תכירו: הרשות לניהול זהויות של מדינת ישראל

תכירו: הרשות לניהול זהויות של מדינת ישראל

bigstockphoto.com

בפברואר האחרון פרסמה רשות התקשוב הממשלתי מכרז עבור מערכת אימות זהות לכלל אזרחי ישראל, כולל עובדי מדינה. המכרז יסגר ב27.6.2017. מדובר ביוזמה נדרשת לאור הגידול בשימוש של אזרחי ישראל בשירותי ממשלה מקוונים. לפי דיון אחרון בכנסת בנושא, יש בישראל כ-485 שירותים מקוונים בהם משתמשים האזרחים. באינפלציה כזו של שירותים, ראוי  שהמדינה תקל על הליך האימות.  

 המערכת הכוללת תיקרא - "מערכת זהות בטוחה (זה"ב) - ניהול זהויות וגישה לשירותים". היא תשמש את אזרחי ישראל ותבצע הפרדה בין אזרחים עובדי מדינה (פנימיים) לכאלו שלא (חיצוניים). ההפרדה ככל הנראה בשל רמות סיווג אחרות בגישה למידע.

 ראוי לשים לב כי למרות שהמערכת נבנית עבור שימוש של מדינת ישראל, המדינה רשאית לחלוק את המערכת עם מדינות או ארגונים זרים לפי החלטה. "תיבנה באופן שיאפשר בעתיד חיבור והרחבה לגורמים חיצוניים, בארץ ובעולם, על פי האינטרסים של מדינת ישראל", נכתב במכרז. מה הם האינטרסים, מי מבקר שהם ראויים, והאם האזרח ידע שמידע שלו משותף עם מדינות אחרות? צדקתם, זה לא מוגדר. תאמינו.

 המערכת נבנית בצורה כזו שהיא תאפשר בעתיד, אם מדינת ישראל תרצה, לאסוף גם מידע הזדהות של אזרחים זרים. בפרטים שמרכיבים את המידע הדרוש לזיהוי המשתמש יש שדה בשם "פרטי זיהוי אזרח זר". אמנם הקפידו לרשום לידו "לא למימוש בשלב הראשון", אבל הוא יהיה שם. המשמעות היא שמדינת ישראל בונה מאגר זהויות לא רק לישראלים, אלא לכל מי שיכנס או יצא מהמדינה. לפחות זה הפוטנציאל.

 תשתית קריטית של הזדהות בטוחה

 "במסגרת תפקידיה ובהתאם להחלטת ממשלה 2097 מיום 10.10.2014, מעוניינת היחידה להקים מערכת תשתית להזדהות אחודה לצורך אספקת שירותים ממשלתיים מקוונים לציבור הרחב, לעסקים ולעובדי הממשלה, באמצעות טכנולוגיות תקשוב. מערכת זו תשמש בפרט להזדהות אחודה עבור תושבי ישראל, עסקים ועובדי הממשלה, על מנת לספק שירותים ממשלתיים מקוונים מאובטחים ומזוהים לאוכלוסיות הנ"ל. המערכת עתידה לשמש כתשתית לאומית עבור ניהול זהויות וגישה מקוונת לשירותים, לתקופה ממושכת", נכתב במכרז של רשות התקשוב הממשלתי.

.למרות שהמערכת מוגדרת כתשתית קריטית, לא נכתב במכרז מי אחראי על אבטחת המידע שלה. רשות הסייבר? השב"כ? אחר? בכל מקרה, כדאי להוסיף את הגורם האחראי שיצטרך ליישם את הכתוב בנספח אבטחת המידע של המכרז.

 על פי מסמכי המכרז, המערכת שתוקם תיתן מענה לדרישות יישומיות מקיפות, שנועדו לתת מענה לכלל אוכלוסיות היעד, כמערכת תשתית קריטית של הזדהות בטוחה במדינת ישראל. המערכת תכלול מנגנון הזדהות מרכזי אחד, מאובטח, פשוט וידידותי עבור המשתמשים ככל שניתן, עבור שירותים מקוונים.

 "באמצעות מנגנון זה ניתן יהיה לפטור את המשתמשים מהצורך להחזיק באמצעי הזדהות נפרד לכל שירות, או לכל משרד/ ספק שירות", כותבים ברשות התקשוב הממשלתית. המערכת תאפשר את מימוש הגישה למידע ולחשיפתו בפני משתמשים במערכת, לפי "הצורך לדעת" (need to know)."

