המאבק על מאגר טביעת האצבע הביומטרית עדיין נמצא בעיצומו אבל אין ספק שמהפכה הביומטרית כבר כאן. יותר ויותר תאגידים ושירותי ממשל דורשים אמצעי זיהוי ביומטריים ואלו יצוצו בכל מקום בשנים הקורבות. כדי לתת מענה למורכבות הנושא יחד עם חשיבותו, אושרה לאחרונה מדיניות לאומית שמטרתה להתוות דרך ליישומים ביומטריים.
ועדה שמונתה במשרד ראש הממשלה יצרה קווים מנחים ליישומים ביומטריים וזו אושרה על ידי ראש הממשלה. ישראל היא המדינה הראשונה שמצהירה על מדיניות בנושא רגיש זה. המדיניות נבנתה בידי ועדה של מומחים בתחומי הביומטריה, אבטחת מידע ופרטיות כדי לאזן בין התועלת שבביומטריה לבין שמירה על פרטיות ואבטחת מידע. בעוד שהקרב על המאגר הביומטרי של משרד הפנים נמשך, המדיניות מציינת שהיא לא תהיה תקפה עבור מאגר זה.
המסמך שהפיקה הועדה עוסק בשאלת הסיכונים בבמאגרים ביומטריים: קישור ישיר בין נתונים ביומטריים לבין אדם מסוים בונים קרקע לגניבות זהות שמאוד קשה לתקן. גם מה קורה כשתקלה או שינוי גופני לא מאפשר לזהות משתמש. סיסמת כניסה תמיד אפשר להחליף, אבל עיניים יש רק שתיים. אם התגלה שמידע ביומטרי של אדם נגנב, בנק ימהר לחסום את מכשיר הכספומט לבעל החשבון. בניגוד להליך כיום של ביטול הכרטיס הקודם והפעלת כרטיס חדש, לא תוכלו לקבל מידע ביומטרי חדש.
עדיף להימנע
כדי להדגיש את רגישות הנושא, מציינת המדיניות שלאור הסיכונים כל גוף שבוחר לבנות יישום ביומטרי, כדאי שיבחן אם בכלל כדאי להקים מאגר כזה. אם אפשר לנהל את תפעול הגוף ללא נתונים ביומטריים, כדאי לשקול זאת ובעיקר במגזר הממשלתי.
בגלל חשיבות המידע הביומטרי הקמת פרוייקטים ממשלתיים תהיה מלווה במדיניות הגנה לאומית על נתוני האזרחים מחשש לפגיעה בפרטיות וגם מחשש לביטחון המדינה. אחד העקרונות של ניהול ותחזוק מאגר מידע יהיה שהרשאות חשיפת מידע ביומטרי ינתנו רק למי ש-Need To Know (צריך לדעת) ומי ש-Need To Act (צריך לפעול).
מה עושים כשרשות ממשלתית תעבוד עם ספק אזרחי חיצוני? הקוים המנחים מעמידים שורה של דרישות שמירה על פרטיות ועבודה לפי תקן ישראלי לאבטחת מידע 27001. בכל מקרה אחריות לחריגה תהיה גם על הגוף המזמין ולא רק על הספק החיצוני.
בכלל המדיניות הלאומית אמורה להשפיע על המדיניות במגזר הפרטי אך הועדה ציינה שיש לשמור על עצמאותו של המגזר הפרטי שיכפף רק לשמירה על חוק הפרטיות. בדרך-כלל ממשלות מאחרות לפקח או להתוות מדיניות בנושאים טכנולוגיים אך לאחרונה אנו רואים שממשלות מתערבות בשלב די מוקדם של טכנולוגיות שעדיין לא נפוצות.
הממשלות משתדלות לעמוד בקצב
כך לדוגמה ממשלת ישראל הגבירה לאחרונה את הפיקוח על יצור טכנולוגיות סייבר (בעיקר התקפיות) והנשיא אובמה התייחס השבוע לכניסת המכוניות האוטונומיות לכבישים ואמר כי על הממשל להבטיח את בטחונם של הנוסעים, אך מבלי להעמיס רגולציה יתרה על התעשייה.
המדיניות על ישומים ביומטריים שמה דגש על “מענה מושכל, בטוח ומאוזן”. מכיון שלא נוכל לעצור את הקידמה והטכנולוגיה, נוכל רק לקוות שהגופים שבונים מאגרים ביומטריים יפעלו לפי הקווים המנחים שנקבעו במדיניות הלאומית.
