1. No category

‫עמוד ‪ 1‬מתוך ‪57‬‬
‫נחיצות המאגר הביומטרי – פרק ‪III‬‬
‫תהליך ותוצאות בחינת החלופות‬
‫ברשות לניהול המאגר הביומטרי‬
‫מרץ ‪5102‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 2‬מתוך ‪57‬‬
‫תוכן העניינים‪:‬‬
‫‪.0‬‬
‫רקע‪3 .......................................................................................................................................................‬‬
‫‪.5‬‬
‫הגדרות ‪6 ..................................................................................................................................................‬‬
‫‪.3‬‬
‫תיאור החלופות הנבחנות‪9 ............................................................................................................................‬‬
‫‪.4‬‬
‫הנושאים הנמדדים אשר לאורם נבחנות החלופות במסגרת תקופת המבחן‪21 ...........................................................‬‬
‫‪5.‬‬
‫משקלים לנושאים הנמדדים ‪22 .....................................................................................................................‬‬
‫‪.6‬‬
‫תהליך בדיקת החלופות הביומטריות ‪26 ..........................................................................................................‬‬
‫‪7.‬‬
‫תוצאות בדיקת החלופות הביומטריות ‪22 .........................................................................................................‬‬
‫‪.8‬‬
‫חלופת שיטת ההקבצים – אפיון‪ ,‬בחינת השיטה ותוצאותיה‪32 .............................................................................‬‬
‫‪.9‬‬
‫בחינת חלופת התשאול על ידי רשות האוכלוסין‪52 .............................................................................................‬‬
‫‪.01‬‬
‫מתן הניקוד והציונים לחלופות‪56 ...................................................................................................................‬‬
‫‪.00‬‬
‫סיכום בחינת החלופות‪22 .............................................................................................................................‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 3‬מתוך ‪57‬‬
‫‪ .0‬רקע‬
‫בהתאם לסעיף ‪ ) 4(14‬לחוק הכללת אמצעי זיהוי ביומטריים ונתוני זהות ביומטריים במסמכי זיהוי ובמאגר מידע‪,‬‬
‫התש"ע – ‪ ( 9002‬להלן‪ :‬החוק)‪ ,‬יוחל החוק בהדרגה‪ ,‬באופן שיקבע בצו בתקופת מבחן בת שנתיים שבמהלכה יחולו‬
‫הוראות החוק על תושבים שיתנו את הסכמתם לכך בכתב‪ ,‬במטרה לבחון את אופן היישום של הוראות החוק‪ ,‬את‬
‫נחיצות קיומו של מאגר ביומטרי ומטרותיו‪ ,‬את המידע שיש לשמור במאגר ואת אופן השימוש בו‪.‬‬
‫בהתאם לכך‪ ,‬נקבע צו הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע‪,‬‬
‫התשע"א ‪ ( ,9044-‬להלן‪ :‬הצו)‪ ,‬אשר מסדיר את תקופת המבחן‪.‬‬
‫‪ .0.0‬תכולת המסמך‬
‫מסמך זה מפרט את התהליכים והפעולות אשר בוצעו ברשות לניהול המאגר הביומטרי (להלן‪ :‬הרשות או‬
‫הרשות הביומטרית)‪ ,‬במסגרת בדיקת החלופות כמתחייב בחקיקה‪ ,‬במסגרת בחינת נחיצות המאגר הביומטרי‪.‬‬
‫מסמך זה הנו מסמך שלישי מתוך סדרת מסמכים אשר מופצת בימים אלו בנושא בחינת נחיצות המאגר‪.‬‬
‫המסמכים כוללים‪:‬‬
‫א‪.‬‬
‫מסמך המתאר את תופעת ההרכשות הכפולות‪ ,‬תופעת ההתחזות וגניבת הזהות‪ ,‬היקפן ומשמעות‬
‫הנזקים למדינה ‪ -‬אוגוסט ‪.9041‬‬
‫ב‪.‬‬
‫מסמך סיכום עבודת מומחים בתחום הביומטרי המתאר את המגמות והיישומים בתחום הביומטריה‬
‫במדינות העולם‪ ,‬בדגש על יישום ושימוש במאגרים ביומטריים במדינות השונות –דצמבר ‪.9041‬‬