 למכרז הכניסו סעיף ייעודי לשמירה על שקיפות מול המשתמש. לפיו, המערכת תאפשר לספק מידע למשתמש חיצוני, באשר לשמירת נתוניו האישיים בחשבונו האישי, והשימושים שייעשו בהם. תתאפשר גם שליטה של התושב על המידע השמור לגביו. המשתמש יוכל להחליט מי רשאי לגשת למידע זה, בכפוף לכל דין. [סעיף חשוב שמונע גישה חופשית לשירותי הביטחון, אלא באמצעות צו בית משפט].

 המערכת תאפשר גם סגירה מוחלטת של חשבון משתמש, כולל מחיקת המידע האישי שנשמר במערכת, או הקפאת חשבון לתקופה מסוימת, באופן עצמאי על ידי המשתמש. ההחלטה על עצם השימוש במערכת נתונה למשתמש עצמו.

 יחד עם זאת, יובהר שמחיקת מידע אישי אינה כוללת מחיקת נתוני בקרה מהלוגים, לתקופה שתוגדר במסגרת נהלי העבודה של תפעול המערכת [זו שאלה מעניינת כי למעשה המדינה מחריגה את הזכות של הפרט על תיעוד הפעולות שלו במערכת. קבצי הלוג הם התיעוד לפעולות שלו במערכת. ולמה לא הוגדרה התקופה?].

 תכירו: הרשות לניהול זהויות של מדינת ישראל

"רשות התקשוב הממשלתי תוגדר כ'רשות ניהול זהויות' עבור המערכת שתוקם במסגרת מכרז זה. הגדרה זאת תורחב בהמשך", נכתב במכרז [לא ברור מה המשמעות של 'תורחב בהמשך'. תקציב רשות התקשוב היום עומד על 190 מיליון ש"ח, האם הרחבה משמעותה עוד כסף? עוד סמכויות?]. יחד עם זאת, מוסיפים ברשות התקשוב כי ייתכן ובתוך הממשלה יהיו עוד רשויות ניהול זהויות ולבסוף תתפתח פדרציה. עבור אלו שמחוץ לכתלי הממשלה (המשתמשים החיצוניים), רשות התקשוב תנהל את הזהויות באופן בלעדי.

 השאלות הגדולות במכרז הן מי מספק ומתקף את הזהות של המשתמש. על פי הפרסום, יחידת ממשל זמין תוכל להפעיל פונקציה זאת בעצמה, ו/או על ידי גורם נוסף שיפעל מטעמה, בין אם מדובר בגורם פנים-ממשלתי ובין אם על ידי גורם מסחרי – עסקי, על פי שיקול דעתה. המשמעות היא שגורם עסקי יוכל לספק זהות לאזרחים ישראלים.

 בתיאוריה אין בכך פסול, אולם בעבר, במדינות אחרות, פרטים אודות אזרחים זלגו לחברות פרסום. גם עולה השאלה כיצד מגינים על מאגרים אלו מפני שירותי ביון זרים או איך דואגים לרציפות התפקודית שלהם. במסמך וורד הכל יכול 'לנגן'. במציאות, על ציר הזמן, מדובר באתגר טכני מורכב.

 המערכת תאפשר שילוב של מספר ספקי זהות כך שמשתמש הקצה יוכל לבחור בספק הזהות הרלבנטי ביותר מבחינתו לצורך ביצוע פעולת הזדהות מסוימת. כאן מדובר בהחלטה שמאפשרת תחרותיות בין הספקים וגם משאירה בידי המשתמש את ההחלטה במי לסמוך. בהנחה והוא יהיה חשוף באופן שווה לכלל המידע אודות ספק הזהות.

 במכרז גם מבהירים כי "יחידת ממשל זמין תפעל כ"ספק מידע זהות", במסגרת אחריותה למידע שנאגר במערכת ניהול הזהויות, נשוא מכרז זה". ממשל זמין גם תשמש כרשות רושמת ותוכל להפעיל לצורך כך ספקי משנה עסקיים.

 לצד אספקת הזהות ורישומה, יש צורך גם בגורמים שיתקפו את הזהות כאשר מישהו רוצה לאמת את הזהות שלו. במקרה זה יהיו שני גורמים. גורם מתקף לצורך הוכחת זהות בשלב ההרשמה. כלומר, למרכיבי מידע מסוימים מזהות המשתמש יהיה תהליך אימות מול ספקים חיצוניים (כרטיס אשראי, רישיון, ת"ז וכו').

