שלא יגנבו לכם את הקול

הבנקים מקימים מאגר ביומטרי המבוסס על הקול של הלקוחות

הונאה משפט דין  / צלם: טינקסטוק
הונאה משפט דין / צלם: טינקסטוק

שירות חדש של בנק לאומי ובנק הפועלים מאפשר זיהוי לקוחות המתקשרים למוקדי הבנק באמצעות קולם. הזיהוי יהיה מבוסס על דוגמת קול שייתן הלקוח ואשר תישמר במאגרי הבנק. במילים אחרות - שני הבנקים הנכבדים יקימו לעצמם, כל אחד, מאגר ביומטרי אשר יכלול דוגמאות קול של לקוחותיו.

הפעולה הזו של הבנקים מעלה שאלות ותהיות רבות. מצד אחד, הבנקים נקטו בדרך אשר תטיב עם הלקוחות ותאפשר לבנק זיהוי מיטבי של המתקשרים, נתון שלא נקי מספקות. בכך, יאמרו בבנק, יימנעו טעויות בזיהוי, ובמקרי הקיצון יימנעו ניסיונות מירמה כנגד הבנק ולקוחותיו. מנגד, עולה השאלה מה יעשה הבנק עם המידע שהוא צובר, לאיזה מטרות הוא אוסף אותו, ואיך יישמרו אותם נתונים ביומטריים.

השאלות שיש להפנות לבנקים דומות לאלה שעלו עת נחקק בישראל חוק תעודות הזהות והדרכונים הביומטריים, חוק אשר ייצר את מאגר הנתונים הביומטרי בידי משרד הפנים. גם שם נשאלה השאלה האם יצירת המאגר שווה את הסיכון שהמידע ידלוף, ואיך ניתן יהיה להבטיח שכך לא יקרה. דברים אלה מקבלים משנה תוקף במיוחד לאור דוח מבקר המדינה אודות הליקויים הרבים הקשורים במאגר הביומטרי ובהקמתו.

בישראל אין הסדרה חוקית לאיסוף ושמירת מידע ביומטרי. ההוראות אשר הרשויות השונות מחילות על מצב דברים זה, הן אותן הוראות שמשמשות בסיס לאיסוף ושמירת כל מידע אישי במאגרי מידע. אלה עברו את הריענון האמיתי האחרון שלהן בשנת 1996, עת תוקן פרק מאגרי המידע בחוק הגנת הפרטיות, הרבה לפני שחשבו שיהיה אי-פעם מאגר נתונים ביומטרי.

אין ספק כי טרם הקמת והפעלת מאגר ביומטרי רחב-היקף, כפי שבנק לאומי והפועלים רוצים להחזיק, ראוי היה להסדיר תחילה חקיקה מתאימה, כזו שתאפשר לאזרחים להחליט אם לתת מידע ביומטרי, להבטיח שלא יופלו לרעה אם לא יתנו וכזו אשר תיצור מסגרת חוקית מחייבת ביחס לדרכי שמירת המידע ואבטחתו. בהיעדרם של אלה צריך לסמוך על המפקח על הבנקים, במקרה הטוב, שייצר כללים כאלה יש מאין.

בזמן שישראל מצויה בתקופה האחרונה במוקד מתקפת סייבר על מאגרי המידע שלה, החשש מפריצת מאגר ביומטרי בבנקים האמורים, לכשיוקם, אמור להדיר שינה מאזרחי המדינה.

המתקפות שהיו עד כה התמקדו בהפלת אתרי משרדי ממשלה ובהשבתתם לזמן קצר במקרה הטוב, ובחדירה לאתרים ישראליים שמאחסנים נתוני אשראי של גולשים ישראליים במקרה הרע.

את נתוני האשראי ניתן להחליף. יש אפילו ביטוח. אבל מתקפות הסייבר המסוכנות עוד לפנינו - החל מחדירה למאגרי קופות-החולים ומחיקה או הפצה של הנתונים הרפואיים של האזרחים, דרך שיבוש אספקת חשמל ומים ותשתיות קריטיות, וכלה בפריצה למאגר הביומטרי של משרד הפנים.

בזמן שהפיגועים הקיברנטיים נעשים מתוחכמים יותר ומתבצעים על-ידי אנשי מקצוע מיומנים שנתמכים על-ידי מדינות, ראוי היה לצפות כי המחוקק בישראל יקבע כללים המתייחסים למאגר רגיש, דוגמת מאגר ביומטרי. כללים שיקבעו אם ניתן להקים מאגר כזה תוך הקשחת דרישות החוק ביחס לאבטחת המידע של מאגרי מידע בכלל, ומאגרי מידע ביומטריים בפרט.

פריצת האבטחה של מאגר ביומטרי תוביל לכך שהנתון הכי שמיש לנו כאמצעי מובטח, כמו טון קולנו במקרה הזה, יעבור לידי גורמים שיעשו בו שימוש לרעה.

בעוד שאת הסיסמאות שאנחנו קובעים ניתן לשנות בכל עת, את הנתונים הביומטריים שלנו אי-אפשר לשנות. אלה מלווים אותנו לכל אורך חיינו. לכן ראוי היה שלפני שמאפשרים לבנקים לאסוף נתונים ביומטריים, שיסדירו קודם את המצב החוקי.

■ הכותב הוא עורך דין העומד בראש משרד עורכי הדין דן חי ושות' המתמחה בהגנה על המידע, פרטיות וסייבר.