‫ג‪.‬‬
‫עבודת מחקר בהובלת המכון למדיניות נגד טרור במרכז הבינתחומי המתארת את יכולות המאגר‬
‫הביומטרי והתעוד החדש להוות כלי במניעת פשיעה וטרור – פברואר ‪9042‬‬
‫ד‪.‬‬
‫סיכום עבודת מטה לוט"ר המפרט את המלצת גורמי הביטחון ואכיפת החוק וגורמי מדינה נוספים‬
‫בנושא נחיצות המאגר הביומטרי ‪ -‬ינואר ‪9042‬‬
‫ה‪.‬‬
‫מסמך המתאר את בחינת החלופות המבוצעת במסגרת תקופת המבחן (מסמך זה) ‪ -‬מרץ ‪9042‬‬
‫ו‪.‬‬
‫מסמכי ביניים בנושא הקוד האתי ברשות הביומטרית‪ ,‬הגנת הפרטיות ועוד‪.‬‬
‫‪ .0.5‬בחינת נחיצות קיומו של המאגר הביומטרי‬
‫בהתאם לחוק נדרשת בחינת נחיצות המאגר הביומטרי‪ ,‬אשר מבוצעת על בסיס מספר מבדקים ומבחנים‪.‬‬
‫נבהיר בזאת‪ ,‬עוד בטרם יפורטו תהליכי בחינת החלופות והפעילות במסגרת בחינה זו‪ ,‬כי נחיצות קיומו של‬
‫המאגר הביומטרי הוכחה ונקבעה כבר במהלך עבודת המועצה לביטחון לאומי במשרד רה"מ אשר בוצעה‬
‫במהלך השנים ‪ 9002 - 9002‬בנושא התיעוד הלאומי במדינת ישראל‪ .‬התוצר של עבודת מטה זו הינו מסמך‬
‫בשם "תורת ההפעלה לתיעוד ביומטרי ומאגר במדינת ישראל"‪ .‬החוק אשר התקבל בכנסת בשנת ‪9002‬‬
‫מבוסס על עבודת מטה זו אשר במהלכה נבחן והוכח הצורך בקיומו של מאגר ביומטרי‪ ,‬עובדה אשר מפורטת‬
‫בדברי ההסבר לחוק אשר הובא לאישור הכנסת‪ .‬עבודת המטה נעשתה בשיתוף פעולה רצוף של רשויות‬
‫הביטחון‪ ,‬משטרת ישראל‪ ,‬משרד הפנים‪ ,‬משרד האוצר‪ ,‬המשרד לביטחון פנים‪ ,‬משרד המשפטים‪ ,‬ומומחים‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 5‬מתוך ‪57‬‬
‫מקצועיים בתחום התעוד והביומטריה‪ .‬מסמך זה הינו מסמך האב לתיעוד הלאומי במדינת ישראל‪ ,‬ונאמר בו‪,‬‬
‫בין היתר‪:‬‬
‫‪‬‬
‫"תורת הפעלה לאומית – מגובשת במבט קדימה של כעשור שנים וכוללת‬
‫היבטים ולימוד לקחים ושימוש מהזירה הבינלאומית לרבדיה השונים‪".‬‬
‫‪‬‬
‫"מגבלות ביכולות של גורמי אכיפת החוק וגורמים אחרים לזהות‪/‬לאמת‬
‫זהות של אנשים במצבים שונים‪ ,‬בהסתמך על התיעוד ומאגרי המידע‬
‫הקיימים‪.‬‬
‫‪‬‬
‫כתוצאה מכך קיימים סיכונים משמעותיים בתחומים הבאים‪ :‬הביטחון‬
‫(המעברים לסוגיהם‪ ,‬פח"ע)‪ ,‬פלילי‪ ,‬כלכלי (הונאות וכו')‪ ,‬הגירה בלתי חוקית‬
‫וכדומה‪".‬‬
‫‪‬‬
‫"המטרה הינה לממש את התכנית בכללותה‪ ,‬על כל רכיביה (תיעוד‬
‫ומאגרים) ובהקדם האפשרי‪".‬‬
‫יחד עם זאת‪ ,‬בשלב הסופי של החקיקה בסוף שנת ‪ ,9002‬לאור דרישת שר בממשלה אשר התנגד עקרונית‬
‫לנושא הביומטריה בכלל והמאגר הביומטרי בפרט‪ ,‬נוסף סעיף ‪ 14‬לחוק‪ .‬כאמור‪ ,‬סעיף זה מנחה לבצע תקופת‬
‫מבחן בת שנתיים‪ ,‬במהלכה ייבחנו מספר נושאים וביניהם גם נחיצות קיומו של המאגר הביומטרי‪.‬‬
‫‪ .0.3‬בחינת חלופות למאגר הביומטרי‬
‫חלק מהותי של מימוש דרישת בחינת הנחיצות הנו בחינה של חלופות למאגר הביומטרי‪ .‬בחינת החלופות‬
‫למאגר מבוצעת ברובה ברשות הביומטרית ובחלקה ברשות האוכלוסין‪ .‬הבחינה המתבצעת ברשות‬
‫הביומטרית כוללת בדיקה של חלופות בהן נשמרת כמות שונה של מידע ביומטרי במאגר או סוג שונה של מידע‬
‫ביומטרי‪ ,‬כמפורט בצו ובסעיף ‪ 41.49‬של פרוטוקול תקופת המבחן‪.‬‬
‫בחינת החלופות מבוצעת על בסיס המידע הביומטרי של אותם תושבים שבחרו להשתתף בתקופת המבחן‬
‫ואשר המידע הביומטרי שלהם הועבר למאגר‪ ,‬וכן באמצעות הדמיות יזומות‪ .‬הבחינה כללה חלופות בהן‬
‫נשמרים רק חלק מהאמצעים והנתונים הביומטריים שהוגדרו בחוק (תמונות של שתי טביעות אצבעות ותמונת‬
‫פנים)‪ .‬בחלופות אלו ניתן למנות שמירה של טביעת אצבע בודדת ללא תמונת פנים‪ ,‬תמונת פנים ללא טביעות‬
‫אצבע כלל או יחד עם טביעת אצבע אחת וכן חלופות בהן נעשה שימוש בנתונים ביומטריים (תבניות ‪-‬‬
