שבו נעשה שימוש במסמך זה ,מציינים את מידת המעורבות של המדינה (באמצעות הגורמים המסדירים הרלוונטיים) כלפי גופים המיישמים יישומים ביומטריים .הם נועדו לתאם בין תפישת האחריות וההכוונה של המדינה לבין משרד ממשלתי (כ"לקוח" ,להבדיל ממשרד ממשלתי כ"גורם הסדרה") ,תאגיד ממשלתי ,או עסק פרטי אשר משלב יישום ביומטרי לצרכיו הוא. 1.3בנוסף ,מתייחסים "גבולות הגזרה" גם לממשקים של הממונה עם גופים ממשלתיים מסדירים אחרים ,כגון רמו"ט .הגדרת "גבולות גזרה" כלפי גופים ממשלתיים עמיתים, נועד למנוע בלבול והפרעה אצל הגופים המיישמים יישומים ביומטריים וכן למנוע כפילויות בהקצאת משאבי הממשלה לתכנון מדיניות וליישומה ,על ידי גופים מקבילים. 1.4מסמך מדיניות זה נכתב לאור עקרונותיו והנחיותיו של המדריך הממשלתי שנערך על ידי אגף ממשל וחברה במשרד ראש הממשלה – "תורת הערכת השפעת ההסדרה" שמכוון "להסדרה מיטבית" .כלומר ,לייצר תהליך שיטייב את הרגולציה באופן שתועלתה תהיה מרבית ומחיריה מועטים. .2עקרונות "גבולות הגזרה" לצורך "הסדרה מיטבית": 2.1הימנעות מהתערבות-יתר בפעילות גופים שהינם בעלי האחריות על היישומים .אחריות הניהול תישאר אצל גופים אלו והמעורבות תהיה במינון המתחייב על מנת להבטיח שהיישומים ימומשו בצורה הנכונה ביותר. 2.2על מנת להימנע מהטלת עומס הסדרה מיותר ו"נטל רגולציה" על הציבור ,יחידת הממונה תבצע ליווי של פרויקטים ממשלתיים חדשים הכוללים יישום ביומטרי ,החל משלב הייזום ועד להפעלה מבצעית ,תוך היוועצות עם הרגולטורים הרלוונטיים לתחום בו פועל היישום .רגולטורים קיימים ,ובפרט רשם מאגרי המידע ברמו"ט ,יישמו את המדיניות במסגרת הסמכויות הקיימות להם ,לרבות סמכויות אכיפה ופיקוח ,בכפוף לדין ,בתיאום עם הממונה על היישומים הביומטריים. 2.3מימוש ההסדרה ייעשה על ידי הכלים הבאים :חקיקה; תקינה; "קווים מנחים"; הוראות; נהלים ופרסומים כתובים אחרים ,כמפורט להלן. עמוד 32מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .3כלי ההסדרה: 3.1חקיקה: 3.1.1חקיקה מאפשרת הגדרת גבולות אחריות ברורים ומניעת מחלוקות ופרשנויות (ככל שניתן) באשר למה מותר ומה אסור בניהול פרויקט משולב ביומטריה ,בפרט כאשר מדובר בחיוב של ציבור או קבוצה מסויימת במתן ביומטריה :לדוגמה ,החקיקה הקיימת בהקשר לשימוש בביומטריה כאמצעי לזיהוי פלילי על ידי משטרת ישראל, או החקיקה אשר הגדירה את אופן השימוש בביומטריה בפרויקט משרד הפנים, לרבות הגדרת "תקופת המבחן" שנועדה לקבוע ,בין היתר ,את נחיצות המאגר הביומטרי .לא בכל מקרה או יישום קיים צורך בחקיקה פרטנית מסוג זה. 3.1.2בהתאם לצורך תקודם חקיקה מתאימה בהקשר ליישומים ביומטריים ,במקרים מסוימים .אין מדובר בחקיקה רוחבית גורפת ,בהכרח ,אלא במתן מענה חקיקתי בהקשר של תחומי אחריות ייעודיים ובמסגרת חקיקה ייעודית. 3.2תקינה: 3.2.1תהליך התקינה הינו טכני במהותו ,ונועד לאפשר התפתחות כלכלית על בסיס "כללי משחק" טכנולוגיים ברורים .בדרך כלל מדובר בממשקים בין מערכות, לצורך יצירת "מערכות פתוחות" ,ותחליפיות בין רכיבים שונים .היעדר תקינה עלול להביא למצב של "שבי" של ארגון בידי ספק .דוגמה פשוטה לתקינה ,היא השקע והתקע החשמליים ,שהינם הבסיס לשימוש באלפי סוגי אביזרי חשמל בעלי ייעוד שונה .מקביל לוגי לכך בתקינה ביומטרית הוא תקן המגדיר את אופן העברת מידע ביומטרי בין מערכות שונות. 3.2.2בתחום הביומטריה ,התקנים מתייחסים לממשקי העברת מידע בין מערכות, לממשקים יישומיים אינטראקטיביים ( ,)APIלאופן שמירת מידע ביומטרי שיאפשר ממשקי גישה אחידים אליו וכיו"ב .תקנים אלו מאפשרים פיתוח רכיבים ביומטריים בצורה נפרדת ויעילה (כגון – מנועי השוואה ביומטריים ,או סורקי טביעות אצבע) ,תוך שמירת יכולת ההתממשקות בין רכיבים שונים מתוצרת ספקים שונים (כגון – אלגוריתמים ליצירת מאפיינים ביומטריים שעליהם תבוצע פעולת ההשוואה הביומטרית). 3.2.3ככלל ,הכוונה היא לאמץ תקנים רלוונטיים אשר ייקבעו על ידי ארגוני התקינה המובילים בעולם ,ולא לפתח תקינה ישראלית מקורית. " 3.3קווים מנחים": " 3.3.1קווים מנחים" ,מהווים מכשיר הנחייה להגעה ליעד של יישום ביומטרי מאוזן, ומגדירים גם את הציפיות שיש מארגון המתעתד ליישם מערכת ביומטרית ,או שכבר מיישם מערכת כזאת .לדוגמה ,הציפיה היא שהארגון יבחן היטב את כניסתו ליישום ביומטרי ,ולא יעשה זאת כלאחר יד .לצורך כך עליו לנתח את היישום ,את היעדים והסיכונים ,ולתעד זאת במסמך ייזום מתאים ,טרם היציאה לדרך. 3.3.2לפירוט בעניין "הקווים המנחים" ,ר' פרק ה' להלן. " 3.4הנחיות" :פרסום הנחיות מעת לעת ,בהקשר לאופן מימוש היישומים הביומטריים בהתייחס לנושאים קונקרטיים ,הינו כלי עזר נוסף ,היכול לשמש בפרט על מנת להתמודד עם מצבים המחייבים מתן מענה מידי או דחוף ,שאינו נתמך באמצעים האחרים .לדוגמה, הנחייה למשרדי הממשלה בעקבות איתור ליקוי במנגנוני אבטחת מידע או שימוש בסוג ביומטריה מסוים ,כתוצאה מתחקיר אירוע שהתפרסם בעולם או בישראל. עמוד 33מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .4תבחינים: 4.1כללי :הגדרת תבחינים ברורים המאפשרים את קביעת המסלול המתאים לניהול היישום במגזרים השונים ,בשקיפות ובאופן שמאפשר בחינה עצמית על ידי כל גוף בפני עצמו, מראש ועוד לפני קביעת המודל הסופי של אפיון המערכת .בכך ,לכלי זה ,חשיבות קודם כל בשלב הייזום והאפיון ,ובהמשך ,בשלב הליווי של יישומים קיימים .תבחינים אלה יסייעו בקביעת מידת המעורבות של המדינה לגבי יישומים מסויימים. 4.2קביעת התבחינים: 4.2.1לצורך קביעת מודל ,שיאפשר שימוש בו על ידי כל גורם המקים או מיישם מערכת ביומטרית ,נבחנו תבחינים מרכזיים המשפיעים על רמת רגישות המערכת והחשיפה לסיכונים ,כפי שהוגדרו לעיל במסמך זה. 4.2.2ככלל ,ככל שרמת הרגישות והסיכונים גבוהים יותר ,נדרשת מעורבות גדולה יותר. 4.2.3להלן פירוט התבחינים: 4.2.3.1המגזר. 4.2.3.2אופי היישום הביומטרי והיקף האוכלוסייה הכלולה ביישום. 4.2.3.3אופן שמירת המידע הביומטרי – תמונה ,תבנית או ייצוג מספרי מקודד. 4.2.3.4מקום איחסון המאגר הביומטרי. 4.2.3.5אופן הרישום למערכת -חובה או רשות. 4.2.4בנוסף על כך ,יינתן ביטוי במודל לתבחין הגנה על מידע ביומטרי של קטינים. 4.3המגזר: 4.3.1להלן המגזרים הרלבנטיים ,וזאת בהתאם להגדרה בהחלטה :4510 4.3.1.1משרדי הממשלה :למעט מי שבעניינו יתקיימו "הסדרים מיוחדים" לפי החלטה .4510 4.3.1.2תאגידים ממשלתיים :כולל תאגידים סטטוטוריים וכל תאגיד ממשלתי כמשמעו בחוק החברות הממשלתיות ,התשל"ה.1975- 4.3.1.3גופים פרטיים :הכלל הינו מעורבות על דרך הצמצום. 4.4אופי היישום הביומטרי והיקף האוכלוסייה הכלולה ביישום: 4.4.1כללי: 4.4.1.1התבחין כולל שני פרמטרים -אופי היישום הביומטרי והיקף האוכלוסיה הכלולה ביישום ,שכן השפעת היקף האוכלוסיה שונה בכל אחד מאופיי היישום המפורטים להלן. 4.4.1.2באופן זה ניתן לתת ביטוי נפרד להשפעת היקף האוכלוסיה הכלולה במערכת ,לגבי כל תרחיש .כך לדוגמה ,השפעת היקף האוכלוסיה ביישום המבוסס על אימות ביומטרי המבוצע על הכרטיס (,)Match on Card תהיה קטנה יותר מאשר ביישום המבוסס על מאגר ביומטרי עם אימות ביומטרי בלבד (.)One to Many 4.4.1.3בסעיפים להלן יוסברו פרמטרים אלו בפירוט. עמוד 34מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 4.4.2אופי היישום הביומטרי – חמש אפשרויות: 4.4.2.1היישום כולל מאגר ביומטרי בלבד ,המאפשר זיהוי ביומטרי (.)One to Many 4.4.2.2היישום כולל מאגר ביומטרי בלבד ,המאפשר אימות ביומטרי (.)One to One 14 4.4.2.3היישום כולל כרטיס בלבד ,כאשר ההשוואה הביומטרית נעשית על הכרטיס (.)match on card 4.4.2.4היישום כולל כרטיס בלבד ,כאשר ההשוואה הביומטרית נעשית מחוץ לכרטיס (.)match off card 4.4.2.5היישום כולל שימוש הן במאגר ביומטרי והן בכרטיס .יצוין כי חלופה זו אינה כוללת התייחסות לסוג המאגר ולסוג הכרטיס ,כפי שנעשה בחלופות האחרות. 4.4.3אופי היישום הביומטרי – משמעויות: 4.4.3.1ביישום שבו הנתונים הביומטריים נשמרים רק על כרטיס ,הדליפה הישירה שעלולה לקרות הינה ברמת כרטיס בודד .יחד עם זאת ,פגיעות מתמשכת ביישום ביומטרי (לדוגמה – "האזנה" לתקשורת שבין הקורא לכרטיס באתר מסוים) ,יכול להביא לחשיפת מידע מצטברת. 4.4.3.2כאשר נעשה שימוש בשיטה של השוואת נתונים על הכרטיס ( ,)match-on-cardמושגת על פניו רמה גבוהה יותר של אבטחת מידע והגנת הפרטיות שכן המידע הביומטרי הרשמי אינו יוצא מהכרטיס ,אם כי מנגד ,כאמור ,המידע הביומטרי הניטל מהאדם מועבר מכיוון החיישן אל הכרטיס ועלול להיות חשוף ל"ציתות" אם לא יוגן כראוי .יחד עם זאת, החלופה בה ההשוואה מתבצעת על הכרטיס ,מקשה על האפשרות לתקן תקלות בתוכנה הייעודית המותקנת על הכרטיס לרבות תיקון פרצות אבטחה ,או לשדרג את טכנולוגית האימות. 4.4.4היקף האוכלוסייה הכלולה ביישום -עקרונות: 4.4.4.1פרמטר זה מתייחס להיקף האוכלוסייה הכלולה ביישום ,בין אם מדובר בכמות הרשומות הביומטריות במאגר ביומטרי ,ובין אם מדובר בכרטיסים הכוללים מידע ביומטרי. 4.4.4.2לגבי מאגר ,ככל שהמאגר גדול יותר ,מתבצעות יותר פעילויות של עדכון ושליפה ,ובדרך כלל ישנה נגישות של כמות גדולה יותר של עובדים למאגר, דבר המגדיל בהתאם את הסיכון לדליפת מידע. 4.4.4.3לגבי כרטיס עם מידע ביומטרי ,בין אם היישום כולל בנוסף מאגר ביומטרי ובין אם לאו ,הרי שהיקף האוכלוסיה מתבטא בין היתר בהיקף פעילות ההרכשה וההנפקה ,כנקודות תקיפה אפשריות .כל האוכלוסייה עוברת פעולות הרכשה וכל המידע על האוכלוסייה עובר במתקני הנפקה ,כך שסך החשיפה הביומטרית הינה עדיין פונקציה של היקף האוכלוסייה. 14המונח "כרטיס" כולל כרטיס חכם ,או התקן חיצוני אחר בבעלות ואחזקת האדם ,כמו מכשיר סלולרי. עמוד 35מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 4.4.5היקף האוכלוסייה הכלולה ביישום – רמות הסיווג: נקבעו חמש רמות לפרמטר "היקף האוכלוסייה" ,כדלקמן: 4.4.5.1ענק (מעל 1מיליון רשומות). 4.4.5.2גדול מאד (מעל 10,000רשומות ועד 1מיליון רשומות). 4.4.5.3גדול (מעל 10,000רשומות ועד 100,000רשומות). 4.4.5.4בינוני (מעל 1,000רשומות ועד 10,000רשומות). 4.4.5.5קטן (עד 1,000רשומות). 4.5אופן שמירת המידע הביומטרי -תמונה ,תבנית מאפיינים או תבנית מאפיינים מקודדת: 4.5.1תבחין זה מתייחס לרמת הקושי והמאמץ שיש לעשות בכדי לשחזר את המידע הביומטרי הגולמי המקורי ,מתוך המידע הביומטרי הנאגר. 4.5.2תבחין זה רלבנטי הן למאגר ביומטרי הנשמר על שרתים ,והן למידע ביומטרי הנשמר על התקן כלשהו (כרטיס חכם / token /התקן סלולרי). 4.5.3אפשרויות אופן אחזקת המידע במערכת הן: 4.5.3.1תמונה ( :)imageבמקרה זה נשמר מידע גולמי של הדגימה הביומטרית המקורית שנלקחה בעת ההרכשה. 4.5.3.2תבנית מאפיינים ( :)feature templateבמקרה זה נשמרים המאפיינים הביומטריים שמוצו מתוך הדגימה הביומטרית המקורית .כלומר ,בוצע עיבוד נוסף והמרה של הנתונים הביומטריים ביחס לתמונה ,דבר המאפשר מחד ביצוע פעולות הכרה ביומטרית (זיהוי או אימות) על פי האלגוריתמים השונים ,ובאותו זמן ,מקשה על שחזור התמונה המקורית. 4.5.3.3תבנית מאפיינים מקודדת :במקרה זה מתבצע עיבוד נוסף על נתוני התבנית ,על ידי הצפנה או מיצוי ( ,)hashingוכך מתקבלת תבנית מאפיינים מקודדת .לפירוט נוסף ראה פרק ה' – קווים מנחים ,סעיף .3.4.8 4.5.4מאגר תמונות מהווה סיכון גבוה יותר ,שכן הוא כולל את המידע הביומטרי המקורי של הדגימות ,אשר ניתן לתרגמן לתבניות – באלגוריתמים שונים ,לצורך חדירה או לתקיפה של מערכות אחרות. 4.5.5מידע בתבנית מאפיינים מצמצם חלק מסיכונים אלו אך לא באופן מוחלט ,שכן הוכח במחקרים שונים ,שניתן לשחזר מידע מתוך התבניות ,אשר גם אם לא ייראה דומה לעין האנושית ,הוא עלול להיות מספיק כדי להטעות מערכות ביומטריות. 4.6מקום אחסון הנתונים – במקרה של שמירת מאגר מידע ביומטרי: 4.6.1אחסון בשרתים בחצרי הארגון. 4.6.2אחסון בשרתים אצל ספק חיצוני בארץ (מיקור חוץ). 4.6.3אחסון בשרתים אצל ספק חיצוני בחו"ל (מיקור חוץ). 4.6.4הערה :מדובר לכאורה בסעיף "טכני" גרידא ,אולם בפועל יש לו השפעה מהותית על אבטחת המידע ועל הגנת הפרטיות. 4.7אופן הרישום למערכת – "חובה" או "רשות": 4.7.1תבחין זה עוסק באופן הרישום למערכת ובחובה שמוטלת על המשתמש הפוטנציאלי להירשם למערכת ,או לחלופין באפשרות הבחירה שבידו. 4.7.2ככלל ,ישנן שתי אפשרויות רשמיות: 4.7.2.1יישומים שהרישום אליהם הוא חובה. 4.7.2.2יישומים שהרישום אליהם הוא רשות ונתון לשיקול דעתו של כל אדם. עמוד 36מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 4.7.3היישום יהיה בגדר "רשות" (התנדבותי ,וולונטארי .)opt-out ,opt-in ,כאשר ההחלטה האם להיכלל ביישום ומתי לצאת ממנו ,הינה של האדם עצמו .יש להדגיש כי במקרים מסויימים על אף שהיישום יוגדר "התנדבותי" ,הנסיבות ילמדו כי בפועל לא קיימת חלופה ממשית וסבירה להצטרפות ליישום וכי לא היתה בידי האדם אפשרות ממשית להפעלת שיקול דעת ,ולכן לא יהיה ניתן להגדיר את היישום כ"רשות" .יתכנו גם מקרים בהם יהיה קושי להכריע בהתאם לנסיבות בין "חובה" ל"רשות" .