 אחרי שלב ההרשמה הראשוני, יהיה גורם שמתקף אימות. כלומר, בכל פעם שהמשתמש ירצה להיכנס למערכת, מישהו יצטרך לבחון את הנתונים ולאשר - "זה הוא". בהקשר זה תשמש יחידת ממשל זמין עבור תעודות זהות חכמות.  אולם יש לשים לב לסעיף באותו הקשר "בנוסף, יתכן מצב של מתקף אימות חיצוני, שיופעל על ידי גורם חיצוני עבור יחידת ממשל זמין, על בסיס המערכת שתוקם במסגרת מכרז זה".  

 המשמעות בגורם מתקף אימות הוא שלגורם הזה יש את המידע המלא או לפחות גישה למידע כזה, בנוגע למשתמש. ההחלטה להעביר אחריות זו לחברה עסקית אינה פסולה. אלא דורשת מערכת שתוכל למנוע מאותה חברה עסקית שימוש לרעה בגישה לנתוני האזרח.

 המערכת תאפשר גם הרשמה לצורך אימות ביומטרי בשיטות שונות, נכתב במכרז, "תוך שילוב עם תוכנות הרכשה מתאימות וציוד קצה מתאים. במסגרת תכולת מכרז זה, לא נדרש להקים מערך מיוחד לצורך הרשמה של נתונים ביומטריים מסוג מסויים, או להתייחס לסוג ביומטריה מסוים, אלא להתייחס רק על עצם היכולת להתממשק למערך כזה בעתיד".

 מאגר המידע

"תפישת המזמין הינה שיש לצמצם ככל שניתן, את מאגר המידע שינוהל במערכת, לקבוצת הפריטים המזערית הנדרשת לצורך תפקודה", כותבים במכרז. " המערכת תאפשר הקמת בסיס נתונים לצרכי בקרה וניתוח אנליטי, לאיתור ומניעת הונאות וכיו"ב. יחד עם זאת, לא יוקם מאגר מידע פנימי במערכת אשר בו ניתן יהיה לעקוב אחר פעולות התושבים או העסקים, ולקשור בין ביצוע הזדהות מול ספקי זהות, לבין קבלת שירותים מספקי שירותים. יומן רישום הפעולות יאפשר גישה למשתמש באופן שיוכל לבדוק פעילויות חשודות ו/או פעולות שלא הוא ביצע, ללא שיירשמו הפעולות עצמן".

 לא כל כך ברור הסעיף הבא:

 "בפרט, תתבצע בקרה (audit) על תהליך ביטול ישות, שיהיה למעשה ביטול לוגי בלבד, ולא פיזי, בנוסח של disable, תחת כללים מסוימים, כדי לשמור על יכולת עקיבה (traceability). במקרה כזה, הישות לא תהיה פעילה אך יישמרו נתוני בקרה לגבי כל מחזור חייה". [אם משתמש מוחק את היישות שלו ממאגר המידע, המידע לא נמחק, אלא פשוט נכנס להקפאה? הקפאה זה לא ביטול יישות]. הסעיף לא מובן בהתייחס לכך שהמערכת אמורה לאפשר למשתמש סגירת חשבון וביטול חשבון.

 המאגר יורכב מפריטי מידע על המשתמש (האזרח). הפריטים מפורטים בנספח "מילון פריטי מידע" של המכרז. מה מופיע במילון? ובכן, מעבר לפרטים מזהים כמו שם, כתובת וטלפון, המדינה גם תבקש מכל אזרח את כתובת הדואר האלקטרוני שלו (ואנחנו צחקנו שהתחילו לבקש את זה בכניסה לארה"ב). נחמה: לפחות המדינה לא מבקשת מהאזרח פרטי התחברות לרשתות חברתיות.  

 אחד הסעיפים המעניינים במאגר הזהויות נמצא תחת השם "פרטי זיהוי אזרח זר". המשמעות היא שמערכת ניהול הזהויות תוכל לשמש בעתיד את מדינת ישראל לרישום פרטיהם של כל הנכנסים והיוצאים מהמדינה. במילים אחרות, מדינת ישראל תוכל לדעת בזמן אמת, לגבי כל נוכח במרחב הריבוני שלה, אם הוא אזרח ישראלי, זר או אחר. מדובר ביכולות אחיזת שטח במרחב הציבורי שמתחילות להיבנות.