‫‪ )templates‬ללא אמצעים ביומטריים (תמונות)‪ .‬חלופת הייחוס בתהליך זה הינה החלופה של המאגר המלא על‬
‫פי החוק‪.‬‬
‫חלופה נוספת הנבחנת ברשות האוכלוסין בשיתוף הלשכה המרכזית לסטטיסטיקה בוחנת את היכולת לעמוד‬
‫ביעדי החוק תוך התבססות על עריכת תשאול בלשכות רשות האוכלוסין ללא העברת כל מידע ביומטרי‬
‫למאגר‪ .‬תהליכי בחינת חלופת התשאול ותוצאותיה מפורטים במסמכים נפרדים אשר מופצים על ידי רשות‬
‫האוכלוסין‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 2‬מתוך ‪57‬‬
‫בנוסף לחלופות הנ"ל הורה הממונה על היישומים הביומטריים במשרד ראש הממשלה על הוספת אופן בדיקת‬
‫זיהוי‪ ,‬וזאת על מנת לאפשר בחינה של חלופות נוספות‪ .‬החלופה אותה הורה הממונה לבדוק הינה שיטת‬
‫ההקבצים אותה הציע פרופסור עדי שמיר‪ .‬שיטה זו מתבססת על קישור רשומה ביומטרית לקבוצת זהויות‬
‫("הקבץ") במקום לזהות יחידה‪ .‬תיאור השיטה מפורט בהמשך המסמך בסעיף ‪.3.7‬‬
‫את בדיקות הביצועים‪ ,‬עמידה במדדים ובחינת החלופות הביומטריות מובילים ומלווים מומחי המרכז‬
‫למחקרים צבאיים (מחצ"ב) רפא"ל וכן יועצים מקצועיים בתחום הביומטריה‪ .‬דו"חות מחצ"ב רפא"ל הינם‬
‫מסווגים ויועברו בתפוצה מוגבלת לגורמים המעורבים בפרויקט‪ .‬בדיקות החלופות בוצעו על פי העקרונות‬
‫המוגדרים בתקני ‪ ISO/IEC19795-2‬ו‪.ISO/IEC19795-6-‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 6‬מתוך ‪57‬‬
‫‪ .5‬הגדרות‬
‫להלן הגדרות ומושגים עיקריים‪:‬‬
‫‪ .5.0‬ביומטריה‬
‫זיהוי בעזרת מאפיינים פיזיולוגיים או התנהגותיים הניתנים למדידה ונותרים יציבים לאורך זמן ממושך‪.‬‬
‫‪.5.5‬‬
‫דגימה ביומטרית – ‪sample‬‬
‫דגימה ביומטרית היא ייצוג ממוחשב של מאפיין פיזיולוגי או התנהגותי‪ .‬דגימה זו היא לרוב נתונים שהתקבלו‬
‫מהתקן ביומטרי כלשהו (מצלמה‪ ,‬חיישן טביעות אצבע‪ ,‬סורק וכו')‪ .‬דגימה יכולה להיות דגימת הייחוס‬
‫("‪ )"gallery‬או דגימה לצורך השוואה ("‪ )"probe‬וניתן על פיה לזהות את האדם ממנו ניטלה הדגימה‪ .‬התוצאה‬
‫של הדגימה יכולה להיות תמונה (‪ )image‬או תבנית (‪ )template‬שהיא נתון המיוצר מהתמונה‪ .‬יצירת התבנית‬
‫של טביעות האצבע במקרה שלפנינו תתבצע על פי תקן ‪ ISO 19794‬פרק ‪ ,9‬כדי ליצור תבניות מתוקננות‬
‫ותואמות (‪ )interoperable templates‬ולא ליצור תבנית קניינית של ספק מסוים‪ .‬לצורך זה בוצעה השוואה של‬
‫שני תהליכים מתוקננים (תקן בינלאומי ‪ ISO 19794-2‬ותקן אמריקאי ‪ )ANSI 378‬והועדפה התקינה‬
‫הבינלאומית על פני התקינה היבשתית‪ .‬אין כיום תקן מקובל דיו ליצירת תבניות מתמונות פנים‪.‬‬
‫‪.5.3‬‬
‫הרכשה ‪enrollment -‬‬
‫תהליך נטילת הדגימה הביומטרית באמצעות התקן ביומטרי‪ .‬תהליך זה מתאפיין בין היתר ביכולת לבצע‬
‫בדיקות איכות לדגימות הביומטריות כדי לבחור את הדגימה האיכותית ביותר‪ ,‬להבדיל מדגימה מאוחרת‬
‫יותר‪ ,‬לצורך זיהוי או אימות‪ ,‬שמתאפיינת בדרך כלל בצורך להיות מהירה ככל האפשר (כמו בעת מעבר נוסעים‬
‫בביקורת גבולות)‪.‬‬
‫‪.5.4‬‬
‫השוואה ביומטרית ‪matching -‬‬
‫קבלת החלטה הסתברותית לגבי ההשתייכות של זוג דגימות ביומטריות (דגימת הייחוס ודגימה לצורך‬
‫השוואה) לאותו אדם‪ .‬בדרך כלל ההשוואה מבוצעת על ידי השוואת תבניות ולא על ידי השוואת תמונות‪.‬‬
‫‪.5.2‬‬
‫ציון ‪score -‬‬
‫ערך מספרי המתקבל מתהליך ההשוואה ומציין את ההסתברות להתאמה בין דגימת הייחוס לדגימה לצורך‬
‫השוואה‪ .‬ערך מרבי מציין התאמה מושלמת וערך נמוך מציין שוני מוחלט‪.‬‬
‫‪.5.6‬‬
‫סף החלטה – ‪threshold‬‬
‫מספר שמאפשר לסווג על פיו את ציון ההשוואה לשני מרחבים – זיהוי או דחייה‪ .‬אם הציון קטן‬
‫מהסף אזי מתקבלת החלטה של דחייה (זהות הנבדק לא אומתה)‪ ,‬אחרת תתקבל החלטה של התאמה (כלומר‬