לפיכך ,ניתן להגדיר גם מקרי ביניים ,תוך מתן הנמקות מתאימות ,וציון שישקף את מיקום היישום במדרג בין שתי האפשרויות הקיצוניות (ניקוד של בין 0ל.)10 - 4.7.4במערכות שבהן הרישום הוא בגדר "חובה" ,הנטייה תהיה בדרך כלל למעורבות גבוהה יותר. 4.7.5במערכות בהן הרישום הוא בגדר "רשות" ,הנטייה תהיה ככלל להשאיר את מרווח ההחלטה בידי המשתמש ולצמצם את מעורבות המדינה .עם זאת ,יובהר כי וולונטריות כשלעצמה אין משמעותה בהכרח העדר התערבות ,וישפיעו על כך גורמים נוספים המנויים בפרק זה. 4.8הגנה על מידע ביומטרי של קטינים: 4.8.1לדעת הממונה ,מידע ביומטרי של קטינים ,מחייב רגישות יתר בכל הקשור בתהליכי הנטילה ,האחסון והשימוש בהם. 4.8.2לפיכך ,ככל שמדובר ביישום ביומטרי שבו לפחות 50%מהאוכלוסיה שכלולה ביישום הם קטינים ,יינתן ניקוד בן 10נקודות בנוסף לניקוד הכולל של היישום. 4.9שיקול דעת הממונה :במקרים מסוימים יש מקום להפעלת שיקול דעת על ידי הממונה, למרות הניקוד ,להעביר יישום ביומטרי למסלול חמור/נמוך יותר במקרים חריגים. הערכת הקריטיות של היישום ברמה הלאומית ,היא שיקול מרכזי בעניין זה בפרט ביחס לפרויקטים ממשלתיים .שיקול הדעת יכלול את מידת ההשתלבות של היישום במערך היישומים הכלל-ממשלתי והאפשרות להשפעות-צד ( )side-effectsעל יישומים ממשלתיים אחרים. .5רמת מעורבות הטיפול במגזרים השונים: 5.1החלטה 4510הגדירה מספר מגזרים הרלבנטיים ליישומים הביומטריים ,כדלהלן: 5.1.1המגזר הממשלתי. 5.1.2תאגידים ממשלתיים -תאגידים סטטוטוריים וחברות ממשלתית. 5.1.3המגזר הפרטי. 5.2רמת המעורבות על פי המדיניות ,תיקבע ,בכפוף לדין ,בין היתר בהתאם לצורך באבטחת מידע ובהגנת הפרטיות ,ותבחינים נוספים .רמת המעורבות תושפע מהאיזון שבין צרכי "השוק החופשי" והכלכלה התחרותית ,לבין הגנה על אינטרסים של הפרטים ,בין אם אלו תושבים ,עובדים או צרכני שירותים .בהתאם ,מידת המעורבות ,בסדר יורד ,תהיה - במגזר הממשלתי ,בתאגידים הממשלתיים ולבסוף במגזר הפרטי. 5.3המעורבות במגזר הממשלתי מתחייבת מכך שמדובר פעמים רבות במאגרים ביומטריים רחבי היקף ובמערכות הנבנות לאורך זמן ,וכן בשל הצורך בהתייעלות ובראייה מתכללת בנושא ההישגים הנדרשים מהמערכות ,התיאום בין המערכות והמשאבים .המעורבות בפרויקטים המבוצעים על ידי התאגידים הממשלתיים ,תיגזר מהאמור לגבי המגזר הממשלתי ,בהבדלים המתחייבים מרמת הסמכות ,הפיקוח וההסדרה שיש למשרדי הממשלה לגבי תאגידים אלו ,בהתאמה. עמוד 37מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 5.4כאמור ,יחידת הממונה תבצע ליווי של פרויקטים ממשלתיים חדשים הכוללים יישום ביומטרי ,החל משלב הייזום ועד להפעלה מבצעית ,תוך היוועצות עם הרגולטורים הרלוונטיים לתחום בו פועל היישום ,בפרט רשם מאגרי המידע ברמו"ט .כל יישום ביומטרי במגזר הממשלתי ייבחן בשלב הייזום ,על מנת להבטיח התאמתו למדיניות, לתקינה ,ל"קווים המנחים" ,ולהוראות נוספות של הממונה .לגבי כל פרויקט במגזר הממשלתי תוגדר רמת המעורבות המתאימה וייקבעו נקודות הבקרה במהלך "מחזור החיים" כמפורט להלן: 5.4.1ייזום :בשלב זה מוגדרות מטרות המערכת והפרויקט ,לרבות ממשקים למערכות ארגוניות פנימיות ולמערכות חיצוניות .כמו כן מוגדרים המשתמשים הפנימיים בארגון ,ומשתמשים חיצוניים ככל שישנם כאלו .בשלב הייזום ייבחנו על ידי הממונה ,בתיאום עם המשרדים ,ההשלכות המרכזיות הנוגעות לאופן היישום הביומטרי על התושבים ,וההתאמה למדיניות הלאומית. 5.4.2אפיון :שלב זה מגדיר בצורה מפורטת את מרכיבי היישום .בשלב זה ניתן יהיה לבחון בפרט עמידה בתקנים ביומטריים מחייבים ,תאימות למדיניות ותאימות לשלב הייזום מבחינת עמידה במטרות המערכת ויעדיה .על הארגון לאשר את האפיון טרם המעבר לשלבים הבאים. 5.4.3עיצוב ,פיתוח ובדיקות :שלב זה כולל את פיתוח המערכת – בין אם על ידי גוף פנימי בארגון ,על ידי ספק חיצוני או על ידי שילוב ביניהם ,ולצורך מסירתה ללקוח ובדיקתה ,הן בדיקות סופיות על ידי הגוף המפתח והן בדיקות קבלה על ידי הארגון המקבל .בנקודת זמן זו ניתן יהיה לבחון שינויים שבוצעו במהלך הפיתוח, בהתייחס לאפיון שאושר בשלב הקודם על ידי הארגון ,תוך בחינת שינויים מהותיים בלבד ,שיש בהם משום סטייה אפשרית מהגדרת מטרות המערכת ואפיונה .בנוסף ,ניתן יהיה לוודא שהבדיקות תתבצענה לכל מרכיבי של האפיון. 5.4.4הפעלה מבצעית :שלב זה כולל את האישור האחרון להפעלה מבצעית של המערכת ("עלייה לאוויר") .בשלב זה ניתן יהיה לבחון האם דרישות שעלו במהלך השלבים הקודמים של הפיתוח (כגון – דרישה לעמידה בתקן מסוים ,דרישה לבצע בדיקות אבטחת מידע מסוימות ,או דרישה לנקוט באמצעי אבטחת מידע מסוימים כמו הצפנה) ,אכן מולאו ונבדקו .זוהי "ההזדמנות האחרונה" לפני העלייה לאוויר של המערכת ,לוודא עמידתה בדרישות המהותיות של היישומים הביומטריים. 5.4.5תחזוקה :שלב זה מאפיין את תקופת התפעול השוטפת של המערכת .תקופה זאת כוללת מהלכי שינויים והתאמות במערכת ,כתוצאה מאילוצים ,דרישות והתפתחויות טכנולוגיות ,חוקיות או ארגוניות .בשלב זה ניתן לבחון בעיקר שהשינויים המהותיים שבוצעו אינם מהווים סטייה ממטרות המערכת המקוריות שסוכמו ,וכי המערכת עומדת ב"קווים המנחים" שגובשו ליישומים ביומטריים. כמו כן ,בשלב זה ניתן לזהות את המועד שבו המערכת אינה עונה עוד על הצרכים שלשמם אופיינה ושיש לפעול להקמת מערכת חדשה ,ואז חוזרים לשלב הייזום, וחוזר חלילה. 5.5סיווג יישומים ביומטריים על פי תבחינים :ר' נספח א' הכולל מודל שקלול כמותי של התבחינים המתוארים לעיל לצורך סיווג היישומים הביומטריים בהתאמה. עמוד 38מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .6ניתוח "בעלי עניין": 6.1כללי :להלן "ניתוח בעלי עניין" בתחום הביומטריה ,הכולל גורמי מטה העוסקים בהסדרת תחומים המשיקים לפעילות הממונה ,והגדרה תמציתית של הממשקים בינם לבין הממונה. 6.2החטיבה לסיכול איומי סייבר במשרד ראש הממשלה (רא"מ) :הממשק הוא בתחום אבטחת המידע הכולל ובתחום הסייבר בפרט .הנחיות הממונה לגבי יישומים ביומטריים הנוגעות לאבטחת מידע אינן גורעות מסמכות החטיבה לסיכול איומי סייבר והן מהוות תוספות ודגשים ביחס לעבודת החטיבה. 6.3המטה הקיברנטי במשרד ראש הממשלה :המטה עוסק בתחום הרוחבי של הגנת מערכות מידע כנגד איומיי הסייבר .מערכות מידע ביומטריות ,ובפרט מערכות לאומיות ,יכולות להוות יעד מועדף לתקיפות סייבר ,לצורך גניבת זהויות ,טרור ופשיעה .מאידך ,יישומים ביומטריים יכולים לשמש כאמצעי התגוננות כנגד תקיפות סייבר .בהתאם ,מתחייב תיאום עם גורם מטה זה. 6.4הרשות למשפט מידע וטכנולוגיה (רמו"ט): 6.4.1רמו"ט עוסקת בהיבטי הגנת הפרטיות ביחס למאגרי מידע מסוגים שונים, בהתאם לקבוע בחוק הגנת הפרטיות ,תשמ"א ,1981 -ובכלל זה מאגרים ביומטריים .הממונה עוסק בהסדרת נושא היישומים הביומטריים בישראל ,על כל ההיבטים הכרוכים בכך ,לרבות היבט הגנת הפרטיות ,באופן הבא לאזן בין התועלות הטמונות ביישומים אלה לסיכונים הטמונים בהם. 6.4.2לאור ההשקה לעיל ,סוכם עם רמו"ט מודל על "גבולות הגזרה" כפי שתואר בסעיף 5.4לעיל. 6.5רשות התקשוב הממשלתי: 6.5.1גוף מטה זה עוסק בתחום מתן שירותים לציבור (ממשל זמין) ,מערכות מידע ממשלתיות רוחביות (מרכב"ה ,סע"ר) ,מחקר ופיתוח טכנולוגי בתחומי ממשל זמין (לדוגמה – ,SSOיישומי סלולאר) ,ועוד. 6.5.2התקשוב הממשלתי ,כולל מערך ממשל זמין ,הוא גורם משמעותי בכל הקשור לפיתוח יישומים ממשלתיים ובפרט כאלו שתשולב בהם ביומטריה לצורך הזדהות. 6.6רשות האוכלוסין וההגירה: 6.6.1הרשות מהווה גורם מסדיר בכל הקשור למרשם האוכלוסין ,תיעוד לאומי והגירה .בין היתר אחראי שר הפנים על חוק מרשם האוכלוסין ועל חוק הכניסה לישראל ,חוקים שמהווים את התשתית לפעילות הקשורה לרישום תושבים במרשם ,הנפקת תיעוד כולל תעודת הזהות ומסמכי נסיעה ,הנפקת אשרות לזרים המבקשים להגיע לישראל לשהייה מסיבות שונות (תיירים ,עובדים זרים, לימודים וכד') ,גירוש זרים השוהים באופן בלתי חוקי בישראל וכיו"ב. 6.6.2הביטוי המעשי של כל התחומים הללו הוא בפרויקטים של הקמת תשתית הזיהוי הלאומית ,אשר בחלקם כוללים גם מידע ביומטרי. 6.7משרד האוצר: 6.7.1אגף התקציבים במשרד האוצר מהווה גוף משמעותי המעורב בקביעת סדרי העדיפויות ,התקצוב ואופן המימוש של יישומים ביומטריים בממשלה .בשים לב לסמכות שהוענקה לממונה בהחלטה ,4510באשר לתקצוב פרויקטים ממשלתיים שבהם כלולים יישומים ביומטריים ,נדרש שיתוף פעולה בין שני הגופים לממש אחריות זאת הלכה למעשה. עמוד 39מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 6.8 6.9 6.10 6.11 6.12 6.13 6.7.2החשב הכללי במשרד האוצר מהווה את גוף הפיקוח של הממשלה באשר להוצאת תקציבים על ידי משרדי הממשלה ,לרבות בהקשר ליישומים ביומטריים ,כך שישנו ממשק עם החשכ"ל לעניין הפיקוח בפועל. משרד ראש הממשלה – המועצה לביטחון לאומי -המטה ללוחמה בטרור: 6.8.1גוף זה מהווה גורם מתכלל לגופי הביטחון השונים כמו גם גוף המגדיר מדיניות ביטחונית ברמה הלאומית .חלק מהסיכונים שצוינו במסמך זה ,הינם בעלי משמעויות ביטחוניות. 6.8.2לפיכך ,נדרש שיתוף פעולה ותיאום על מנת לוודא שההיבטים הביטחוניים יילקחו בחשבון בשיקולי קביעת המדיניות והפיקוח. מטה ישראל דיגיטלית :גוף מטה שנועד לרכז ולתאם את פעילות הממשלה בכל הקשור לקידום מדינת ישראל לשימוש מיטבי בטכנלוגיה הדיגיטלית .במסגרת זאת ,יש ליחידת הממונה תפקיד בריכוז נושא ההזדהות הבטוחה. משרד הכלכלה :משרד הכלכלה הינו גורם משמעותי בתכניות התייעלות ובתחומים בהם הביומטריה יכולה לסייע ל"עשיית עסקים" ( .)doing businessבנוסף ,זהו המשרד האמון על התקינה בישראל ,כשהגוף שפועל מטעמו הוא מכון התקנים הישראלי. משרד המשפטים :משרד המשפטים ,ובפרט תחום ייעוץ וחקיקה של היועץ המשפטי לממשלה ,אחראי על הכנה ופרסום של דברי חקיקה .לפיכך ,כאשר הממונה יבקש לחייב נורמות שונות באמצעות חקיקה ,יידרש שיתוף פעולה ותיאום בתחום זה. משרד המדע ,הטכנולוגיה והחלל :שיתוף הפעולה עם משרד זה יאפשר שילוב של התעשייה והאקדמיה ,הן בתהליכי היוועצות והן בתהליכי מחקר ופיתוח. משרדי ממשלה אחרים :קיימים משרדי ממשלה נוספים ,אשר פעילותם קשורה ביישומים ביומטריים ,ובהתאם יידרש שיתוף פעולה ותיאום בביצוע המשימות השונות .משרדים אלו כוללים את :משרד הביטחון בהקשר ל"מעברים הפנימיים"; משרד הבריאות; משרד החינוך; ועוד. עמוד 40מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- פרק ה' – "קווים מנחים" ליישומים ביומטריים עמוד 41מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- פרק ה' " -קווים מנחים" ליישומים ביומטריים .1כללי: 1.1מדוע צריך "קווים מנחים"? כי "הדרך חכמה מן ההולך בה". " 1.2הקווים המנחים" שהוכנו על ידי יחידת הממונה ,הם כלליים ומתאימים ליישומים ביומטריים באשר הם .על פי הצורך ,יוגדרו גם "קווים מנחים" ייעודים ,כפי שבוצע עבור יישום מערכות נוכחות עובדים משולבות ביומטריה .מסמכים נוספים כאלו יוכנו בעתיד, בהתאם לצורך ,הן ליישומים נוספים והן לסוגי ביומטריה נוספים ,ובפרט כאלו שהינם פחות מוכרים ושהניסיון הכללי בהם ,הן בעולם והן בארץ ,מצומצם יותר. 1.3מכיוון שמדובר בתחום דינמי ,הרי שגם "הקווים המנחים" אינם יכולים להישאר סטטיים" .הקווים המנחים" יעברו עדכון מתמיד על ידי הממונה על היישומים הביומטריים ,ככל שיסתבר שתנאי השטח השתנו באופן המחייב עדכון. .2תהליכי איסוף מידע והיוועצות לצורך קביעת "הקווים המנחים": 2.1קביעת "הקווים המנחים" מחייבת הבנה והכרה של התחום המקצועי עצמו ,וכן ראיה וחשיבה כוללת ,שכן מדובר בתחום האתיקה ,השקפות עולם באשר לתפקידה של המדינה ביחס לאזרחיה ,להגנת הפרטיות ולשמירה על כבוד האדם ולמאפיינים הספציפיים של כל תחום יישום. 2.2מאז תחילת שנות ה ,2000 -הצטבר ניסיון גדול מאוד בעולם; הוקמו פרויקטים בהיקפים לאומיים ובין-לאומיים אשר בחלקם כבר מומש "דור "2של המערכות; גובשו תקנים רבים על ידי גופי תקינה מוסמכים בעולם; וגובשו מסמכים המציגים – best practices כלומר ,כיצד ליישם מערכות בצורה הטובה ביותר ,בהסתמך על ניסיון העבר ,ותוך שילוב טכנולוגיות חדשניות. 2.3דוגמה מובהקת לכך הינה פעילותו של ארגון FRONTEXשהוקם על ידי האיחוד האירופי ומקום מושבו הקבוע הינו בוורשה ,פולין .ארגון זה שם לעצמו למטרה לקדם את תשתית הידע והניסיון ביישום מעברי גבול מבוססי טכנולוגיית מחשוב בכלל וביומטריה בפרט. אחד מתחומי פעילותו בשנים האחרונות היה מימוש של מעברי גבול אוטומטיים (,)ABC שהנחיות לגביהן מצויות במסמכי .FRONTEXמכל טעם פרקטי ,כאשר מדובר בכספי ציבור ,חשוב שייעשה שימוש בניסיון ובידע שנרכש בעולם .לדוגמה ,גם בפרויקט הABC - הישראלי ,חשוב השימוש בידע וניסיון מצטבר זה. 2.4בישראל ישנו ניסיון לא מבוטל ,של הקמת מספר יישומים ביומטריים .לשם מיצוי מאגר ניסיון וידע זה ,גובשו על ידי יחידת הממונה על היישומים הביומטריים מספר מהלכי היוועצות .