אבטחת מידע

בהיבט אבטחת מידע, המערכת תדרוש בין היתר גם הצפנת נתונים מסחרית. לא רשום במכרז חובת הצפנה במנוחה ובהעברה וזה מוזר. המטרה של הצפנה במנוחה היא שאם נגנבות רשומות, הגונב לא יוכל לעשות אתן כלום. הצפנה בהעברה מטרתה למנוע ממי שמיירט מידע לעשות איתו משהו. נזכיר כי בעבר נגנבו מאגרי מידע ממשלתיים בארה"ב (OPM למשל) שלא היו מוצפנים. חבל לא לבקש זאת מנדטורית לשני המצבים.

 בהקשר זה שווה לשים לב לעוד סעיף במכרז. לפיו, מערכת ניהול הזהויות תוכל לשמש גם יישויות זרות מחוץ לישראל. "המערכת תיתן מענה בראש ובראשונה לשירותים שניתנים במדינת ישראל גופא לתושבי ישראל, אך תיבנה באופן שיאפשר בעתיד חיבור והרחבה לגורמים חיצוניים, בארץ ובעולם, על פי האינטרסים של מדינת ישראל, ובמגבלות אבטחת מידע, הגנת הפרטיות ושיקולים רלבנטיים אחרים".

 כלומר, מדינת ישראל תוכל, על דעת עצמה, ללא התייעצות עם האזרח, להעביר את הפרטים שלו למדינות זרות או ארגונים זרים. אז נכון שדורשים ערפול מידע (אנונימיזציה של הנתונים) כדי שהצד השני לא ידע באיזה אזרח מדובר, אך האם אזרח לא זכאי לדעת מתי המידע שלו יגיע ל-NSA אם מדינת ישראל תחפוץ בכך? והאם כאשר מדינת ישראל תרצה להעביר זהויות לגורם זר, האם היא מחויבת להעביר אותו מעורפל? איפה זה כתוב? צדקתם. זה לא.

 סיכום

 המהלך של רשות התקשוב הממלכתית מחויב מכורח המציאות. ממשלת ישראל החליטה להיות מדינה דיגיטלית והציבור מחליט באצבעות. לפי יאיר פרנק, ראש רשות התקשוב הממשלתית, כ-40 אלף איש שינו מען באינטרנט עד היום.

 השאלה עומדת האם רשות התקשוב תצליח לממש אותו. דיון שנערך בכנסת בשבוע שעבר בועדת המדע והטכנולוגיה, נאמרו דברים קשים על רשות התקשוב בעקבות דו"ח מבקר המדינה [PDF]. ח"כ מיקי לוי טען שהרשות "בפשיטת רגל". דו"ח המבקר טען דברים קשים לגבי ניהול פרויקטים ברשות התקשוב. מערכת לניהול זהויות ארצית היא פרויקט ענק ומורכב. פרנק טען מנגד כי "מבקר המדינה טעה בלא מעט היבטים בדוחו".

 אין ספק כי הקמה ותפעול מערכת לניהול זהויות ארצית היא פרויקט שאפתני. הן ברמה הטכנית, הניהולית, התקציבית וגם ברמה החברתית כי שאלות לאורך הדרך יעלו. בהיבט הפרט, אם רוצים שירותים מקוונים, צריך אימות אחד או Single sign-on בעגה מקצועית.  בלי זה, אי אפשר לנהל חיים דיגיטליים פשוטים לאורך זמן. יחד עם זאת, דווקא בשל מורכבות הפרויקט ולאור דו"ח מבקר המדינה, יעשו נכון בועדת המדע והטכנולוגיה של הכנסת אם יבקרו קצת יותר לעומק את המכרז הנ"ל, כולל אלמנטים בו שנשארו לא מוגדרים עד תום. 

אולי יעניין אותך גם

טל חן, שותף במחלקת בנקאות השקעות ומימון תאגידי בDeloitte- ישראל (טל היה בין מובילי הדוח) | קרדיט צילום: אלמוג סוגבקר

Deloitte ישראל: קיטון בהוצאות על מוצרי סייבר יגדיל מיזוגים בענף

גיוסי השקעות בשוויי Down-Round, עשויים לשמש כקטליזטור לרכישות חברות סייבר על ידי חברות בינ"ל