‫זהות הנבדק אומתה)‪ .‬באופן אידיאלי יצור סף ההחלטה הפרדה ברורה בין המורשים לאלו שאינם מורשים‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 7‬מתוך ‪57‬‬
‫באופן מעשי תיתכן חפיפה בין שתי הקבוצות (וכמעט תמיד יש חפיפה כזו)‪ ,‬שתתבטא באירועי דחייה של‬
‫מורשים או אישור של מתחזים‪ .‬קביעה נאותה של סף ההחלטה היא הכיול החשוב ביותר של מערכת‬
‫ביומטרית כלשהי ואחת המסקנות החשובות של תקופת המבחן‪.‬‬
‫‪.5.2‬‬
‫אימות זהות – ‪verification‬‬
‫תהליך שבו האדם טוען לזהות מסוימת וה מערכת הביומטרית מאמתת טענה זו על ידי השוואה בין הדגימה‬
‫מהאדם לדגימת ייחוס בודדת מתוך בסיס הנתונים‪ .‬תהליך זה מכונה ‪ .one to one‬תוצאת התהליך היא אימות‬
‫(התאמה) או שלילה של טענת הזהות‪ .‬בהקשר של מסמכי זיהוי אימות מונע שימוש של מספר אנשים באותו‬
‫תיעוד‪.‬‬
‫‪.5.8‬‬
‫זיהוי ‪identification -‬‬
‫תהליך שבו נסרק כל בסיס הנתונים או לפחות חלקו כדי להשוות בין הדגימה מהאדם לכל דגימות הייחוס‬
‫בבסיס הנתונים‪ .‬תהליך זה מכונה ‪ .one to many‬תוצאת התהליך היא הזהות (או קבוצת הזהויות) שיש לה את‬
‫ההתאמה הגבוהה ביותר לדגימה מהאדם‪ .‬תהליך כזה‪ ,‬שבו טענת זהות מוכחת או נשללת‪ ,‬מכונה גם "זיהוי‬
‫חיובי" (”‪ .)“positive identification‬במהלך תקופת המבחן יקרה תהליך כזה‪ ,‬שבו תתקבל תשובה של זהות‪ ,‬רק‬
‫עבור מקרים מעטים של חידוש תיעוד ומקרים של ניסיונות יזומים‪.‬‬
‫‪.5.9‬‬
‫התאמה מוטעית ‪False match -‬‬
‫מצב בו תוצאת הזיהוי הראתה התאמה בין אמצעים או נתונים ביומטריים של תושב‪ ,‬לבין אמצעים או נתונים‬
‫ביומטריים של תושב אחר‪ ,‬בבדיקה מול כל האמצעים והנתונים הביומטריים הכלולים במאגר‪ ,‬במקום בו לא‬
‫הייתה התאמה‪ .‬להלן ישמש הקיצור ”‪ “FM‬לצורך ציון של אירוע כזה‪.‬‬
‫‪.5.01‬‬
‫אי‪-‬התאמה מוטעית ‪False non-match -‬‬
‫מצב בו תוצאת זיהוי לא הראתה התאמה בין אמצעים או נתונים ביומטריים של תושב‪ ,‬לבין אמצעים או‬
‫נתונים ביומטריים של תושב אחר‪ ,‬בבדיקה מול כל האמצעים והנתונים במאגר‪ ,‬במקום בו הייתה התאמה‪.‬‬
‫להלן ישמש הקיצור ”‪ “FNM‬לצורך ציון של אירוע כזה‪.‬‬
‫‪.5.00‬‬
‫תבנית – ‪template‬‬
‫מיצוי דיגיטאלי של הדגימה הביומטרית‪ .‬מערכות ביומטרית ממירות את התמונה הביומטרית לתבנית‬
‫מספרית ומבצעות את הליך האימות והזיהוי על התבניות המופקות‪.‬‬
‫‪.5.05‬‬
‫קבלה מוטעית ‪ -‬אירוע של אישור מתחזה – ‪false acceptance‬‬
‫מצב שבו טענת זהות של אדם אומתה למרות שהמידע הביומטרי היה שייך לזהות אחרת‪ .‬המשמעות בפועל של‬
‫אירוע כזה היא פגיעה באבטחה‪ .‬להלן ישמש הקיצור ”‪ “FA‬לצורך ציון של אירוע כזה‪ .‬ראה גם הגדרה מתאימה‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 2‬מתוך ‪57‬‬
‫בצו הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע‪( ,‬תקופת מבחן)‪,‬‬
‫התשע"א – ‪.9044‬‬
‫‪.5.03‬‬
‫אירוע של דחייה מוטעית – ‪false rejection‬‬
‫מ צב שבו טענת זהות לא אושרה‪ ,‬למרות שהמידע הביומטרי שייך לזהות הנכונה‪ .‬המשמעות בפועל של אירוע‬
‫כזה היא פגיעה באיכות השירות (כגון יצירת תורים או הפנייה של מורשים לנוהל חריגים עקב אי זיהוי)‪ .‬להלן‬
‫ישמש הקיצור ”‪ “FR‬לצורך ציון של אירוע כזה‪ .‬ראה גם הגדרה מתאימה בצו הכללת אמצעי זיהוי ביומטריים‬
‫ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע‪( ,‬תקופת מבחן)‪ ,‬התשע"א – ‪.9044‬‬
‫‪.5.04‬‬
‫קצב קבלת מתחזים – ‪false acceptance ratio‬‬
‫נתון זה מייצג את ההסתברות לאירוע מסוג ‪ .FA‬הוא תלוי באופן מובהק בסף ההחלטה‪ .‬אם הסף נמוך מדי‬
‫תאשר המערכת הביומטרית גם מתחזים לעיתים קרובות יותר (החלטה מקלה מדי)‪.‬‬
‫‪.5.02‬‬
‫קצב דחיית מורשים ‪false rejection ratio -‬‬