פרסום גילוי הדעת בעניין "הקווים המנחים" ,כלל מספר סבבי היוועצות: לאחר גיבוש המסמך באופן פנימי ביחידה ,השלב הבא כלל העברת המסמכים לקבוצת גורמי-מטה ממשלתיים רלוונטיים שכללה את החטיבה לסיכול איומי סייבר במשרד רה"מ ,רמו"ט ,המטה הקיברנטי ומטה התקשוב הממשלתי .בסבב השני ,הופץ המסמך לארגונים שידוע היה כי מימשו יישומים ביומטריים בישראל .בסבב זה נערכו דיונים מגזריים שבהם שותפו מספר ארגונים בעלי רקע דומה .בהמשך לדיונים המשותפים, נערכים דיונים פרטניים עם כל גורם בפני עצמו ,בכדי להעמיק את הדיאלוג ולחדדו. 2.5בסבבים הבאים מתוכנן לשתף גורמים נוספים מהאקדמיה ,מהתעשייה וממעגלים רחבים יותר .המעגל הסופי יהיה תהליך היוועצות עם הציבור. עמוד 42מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 2.6להלן תיאור מודל תהליך היוועצות מלא עבור "הקווים המנחים: מספר שלב 1 2 3 4 5 6 7 8 9 10 11 12 13 14 שלב הכנת "הקווים המנחים" דיון פנימי ביחידה הפצת מהדורה לגורמי מטה (החטיבה להגנת הסייבר (רא"מ) ,רמו"ט ,המטה הקיברנטי ,מטה התקשוב הממשלתי; גורמים אחרים על פי העניין) תיקון בהתאם להערות גורמי המטה והכנת מסמך מעודכן הפצה לרשימת גורמים המפעילים כיום יישומים ביומטריים בכדי להיעזר בניסיונם של גורמים שיישמו יישומים ביומטריים ,לצורך התייחסות ובקרת איכות קבלת הערות הגורמים דלעיל דיונים משותפים בפורומים מתאימים פגישות פרטניות עם כל גוף תיקון "הקווים המנחים" בהתאם לסיכום הדיונים עם הגורמים והכנת מסמך מעודכן (*) הפצה לרשימה מורחבת (משרדי ממשלה ,אקדמיה ,תעשייה) תיקון "הקווים המנחים" בעקבות ההערות והכנת מסמך מתוקן פרסום לציבור באינטרנט לקבלת הערות ותגובות תיקון "הקווים המנחים" על פי התגובות פרסום נוסח מאושר של "הקווים המנחים" .המשך עדכון שוטף (*) יחידת הממונה נמצאת נכון לינואר 2015בשלב 9בטבלה לעיל ,לקראת המעבר לשלב 10 .3תהליך עדכון "הקווים המנחים": " 3.1הקווים המנחים" יעודכנו מעת לעת ,כמפורט לעיל ,בהתאם להתפתחויות בתחום היישומים הביומטריים או שינויים אחרים שיצריכו את עדכונם. 3.2תהליך עדכון "הקווים המנחים" יבוצע תוך היוועצות עם גורמי מטה רלוונטיים ,לרבות הרגולטורים הפועלים ליישומם ,וכן תבוצע היוועצות עם הציבור במידת הצורך. 3.3שלבי ההיוועצות ייקבעו על ידי הממונה ,בהתאם לעניין. .4פירוט "הקווים המנחים": " 4.1הקווים המנחים" הכלליים (גנריים) מפורטים בהמשך פרק זה (מהדורה ,2.7מה- .)1.1.15 4.2נספח ב' המצ"ב הינו עותק נוסף של "הקווים המנחים" הכלליים אשר נערך כך שיהיה כלי-עזר בידי גופים שונים למימוש יישומים ביומטריים ,ובו הדגשה בצבעים שונים של הסעיפים הרלבנטיים החלים על היישום בהתאם לסיווגו (ר' הרחבה והסבר לאופן השימוש בנספח א' המצ"ב). ***************** עמוד 43מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .1פרק " - 1קווים מנחים" להנהלת הארגון: .1.1מבוא -שיקולים כלליים בהקמה ובניהול יישומים ביומטריים: .1.1.1יישומים ביומטריים מאפשרים לספק שורה גדולה של שירותים חדשים ,בטוחים ופשוטים ,הן לתושבי המדינה על ידי הממשלה והמגזר הציבורי ,והן ללקוחות/צרכנים על ידי גופים עסקיים הפועלים משיקולי רווח כלכלי. .1.1.2יישומים ביומטריים מאפשרים לחברות ולגופי השוק הפרטי ,כמו גם לממשלה ולמגזר הציבורי ,להתייעל ,להקל על "עשיית עסקים" ולפעול באופן בטוח ופשוט יותר .כל אלו מתאפשרים תוך עשיית שימוש בזיהוי הביומטרי שהינו מן המדויקים ביותר שהטכנולוגיה מספקת כיום ומבוסס על מידע שאדם נושא עימו תמיד .המשמעות עבור המגזר הפרטי הינה כלכליות ורווחיות .המשמעות עבור המגזר הציבורי הינה הסרת חסמים בירוקראטיים ,ביטול כפילויות ,חדשנות וגמישות ,מתן שירותים ברמה גבוהה וזמינה יותר ובכך גם תרומה כלכלית לתל"ג. .1.1.3יישומים ביומטריים מסוימים מייתרים את הצורך בשימוש בסיסמאות ,כולל הצורך לזכור ולשמור סיסמאות שונות ורבות על מנת להזדהות בפני מערכות ויישומים שונים. .1.1.4יחד עם זאת ,בצד יתרונות השימוש בזיהוי הביומטרי החד-ערכי קיימים גם סיכונים ,כאשר העיקרי בהם הוא הקושי הרב ,עד כדי חוסר יכולת" ,לבטל" או "להחליף" מידע ביומטרי לאחר שנחשף ו/או נעשה בו שימוש לרעה (שלא כמו, לדוגמא ,במקרה של סיסמאות רגילות) .התממשותם של הסיכונים עשויה להביא לפגיעה בביטחון ,במידע ובפרטיות. .1.1.5החלטתו של אדם למסור את נתוניו לידי צד שלישי ,מהווה ויתור מסוים על פרטיותו .כך גם לגבי מסירת נתונים ביומטריים למשמרת במערכת ממוחשבת ,על מנת ליהנות מיתרונות היישומים הביומטריים הנלווים אליה .יחד עם זאת ,אין הוא מהווה ויתור גורף על הפרטיות. .1.1.6לפיכך ,ניהול יישומים ביומטריים חייב להסדיר ולהבטיח ,לצד התועלות ,גם את פרטיותם ,ביטחונם וכבודם של המשתמשים שמהם ניטלו אמצעי הזיהוי הביומטריים ,תוך נקיטת אמצעי אבטחת מידע מתאימים. .1.1.7השימוש במערכת ביומטרית צריך שיהיה מושכל ,אחראי ומידתי בהקשר הרלבנטי. עמוד 44מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .1.1.8ההחלטה על שימוש במערכת ביומטרית נדרשת להישען על ניתוח מקדים שייעשה בגוף ויתועד על ידו .תיעוד הניתוח יכלול שקילת חלופות לעצם השימוש ביישומים ביומטריים ,כולל ניתוח היתרונות אל מול הסיכונים הכרוכים בכך .התיעוד נועד לוודא שהחלטות בעניין זה אינן מתקבלות כלאחר יד ,אלא רק לאחר שנבדקו השיקולים השונים. .1.1.9במסגרת הניתוח ייבחנו גם שיקולי הגנת הפרטיות וההשלכות הנגזרות ,לרבות אמצעים להגנה על הפרטיות ואמצעי אבטחת מידע .בכלל זה ,היה והגוף מחליט על שימוש במערכת ביומטרית ,עליו לבחון האם מערכת שאינה כוללת מאגר ביומטרי נותנת מענה לצרכים ולמטרות היישום ,בהתחשב בכל השיקולים הרלוונטיים. .1.1.10יובהר כי "קווים מנחים" אלו אינם חלים על "גופים מיוחדים" כהגדרתם בהחלטת ממשלה .4510לגביהם יוגדר הסדר מיוחד בין אותו גוף לבין יחידת הממונה. .1.1.11מסמך זה כולל את "הקווים המנחים הכלליים" ,המתייחסים באופן זהה לכל סוגי היישומים והביומטריה .כאשר תיעשה בדיקת עמידה "בקווים מנחים" ליישום ספציפי ,ייתכן ויהיו סעיפים מסוימים שלא יהיו רלבנטיים עבור היישום בנסיבות שונות. .1.2אחריות הנהלה כוללת – ידע ,תיעוד והבטחת תהליכים: .1.2.1ניהול תקין של יישומים ביומטריים מחייב את הנהלת הגוף לוודא כי ברשותה נמצאים כלים אשר יאפשרו לה לקבל החלטות מושכלות לגבי אופן השימוש בביומטריה ,תוך השגת מירב התועלות הכרוכות בה והפנמה של הסיכונים הקשורים בה. .1.2.2כלים אלו כוללים בין היתר ,היכרות שוטפת עם ההיבטים המקצועיים (טכנולוגיים ,ארגוניים ,תקינה) של הנושא ,וניהול מסודר של היישום הביומטרי. .1.2.3הנהלת הגוף צריכה לוודא כי קיימת היכרות עם כלל המקורות הרלוונטיים המחייבים את הגוף לניהול יישומים ביומטריים (חוקים ,תקנות ,הוראות נוהל, החלטות פנימיות) ובפרט החוק להסדרת ביטחון בגופים ציבוריים ,התשנ"ח - 1998וחוק הגנת הפרטיות ,התשמ"א – ,1981והתקנות שמכוחם. עמוד 45מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .1.2.4קיימים תקנים בתחום הביומטריה המטפלים בהיבטים שונים ,לרבות במישור הרכשת הדגימות הביומטריות ,הבטחת איכות הדגימות הביומטריות ,המרת הדגימות למאפיינים ביומטריים ,אופן שמירת המידע הביומטרי ,ואופן הגישה ליישומים ביומטריים .על הנהלת הגוף לוודא כי קיימת היכרות עם התקינה הרלבנטית לאותו יישום ביומטרי המופעל על ידי הגוף ,ולנהוג ,ככל הניתן, בהתאם לתקינה ,אלא אם יש נימוקים מבצעיים או אחרים לסטייה מהתקינה. .1.2.5על הנהלת הגוף לוודא קיומם ואחזקתם של מסמכי תיעוד לגבי כל יישום ביומטרי שבאחריות הגוף ,כמפורט להלן: .1.2.5.1מסמך בחינת הצורך בהטמעת יישום ביומטרי (יכול שיהיה זה ,לדוגמה, "מסמך ייזום" של היישום הביומטרי בו נבחנו החלופות השונות). .1.2.5.2אם מדובר ביישום ביומטרי הכולל מאגר ביומטרי ,פירוט הצורך בגינו נדרש שימוש במאגר. .1.2.5.3מסמך תיאור פרטני ועדכני ובו פרטים הנוגעים ל:- .1.2.5.3.1 מטרות היישום הביומטרי. .1.2.5.3.2 כללים בקשר למתן גישה לצדדים שלישיים למידע הנכלל במסגרת היישום ,ומנגנוני הטיפול בבקשות גישה כאמור. .1.2.5.3.3 גורמים להם ניתנת גישה או הרשאה לשימוש ביישום הביומטרי ופירוט לגבי הסכמים עם צדדי ג' לגבי השימוש ביישום הביומטרי ,ככל שישנם הסכמים כאלה. .1.2.5.4מסמך המתאר את מכלול התהליכים בהם נוקט הגוף כדי להבטיח עמידה בדרישות חוק הגנת הפרטיות ,התשמ"א – .1981 .1.2.5.5על הנהלת הגוף לוודא תיעוד פניות של צדדי ג' לגוף בבקשה לקבלת מידע על פי חוק חופש המידע ,התשנ"ח ,1998 -ככל שישנן כאלה, והאופן בו מטופלות הפניות. .1.2.6על הנהלת הגוף למנות גורם אחראי לכל יישום ביומטרי ובפרט על מאגר ביומטרי ככל שהוא קיים בגוף כחלק מיישום ביומטרי ,שידווח להנהלת הגוף באופן סדור בכל הקשור לניהול היישום הביומטרי. .1.2.7על הנהלת הגוף לוודא כי קיים ניהול שוטף של בדיקות סטטיסטיות הנוגעות לתהליכי הזיהוי הביומטרי. עמוד 46מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .1.2.8על הנהלת הגוף לוודא כי קיימות מערכות חקירה ובדיקה הכוללות דרכים לאיתור ליקויים ותיקונם. .1.2.9במידה והיישום הביומטרי ,כולו או חלקו ,מתבצע באמצעות ספק/מיקור חוץ ,יש להקפיד על ההנחיות המפורטות בפרק 5שלהלן. .1.2.10לעניין תחום אבטחת המידע ואחריות ההנהלה בהקשר אליו ,ר' בפרק 3להלן. .2פרק " - 2קווים מנחים" לאחריות הגוף להיבטים טכנולוגיים של היישומים הביומטריים: .2.1אחזקת מסמכים טכנולוגיים פרטניים הנוגעים לנושאים הבאים: .2.1.1תשתית מערכת מידע תומכת ביישומים הביומטריים. .2.1.2טכנולוגיות הרכיבים הביומטריים. .2.1.3ממשקי העברת מידע אל ומהיישומים הביומטריים. .2.1.4פרטים אודות מאגר ביומטרי ,ככל שקיים מאגר כזה. .2.1.5הערה :המסמכים הרלבנטיים דלעיל יכללו שרטוטים סכמתיים וטכניים התומכים בתיאור המילולי. .2.2הגדרת "שיעור קבלת זיהוי שווא" ( )FARו"שיעור דחיית שווא" ( )FRRופרמטרים נוספים ,המותאמים לדרישות היישום הביומטרי. .2.3אחזקת מסמכים וביצוע תהליכים בתחום אבטחת המידע ,כמפורט בפרק " – 3קווים מנחים" לאבטחת מידע. .2.4יש לאבטח מסמכים ,אשר הוגדרו כמסמכים רגישים ,כגון תכניות אבטחת היישום ו/או המאגר ונושאים הקשורים להגנת הפרטיות. .3פרק " - 3קווים מנחים" לאבטחת מידע: .3.1אחריות הנהלה: .3.1.1 הנהלת הגוף אחראית להגנה על מידע ביומטרי שנאסף (בהתאם לחקיקה ותקנות קיימים ,בפרט חוק הגנת הפרטיות והתקנות שמכוחו) .אחריות זו תכלול הגדרת מדיניות ארגונית ברורה להגנה על המידע ועל הפרטיות .המדיניות נדרשת לכלול תהליכים ,טכנולוגיות ונהלים ולהגדיר בקרות על שלושת רבדים אלו ,תוך דגש על שימוש בבקרות טכנולוגיות. עמוד 47מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .3.1.2 אחריות כוללת :להנהלת הגוף אחריות כוללת לווידוא הכנת תכנית הגנה מקיפה וסדורה על היישומים הביומטריים ומאגרי המידע הביומטריים שברשות הגוף, ליישומה ולפיקוח על מימושה הכוללת גם היבטי הגנת הפרטיות ועדכונה. .3.1.3 הנהלות הגופים מחויבות למינוי אחראים לאבטחת היישומים הביומטריים והגנת הפרטיות ,הגדרת חובותיהם וסמכויותיהם וכפיפותם .בעלי תפקיד אלו יכולים להיות אותם בעלי תפקיד האחראים על אבטחת המידע והגנת הפרטיות של כלל יישומי המחשוב הארגוניים .על הנהלות לוודא השתלבות ממונה אבטחת המידע בדיונים הנוגעים לתוכניות עבודה שנתיות המתייחסות להרחבה/שינויים/ תחזוקת היישומים הביומטריים ותקצובם. .3.1.4 יצירת הסדרים מתאימים לאחזקת המידע הביומטרי בידי צד שלישי כגון קבלן מיקור חוץ ,תוך הקפדה על שמירת השליטה במידע ,אופן הטיפול בו והפיקוח על אותו גורם חיצוני לארגון. .3.2מדיניות ,נהלים ותיעוד שעל הארגון לוודא קיומם: .3.2.1 מסמך מדיניות אבטחה ובנוסף אליו -אוגדן נהלי אבטחה ובהם ,בהתאמה, עקרונות ופירוט דרישות אבטחת המידע והגנת הפרטיות .דרישות אלו יכללו אבטחה פיזית ,מהימנות הגורמים המתפעלים ומתחזקים את היישום ,אבטחת רשומות ,אבטחה לוגית ,חלוקת סמכויות ואחריות בין גורמי הביטחון והתפעול עצמם ,תפעול ותחזוקה שוטפים ,פיקוח ובקרה. .3.2.2 מסמך עדכני של ניתוח סיכונים פוטנציאלים לפגיעה במידע ובתפקוד היישומים הביומטריים ,בהתייחס למאפייני הייעוד והמימוש שלהם. .3.2.3 מסמך הממפה את מקטעי המידע והתהליכים הרגישים בפעילות היישום. .3.2.4 אחזקת פרק אבטחה טכנולוגי כחלק מנהלי האבטחה של הגוף ,התומך ביישומים ביומטריים. .3.2.5 אחזקת נספחי הוראות תצורה והפעלה של רכיבי ההגנה הטכנולוגים המשולבים בארכיטקטורת ההגנה על היישומים הביומטריים ,לרבות רכיבי החיווי. .3.2.6 מסמך המפרט את הרשאות המשתמשים בגישה לרכיבים הביומטריים ולרשומות הביומטריות במערכות המחשוב לצורך תפעול/תמיכה/תחזוקה .