‫נתון זה מייצג את ההסתברות לאירוע מסוג ‪ .FR‬גם נתון זה תלוי באופן מובהק בסף ההחלטה‪ .‬אם הסף גבוה‬
‫מדי תדחה המערכת הביומטרית גם כאלו שהם מורשים (החלטה מחמירה מדי)‪.‬‬
‫‪.5.06‬‬
‫הרכשה כפולה – ‪duplicate enrollment‬‬
‫מצב בו שתי רשומות ביומטריות נפרדות (או יותר) שייכות לאותו אדם‪ ,‬המופיע בבסיס הנתונים בזהויות‬
‫נפרדות‪( .‬במידה ומדובר בבסיס נתונים שאינו מבוסס ביומטריה‪ ,‬ההגדרה המתאימה הינה זהות כפולה)‬
‫מצב זה יאפשר לאותו אדם לקבל זכויות שלא כדין ובעיקר לקבל שלא כדין תיעוד שאיננו מזויף‪ ,‬עבור שתי‬
‫זהויות שונות או יותר‪ .‬כדי למנוע מצב זה מבוצע חיפוש מסוג ‪ one to many‬על כל רשומה‪ ,‬כדי לוודא שמידע‬
‫ביומטרי כלשהו מצביע רק על זהות יחידה‪ .‬תהליך מעין זה‪ ,‬של חיפוש והצלבת זהויות כפולות‪ ,‬נקרא בשם ‪de-‬‬
‫‪ duplication‬או גם תהליך מסוג ‪ ,many to many‬כי כל זהות מושווית לכל יתר הזהויות שבמאגר‪ .‬תהליך זה‪,‬‬
‫שבו נבדקת לרוב טענה שמישהו מסוים איננו רשום במאגר נקרא לעיתים בשם "זיהוי שלילי" (‬
‫‪“negative‬‬
‫”‪ .)identification‬יש לשים לב לכך שמשמעות השגיאות מסוג ‪ FA‬ו‪ FR-‬במצב של ‪ de-duplication‬איננה זהה לזו‬
‫של מערכת ביומטרית רגילה ותלויה באיזו הרכשה מדובר‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 9‬מתוך ‪57‬‬
‫‪ .3‬תיאור החלופות הנבחנות‬
‫תהליך ההרכשה עבור כל החלופות שלהלן הוא זהה ומלא‪ .‬כלומר בכל מקרה‪ ,‬לאחר ביצוע תהליך התשאול‬
‫המבוצע ע"פ התקנות‪ ,1‬מבוצעת ברשות האוכלוסין הרכשה של תמונת פנים ותמונת טביעות של שתי אצבעות‪ ,‬ללא‬
‫קשר לחלופה במאגר‪ .‬החלופות שלהלן משתנות רק בהתאם לכמות וסוג המידע שיש לשמור במאגר הביומטרי ולא‬
‫בהתאם לכמות וסוג המידע שיש לשמור בתיעוד הביומטרי‪.‬‬
‫החלופות אשר נבדקו ברשות הביומטרית הן‪:‬‬
‫‪ .3.0‬תמונת פנים וטביעות שתי אצבעות‬
‫זוהי החלופה המלאה‪ ,‬המוגדרת בחוק‪ ,‬המשמשת כנקודת הייחוס עבור בחינת החלופות ברשות‪ .‬בחלופה זו‬
‫מתבצעים תהליכי הזיהוי ואימות הזהות על פי השוואה של תמונת תווי פנים ותמונות של טביעות שתי‬
‫אצבעות‪ .‬בנוסף לבחינה ההשוואתית מול יתר החלופות נעשה ניתוח נפרד לצורת ההיתוך‪ )fusion( 2‬של מנועי‬
‫ההשו ואה הביומטרית כדי לאמת שחלופה זו אכן עומדת בדרישות הצו‪ .‬ראה מסמך נפרד המתאר את תהליך‬
‫בדיקת ההיתוך‪.‬‬
‫‪ .3.5‬שתי טביעות אצבע בלבד‬
‫בחלופה זו מתבצעים תהליכי הזיהוי ואימות הזהות על פי השוואה של תמונות שתי טביעות אצבעות ללא‬
‫השוואה של תמונת תווי פנים‪.‬‬
‫‪ .3.3‬טביעת אצבע בודדת‬
‫בחלופה זו מתבצעים תהליכי הזיהוי ואימות הזהות על פי השוואה של תמונת טביעת אצבע בודדת ללא‬
‫השוואה של תמונת תווי פנים וללא השוואה של טביעת אצבע נוספת‪.‬‬
‫‪ .3.4‬תמונת פנים בלבד‬
‫בחלופה זו מתבצעים תהליכי הזיהוי ואימות הזהות על פי השוואה של תמונת תווי פנים בלבד ללא השוואה‬
‫של טביעות אצבעות‪.‬‬
‫‪ .3.2‬תמונת פנים וטביעת אצבע בודדת‬
‫בחלופה זו מתבצעים תהליכי הזיהוי ואימות הזהות על פי השוואה של תמונת תווי פנים ותמונת טביעת אצבע‬
‫בודדת‪.‬‬
‫‪1‬‬
‫תקנות הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע‪ ,‬תשע"א‪1122-‬‬
‫‪2‬‬
‫היתוך הינו השיטה על פיה משקללים את התוצאות ממספר מערכות החלטה להחלטה בודדת‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 11‬מתוך ‪57‬‬
‫‪ .3.6‬תבניות‬
‫בחלופה זו מתבצעים תהליכי הזיהוי ואימות הזהות על פי השוואה של נתונים ביומטריים (תבניות‪)templates ,‬‬
‫ללא השוואה של אמצעים ביומטריים (תמונות)‪ .‬ההשוואה הנעשית על ידי המערכת הביומטרית הממוכנת‬
‫נעשית תמיד באמצעות תבניות ולכן חלופה זו מתבססת על ביצועיה של המערכת הביומטרית בלבד (מנועי‬