רשימה זו תתבסס על העקרונות NEED TO KNOW :ו .NEED TO ACT -כמו כן ,פירוט לגבי הרשאות בהסכמים עם צדדי ג' לגבי השימוש ביישום הביומטרי ,ככל שישנם הסכמים כאלה. עמוד 48מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .3.2.7 יישום בקרת גישת משתמשים לשימוש ביישומי המערכת ותמיכה בה ע"י גורמי תמיכה המבוססים על שניים מתוך שלושת המרכיבים הבאים :סיסמה ,כרטיס או זיהוי ביומטרי. .3.3טכנולוגיה: .3.3.1 יש להתקין את הרכיבים הביומטריים בסגמנט/רשת ייעודי ,המופרדים ע"י אמצעי אבטחה וסינון מרשתות ארגוניות ו/או ציבוריות אחרות. .3.3.2 יש להשתמש ברכיבים ביומטריים הכוללים הגנות ,Anti-Tamperingכולל יכולת דיווח בזמן-אמת למערכות הניטור הארגוניות. .3.3.3 נדרש להטמיע מוצרי אבטחה צד ג' להגנה מפני תקיפת קוד עוין ,מניעת גישת בלתי מורשים לתשתיות וליישומים עצמם ,בקרת תצורת מערכת ,בקרת הוצאת/הכנסת מידע. .3.3.4 נדרש לממש תבניות הקשחת מערכות הפעלה בציוד תקשורת אקטיבית ,בשרתי אחסון מידע ,בשרתי יישומים ,בציוד אבטחה ובתחנות עבודה ,לפחות ע"פ הנחיות יצרן. .3.3.5 נדרש להתקין ולהטמיע יישום מרכז ניהול אבטחה נתמך מוצר טכנולוגי תחת קטגוריית מוצרי SIEM/SOCבעל יכולות ניטור מידע ותעבורת מידע לצורך התרעה וגילוי חריגים ,ניתוחם לכדי הפקת משמעויות ביטחוניות ,הפקת התראות לגורמים ממונים ,המלצה/ייצור תגובה מונעת/מתקנת ותיעוד. .3.4מימוש: .3.4.1 בניית יישום ביומטרי מחייבת תשומות הגנה בכל שלבי מחזור החיים של היישום, החל משלב הייזום ועד לשלב הגריטה והפסקת השימוש במערכת. .3.4.2 הינם אימוץ ת"י 27001לניהול אבטחת מערכות מידע ,ותקן ISO/IEC 24745 תשתית נדרשת לניהול אבטחת יישומים ביומטריים בכל הגופים בכפוף לסיווג שיינתן לאותו יישום. .3.4.3 בכל גוף בו יישום ביומטרי ובו קיימת הסדרה שאיננה מאמצת את ת"י 27001 לניהול אבטחת מערכות מידע ,תבחן יחידת הממונה הימצאותם של פערים ותנחה לגביהם בהתאם ל"גבולות הגזרה" ו"הקווים המנחים". עמוד 49מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .3.4.4 קיום פעילות על פי נהלי אבטחה פנים ארגוניים עדכניים ,אשר קיבלו תיקוף בתחום השנתיים האחרונות ו/או בתוך שנה ממועד ביצוע שינויים ו/או הרחבות של היישומים הביומטריים. .3.4.5 ביצוע בדיקות חוסן לאישוש רמת האבטחה ע"י גורם שאיננו נמנה על גורמי התחזוקה והתפעול של היישומים הביומטריים. .3.4.6 בהסכמים הנערכים עם ספקים חיצוניים של המערכות הביומטריות ,יש לעגן את מחויבותם לכלול במערכות את אמצעי ההגנה המתאימים למימוש המדיניות האמורה לעיל .פירוט ראה בפרק 5להלן. .3.4.7 יש להשתמש ככל שניתן בהצפנה כדרך אפקטיבית להגנה על הנתונים ,הן בעת אחסונם והן במהלך העברתם בתווך תקשורת פנימי או חיצוני. .3.4.8 יש לעשות שימוש בהצפנה מתאימה ,בהתאם להערכת הסיכונים ביישום הספציפי .הצפנה כזו ,מן הראוי שתעשה שמוש באלגוריתם מוכר ,מפתח מתאים (בהיבטי אורך מפתח ,אופן חילול אקראי ,שמירה עליו) ומימוש נכון של תהליכי ההצפנה. .3.4.9 בתום הקמת יישום ביומטרי ,נדרש לקיים ע"י גורם מומחה צד ג' ,בדיקות קבלה לבחינת תקינות תפקוד אמצעי האבטחה שהושתו ליישום .בדיקות אלו תכלולנה את תקינות המענה לתרחישי פגיעה שונים ביישום ,הן פגיעה בתשתית הטכנולוגית והן יכולת פגיעה בתהליך ,והן תשלבנה בדיקות חוסן ,קרי -בחינת יכולת גורם חיצוני לחדור ליישום/מאגר או לשבש תפקודו. .3.4.10יישומים ביומטריים ,לגביהם ייקבע שיפוקחו באופן הדוק ע"י הממונה ,יחלו בפעילותם המבצעית לאחר שקיבלו את אישור הממונה ,שיינתן בין היתר ,על בסיס דו"ח מבדקי אבטחת המידע. .3.5בקרה: .3.5.1 קיום בקרות שוטפות ותקופתיות בתחום אבטחת מידע ,לרבות באמצעות גורם צד שלישי. .3.5.2 כחלק ממכלול הפעולות הנדרשות לשם קיום בקרה על השימוש ביישומים ביומטריים ,הכרחי לשמור על יומני רישום מקיפים הכוללים רישום בקרות טכניות ורישום אירועי פגיעה בפרטיות. עמוד 50מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .3.5.3 בנוסף ,נדרשת בדיקה שוטפת של קובצי רישום התיעוד של הפרת הפרטיות וקיום ביקורת שוטפת של יומני הרישום ,כדי להבטיח שרמת ההגנה על הפרטיות לא תישחק לאורך זמן. .3.5.4 בדיקת התאמת תהליכים לנהלים בהתאם לפרקי הפיקוח והבקרה הכלולים במדיניות הגופים עצמם .למשל ,האם הארגון ביקר שנעשה שימוש בנתונים אך ורק לצרכים המוגדרים בתכלית המערכת. .3.5.5 בקרה על תהליכי התאמת מהימנות בקליטת עובדים. .3.5.6 בקרה על תהליכי התאמת ביטחונית בקליטת עובדים. .3.5.7 בקרת תקינות אמצעי האבטחה המשולבים בתשתיות המחשוב. .3.5.8 קיום בקרות שוטפות ותקופתיות בתחום אבטחת מידע באמצעות גורם צד ג'. .3.5.9 בקרת מודעות עובדים לנושא הגנת הפרטיות ואבטחת מידע. .4פרק " - 4קווים מנחים" להגנת הפרטיות וכבוד האדם: .4.1ההגנה על הפרטיות וכבוד האדם במסגרת השימוש במערכות טכנולוגיות ,לרבות במערכות ביומטריות ,נעשית בעיקר על ידי כללים ניהוליים וכלים טכנולוגיים הלקוחים מעולם אבטחת המידע .להלן יפורטו "הקווים המנחים" לנושא זה ,כאשר לגבי השימוש בכלים הטכנולוגיים עצמם קיים פירוט בפרק " – 3קווים מנחים" לאבטחת המידע ,המהווה גם השלמה לפרק זה. .4.2יש מקום לבחון את מאפייני המערכת ,גם ביחס להיבטים הנוגעים לפרטיות ,בשלב מוקדם ככל האפשר ,וכיצד ניתן לצמצם את הסיכונים ואת הפגיעה האפשרית בפרטיות בקביעת מאפייני המערכת ובאופן הטמעתה ,מראש (לעניין זה ר' גם סעיף 4.9להלן). .4.3אחריות כוללת :להנהלת הגוף אחריות כוללת לווידוא הכנת תכנית להגנת הפרטיות וכבוד האדם בהקשר ליישומים הביומטריים ומאגרי המידע הביומטריים שברשות הגוף, ליישומה ולפיקוח על מימושה ,לרבות קביעה ומימוש של מדיניות ברורה בנושא הגנת הפרטיות והכלים הטכנולוגיים אשר ישמשו במסגרת זו. .4.4שמירת קיום התכלית :על הגוף לוודא כי מטרות האיסוף והשימוש באמצעים הביומטריים ובנתונים הביומטריים ,נשמרות בהתאם לתכלית המקורית שנקבעה ליישום הביומטרי ,כי לא נאסף ונשמר מידע ביומטרי בהיקף רחב יותר או למשך זמן ארוך יותר מהנדרש למימוש התכלית ,וכי לא נעשה שימוש במידע הביומטרי למטרות השונות עמוד 51מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- מהתכלית המקורית שנקבעה והוצהרה מלכתחילה .לשם כך על הגוף לקבוע כללים לניהול מחזור חיי המידע הביומטרי ,משך האחזקה ותהליך מחיקת מידע משעה שאינו נדרש עוד. .4.5פניה לקבלת מידע ביומטרי מאדם :פניה כזו תכלול את הדרישות האמורות בסעיף 11 לחוק הגנת הפרטיות ,התשמ"א – ( 1981ר' סעיפים 4.5.3 - 4.5.1להלן) וכן התייחסות לסוגיות רלוונטיות נוספות )ר' סעיפים 4.5.8 - 4.5.4להלן): .4.5.1האם חלה על אותו אדם חובה חוקית למסור את המידע ,או שמסירת המידע תלויה ברצונו ובהסכמתו; יובהר כי על כל מקרה להיבחן לגופו בהתייחס לצורך, לבסיס החוקתי ולשיקולים הקשורים לתכלית היישום הביומטרי עצמו. .4.5.2התכלית שלשמה מבוקש המידע הביומטרי. .4.5.3לאילו גורמים עשוי להימסר המידע הביומטרי ומהם השימושים שיכולים לעשות בו גורמים אלו. .4.5.4זהות הגוף אוסף המידע. .4.5.5כיצד נשמר המידע הביומטרי. .4.5.6התייחסות לאפשרות להסרת המידע מן המאגר. .4.5.7האם קיימת מגבלת זמן לאחסון המידע והשימוש בו. .4.5.8הכללים שנקבעו להגנה על קטינים וחסויים (ר' גם סעיף 4.6להלן). .4.6טיפול בקטינים וחסויים :על הגוף ליצור הסדר מתאים לקבלת מידע ביומטרי של קטינים וחסויים ,באישור ההורים או האפוטרופוס החוקי ,בכפוף לחוק הכשרות והאפוטרופסות, התשכ"ב – .1962 .4.7טיפול בחריגים ושמירה על כבוד האדם: .4.7.1על הגוף לקבוע אופן טיפול חריג באוכלוסיות מסוימות ,בין אם כתוצאה ממגבלות פיזיולוגיות (לדוגמא – אנשים שלא ניתן ליטול מהם טביעות אצבע באיכות המזערית הנדרשת) ,או ממגבלות המערכת הביומטרית עצמה (כגון – התנאים הפיזיים בהם נלקחות דגימות ביומטריות לאימות) ,או בשל סיבה אחרת בגינה יש לפטור את אותה אוכלוסייה מלעשות שימוש בזיהוי ביומטרי. .4.7.2על הגוף לקבוע את האופן שבו טיפול חריג זה יוצג בפני נותני השירות (לדוגמה – להציג חיווי ברור על כך שמאדם מסוים לא נלקחו טביעות אצבע כלל ,או שנלקחו באופן חלקי ,מבלי שתיגרם לאותו אדם חוסר נוחות במהלך הטיפול ,או שייפול עליו חשד מיותר). עמוד 52מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .4.7.3יש לשאוף לכך כי ככל שניתן ,דרכי טיפול חריגות אלו לא יפלו את אותה האוכלוסייה ביחס לאוכלוסייה המטופלת בערוץ הרגיל ,בכל הנוגע למשך זמן הטיפול ומורכבותו. .4.7.4בנוסף ,יש ליצור נוהל מתאים לטיפול במקרים בהם זיהוי ביומטרי של אנשים יידחה על ידי המערכת ,באופן שיחשיד אותם בזהות לא-להם ,בשים לב לעובדה שעלולים להיות מקרים בהם מקור הדחייה יהיה מרמת דיוק המערכת לגבי "שיעור דחיית שווא" (.)FRR .4.8שמירה על השקיפות :הגוף יאפשר לאדם לפנות ,לברר ולקבל מידע לגבי אמצעים ביומטריים שניטלו ממנו וכן לגבי נתונים ביומטריים שהופקו מהם ,הנאספים ונשמרים על ידי הגוף ,ככל שהדבר מתאפשר מבחינה טכנית ובכפוף לחוק. .4.9הגבלת היקף שמירת מידע ביומטרי בכלל ומידע המועבר בתווך התקשורת בפרט: .4.9.1עיצוב מערכת ביומטרית ומימושה ,יתבססו על עיקרון צמצום המידע הביומטרי הנשמר ,ככל שניתן ,הן לעניין היקף המידע ,סוג המידע (אמצעים או נתונים ביומטריים) והן לעניין משך זמן שמירתו. .4.9.2עיצוב מערכת ביומטרית ומימושה ,ייקחו בחשבון את עיקרון הפרדת המידע הביומטרי מהמידע הביוגרפי ,לרבות הקישור ביניהם ,ככל שניתן. .4.9.3ככלל ,מידע ביומטרי שנעשה בו שימוש תוך כדי תהליך השוואה ביומטרית, יימחק לאחר סיום השימוש בו ולא ייאגר באופן מקומי לאחר השימוש. .4.9.4יש לשאוף להעברה מזערית של מידע ביומטרי בתווך התקשורת של הגוף. .4.10מודעות ,הדרכה והטמעה של נושא הגנת הפרטיות וכבוד האדם: .4.10.1על הנהלת הגוף לוודא כי קיימת מודעות לנושא הגנת הפרטיות וכבוד האדם בקרב הגורמים בגוף העוסקים ביישומים הביומטריים או במידע הביומטרי (גורמי תמיכה ,גורמי שירות וכיו"ב). .4.10.2על הנהלת הגוף לוודא קיום פעילויות הדרכה לגורמים הנ"ל ,שמטרתן הטמעת תחושת המחויבות לנושא הגנת הפרטיות וכבוד האדם. .4.11ניהול הרשאות הגישה למערכת באופן מצמצם ככל האפשר :כמפורט בפרק " – 3קווים מנחים" לאבטחת מידע. .4.12מניעת שחיקה לאורך זמן באמצעות בקרה שוטפת :כמפורט בפרק " – 3קווים מנחים" לאבטחת מידע. עמוד 53מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .5פרק " - 5קווים מנחים" ליישום "מוצרי מדף" ,מימוש יישומים ביומטריים על ידי ספק חיצוני ו"מיקור חוץ": .5.1יישומים ביומטריים מבוססים לעיתים קרובות על "מוצר מדף" המיוצר על ידי יצרן ,ולאו דווקא מוצר אשר מפותח באופן ייחודי עבור לקוח מסוים. .5.2לצורך מימוש יישומי ביומטריים ,הגוף עשוי להתקשר עם ספק חיצוני .תפקידי ספק זה מוגדרים בהסכם בינו לבין הגוף ,ויכולים לכלול אספקת שירותים שונים ,החל משיווק "מוצר המדף" והתקנתו בגוף ,פיתוח מערכת משלימה ושילוב מוצר המדף במערכת זאת, תחזוקה שוטפת של המערכת ולעיתים אף תפעול שוטף של משימות הגוף ב"מיקור חוץ". לעיתים ,המידע עצמו נאגר ונשמר במערכות הספק החיצוני ולא בגוף עצמו. .5.3מערכת השיקולים בעת הטמעת יישום ביומטרי הכולל תפעול ואחסון המידע הביומטרי בידי הספק החיצוני ,צריכה לכלול את יכולת הגוף לשלוט בצורה מספקת במידע שאינו נשמר על ידו .בהתאם ,יש ליצור הסדרים מתאימים לאחזקת המידע הביומטרי בידי גורם חיצוני כגון ספק "מיקור חוץ" ,תוך הקפדה על שמירת השליטה במידע ,אופן הטיפול בו והפיקוח על אותו גורם חיצוני ונקיטת אמצעי זהירות מתאימים. .5.4יובהר כי בחירה במימוש במיקור חוץ אינה מסירה את אחריות הגוף לגבי היישום הביומטרי ,לרבות -אבטחת המידע ,הגנת הפרטיות וכיו"ב .על הגוף לדאוג להסדרת מחויבויותיו של הספק בהקשר ליישום הביומטרי והמידע הביומטרי ,במסגרת הסכם ההתקשרות אתו ובמהלך ההתנהלות השוטפת מולו. .5.5ככל שמימוש "הקווים המנחים" -כולם או חלקם ,נעשים ב"מיקור חוץ" ,על הגוף לקבל מן הספק אישור רשמי חתום בכתב ,לפיו הוא מחויב לעקרונות אלו ומקפיד על קיומם .על הגוף לכלול הוראות מתאימות בהסכם ההתקשרות עם הספק ,ובמידת הצורך לדרוש מסמכים המעידים על קיומם של עקרונות אלה ,ככל שהם מתקיימים .עשויים להיות יישומים ,רגישים או קריטיים ,בהם יש להטיל מגבלות על היקף מימוש היישום באמצעות מיקור חוץ. עמוד 54מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .5.6להלן מסמכים ואישורים שיש לדרוש מהספק במקרים רלוונטיים: .5.6.1המערכת מבוססת על שמירת תבנית עם מאפיינים ( )templateולא על שמירת תמונה (.)image .5.6.2אופן שמירת הנתונים הביומטריים המופקים מהדגימות .