‫ההשוואה הביומטרית) ללא בחינת תוצאות ההשוואה ע"י גורם אנושי‪ .‬הביצועים בכל הנוגע להתראות שווא‬
‫ויכולת איתור כפיל אינם משתנים בחלופה זו יחסית לביצועי המאגר המלא‪.‬‬
‫משמעות יישומה של חלופה זו היא העברתן של כלל תוצאות הזיהוי ואימות הזהות (בדיקות מסוג ‪ 1:M‬ומסוג‬
‫‪ )1:1‬לטיפולה של רשות האוכלוסין ללא סינון‪ ,‬זאת בשל העובדה שלא ניתן לבצע בחינה חזותית לתוצאות‬
‫בדיקת מנועי ההשוואה ברשות הביומטרית‪.‬‬
‫השמירה של תמונות במאגר‪ ,‬לעומת שמירה של תבניות בלבד‪ ,‬הוגדרה בחוק כדי לתת מענה לשני נושאים‬
‫בלתי תלויים‪:‬‬
‫‪.1.6.4‬יכולת בחינה אנושית‬
‫מערכת השוואה ביומטרית מספקת תשובה הסתברותית ולכן נדרש תהליך עבודה סדור שכולל השוואה‬
‫ממוכ נת ולאחריה בחינה של התוצאות על ידי מומחה אנושי‪ .‬הבדיקה של מומחה אנושי נדרשת כאשר‬
‫יש אירוע של החשדה שהוצף על ידי המערכת הממוכנת‪ ,‬כדי להכריע האם מדובר בהחשדת שווא או‬
‫באירוע אמת‪ .‬לצורך זה נדרשת המערכת לספק מידע שניתן לבחינה של מומחה אנושי‪ ,‬כלומר תמונה‪,‬‬
‫לעומת תבנית שתוכנה איננו בעל משמעות למומחה אנושי‪ .‬בחינת התמונות נעשית בסיוע של מומחים‬
‫פורנזיים‪.‬‬
‫‪.1.6.9‬גמישות טכנולוגית‬
‫מנועי ההשוואה הביומטרית מתבססים ברוב המוחלט של המקרים על המרת המידע הגולמי (התמונה)‬
‫לתבנית‪ ,‬לצורך ההשוואה הממוכנת‪ .‬תבניות אלו יכולות להתבסס על תקינה בינלאומית (תקן‬
‫‪ISO/IEC‬‬
‫‪ ,19794‬פרק ‪ )9‬או יבשתית (‪ )ANSI/INCITS 378‬אך בפועל מרבית המנועים הביומטריים מספקים‬
‫תוצאות טובות יותר עם תבניות קנייניות של היצרנים‪ .‬כדי להימנע מתלות ארוכת טווח ביצרן זה או‬
‫אחר יש לשמור את המידע הגולמי (התמונה) וכך ניתן להמיר את המידע הגולמי לתבנית כלשהי‪,‬‬
‫בהתאם לצורך‪.‬‬
‫בנוסף לכך נבחנת השפעת השימוש בתבניות על נושאים אחרים‪ ,‬כדוגמת הנזק שיכול להיגרם לתושב כתוצאה‬
‫מכך‪ ,‬בעיקר בגלל חוסר היכולת לזכות אירועי החשדה‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 11‬מתוך ‪57‬‬
‫‪ .3.2‬חלופת ההקבצים‬
‫חלופת ההקבצים‪ ,‬שהוצעה כתאוריה על ידי פרופ' עדי שמיר ממכון וייצמן למדע‪ ,‬מתבססת על חלוקת המאגר‬
‫להקבצים (‪ ,) clusters‬כדי ליצור קישור חלש בין רשומה ביומטרית לזהות בפועל‪ .‬כאשר מבוצעת השוואה‬
‫ביומטרית ניתן לקבל קבוצה של זהויות ולא זהות יחידה‪.‬‬
‫החלוקה של המאגר להקבצים נעשית על ידי הכנסת רשומות חדשות להקבצים במאגר בצורה אקראית‪,‬‬
‫שאיננה ניתנת לניבוי על ידי גורם חיצוני‪ .‬תהליך זה נועד למנוע מאדם להירשם בצורה מכוונת לאותו הקבץ‬
‫עם אדם ספציפי אחר‪ .‬סדר ההזנה למאגר‪ ,‬בהנחה שאיננו ידוע לתוקף‪ ,‬מסייע לכך שלא ניתן לנחש לאיזה‬
‫הקבץ הוכנסה רשומה ביומטרית מסוימת‪.‬‬
‫המימוש בפועל של החלוקה להקבצים נעשה על ידי אלגוריתם סטטיסטי‪ ,‬שנועד לפזר את הרשומות בצורה‬
‫שתמנע לאורך זמן‪ ,‬בין היתר‪ ,‬מצבים של הקבץ שבו יש רשומה בודדת‪.‬‬
‫אפיון של שיטת ההקבצים‪ ,‬אופן בחינתה וכן סיכום והמלצות מפורטים בסעיף ‪ 0‬להלן‪.‬‬
‫‪ .3.8‬חלופות ביומטריות נוספות‬
‫חלופות אחרות‪ ,‬שלא נבחנו במבדק מעשי ברשות‪ ,‬אלא נבדקו על בסיס הנעשה בפרויקטים אחרים בעולם וכן‬
‫נותחו באופן תיאורטי‪ ,‬לצורך הרחבת מרחב בחינת החלופות ואפשור יצירת בסיס נתונים רחב ככל האפשר‪,‬‬
‫מתבססות על טכנולוגיה ביומטרית אחרת‪:‬‬
‫‪.3.8.0‬‬
‫קשתית העין‬
‫איור ‪ -1‬קשתית‪ ,‬החלק הצבעוני המקיף את האישון‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 12‬מתוך ‪57‬‬
‫‪ .3.8.0.0‬כללי‬
‫הקשתית (‪ )Iris‬היא שריר צבעוני המקיף את אישון (‪ )pupil‬העין‪ .‬האישון מתרחב ומתכווץ על ידי‬
‫התרחבות והתכווצות של הקשתית ובכך שולט על כמות האור המגיעה לרשתית (‪ .)retina‬לכל אדם‬
‫קשתית המכילה צורות אקראיות ייחודיות שאינן משתנות‪ 3‬ולכן יכולה לשמש כאמצעי זיהוי‪.‬‬
‫זיהוי בעזרת הקשתית משתמש בשיטות מתמטיות לזיהוי התבניות הייחודיות בקשתית מתוך תמונת‬
‫הקשתית‪ .‬שיטות אלו מאפשרות להשוות בין קשתיות ולקבוע האם שתי תמונות של קשתיות צולמו‬
‫מאותה עין בדיוק רב ועל בסיס זה ניתן לבצע תהליכי אימות וזיהוי‪.‬‬
‫‪ .3.8.0.5‬רקע והיסטוריה‬
‫בשנת ‪ ,)Frank Burch( 4216‬ובשנת ‪ ,)J. H. Doggart( 4212‬חקרו וגילו כי לכל אדם יש קשתית‬
‫בעלת מאפיינים ייחודיים ושונים‪ .‬בשנת ‪ 4221‬הוצע להשתמש בתמונת העין כאמצעי זיהוי‪ .4‬פלום‬
‫וסאפיר (‪ ,)Flum, Safir‬שני אופטומטריסטים אמריקאים‪ ,‬רשמו בשנת ‪ 4222‬פטנט לזיהוי אנשים‬
‫בעזרת קשתית‪ .5‬מכיוון שפלום וסאפיר לא הציגו אלגוריתם ספציפי‪ ,‬מעשית‪ ,‬היה בלתי אפשרי‬
‫להשתמש בקשתית העין כאמצעי זיהוי‪ .‬רק בשנת ‪ 4224‬פיתח המדען ג'ון דוגמן ( ‪John G.‬‬
‫‪ ) Daugman‬אלגוריתם מעשי המאפשר להשתמש בקשתית לזיהוי אנשים‪ .‬האלגוריתם שפיתח דוגמן‬
‫הוא הבסיס למרבית האפליקציות המסחריות הקיימות לזיהוי בעזרת קשתית‪ .‬דוגמן רשם פטנט על‬
‫השיטה שלו ב‪ 4224 -‬ופרסם אותה ב‪ .64221 -‬דוגמן‪ ,‬סאפיר ופלום מעורבים בחברה מסחרית לפיתוח‬
‫השימוש בזיהוי בעזרת קשתית‪ .‬המוצר המסחרי הראשון לזיהוי בעזרת קשתית יצא ב‪ 4222-‬לשוק‪.‬‬
‫הטענה היא שזיהוי בעזרת קשתית היא הביומטריה המדויקת ביותר‪ .‬היישום של זיהוי בעזרת קשתית‬
‫נעשה נפוץ יותר החל משנת ‪ ,9044‬כאשר תוקף הפטנט של דוגמן פג‪.‬‬
‫התפתחויות בשנים האחרונות כוללות שיטות לצילום קשתית ממרחק (‪ ,)Iris At A Distance‬שיפור‬
‫שיטות סגמנטציה המאפשרות צילום בתנאים קשים כגון זווית‪ ,‬השתקפויות‪.‬‬
‫‪3‬‬
‫התבנית יכולה להשתנות במצבים שונים למשל כתוצאה מניתוחים שונים‬
‫)‪Adler, F.H., Physiology of the Eye (Chapter VI, page 143), Mosby (1953‬‬
‫‪5‬‬
‫‪ US4641349 A‬למשל‬
‫‪6‬‬
‫‪J. G. Daugman, “Biometric personal identification system based on‬‬
‫‪iris analysis,” U.S. Patent 5,291,560, Mar. 1, 1994. U.S. Pat. Off.,‬‬
‫‪Washington, DC‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫‪4‬‬
‫עמוד ‪ 13‬מתוך ‪57‬‬
‫איור ‪ - 2‬תיאור סכמטי של העין‬
‫‪7‬‬
‫‪ .3.8.0.3‬תיאור השיטה ועקרונות‬
‫זיהוי בעזרת קשתית נעשה על ידי קידוד תמונה של קשתית למידע דיגיטלי‪ .‬שלב זה נקרא הרכשה‪.‬‬
‫‪By Artwork by Holly Fischer [CC BY 3.0 (http://creativecommons.org/licenses/by/3.0)], via Wikimedia‬‬
‫‪Commons‬‬
‫ בלמ"ס ‪-‬‬‫איור ‪ - 3‬סורק קשתית ידני של חברת מורפו (מתוך אתר החברה)‬
‫‪7‬‬
‫עמוד ‪ 15‬מתוך ‪57‬‬
‫בשלב הזיהוי והאימות משווים שני קידודים של שתי קשתיות ומקבלים תוצאה‪ .‬מכשיר סריקת‬
‫קשתית מייצר תמונה של קשתית אחת או שתיים ומורכב לרוב מגוף תאורה וממצלמה‪ .‬שלבי‬
‫ההרכשה (‪:)capture/acquire‬‬
‫‪ )4‬מכשיר סריקת קשתית מצלם את קשתית העין הגלויה‪.‬‬
‫‪ )9‬הפנים ובפרט קשתית העין מוארת (באור ‪ ,NIR8‬ראו להלן) ומצולמת‪.‬‬
‫בשלב הקידוד (‪ )encode/enroll‬תמונת הקשתית מעובדת לקוד (‪ )template‬המאפשר השוואה‪.‬‬
‫תהליך הקידוד‪:‬‬
‫‪ )4‬בעזרת תהליך עיבוד תמונה מוצאים את הקשתית ומבודדים אותה‪.‬‬
‫‪ )9‬מתאימים את צורתה לצורת עיגול (נרמול הצורה) המפצה על שינויי צורה קלים וזווית צילום‬
‫לא ישרה‪.‬‬
‫‪ )1‬ממירים את הקשתית לסדרת ביטים המאפיינת את הקשתית ומאפשרת השוואתו‪.‬‬
‫איור ‪ - 4‬תהליך קידוד הקשתית‬
‫הרכשת קשתית יותר מורכבת מהרכשת טביעת אצבע ובוודאי מתמונת פנים‪ ,‬יש לקרב את העין‬
‫למרחק קטן (כמה עשרות סנטימטרים לרוב) מהמכשיר‪ ,‬יש להביט אל המכשיר‪ ,‬יש קושי למכשיר‬