במקרה של הצפנת הנתונים ,אישור שהמידע מוצפן ,באיזו שיטה הוא מוצפן ולמי ישנה יכולת לפענח את המידע המוצפן. .5.6.3אמצעי האבטחה שננקטים לגבי גישת משתמשים חיצוניים ,כגון -מנהל המערכת מטעם הספק ,למידע הנאגר ,לרבות אישור שאין לספק אפשרות לבצע שינויים במידע. .5.6.4במקרה שהדבר נדרש ,כגון במקרה של שמירת מאגר תמונות ,אישור על עמידה בתקן הישראלי לאבטחת מידע ת"י .27001 .5.6.5לוודא ביצוע מחיקה של נתונים ביומטריים של אדם אשר אינם נדרשים עוד. לדוגמא :עובד שעזב ,לקוח שהפסיק את השירות. .5.6.6אישור שהספק מאחסן את המידע של הגוף בנפרד מנתוני גופים אחרים. .5.6.7התחייבות שלא להעביר מידע לכל גורם חיצוני אחר ללא אישור מפורש ובכתב של הגוף ,או על פי החלטה משפטית. .5.6.8אישור שהספק עומד בדרישות חוק הגנת הפרטיות ,התשמ"א – ,1981לרבות לעניין רישום מאגר מידע אצל רשם מאגרי המידע ברשות למשפט ,מידע וטכנולוגיה (רמו"ט) ,ובפיקוח על ידי רמו"ט ,ככל שהדבר נדרש על פי דין. עמוד 55מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- נספח א' – סיווג יישומים ביומטריים על פי תבחינים עמוד 56מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- נספח א' – סיווג יישומים ביומטריים על פי תבחינים .1תיאור כללי של מודל סיווג יישומים ביומטריים על פי תבחינים: .1.1מטרת המודל הינה ליצור כלי אפקטיבי שיאפשר הן בדיקה עצמית על ידי כל גוף ,כבר בשלב הייזום והאפיון ,והן ככלי לבדיקה על ידי הממונה ,באשר לעמידת יישום ביומטרי בתבחינים ,אשר יוכלו להצביע על רמת הסיכון של אותו יישום ובאופן זה – מה תהיה רמת המעורבות של המדינה בפיקוח ובקרה על אותו יישום. .1.2בנספח זה יוצג כיצד ניתן לעשות שימוש מעשי במודל ,תוך שימוש בתבחינים אשר תוארו בפרק ד' – "גבולות גזרה" ,שניתן לתרגמם למונחים כמותיים ,כמוצג בטבלה בסעיף 2להלן. .1.3התפישה העומדת מאחורי מודל זה היא של הגדרת הכללים והעברת האחריות לביצוע לגורם המבצע .לפיכך ,הגדרת התבחינים וכללי ההתנהלות לפיהם ,מאפשרת לשוק להתנהל במתכונת של עיקרון "פארטו" (" ,)"80-20כלומר ,ב 80% -מהמקרים תהיה מעורבות מזערית ופיקוח פרטני ובהם יושקעו כ 20% -מתשומות הפיקוח ,ואילו ב20% - מהמקרים ,שהם החריגים והמורכבים יותר ,יושקעו 80%מתשומות הפיקוח. .1.4תוצר הניתוח המוצג להלן ,מכוון גם לרמת העמידה הנדרשת ב"קווים המנחים" בהתאם לסיווג היישום הביומטרי (ר' גם נספח ב' להלן) ובפרט לדרישות אבטחת המידע הכלולות "בקווים המנחים" .יחד עם זאת ,לצד האחריות הארגונית העומדת בפני עצמה, ישנה אחריות לרגולטורים לפיקוח ,בהתאם לעניין. עמוד 57מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .2הצגת התבחינים ,שקלולם ואופן קביעת הציונים: 2.1טבלת התבחינים: תבחין ציון מרבי המגזר 15 היקף האוכלוסיה /אופי היישום match on card match off card מאגר 1:1 מאגר M:1 מאגר וכרטיס 50 אופן שמירת המידע הביומטרי 20 מקום אחסון הנתונים 10 אופן הרישום למערכת 10 סה"כ מצטבר 2.2 2.3 2.4 ערך 1 ערך 2 ערך 3 ממשלה 15 תאגידים סטטוטוריים 10 פרטי 5 ענק 28 33 38 43 50 גדול מאוד 22 24 28 32 38 גדול 14 15 18 20 24 תמונה 20 תבנית מאפיינים 10 תבנית מאפיינים מקודדת 1 ספק זר 10 ספק ישראלי 1 בתוך הארגון 1 חובה 10 רשות 1 ערך 4 בינוני 7 7 8 8 10 ערך 5 קטן 1 1 2 2 3 105 לגבי התבחין "אופן הרישום למערכת" ,ניתן לקבוע גם ציון ביניים בהתאם למוגדר בפרק 4באשר לחלופות המעשיות של רישום שהוא "רשות". בסיום שלב זה ,יש להתחשב בתבחין "הגנה על מידע ביומטרי של קטינים" ובמידה והיישום מתייחס למצב שבו למעלה מ 50% -מהמשתמשים הם קטינים ,יש להוסיף 10 נקודות לתוצאה המתקבלת מהניתוח דלעיל. בהתאם לציון המשוקלל הסופי ,ניתן לקבוע את סיווג היישום הביומטרי ,המגדיר את אופן העמידה הנדרש "בקווים המנחים". עמוד 58מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .3סיווג היישומים הביומטריים על פי התבחינים: 3.1סקאלת הסיכונים חולקה לשלוש דרגות: 3.1.1רמת סיכון גבוהה = רמת מעורבות גבוהה (צבע אדום). 3.1.2רמת סיכון בינונית = רמת מעורבות בינונית (צבע צהוב). 3.1.3רמת סיכון נמוכה = רמת מעורבות נמוכה (צבע ירוק). 3.2הטבלה דלעיל תשמש כלי בדיקה עצמית לגופים המנהלים יישומים ביומטריים או מתכננים יישומים ביומטריים חדשים .הגוף ימלא את הטבלה עם המשקלים המתאימים ,ויסכמם .לאחר מכן ,יקבע מהו מיקום היישום בסקאלה ,על פי המדרגות להלן: 3.2.1עד " – 40מסלול ירוק". 3.2.2מ 41 -עד " – 80מסלול צהוב". 3.2.3מ 81 -ומעלה – "מסלול אדום". 3.3הפעלת שיקול דעת ,למרות הניקוד ,להעביר יישום ביומטרי למסלול חמור/נמוך יותר במקרים חריגים .שיקול הדעת יכלול בפרט את הערכת הקריטיות של היישום ברמה הלאומית .בפרט ,בכל הקשור לפרויקטים במגזר הממשלתי ,שיקול הדעת יכלול את מידת ההשתלבות של היישום במערך היישומים הכלל-ממשלתי והאפשרות להשפעות- צד ( )side-effectsעל יישומים ממשלתיים אחרים .שיקולים כגון אלו יירשמו ויתועדו בפרוטוקול ההחלטה של הממונה בעניין זה. 3.4יובהר כי סיווג זה חל על "הקווים המנחים" כמוצג בנספח ב' להלן ,ולרבות על הנחיות אבטחת המידע כמוצג שם. .4גיבוש מדיניות הבקרה בהתאם לרמת הסיווג: .4.1לאחר שהוערך הסיכון לכל מרכיב בנפרד ,ובוצע הסיווג בהתאם לתבחינים ,ניתן לתכנן את מסלול הבקרה ,תוך שימוש ב"ארגז הכלים" להסדרה. .4.2התפישה העקרונית היא לשמור את צעדי האכיפה האפקטיביים ביותר לסיכונים הבלתי נסבלים או החמורים ביותר .אין טעם להתמקד בצעדי בקרה ואכיפה בגורמים המציבים סיכון נמוך .בהתאם ,למקרים אלו יש להתאים אמצעים קלים יותר כגון – יידוע ,פרסום, התראות ,או "אמנה" שמצטרפים אליה בהסכמה ,מאידך. .4.3הביטוי המעשי לשקלול רמת הסיכון בקביעת מדיניות הבקרה והאכיפה נוגע למידת המעורבות בשלב פיתוח היישומים (שלב הקמת הפרויקט) מחד ותזמון הפיקוח בתקופת התחזוקה (שלב תפעול המערכת). .4.4להלן טבלה המציגה את האמצעים השונים בהתאם לרמת הסיכון – רמת המעורבות: רמת סיכון/ מעורבות שלב הייזום שלב האפיון שלב בדיקות והפעלה שלב התחזוקה תדירות מזערית תדירות מירבית גבוהה בדיקה במקרים חריגים במקרים חריגים ביקורת תקופתית שנתית חצי שנתית בינונית בדיקה ככלל לא ככלל לא ביקורת תקופתית דו- שנתית שנתית נמוכה לא לא לא לא ללא בדיקה מדגמית עמוד 59מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .5תהליך בחינה ומימוש מעורבות על פי סיווג יישומים ביומטריים על פי תבחינים: 5.1כללי: 5.1.1להלן מוצג תהליך המתאר את אופן מימוש המעורבות ,במגזרים השונים .הכוונה לעבד את המידע עבור כל פרויקט ,בהתאם למודל שהוצג בסעיפים 4 – 2לעיל ,על מנת לקבוע את מידת המעורבות לגבי כל יישום ביומטרי ,תוך התייחסות לניתוח הסיכונים ולבחינת התבחינים והסיווג כאמור לעיל .רמת המעורבות תיקבע לכל יישום לגופו ,בהתאם לשלבי "מחזור החיים". 5.1.2על מנת לקשור באופן הדוק בין סיווג הפרויקט לפי סעיף 4לעיל ,כנופל באחת מהקטגוריות של רמת מעורבות גבוהה (פרויקט "אדום") ,רמת מעורבות בינונית (פרויקט "צהוב") ,או רמת מעורבות נמוכה (פרויקט "ירוק") ,צורפה בנספח ב' גרסה של "הקווים המנחים -כלי עזר לביצוע" .בגרסה זו ,הנחיות הנוגעות לכלל הפרויקטים ובפרט לפרויקט "ירוק" צבועות בצבע ירוק ,הנחיות הנוגעות לפרויקט "צהוב" או "אדום" צבועות בצבע צהוב ,והנחיות הנוגעות לפרויקט "אדום" בלבד ,צבועות בצבע אדום .על פי העקרונות הנ"ל ,סומנו גם הנחיות אבטחת המידע תוך סיווג לשלושת רמות המעורבות בצבעים הנ"ל. 5.2עקרונות לליווי פרויקטים במגזר הממשלתי ובתאגידים ממשלתיים על ידי הממונה: 5.2.1המגזר הממשלתי והתאגידים הממשלתיים כפופים כיום לרגולציה הקיימת, לרבות לחוק הגנת הפרטיות ,התשמ"א 1981 -והתקנות שמכוחו. 5.2.2בשל ההשפעה האפשרית של פרויקטים ממשלתיים ,הממונה יעודכן לגבי כל ייזום של פרויקטים ממשלתיים ביומטריים חדשים .לדיווח יצורף מסמך הייזום ,או תיאור מקביל של המערכת ,וכן פרטי אנשי קשר על מנת לאפשר בחינה וסיווג היישום בהתאם לתבחינים .אופן עדכון יחידת הממונה יפורט בהנחיות שיופצו מטעמו. 5.2.3בשלב הייזום תיערך בחינה ראשונית של מהות היישום ,שבסופה ייקבע האם היישום מחייב מעורבות של הממונה ,ואם כן ,מהי רמת המעורבות בהתאם לשלבי "מחזור החיים" של מערכת ממוחשבת. 5.2.4הבחינה תיערך בהתאם להגדרות ,לתבחינים שתוארו בפרק ד' ובנספח זה לעיל, ובהתאם "לקווים המנחים" הכלליים והייעודיים (ככל שהם קיימים). 5.2.5בתום הבחינה ,יגובשו שלבי "מחזור החיים" בהם הממונה יהיה מעורב ,וכן רמת מעורבותו בכל אחד מהם. 5.2.6יחד עם ההחלטה יימסרו הנחיות מתאימות ,והפניה לחקיקה ,לתקנים ,ל"קווים מנחים" ולנהלי עבודה. 5.2.7בתהליך זה ניתן יהיה להוסיף או לוותר על שלב כלשהו ,בהתאם לתבחינים המפורטים להלן. 5.2.8לאחר הבחינה ,הממונה יחליט האם היישום מחייב מעורבותו בתהליך ,או לא. אם הממונה יחליט כי נדרשת מעורבותו ,הוא ימסור לפונה מסמך ובו פירוט מעורבותו בשלבי מחזור החיים ,כאמור לעיל. 5.2.9ייתכנו מקרים בהם ,בכפוף לדין או לסיכום מתאים ,יתבצע ליווי של פרויקטים של תאגידים ממשלתיים על ידי הממונה. 5.2.10אין באמור לעיל כדי לגרוע מחקיקה קיימת החלה על פרויקטים שונים או מסמכותם של הרגולטורים הפועלים בשוק ,לרבות רשם מאגרי המידע בהתאם לחוק הגנת הפרטיות ,התשמ"א 1981 -והתקנות שמכוחו. עמוד 60מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 5.3בדיקה תקציבית בשלב הייזום :בתהליך המוצג ,באה לידי ביטוי סמכותו של הממונה כמוגדר בהחלטת הממשלה ,4510להמלצה מתואמת עם אגף התקציבים באשר להקצאת תקציב פרויקטים ממשלתיים שבהם כלולים יישומים ביומטריים. 5.4תרשים :הדיאגרמה המפורטת להלן ,מציגה את התהליך עבור המגזר הממשלתי ותאגידים ממשלתיים. עמוד 61מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .6התהליך עבור המגזר הפרטי: 6.1המגזר הפרטי כפוף כיום לרגולציה הקיימת ,לרבות לחוק הגנת הפרטיות ,התשמ"א - 1981והתקנות שמכוחו. 6.2הממשק עם המגזר הפרטי ייערך בשלב זה על בסיס של גילויי דעת שיועברו אל גורמים רלוונטיים ו/או יפורסמו לציבור ,כאשר בהמשך יישקלו תיקוני חקיקה מסויימים בתחומים בהם הדבר יידרש. 6.3ההסדרה במגזר הפרטי תעשה בהתאם למדיניות הלאומית ובכפוף לדין ,באמצעות הפעלת סמכותם של רגולטורים קיימים וכן קידום תיקוני חקיקה מתאימים. 6.4רמת מעורבות בפעילות המגזר הפרטי ,בפרויקטים הכוללים יישומיים ביומטריים ,תהיה ככלל נמוכה .מעורבות כזאת תידרש רק במקרים בהם ימצא כי ישנן סיבות מובהקות לכך ,כגון -פגיעה אפשרית בפרטיות האוכלוסייה הכלולה במערכות אלו ,סיכונים ביטחוניים או סיכונים אחרים .שיקול דעתו של הממונה בעניין זה יהיה על פי מרכיבי הסיכון ותבחינים נוספים ,לרבות :אופי היישום הביומטרי; קיום מאגר; גודל המאגר והיקפו; סוגי המאפיינים הביומטריים הנשמרים; מאפיינים טכנולוגיים; סוגי האוכלוסייה המושפעת; וכיו"ב. 6.5בסעיף 3ד' בהצעת החלטת הממשלה החדשה ,מוצע להורות לשרי הממשלה ו/או למשרדי הממשלה ,לפנות לגורמים שבעניינם פועלים משרדי הממשלה כרגולטורים ,על מנת שיפעלו בהתאם להנחיות הממונה ,לגבי פרויקטים בהם משולבים יישומים ביומטריים, בכפוף לדין ,כדי לוודא תאימות למדיניות הלאומית שנקבעה בנושא ובהתאם לרמת המעורבות. עמוד 62מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- נספח ב' – "קווים מנחים" ליישומים ביומטריים: כלי עזר לביצוע עמוד 63מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- נספח ב' " -קווים מנחים" ליישומים ביומטריים :כלי עזר לביצוע הערה :אופן צביעת הסעיפים ,על פי התבחינים ,מפורט בנספח א' לעיל. .1פרק " – 1קווים מנחים" להנהלת הארגון: .1.1מבוא -שיקולים כלליים בהקמה ובניהול יישומים ביומטריים: .1.1.1 .1.1.2 .1.1.3 .1.1.4 .1.1.5 .1.1.6 .1.1.7 .1.1.8 יישומים ביומטריים מאפשרים לספק שורה גדולה של שירותים חדשים, בטוחים ופשוטים ,הן לתושבי המדינה על ידי הממשלה והמגזר הציבורי ,והן ללקוחות/צרכנים על ידי גופים עסקיים הפועלים משיקולי רווח כלכלי. יישומים ביומטריים מאפשרים לחברות ולגופי השוק הפרטי ,כמו גם לממשלה ולמגזר הציבורי ,להתייעל ,להקל על "עשיית עסקים" ולפעול באופן בטוח ופשוט יותר .כל אלו מתאפשרים תוך עשיית שימוש בזיהוי הביומטרי שהינו מן המדויקים ביותר שהטכנולוגיה מספקת כיום ומבוסס על מידע שאדם נושא עימו תמיד .המשמעות עבור המגזר הפרטי הינה כלכליות ורווחיות .המשמעות עבור המגזר הציבורי הינה הסרת חסמים בירוקרטיים ,ביטול כפילויות ,חדשנות וגמישות ,מתן שירותים ברמה גבוהה וזמינה יותר ובכך גם תרומה כלכלית לתל"ג. יישומים ביומטריים מסוימים מייתרים את הצורך בשימוש בסיסמאות ,כולל הצורך לזכור ולשמור סיסמאות שונות ורבות על מנת להזדהות בפני מערכות ויישומים שונים. יחד עם זאת ,בצד יתרונות השימוש בזיהוי הביומטרי החד-ערכי קיימים גם סיכונים ,כאשר העיקרי בהם הוא הקושי הרב ,עד כדי חוסר יכולת" ,לבטל" או "להחליף" מידע ביומטרי לאחר שנחשף ו/או נעשה בו שימוש לרעה (שלא כמו, לדוגמה ,במקרה של סיסמאות רגילות) .התממשותם של הסיכונים עשויה להביא לפגיעה בביטחון ,במידע ובפרטיות. החלטתו של אדם למסור את נתוניו לידי צד שלישי ,מהווה ויתור מסוים על פרטיותו .כך גם לגבי מסירת נתונים ביומטריים למשמרת במערכת ממוחשבת, על מנת ליהנות מיתרונות היישומים הביומטריים הנלווים אליה .יחד עם זאת, אין הוא מהווה ויתור גורף על הפרטיות. לפיכך ,ניהול יישומים ביומטריים חייב להסדיר ולהבטיח ,לצד התועלות ,גם את פרטיותם ,ביטחונם וכבודם של המשתמשים שמהם ניטלו אמצעי הזיהוי הביומטריים ,תוך נקיטת אמצעי אבטחת מידע מתאימים. השימוש במערכת ביומטרית צריך שיהיה מושכל ,אחראי ומידתי בהקשר הרלבנטי. ההחלטה על שימוש במערכת ביומטרית נדרשת להישען על ניתוח מקדים שייעשה בגוף ויתועד על ידו .תיעוד הניתוח יכלול שקילת חלופות לעצם השימוש ביישומים ביומטריים ,כולל ניתוח היתרונות אל מול הסיכונים הכרוכים בכך. התיעוד נועד לוודא שהחלטות בעניין זה אינן מתקבלות כלאחר יד ,אלא רק לאחר שנבדקו השיקולים השונים. עמוד 64מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .1.1.9במסגרת הניתוח ייבחנו גם שיקולי הגנת הפרטיות וההשלכות הנגזרות ,לרבות אמצעים להגנה על הפרטיות ואמצעי אבטחת מידע .בכלל זה ,היה והגוף מחליט על שימוש במערכת ביומטרית ,עליו לשקול האם מערכת שאינה כוללת מאגר ביומטרי נותנת מענה לצרכים הכוללים שלו. .1.1.10יובהר כי "קווים מנחים" אלו אינם חלים על "גופים מיוחדים" כהגדרתם בהחלטת ממשלה .4510לגביהם יוגדר הסדר מיוחד בין אותו גוף לבין יחידת הממונה. .1.1.11מסמך זה כולל את "הקווים המנחים הכלליים" ,המתייחסים באופן זהה לכל סוגי היישומים והביומטריה .כאשר תיעשה בדיקת עמידה "בקווים מנחים" ליישום ספציפי ,ייתכן ויהיו סעיפים מסוימים שלא יהיו רלבנטיים עבור היישום בנסיבות שונות. .1.2אחריות הנהלה כוללת – ידע ,תיעוד והבטחת תהליכים: 1.2.1 1.2.2 1.2.3 1.2.4 1.2.5 ניהול תקין של יישומים ביומטריים מחייב את הנהלת הגוף לוודא כי ברשותה נמצאים כלים אשר יאפשרו לה לקבל החלטות מושכלות לגבי אופן השימוש בביומטריה ,תוך השגת מירב התועלות הכרוכות בה והפנמה של הסיכונים הקשורים בה. כלים אלו כוללים בין היתר ,היכרות שוטפת עם ההיבטים המקצועיים (טכנולוגיים ,ארגוניים ,תקינה) של הנושא ,וניהול מסודר של היישום הביומטרי. הנהלת הגוף צריכה לוודא כי קיימת היכרות עם כלל המקורות הרלוונטיים המחייבים את הגוף לניהול יישומים ביומטריים (חוקים ,תקנות ,הוראות נוהל, החלטות פנימיות) ובפרט החוק להסדרת ביטחון בגופים ציבוריים ,התשנ"ח - 1998וחוק הגנת הפרטיות ,התשמ"א – ,1981והתקנות שמכוחם. קיימים תקנים בתחום הביומטריה המטפלים בהיבטים שונים ,לרבות במישור הרכשת הדגימות הביומטריות ,הבטחת איכות הדגימות הביומטריות ,המרת הדגימות למאפיינים ביומטריים ,אופן שמירת המידע הביומטרי ,ואופן הגישה ליישומים ביומטריים .על הנהלת הגוף לוודא כי קיימת היכרות עם התקינה הרלבנטית לאותו יישום ביומטרי המופעל על ידי הגוף ,ולנהוג ,ככל הניתן, בהתאם לתקינה ,אלא אם יש נימוקים מבצעיים או אחרים לסטייה מהתקינה. על הנהלת הגוף לוודא קיומם ואחזקתם של מסמכי תיעוד לגבי כל יישום ביומטרי שבאחריות הגוף ,כמפורט להלן: 1.2.5.1מסמך בחינת הצורך בהטמעת יישום ביומטרי (יכול שיהיה זה, לדוגמה" ,מסמך ייזום" של היישום הביומטרי בו נבחנו החלופות השונות). 1.2.5.2אם מדובר ביישום ביומטרי הכולל מאגר ביומטרי ,פירוט הצורך בגינו נדרש שימוש במאגר. 1.2.5.3מסמך תיאור פרטני ועדכני ובו פרטים הנוגעים ל:- 1.2.5.3.1מטרות היישום הביומטרי. 1.2.5.3.2כללים בקשר למתן גישה לצדדים שלישיים למידע הנכלל במסגרת היישום ,ומנגנוני הטיפול בבקשות גישה כאמור. 1.2.5.3.3גורמים להם ניתנת גישה או הרשאה לשימוש ביישום הביומטרי ופירוט לגבי הסכמים עם צדדי ג' לגבי השימוש ביישום הביומטרי ,ככל שישנם הסכמים כאלה. עמוד 65מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 1.2.5.4מסמך המתאר את מכלול התהליכים בהם נוקט הגוף כדי להבטיח עמידה בדרישות חוק הגנת הפרטיות ,התשמ"א – .1981 1.2.5.5על הנהלת הגוף לוודא תיעוד פניות של צדדי ג' לגוף בבקשה לקבלת מידע על פי חוק חופש המידע ,התשנ"ח ,1998 -ככל שישנן כאלה, והאופן בו מטופלות הפניות. 1.2.6על הנהלת הגוף למנות גורם אחראי לכל יישום ביומטרי ובפרט על מאגר ביומטרי ככל שהוא קיים בגוף כחלק מיישום ביומטרי ,שידווח להנהלת הגוף באופן סדור בכל הקשור לניהול היישום הביומטרי. 1.2.7על הנהלת הגוף לוודא כי קיים ניהול שוטף של בדיקות סטטיסטיות הנוגעות לתהליכי הזיהוי הביומטרי. 1.2.8על הנהלת הגוף לוודא כי קיימות מערכות חקירה ובדיקה הכוללות דרכים לאיתור ליקויים ותיקונם. 1.2.9במידה והיישום הביומטרי ,כולו או חלקו ,מתבצע באמצעות ספק/מיקור חוץ, יש להקפיד על ההנחיות המפורטות בפרק 5להלן. 1.2.10לעניין תחום אבטחת המידע ואחריות ההנהלה בהקשר אליו ,ר' בפרק 3להלן. .2פרק " - 2קווים מנחים" לאחריות הגוף להיבטים טכנולוגיים של היישומים הביומטריים: 2.1אחזקת מסמכים טכנולוגיים פרטניים הנוגעים לנושאים הבאים: 2.1.1תשתית מערכת מידע תומכת ביישומים הביומטריים. 2.1.2טכנולוגיות הרכיבים הביומטריים. 2.1.3ממשקי העברת מידע אל ומהיישומים הביומטריים. 2.1.4פרטים אודות מאגר ביומטרי ,ככל שקיים מאגר כזה. 2.1.5הערה :המסמכים הרלבנטיים דלעיל יכללו שרטוטים סכמתיים וטכניים התומכים בתיאור המילולי. 2.2הגדרת "שיעור קבלת זיהוי שווא" ( )FARו"שיעור דחיית שווא" ( )FRRופרמטרים נוספים ,המותאמים לדרישות היישום הביומטרי. 2.3אחזקת מסמכים וביצוע תהליכים בתחום אבטחת המידע ,כמפורט להלן בפרק – 3 "קווים מנחים" לאבטחת מידע. 2.4יש לאבטח מסמכים ,אשר הוגדרו כמסמכים רגישים ,כגון תכניות אבטחת היישום ו/או המאגר ונושאים הקשורים להגנת הפרטיות. עמוד 66מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .3פרק " - 3קווים מנחים" לאבטחת מידע: .3.1אחריות הנהלה: .3.1.1הנהלת הגוף אחראית להגנה על מידע ביומטרי שנאסף (בהתאם לחקיקה ותקנות קיימים ,בפרט חוק הגנת הפרטיות והתקנות שמכוחו) .אחריות זו תכלול הגדרת מדיניות ארגונית ברורה להגנה על המידע ועל הפרטיות .המדיניות נדרשת לכלול תהליכים ,טכנולוגיות ונהלים ולהגדיר בקרות על שלושת רבדים אלו ,תוך דגש על שימוש בבקרות טכנולוגיות. .3.1.2אחריות כוללת :להנהלת הגוף אחריות כוללת לווידוא הכנת תכנית הגנה מקיפה וסדורה על היישומים הביומטריים ומאגרי המידע הביומטריים שברשות הגוף, ליישומה ולפיקוח על מימושה הכוללת גם היבטי הגנת הפרטיות ועדכונה. .3.1.3הנהלות הגופים מחויבות למינוי אחראים לאבטחת היישומים הביומטריים והגנת הפרטיות ,הגדרת חובותיהם וסמכויותיהם וכפיפותם .בעלי תפקיד אלו יכולים להיות אותם בעלי תפקיד האחראים על אבטחת המידע והגנת הפרטיות של כלל יישומי המחשוב הארגוניים .על הנהלות לוודא השתלבות ממונה אבטחת המידע בדיונים הנוגעים לתוכניות עבודה שנתיות המתייחסות להרחבה/שינויים /תחזוקת היישומים הביומטריים ותקצובם. .3.1.4יצירת הסדרים מתאימים לאחזקת המידע הביומטרי בידי צד שלישי כגון קבלן מיקור חוץ ,תוך הקפדה על שמירת השליטה במידע ,אופן הטיפול בו והפיקוח על אותו גורם חיצוני לארגון. .3.2מדיניות ,נהלים ותיעוד שעל הארגון לוודא קיומם: .3.2.1מסמך מדיניות אבטחה ובנוסף אליו -אוגדן נהלי אבטחה ובהם ,בהתאמה ,עקרונות ופירוט דרישות אבטחת המידע והגנת הפרטיות .דרישות אלו יכללו אבטחה פיזית, מהימנות הגורמים המתפעלים ומתחזקים את היישום ,אבטחת רשומות ,אבטחה לוגית ,חלוקת סמכויות ואחריות בין גורמי הביטחון והתפעול עצמם ,תפעול ותחזוקה שוטפים ,פיקוח ובקרה. .3.2.2מסמך עדכני של ניתוח סיכונים פוטנציאלים לפגיעה במידע ובתפקוד היישומים הביומטריים ,בהתייחס למאפייני הייעוד והמימוש שלהם. .3.2.3מסמך הממפה את מקטעי המידע והתהליכים הרגישים בפעילות היישום. .3.2.4אחזקת פרק אבטחה טכנולוגי כחלק מנהלי האבטחה של הגוף ,התומך ביישומים ביומטריים. .3.2.5אחזקת נספחי הוראות תצורה והפעלה של רכיבי ההגנה הטכנולוגים המשולבים בארכיטקטורת ההגנה על היישומים הביומטריים ,לרבות רכיבי החיווי. .3.2.6מסמך המפרט את הרשאות המשתמשים בגישה לרכיבים הביומטריים ולרשומות הביומטריות במערכות המחשוב לצורך תפעול/תמיכה/תחזוקה .רשימה זו תתבסס על העקרונות NEED TO KNOW :ו .NEED TO ACT -כמו כן ,פירוט לגבי הרשאות בהסכמים עם צדדי ג' לגבי השימוש ביישום הביומטרי ,ככל שישנם הסכמים כאלה. .3.2.7יישום בקרת גישת משתמשים לשימוש ביישומי המערכת ותמיכה בה ע"י גורמי תמיכה המבוססים על שניים מתוך שלושת המרכיבים הבאים :סיסמה ,כרטיס או זיהוי ביומטרי. עמוד 67מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .3.3טכנולוגיה: .3.3.1יש להתקין את הרכיבים הביומטריים בסגמנט/רשת ייעודי ,המופרדים ע"י אמצעי אבטחה וסינון מרשתות ארגוניות ו/או ציבוריות אחרות. .3.3.2יש להשתמש ברכיבים ביומטריים הכוללים הגנות ,Anti-Tamperingכולל יכולת דיווח בזמן-אמת למערכות הניטור הארגוניות. .3.3.3נדרש להטמיע מוצרי אבטחה צד ג' להגנה מפני תקיפת קוד עוין ,מניעת גישת בלתי מורשים לתשתיות וליישומים עצמם ,בקרת תצורת מערכת ,בקרת הוצאת/הכנסת מידע. .3.3.4נדרש לממש תבניות הקשחת מערכות הפעלה בציוד תקשורת אקטיבית ,בשרתי אחסון מידע ,בשרתי יישומים ,בציוד אבטחה ובתחנות עבודה ,לפחות ע"פ הנחיות יצרן. .3.3.5נדרש להתקין ולהטמיע יישום מרכז ניהול אבטחה נתמך מוצר טכנולוגי תחת קטגוריית מוצרי SIEM/SOCבעל יכולות ניטור מידע ותעבורת מידע לצורך התרעה וגילוי חריגים ,ניתוחם לכדי הפקת משמעויות ביטחוניות ,הפקת התראות לגורמים ממונים ,המלצה/ייצור תגובה מונעת/מתקנת ותיעוד. .3.4מימוש: .3.4.1בניית יישום ביומטרי מחייבת תשומות הגנה בכל שלבי מחזור החיים של היישום, החל משלב הייזום ועד לשלב הגריטה והפסקת השימוש במערכת. .3.4.2אימוץ ת"י 27001לניהול אבטחת מערכות מידע ,ותקן ISO/IEC 24745הינם תשתית נדרשת לניהול אבטחת יישומים ביומטריים בכל הגופים בכפוף לסיווג שיינתן לאותו יישום. .3.4.3בכל גוף בו יישום ביומטרי ובו קיימת הסדרה שאיננה מאמצת את ת"י 27001לניהול אבטחת מערכות מידע ,תבחן יחידת הממונה הימצאותם של פערים ותנחה לגביהם בהתאם ל"גבולות הגזרה" ו"הקווים המנחים". .3.4.4קיום פעילות על פי נהלי אבטחה פנים ארגוניים עדכניים ,אשר קיבלו תיקוף בתחום השנתיים האחרונות ו/או בתוך שנה ממועד ביצוע שינויים ו/או הרחבות של היישומים הביומטריים. .3.4.5ביצוע בדיקות חוסן לאישוש רמת האבטחה ע"י גורם שאיננו נמנה על גורמי התחזוקה והתפעול של היישומים הביומטריים. .3.4.6בהסכמים הנערכים עם ספקים חיצוניים של המערכות הביומטריות ,יש לעגן את מחויבותם לכלול במערכות את אמצעי ההגנה המתאימים למימוש המדיניות האמורה לעיל .פירוט ראה בפרק 5להלן. .3.4.7יש להשתמש ככל שניתן בהצפנה כדרך אפקטיבית להגנה על הנתונים ,הן בעת אחסונם והן במהלך העברתם בתווך תקשורת פנימי או חיצוני. .3.4.8יש לעשות שימוש בהצפנה מתאימה ,בהתאם להערכת הסיכונים ביישום הספציפי. הצפנה כזו ,מן הראוי שתעשה שמוש באלגוריתם מוכר ,מפתח מתאים (בהיבטי אורך מפתח ,אופן חילול אקראי ,שמירה עליו) ומימוש נכון של תהליכי ההצפנה. .3.4.9בתום הקמת יישום ביומטרי ,נדרש לקיים ע"י גורם מומחה צד ג' ,בדיקות קבלה לבחינת תקינות תפקוד אמצעי האבטחה שהושתו ליישום .בדיקות אלו תכלולנה את תקינות המענה לתרחישי פגיעה שונים ביישום ,הן פגיעה בתשתית הטכנולוגית והן יכולת פגיעה בתהליך ,והן תשלבנה בדיקות חוסן ,קרי -בחינת יכולת גורם חיצוני לחדור ליישום/מאגר או לשבש תפקודו. עמוד 68מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .3.4.10יישומים ביומטריים ,לגביהם ייקבע שיפוקחו באופן הדוק ע"י הממונה ,יחלו בפעילותם המבצעית לאחר שקיבלו את אישור הממונה ,שיינתן בין היתר ,על בסיס דו"ח מבדקי אבטחת המידע. .3.5בקרה: .3.5.1קיום בקרות שוטפות ותקופתיות בתחום אבטחת מידע ,לרבות באמצעות גורם צד שלישי. .3.5.2כחלק ממכלול הפעולות הנדרשות לשם קיום בקרה על השימוש ביישומים ביומטריים ,הכרחי לשמור על יומני רישום מקיפים הכוללים רישום בקרות טכניות ורישום אירועי פגיעה בפרטיות. .3.5.3בנוסף ,נדרשת בדיקה שוטפת של קובצי רישום התיעוד של הפרת הפרטיות וקיום ביקורת שוטפת של יומני הרישום ,כדי להבטיח שרמת ההגנה על הפרטיות לא תישחק לאורך זמן. .3.5.4בדיקת התאמת תהליכים לנהלים בהתאם לפרקי הפיקוח והבקרה הכלולים במדיניות הגופים עצמם .למשל ,האם הארגון ביקר שנעשה שימוש בנתונים אך ורק לצרכים המוגדרים בתכלית המערכת. .3.5.5בקרה על תהליכי התאמת מהימנות בקליטת עובדים. .3.5.6בקרה על תהליכי התאמת ביטחונית בקליטת עובדים. .3.5.7בקרת תקינות אמצעי האבטחה המשולבים בתשתיות המחשוב. .3.5.8קיום בקרות שוטפות ותקופתיות בתחום אבטחת מידע באמצעות גורם צד ג'. .3.5.9בקרת מודעות עובדים לנושא הגנת הפרטיות ואבטחת מידע. .4פרק " - 4קווים מנחים" להגנת הפרטיות וכבוד האדם: 4.1 4.2 4.3 4.4 4.5 ההגנה על הפרטיות וכבוד האדם במסגרת השימוש במערכות טכנולוגיות ,לרבות מערכות ביומטריות ,נעשית בעיקר על ידי כללים ניהוליים וכלים טכנולוגיים הלקוחים מעולם אבטחת המידע .להלן יפורטו "הקווים המנחים" לנושא זה ,כאשר לגבי השימוש בכלים הטכנולוגיים עצמם קיים פירוט בפרק " – 3קווים מנחים" לאבטחת מידע ,המהווה גם השלמה לפרק זה. יש מקום לבחון את מאפייני המערכת ,גם ביחס להיבטים הנוגעים לפרטיות ,בשלב מוקדם ככל האפשר ,וכיצד ניתן לצמצם את הסיכונים ואת הפגיעה האפשרית בפרטיות בקביעת מאפייני המערכת ובאופן הטמעתה ,מראש (לעניין זה ר' גם סעיף 4.9להלן). אחריות כוללת :להנהלת הגוף אחריות כוללת לווידוא הכנת תכנית להגנת הפרטיות וכבוד האדם בהקשר ליישומים הביומטריים ומאגרי המידע הביומטריים שברשות הגוף, ליישומה ולפיקוח על מימושה ,לרבות קביעה ומימוש של מדיניות ברורה בנושא הגנת הפרטיות והכלים הטכנולוגיים אשר ישמשו במסגרת זו. שמירת קיום התכלית :על הגוף לוודא כי מטרות האיסוף והשימוש באמצעים הביומטריים ובנתונים הביומטריים ,נשמרות בהתאם לתכלית המקורית שנקבעה ליישום הביומטרי ,כי לא נאסף ונשמר מידע ביומטרי בהיקף רחב יותר או למשך זמן ארוך יותר מהנדרש למימוש התכלית ,וכי לא נעשה שימוש במידע הביומטרי למטרות השונות מהתכלית המקורית שנקבעה והוצהרה מלכתחילה .לשם כך על הגוף לקבוע כללים לניהול מחזור חיי המידע הביומטרי ,משך האחזקה ותהליך מחיקת מידע משעה שאינו נדרש עוד. פניה לקבלת מידע ביומטרי מאדם :פניה כזו תכלול את הדרישות האמורות בסעיף 11 לחוק הגנת הפרטיות ,התשמ"א – ( 1981ר' סעיפים 4.5.3 - 4.5.1להלן) וכן התייחסות לסוגיות רלוונטיות נוספות (ר' סעיפים 4.5.8 - 4.5.4להלן): עמוד 69מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 4.6 4.7 4.8 4.9 4.5.1האם חלה על אותו אדם חובה חוקית למסור את המידע ,או שמסירת המידע תלויה ברצונו ובהסכמתו; יובהר כי על כל מקרה להיבחן לגופו בהתייחס לצורך, לבסיס החוקתי ולשיקולים הקשורים לתכלית היישום הביומטרי עצמו; 4.5.2התכלית שלשמה מבוקש המידע הביומטרי; 4.5.3לאילו גורמים עשוי להימסר המידע הביומטרי ומהם השימושים שיכולים לעשות בו גורמים אלו. 4.5.4זהות הגוף אוסף המידע. 4.5.5כיצד נשמר המידע הביומטרי. 4.5.6התייחסות לאפשרות להסרת המידע מן המאגר. 4.5.7האם קיימת מגבלת זמן לאחסון המידע והשימוש בו. 4.5.8הכללים שנקבעו להגנה על קטינים וחסויים (ר' גם סעיף 4.6להלן). טיפול בקטינים וחסויים :על הגוף ליצור הסדר מתאים לקבלת מידע ביומטרי של קטינים וחסויים ,באישור ההורים או האפוטרופוס החוקי ,בכפוף לחוק הכשרות והאפוטרופסות, התשכ"ב – .1962 טיפול בחריגים ושמירה על כבוד האדם: 4.7.1על הגוף לקבוע אופן טיפול חריג באוכלוסיות מסוימות ,בין אם כתוצאה ממגבלות פיזיולוגיות (לדוגמא – אנשים שלא ניתן ליטול מהם טביעות אצבע באיכות המזערית הנדרשת) ,או ממגבלות המערכת הביומטרית עצמה (כגון – התנאים הפיזיים בהם נלקחות דגימות ביומטריות לאימות) ,או בשל סיבה אחרת בגינה יש לפטור את אותה אוכלוסייה מלעשות שימוש בזיהוי ביומטרי. 4.7.2על הגוף לקבוע את האופן שבו טיפול חריג זה יוצג בפני נותני השירות (לדוגמה – להציג חיווי ברור על כך שמאדם מסוים לא נלקחו טביעות אצבע כלל ,או שנלקחו באופן חלקי ,מבלי שתיגרם לאותו אדם חוסר נוחות במהלך הטיפול ,או שייפול עליו חשד מיותר). 4.7.3יש לשאוף לכך כי ככל שניתן ,דרכי טיפול חריגות אלו לא יפלו את אותה האוכלוסייה ביחס לאוכלוסייה המטופלת בערוץ הרגיל ,בכל הנוגע למשך זמן הטיפול ומורכבותו. 4.7.4בנוסף ,יש ליצור נוהל מתאים לטיפול במקרים בהם זיהוי ביומטרי של אנשים יידחה על ידי המערכת ,באופן שיחשיד אותם בזהות לא-להם ,בשים לב לעובדה שעלולים להיות מקרים בהם מקור הדחייה יהיה מרמת דיוק המערכת לגבי "שיעור דחיית שווא" (.)FRR שמירה על השקיפות :הגוף יאפשר לאדם לפנות ,לברר ולקבל מידע לגבי אמצעים ביומטריים שניטלו ממנו וכן לגבי נתונים ביומטריים שהופקו מהם ,הנאספים ונשמרים על ידי הגוף ,ככל שהדבר מתאפשר מבחינה טכנית ובכפוף לחוק. הגבלת היקף שמירת מידע ביומטרי בכלל ומידע המועבר בתווך התקשורת בפרט: 4.9.1עיצוב מערכת ביומטרית ומימושה ,יתבססו על עיקרון צמצום המידע הביומטרי הנשמר ,ככל שניתן ,הן לעניין היקף המידע ,סוג המידע (אמצעים או נתונים ביומטריים) והן לעניין משך זמן שמירתו. 4.9.2עיצוב מערכת ביומטרית ומימושה ,ייקחו בחשבון את עיקרון הפרדת המידע הביומטרי מהמידע הביוגרפי ,לרבות הקישור ביניהם ,ככל שניתן. 4.9.3ככלל ,מידע ביומטרי שנעשה בו שימוש תוך כדי תהליך השוואה ביומטרית, יימחק לאחר סיום השימוש בו ולא ייאגר באופן מקומי לאחר השימוש. 4.9.4יש לשאוף להעברה מזערית של מידע ביומטרי בתווך התקשורת של הגוף. עמוד 70מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 4.10מודעות ,הדרכה והטמעה של נושא הגנת הפרטיות וכבוד האדם: 4.10.1על הנהלת הגוף לוודא כי קיימת מודעות לנושא הגנת הפרטיות וכבוד האדם בקרב הגורמים בגוף העוסקים ביישומים הביומטריים או במידע הביומטרי (גורמי תמיכה ,גורמי שירות וכיו"ב). 4.10.2על הנהלת הגוף לוודא קיום פעילויות הדרכה לגורמים הנ"ל ,שמטרתן הטמעת תחושת המחויבות לנושא הגנת הפרטיות וכבוד האדם. 4.11ניהול הרשאות הגישה למערכת באופן מצמצם ככל האפשר :כמפורט בפרק - 3אבטחת מידע. 4.12מניעת שחיקה לאורך זמן באמצעות בקרה שוטפת :כמפורט בפרק " – 3קווים מנחים" לאבטחת המידע. .5פרק " - 5קווים מנחים" ליישום "מוצרי מדף" ,מימוש יישומים ביומטריים על ידי ספק חיצוני ו"מיקור חוץ": 5.1 5.2 5.3 5.4 5.5 יישומים ביומטריים מבוססים לעיתים קרובות על "מוצר מדף" המיוצר על ידי יצרן ,ולאו דווקא מוצר אשר מפותח באופן ייחודי עבור לקוח מסוים. לצורך מימוש יישומי ביומטריים ,הגוף עשוי להתקשר עם ספק חיצוני .תפקידי ספק זה מוגדרים בהסכם בינו לבין הגוף ,ויכולים לכלול אספקת שירותים שונים ,החל משיווק "מוצר המדף" והתקנתו בגוף ,פיתוח מערכת משלימה ושילוב מוצר המדף במערכת זאת, תחזוקה שוטפת של המערכת ולעיתים אף תפעול שוטף של משימות הגוף ב"מיקור חוץ". לעיתים ,המידע עצמו נאגר ונשמר במערכות הספק החיצוני ולא בגוף עצמו. מערכת השיקולים בעת הטמעת יישום ביומטרי הכולל תפעול ואחסון המידע הביומטרי בידי הספק החיצוני ,צריכה לכלול את יכולת הגוף לשלוט בצורה מספקת במידע שאינו נשמר על ידו .בהתאם ,יש ליצור הסדרים מתאימים לאחזקת המידע הביומטרי בידי גורם חיצוני כגון ספק "מיקור חוץ" ,תוך הקפדה על שמירת השליטה במידע ,אופן הטיפול בו והפיקוח על אותו גורם חיצוני ונקיטת אמצעי זהירות מתאימים. יובהר כי בחירה במימוש במיקור חוץ אינה מסירה את אחריות הגוף לגבי היישום הביומטרי ,לרבות -אבטחת המידע ,הגנת הפרטיות וכיו"ב .על הגוף לדאוג להסדרת מחויבויותיו של הספק בהקשר ליישום הביומטרי והמידע הביומטרי ,במסגרת הסכם ההתקשרות אתו ובמהלך ההתנהלות השוטפת מולו. ככל שמימוש "הקווים המנחים" -כולם או חלקם ,נעשים ב"מיקור חוץ" ,על הגוף לקבל מן הספק אישור רשמי חתום בכתב ,לפיו הוא מחויב לעקרונות אלו ומקפיד על קיומם .על הגוף לכלול הוראות מתאימות בהסכם ההתקשרות עם הספק ,ובמידת הצורך לדרוש מסמכים המעידים על קיומם של עקרונות אלה ,ככל שהם מתקיימים .עשויים להיות יישומים ,רגישים או קריטיים ,בהם יש להטיל מגבלות על היקף מימוש היישום באמצעות מיקור חוץ. עמוד 71מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- 5.6להלן מסמכים ואישורים שיש לדרוש מהספק במקרים רלוונטיים: 5.6.1המערכת מבוססת על שמירת תבנית עם מאפיינים ( )templateולא על שמירת תמונה (.)image 5.6.2אופן שמירת הנתונים הביומטריים המופקים מהדגימות .במקרה של הצפנת הנתונים ,אישור שהמידע מוצפן ,באיזו שיטה הוא מוצפן ולמי ישנה יכולת לפענח את המידע המוצפן. 5.6.3אמצעי האבטחה שננקטים לגבי גישת משתמשים חיצוניים ,כגון -מנהל המערכת מטעם הספק ,למידע הנאגר ,לרבות אישור שאין לספק אפשרות לבצע שינויים במידע. 5.6.4במקרה שהדבר נדרש ,כגון במקרה של שמירת מאגר תמונות ,אישור על עמידה בתקן הישראלי לאבטחת מידע ת"י .27001 5.6.5לוודא ביצוע מחיקה של נתונים ביומטריים של אדם אשר אינם נדרשים עוד. לדוגמא :עובד שעזב ,לקוח שהפסיק את השירות. 5.6.6אישור שהספק מאחסן את המידע של הגוף בנפרד מנתוני גופים אחרים. 5.6.7התחייבות שלא להעביר מידע לכל גורם חיצוני אחר ללא אישור מפורש ובכתב של הגוף ,או על פי החלטה משפטית. 5.6.8אישור שהספק עומד בדרישות חוק הגנת הפרטיות ,התשמ"א – ,1981לרבות לעניין רישום מאגר מידע אצל רשם מאגרי המידע ברשות למשפט ,מידע וטכנולוגיה (רמו"ט) ,ובפיקוח על ידי רמו"ט ,ככל שהדבר נדרש על פי דין. עמוד 72מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- נספח ג' – מודל תפישתי למערכת ביומטרית כללית עמוד 73מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- נספח ג' -מודל תפיסתי למערכת ביומטרית כללית (מעובד על פי תקן ) ,ISO/IEC 19794-1:2006(Eמהדורה ראשונה 1 ,אפריל )2006 .1 .2 .3 מבוא: .1.1התקן עליו מסתמך מסמך זה ,נועד לתאר את ההיבטים הכלליים והדרישות להגדרת תסדירים (פורמטים) להחלפת מידע ביומטרי בין מערכות. .1.2התסדירים ( )formatsשל העברת המידע ושל ייצוג הרכיבים הביומטריים ,נועדו לאפשר עצמאות של מערכות מפלטפורמה מסוימת ("מערכת פתוחה") ,תוך הפרדה בין הגדרות הנוגעות להעברת המידע לבין הגדרות הנוגעות לתוכן ולתכולה של המידע הביומטרי. .1.3מתוך חלק מספר 1של התקן שבסימוכין ,העוסק בהרחבה בתסדירים של העברת המידע ,כולל המסמך הנוכחי בעיקר את רכיבי המודל התפישתי למערכת ביומטרית כללית. תפישה כללית של יחסי הגומלין בין הנושאים הביומטריים השונים: .2.1הרכיב הגרעיני של האינטראופרביליות הינו של המידע הביומטרי התואם לפורמטים של החלפת מידע ביומטרי לפי תקן ISO/IEC 19794על חלקיו השונים. .2.2פורמטים ביומטריים כמו בתקן ,)CBEFF( ISO/IEC 19785משמשים כ"עטיפה" סביב המידע הביומטרי. .2.3מאחר ומידע ביומטרי נחשב כמידע רגיש וכמטרה לתקיפות ,הגנה קריפטוגרפית נדרשת בסביבות של החלפת מידע. .2.4ישנה חשיבות רבה לתכונות ביומטריות כמו פרופילים של הגנה ,הערכת ()evaluation אבטחת מידע וביצועים. .2.5ממשקים ביומטריים חיוניים בכדי לאפשר ולהקל על אינטגרציה נוחה ושימוש ברכיבים ביומטריים במסגרת מערכות מידע כוללות. .2.6מילון הנתונים הכולל את אוצר המושגים הביומטריים ,מומלץ מאוד לשימוש על מנת להוות בסיס ושפה משותפת לכל העושים במלאכה. .2.7מימוש יישומים אשר עושים שימוש באימות ביומטרי ובזיהוי ביומטרי ,מתרחשים בהקשר לדרישות ולתפיסות רחבות יותר של היבטים חברתיים ,היבטים משפטיים ותפיסות עולם ,שצריכות להיות נדונות ומוחלטות ,כדי לוודא תאימות מלאה ביניהן לבין היישום הספציפי. תרשים תפישתי של מערכת ביומטרית כללית: .3.1למרות המגוון הרחב של היישומים והטכנולוגיות הביומטריות ,לכל המערכות הביומטריות ,ישנם הרבה רכיבים משותפים הקיימים בהם ,כפי שיוצג להלן: .3.1.1הדגימות הביומטריות נרכשות ( )acquiredמאנשים על ידי חיישנים. .3.1.2הפלט של החיישנים נשלח למעבד אשר מחלץ את המאפיינים ()features הייחודיים/המובהקים והניתנים לשחזור מתוך הדגימות ,ומסירים את כל יתר המרכיבים. עמוד 74מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .4 .3.1.3המאפיינים שהינם תוצאה של התהליך הקודם ,יכולים להישמר בבסיס נתונים כתבנית ,או שהם יכולים להיות מושווים לתבנית ספציפית ,להרבה תבניות או לכל התבניות אשר כבר קיימות בבסיס הנתונים ,על מנת לקבוע האם יש "התאמה" (.)match .3.1.4החלטה הנוגעת ל"טענת הזהות" נעשית על בסיס מידת הדמיון שנמצאה בין מאפייני הדגימה לבין מאפייני התבנית ,או התבניות ,מולם בוצעה ההשוואה. .3.2התרשימים בנספחים ג' 1-ו -ג 2-ממחישים את זרימת המידע בתוך מערכת ביומטרית כללית .המערכת הביומטרית הכללית מורכבת מתת-המערכות הבאות: .3.2.1הרכשת נתונים (.)data capture .3.2.2עיבוד אותות (.)signal processing .3.2.3אחסון (.)storage .3.2.4התאמה (.)matching .3.2.5החלטה (.)decision .3.3התרשימים מתייחסים הן לשלב ההרשמה ( ,)enrolmentוהן לשלב התפעול ,של מערכות אימות וזיהוי ביומטריות. .3.4בסעיף להלן יתוארו מרכיבי תת-מערכות אלו ביתר פירוט. .3.5חשוב לזכור ולשים לב ,בכל מקרה ,כי במערכת ביומטרית מסוימת וקונקרטית ,יכול להיות שחלק מהמרכיבים התפיסתיים לא יתקיימו בה כלל ,או שלא יהיה מיפוי והתאמה חד-ערכיים ביניהם לבין המרכיבים הפיזיים של אותה מערכת. מרכיבים תפיסתיים של מערכת ביומטרית כללית (תת-מערכות): .4.1תת-מערכת להרכשת מידע :תת-מערכת זו אוספת תמונה ( )imageאו אות ( )signalשל הסוגים הביומטריים (כגון – תווי פנים ,טביעות אצבע) אשר הוצגו בפני החיישן הביומטרי ,ומוציאה כפלט את התמונה/האות כ"דגימה ביומטרית". .4.2תת-מערכת לתמסורת המידע (:)transmission .4.2.1תת-מערכת זו (שאינה מוצגת בתרשים ,וכן אינה תמיד קיימת בצורה מובחנת במערכת ביומטרית) ,תעביר דגימות ,מאפיינים ותבניות ,בין תת-המערכות השונות .דגימות ,מאפיינים או תבניות ,יכולים להיות מועברים תוך שימוש בפורמטים תקניים להחלפת מידע. .4.2.2הדגימה הביומטרית יכולה להידחס ו/או להיות מוצפנת לפני התמסורת, ולאחר מכן – להיפרס ו/או להיות מפוענחת ,בהתאמה ,לפני שייעשה בה שימוש. .4.2.3ייתכן שדגימה ביומטרית תשתנה עקב "רעש" שיהיה בערוץ התמסורת כמו גם עקב איבוד מידע בתהליך הדחיסה או הפריסה. .4.2.4מומלץ ליישם טכניקות של קריפטוגרפיה על מנת להגן על מקוריות (אותנטיות) המידע הביומטרי ,השלמות ( )Integrityוהסודיות שלו ,בין אם מדובר במידע מאוחסן ובין אם במידע שעובר בתמסורת. עמוד 75מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .4.3 .4.4 .4.5 .4.6 תת-מערכת עיבוד אותות (:)signal processing .4.3.1תת-מערכת זו מחלצת את המאפיינים המובהקים מתוך הדגימה הביומטרית. .4.3.2תהליך זה יכול לכלול את איתור האות ( )signalשל המאפיינים הביומטריים בתוך הדגימה שהתקבלה (תהליך הידוע בשם "סגמנטציה") ,חילוץ מאפיינים, ובקרת איכות שבאה להבטיח שהמאפיינים שחולצו יהיו מספיק מובחנים וברי-חזרה (.)repeatable .4.3.3במקרה שבקרת האיכות דוחה את הדגימה/דגימות שהתקבלו (בהתאם לערכי הבקרה שהוגדרו) ,השליטה בתהליך יכולה לחזור לתת-מערכת ההרכשה ,על מנת לאסוף דגימה נוספת ,או דגימות נוספות. .4.3.4במקרה של הרשמה ( ,)enrolmentתת-מערכת עיבוד האותות יוצרת מהמאפיינים הביומטריים ,תבנית .פעמים רבות ,תהליך ההרשמה מחייב לקחת מספר מאפיינים ביומטריים ממספר הצגות ( )presentationsשל המאפיינים הביומטריים של האדם הנרשם. תת-מערכת לאחסון המידע (:)storage .4.4.1תבניות מאוחסנות בתוך בסיס נתוני ההרשמה ,בתת-מערכת האחסון. .4.4.2כל תבנית קשורה ומשויכת לפרטי האדם הנרשם. .4.4.3יש לציין כי בטרם המעבר לשלב האחסון בבסיס נתוני ההרשמה ,ייתכן ויהיה צורך בתסדיר מחודש ( )re-formattingלתוך פורמט להחלפת מידע של נתונים ביומטריים. .4.4.4הערה חשובה :תבניות יכולות להישמר במספר סוגי מקומות :במכשיר ההרכשה הביומטרי שבו נקלטו; על התקן/מדיה נייד ,כמו – כרטיס חכם; באופן מקומי ,כגון במחשב אישי או בשרת מקומי; או בבסיס נתונים מרכזי; כל זאת ,מותנה במערכת הספציפית. תת-מערכת להתאמה (:)matching .4.5.1בתת-מערכת ההתאמה ,המאפיינים מושווים כנגד תבנית אחת או יותר, ו"ציוני דמיון" ( )similarity scoresמועברים לתת-מערכת ההחלטה. " .4.5.2ציוני הדמיון" מציינים את מידת ההתאמה בין המאפיינים המושווים. .4.5.3לצורך אימות" ,טענת זהות" אחת של אדם שנרשם תוביל ל"ציון דמיון" אחד. .4.5.4לצורך זיהוי ,תבניות רבות ,או אף כל התבניות בבסיס הנתונים ,יכולות להיות מושוות עם המאפיינים ,ובהתאם להפיק כפלט "ציון דמיון" לכל אחת מההשוואות הללו. תת-מערכת להחלטה (:)decision .4.6.1תת-מערכת ההחלטה משתמשת ב"ציוני הדמיון" שהתקבלו ,במסגרת ניסיון אחד או יותר של התאמה ,על מנת לספק את תוצאת ההחלטה עבור טרנזקציה של אימות או של זיהוי. .4.6.2במקרה של אימות ,המאפיינים נחשבים כאילו הם "התאמה" מול תבנית מושווית ,כאשר "ציון הדמיון" גבוה יותר מ"סף" מוגדר" .טענת זהות" לגבי רישום של נרשם יכולה להיות מאומתת על בסיס "מדיניות ההחלטה" ,אשר יכולה להרשות ,או שלא להרשות ,מספר ניסיונות השוואה. עמוד 76מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .4.7 .4.8 .4.6.3במקרה של זיהוי ,המזהה של הנרשם או התבנית שלו ,הינם ה"מועמד" הפוטנציאלי עבור אותו אדם ,כאשר "ציון הדמיון" גבוה יותר מ"סף" מוגדר, ו/או כאשר "ציון הדמיון" הינו אחד מבין kהערכים הגבוהים ביותר אשר התקבלו ,עבור ערך מסוים של " .kמדיניות ההחלטה" יכולה להרשות ,או שלא להרשות ,מספר ניסיונות השוואה לפני שהיא מקבלת את החלטת הזיהוי. .4.6.4הערה :תפיסתית ,ניתן להתייחס למערכות רב-ביומטריות ,כלומר -כאלו שעושות שימוש במספר ביומטריות שונות ,באותה הצורה של מערכות חד- ביומטריות ,על ידי שמתייחסים לשילוב של דגימות /תבניות /ציונים ומאפשרים לתת-מערכת ההחלטה לפעול על פי "שילוב ציונים" ( )score fusionאו "שילוב החלטה" ( ,)decision fusionבהתאם לעניין. תת-מערכת מנהלתית (:)administration .4.7.1תת המערכת המנהלתית ,שאינה מוצגת בתרשים ,שולטת במדיניות הכוללת, במימוש ובשימוש של המערכת הביומטרית ,בהתאמה לדרישת המגבלות המתאימות בהיבט החוקי ,המשפטי והחברתי. .4.7.2להלן מספר דוגמאות להמחשה: .4.7.2.1מתן היזון חוזר לנרשם במהלך ו/או לאחר הרכשת המידע. .4.7.2.2בקשה למידע נוסף מהנרשם. .4.7.2.3אחסון ותסדיר (פורמט) של התבניות הביומטריות ו/או המידע הביומטרי המיועד להחלפה. .4.7.2.4מתן אפשרות להתערבות ידנית והחלטת מפעיל על הפלט. .4.7.2.5הגדרת ערכי סף. .4.7.2.6הגדרת ערכי הכינון של תת-מערכת ההרכשה. .4.7.2.7שליטה על סביבות התפעול ועל המידע הלא-ביומטרי. .4.7.2.8מתן הגנות מתאימות לפרטיות משתמש הקצה. .4.7.2.9אינטראקציה עם היישום אשר עושה שימוש במערכת הביומטרית. ממשקים (:)interfaces .4.8.1למערכת הביומטרית יכול שיהיו ,או שלא יהיו ,ממשקים ליישום חיצוני או למערכת חיצונית ,באמצעות ממשק יישומי ( ,)APIממשק חומרה או ממשק פרוטוקול (הממשקים אינם מוצגים בתרשים). עמוד 77מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .5 פונקציות של מערכת ביומטרית כללית: .5.1הרשמה (:)enrolment .5.1.1בתהליך ההרשמה ,מעובדת על ידי המערכת טרנזקציה לגבי אדם מסוים, במטרה לייצר ולשמור "תבנית הרשמה" לאותו אדם. .5.1.2ההרשמה כוללת בדרך כלל: .5.1.2.1הרכשת הדגימה. .5.1.2.2סגמנטציה וחילוץ המאפיינים. .5.1.2.3בדיקות של בקרת איכות .בדיקות אלו עשויות לדחות את הדגימה או את המאפיינים ,ככאלו שאינם מתאימים ליצירת תבנית ,ולחייב הרכשה של דגימות נוספות. .5.1.2.4יצירת התבנית (אשר עשויה לחייב מאפיינים ממספר דגימות) ,עם אפשרות להמרה לפורמט החלפת מידע ואחסון. .5.1.2.5ביצוע ניסיונות בדיקה לאימות או זיהוי ביומטרי ,על מנת להבטיח שתוצאת ההרשמה הינה ברת-שימוש. .5.1.2.6אם תהליך ההרשמה הראשון יימצא כלא-מספק ,ניתן לאפשר חזרה על מספר ניסיונות להרשמה ,וזאת כתלות במדיניות ההרשמה שנקבעה. .5.2אימות (:)verification .5.2.1בתהליך האימות ,מעובדת על ידי המערכת טרנזקציה לגבי אדם מסוים, במטרה לאמת טענה חיובית כלשהי לגבי ההרשמה של אותו אדם במערכת (לדוגמה" ,אני רשום במערכת כאדם ".)"X .5.2.2תהליך האימות ייעשה אחת מהשתיים :או שיקבל את הטענה ( ,)acceptאו שידחה אותה (.)reject .5.2.3תוצאת ההחלטה של האימות נחשבת כשגויה ,באחד משני המקרים הבאים: .5.2.3.1טענה שקרית ( )falseמתקבלת (;)false accept .5.2.3.2טענה אמתית ( )trueנדחית (.)false reject .5.2.4יש לשים לב לכך שמערכות ביומטריות מסוימות ,מאפשרות לאדם יחיד להירשם עם יותר ממופע אחד של מאפיין ביומטרי (לדוגמה ,מערכת עם ביומטריה של קשתית העין עשויה לאפשר למשתמשים לרשום את שתי תמונות העיניים ,בעוד שבמערכת עם ביומטריה של טביעות אצבע משתמש עשוי להירשם עם שתי אצבעות או יותר לצורך גיבוי – למקרה שנגרם נזק לטביעת אצבע אחת). .5.2.5מערכת לאימות כוללת בדרך כלל: .5.2.5.1הרכשת הדגימה. .5.2.5.2סגמנטציה וחילוץ המאפיינים. .5.2.5.3בדיקות של בקרת איכות .בדיקות אלו עשויות לדחות את הדגימה או את המאפיינים ,ככאלו שאינם מתאימים להשוואה ,ולחייב הרכשה של דגימות נוספות. עמוד 78מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .5.3 .5.2.5.4השוואה של מאפייני הדגימה מול התבנית של הזהות שנטענה לגבי האדם הנבדק ,ויצירת "ציון דמיון" (.)similarity score .5.2.5.5שיפוט על בסיס התוצאה שהתקבלה ,האם מאפייני הדגימה תואמים ( )matchאת התבנית ,בהתבסס על הקביעה ,האם "ציון הדמיון" גבוה יותר מציון הסף (.)threshold .5.2.5.6החלטה סופית על ההתאמה ,בהתבסס על תוצאת ההתאמה של ניסיון התאמה אחד או יותר ,כפי שמוכתב על ידי מדיניות ההחלטה (.)decision policy .5.2.6דוגמה :במערכת אימות המרשה עד שלושה ניסיונות של התאמה עבור תבנית רשומה אחת ,תוצאה של "דחייה שקרית" תהיה התוצאה של כל שילוב שהוא של "כישלונות להרכשה" ( )failures-to-acquireאו אי-התאמה שקרית" "קבלה הניסיונות. שלושת במהלך שגויה/שקרית, ( )false acceptanceתהיה התוצאה ,אם הדגימה נרכשה והותאמה בצורה שגויה/שקרית לתבנית ההרשמה של הזהות שנטענה ,בכל אחד משלושת הניסיונות. זיהוי (:)identification .5.3.1בתהליך הזיהוי ,מעובדת על ידי המערכת טרנזקציה לגבי אדם מסוים, במטרה למצוא מזהה של ההרשמה של אותו אדם. .5.3.2הזיהוי מספק רשימת מועמדים שיכולה להיות "רשימה ריקה" או שתכלול רק מזהה אחד. .5.3.3הזיהוי נחשב כ"נכון" ,אם אותו אדם שנבדק רשום במערכת ,והמזהה השייך להרשמה שלו נמצא ברשימת המועמדים. .5.3.4הזיהוי נחשב כ"שגוי" באחד משני המקרים הבאים: .5.3.4.1המזהה של אדם שנרשם ,אינו מופיע ברשימת המועמדים (שגיאת זיהוי שלילית-שקרית – ;)false-negative identification error .5.3.4.2טרנזקציה של אדם נבדק שאינו רשום במערכת ,יוצרת רשימת מועמדים שאינה רשימה ריקה (שגיאת זיהוי חיובית-שקרית – .)false-positive identification error .5.3.5מערכת לזיהוי כוללת בדרך כלל: .5.3.5.1הרכשת הדגימה. .5.3.5.2סגמנטציה וחילוץ המאפיינים. .5.3.5.3בדיקות של בקרת איכות .בדיקות אלו עשויות לדחות את הדגימה או את המאפיינים ,ככאלו שאינם מתאימים להשוואה ,ולחייב הרכשה של מספר דגימות נוספות. .5.3.5.4השוואה כנגד חלק ,או כנגד כל התבניות הרשומות בבסיס הנתונים של ההרשמה ,ויצירת "ציון דמיון" ( )similarity scoreלכל אחת מההשוואות. עמוד 79מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .6 .5.3.5.5שיפוט על בסיס התוצאה שהתקבלה ,האם כל תבנית שהותאמה ( ,)matchedמהווה מזהה פוטנציאלי להיכלל ברשימת המועמדים עבור האדם הנבדק ,בהתבסס על הקביעה ,האם "ציון הדמיון" גבוה יותר מציון הסף ( )thresholdו/או הינו בין kהציונים הגבוהים ביותר שהוחזרו ,ויצירת רשימת מועמדים. .5.3.5.6החלטה סופית על ההתאמה ,בהתבסס על רשימת המועמדים המתקבלת מניסיון אחד ,או ממספר ניסיונות ,כפי שמוכתב על ידי מדיניות ההחלטה (.)decision policy היבטים כלליים של שימוש במידע ביומטרי: .6.1מבוא :כאשר עושים שימוש במידע ביומטרי ,ההיבטים הכלליים שיוצגו בסעיף להלן, צריכים להילקח בחשבון. .6.2שונות טבעית (:)Natural Variability .6.2.1מידע לאימות ומידע לייחוס ,אינם זהים בדרך כלל ,כאשר מבצעים תהליך התאמה (.)matching .6.2.2אדם לא יוכל אף פעם להציג בדיוק את אותו המידע ,מאחר והמידע מתבסס על הרבה מאוד גורמים שאפילו שינויים קטנים מאוד בהם (כגון – תרגום המידע ,גלגול ( )rotationוהפרעות ( )distortionשל האצבעות) ,כבר יוצרות מידע אחר. .6.2.3לכן ,צריך להגדיר יחד עם מבנה הנתונים הביומטרי ,פרמטרים ספציפיים כמו – מרווחי שגיאה (.)tolerances .6.3השפעת הגיל ( )agingומשך השימוש: .6.3.1מספר סוגי ביומטריה (לדוגמה – תמונת הפנים) ,עוברים שינויים ככל שגיל האדם עולה. .6.3.2לכן ,חשוב להגדיר את תקופת השימוש הבסיסית של מידע הייחוס הביומטרי, או לספק אמצעים לעדכון המידע ,אם הדבר ניתן. .6.3.3משך השימוש שבו המידע הביומטרי יהיה עדיין תקף ,כפי שמוגדר על ידי ספק היישום ,צריך להיות קצר יותר או שווה לתקופת השימוש הבסיסית. .6.4תנאי ההרשמה :על מנת להגיע לתוצאות התאמה טובות ,חשוב להגדיר את תנאי ההרשמה בהתייחס לאיכות המינימום הנדרשת של נתוני הייחוס הביומטריים ,לדוגמה – מספר מזערי של מינושיה ,במקרה של טביעות אצבע ,או במקרה של מידע בצורת תמונה -איכות מיקוד מזערית ,ניגוד ,רזולוציה וכד'. עמוד 80מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- .7 .8 תהליכי עיבוד נתונים: .7.1רמות עיבוד נתונים לפי תקן ISO/IEC 19785-1הינן כדלקמן: .7.1.1נתונים שנרכשו :הנתונים נמצאים בצורתם הגולמית ,כפי שנמסרו מהחיישן. .7.1.2נתוני ביניים :הנתונים שעובדו מתוך הפורמט שנמסר ע"י החיישן ,אבל עדיין לא נמצאים בצורה שניתן להשתמש בה להתאמה :נתונים אלו נקראים "נתוני תמונה". .7.1.3נתונים מעובדים :הנתונים הנמצאים בצורה שניתן להשתמש בה להתאמה: נתונים אלו נקראים "נתוני מאפיינים". .7.1.4עבור החלפת מידע בין מערכות ,נתוני ביניים (תמונה או נתוני התנהגות) ונתוני מאפיינים ,הינם בעלי רלבנטיות מיוחדת ,כמוצג בתרשים שבנספח ג' .3 - .7.2דוגמאות של תסריטים שונים של רמות שונות של עיבוד נתונים ,מוצגות בנספח ג' .4 - ביומטריה מרובה (:)multi-biometrics .8.1ביומטריה מרובה נחלקת לשלוש קטגוריות משנה: .8.1.1רב-מודלית ( :)multi-modalשימוש בסוגי ביומטריות שונות ,כגון – פנים וטביעות אצבע. .8.1.2רב-אלגוריתמית ( :)multi-algorithmicשימוש בשניים או יותר אלגוריתמים שונים ,לעיבוד של אותה דגימה ביומטרית. .8.1.3רב-מופעית ( :)multi-instanceשימוש בלפחות שני מופעים שונים של אותו סוג ביומטריה ,לדוגמה – קשתית עין ימין וקשתית עין שמאל ,או אצבע מורה ימנית ואצבע מורה שמאלית. .8.2ניתן להשתמש באמצעי ביומטריה-מרובה ,על מנת לשפר את הביצועים של מערכות ביומטריות במונחים של שיעורי השגיאות שבהם. עמוד 81מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- נספח ג' – 1זרימת המידע בתוך מערכת ביומטרית כללית – שלב ההרשמה – ) ; ; ( עמוד 82מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- נספח ג' – 2זרימת המידע בתוך מערכת ביומטרית כללית – שלב האימות והזיהוי – ? / ? ? עמוד 83מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- נספח ג' – 3רמות עיבוד נתונים ביומטריים ) ( ) ( ) ( עמוד 84מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- נספח ג' – 4דוגמאות לתסריטי התאמה ()matching scenarios תרשים ד' – 1 – 4שימוש בנתוני מאפיינים " " " " " " " " עמוד 85מתוך 86 משרד ראש הממשלה Prime Minister's Office הממונה על היישומים הביומטריים The Biometric Applications Commissioner -בלמ"ס- תרשים ד' – 2 – 4שימוש בנתוני מאפיינים בתסריט של "התאמה על הכרטיס" " " " " " " עמוד 86מתוך 86