‫לבצע מיקוד של המצלמה לקשתית‪ ,‬לצורך כך יש למצוא את הקשתית ולבצע פוקוס ממוקד עליה‪.‬‬
‫המכשירים המבצעים תהליך זה הינם לרוב יקרים‪ .‬קיים מחקר ענף מאד על הרכשת קשתית העין‬
‫ממרחק רב ויש כבר מערכות מסחריות שמסוגלות להרכיש את קשתית העין ממספר מטרים‪.9‬‬
‫‪8‬‬
‫‪ - Near Infra Red – NIR‬קרוב לאינפרה אדום‬
‫‪9‬‬
‫ראה ‪http://www.sri.com/engage/products-solutions/iom-passport-portal-system‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 12‬מתוך ‪57‬‬
‫עיניים חומות כהות הן הנפוצות ביותר‪ .‬בצבע זה פרטי הקשתית לא נראים בצורה ברורה באור נראה‪.‬‬
‫לכן ברוב השימושים מצלמים את העין בגלים באורך ‪ – NIR( 700-900 nm‬קרוב לאינפרה אדום)‪.‬‬
‫בתאורה זו מתגלים בצורה הטובה ביותר לכלל האוכלוסייה פרטי הקשתית‪ .‬יש סיבות נוספות‬
‫לשימוש ב ‪ .NIR‬דוגמה לצילום עין ב ‪ NIR‬ניתן לראות באיור ‪.1‬‬
‫‪ .3.8.0.4‬בדיקת חיות‬
‫בדיקת חיות בקשתית נועדה לבדוק שהקשתית המצולמת הינה קשתית חיה ולא תמונה או מודל‪.‬‬
‫שיטה פשוטה ונפוצה היא הגברת האור על הקשתית הגורמת לכיווץ האישון וזיהוי השינויים באישון‬
‫על ידי סורק הקשתית‪.‬‬
‫‪ .3.8.0.2‬ביצועים ורמת דיוק‬
‫כאמור‪ ,‬בפרסום המקורי דוגמן מדווח על יכולת זיהוי מושלמת על מאגר של ‪ 2020‬זוגות קשתיות‬
‫זהות ו‪ 2.4-‬מיליון שונות‪ .‬מקורות נוספים‪.ICE ,UIDAI :‬‬
‫יצרן מנועי זיהוי הקשתית ‪ Neurotechnology‬מדווח על רף ביצועים של ‪ FRR 0.0221%‬עבור‬
‫‪ .FAR 0.004%‬בהשוואה לטביעות אצבע‪ ,‬עבור ‪ FAR‬זהה של ‪ 0.004%‬מתקבל ‪ FRR‬של ‪ .0.142%‬על‬
‫מנת להשיג ‪ FRR‬זהה של כ‪ 0.4%‬נאלץ לעבוד עם ‪ FAR‬של כ‪ .0.2%‬כלומר‪ ,‬בהתאם לנתונים אלו‪,‬‬
‫השימוש בטביעות אצבע גרוע פי ‪ 200‬מן השימוש בקשתית‪ .‬הטבלה הבאה מסכמת את ההשוואה בין‬
‫אצבע לקשתית‪.‬‬
‫‪FAR‬‬
‫‪FRR‬‬
‫קשתית‬
‫‪%.0..0‬‬
‫‪%.0.0.0‬‬
‫אצבע‬
‫‪%.0..0‬‬
‫‪%.000.‬‬
‫אצבע‬
‫‪%.00‬‬
‫‪%.00‬‬
‫איור ‪ - 2‬השוואת קשתית ואצבע‬
‫‪ .3.8.0.6‬יתרונות חסרונות בשימוש בקשתית כאמצעי זיהוי ביומטריים‬
‫בקצרה ובהתאם לאמור לעיל ומן הניסיון בעולם בפרויקטים ביומטריים בכלל ובקשתית העין בפרט‪,‬‬
‫ניתן לסכם ולקבוע כי מבחינת רמת הדיוק והביצועים‪ ,‬השוואות המבוססות על קשתית העין‬
‫מאפשרות רמת דיוק טובה מאוד וביצועים איכותיים בהיבט איתור מתחזים והתראות שווא‪ .‬בנושא‬
‫אבטחה והגנה על הפרטיות‪ ,‬השימוש בקשתית מאפשר רמה גבוהה של פרטיות ואבטחה בשל העובדה‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 16‬מתוך ‪57‬‬
‫שבטכנולוגיה הקיימת כיום נדרש שיתוף פעולה של המשתמש בשלב ההרכשה‪ ,‬וכמו כן בבסיס‬
‫הנתונים נשמרות רק תבניות אשר שימוש בהן לרעה הנו בלתי ישים בטכנולוגיה הקיימת כיום‪.‬‬
‫כאן גם טמון החיסרון העיקרי של שימוש בטכנולוגיה זו כמרכזית בפרויקט תעוד לאומי‪ .‬העובדה‬
‫שהפירוש הממוחשב של קשתית העין הנו תבנית בלבד והעובדה שלא קיימת תמונה הניתנת להשוואה‬
‫אנושית על ידי מומחה‪ ,‬יוצרת מצב בו בשל תצורת עבודת מערכות ההשוואה הביומטריות מספר‬
‫הנדחים בשל התראות שווא יהא גבוה מדי‪.‬‬
‫‪ .3.8.0.2‬סיכום חלופת קשתית העין‬
‫השימוש בקשתית העין כמזהה ביומטרי זוכה בשנים האחרונות לשימוש רב יותר מבעבר‪ .‬על פי הידוע‬
‫כיום זהו מזהה ביומטרי עם רמת מובהקות גבוהה מאד‪ ,‬אולם נטילתו איננה קלה ועד לפני זמן קצר‬
‫טכנולוגיה זו הייתה מוגנת בפטנט‪ ,‬שתוקפו פג רק בשנת ‪ .9044‬ניסוי שכלל הרכשת קשתית והשוואות‬
‫מכ – ‪ 10‬אלף איש בוצע על ידי ארה"ב במסגרת המאגר הביומטרי שהוקם כחלק מתכנית מתן אשרות‬
‫כניסה למדינה‪ ,‬בניהול ה – ‪ ,DHS‬ה‪ .US-VISIT -‬הטכנולוגיה עדיין נבחנת וטרם הוחלט אם תשתמש‬
‫באופן מעשי בהמשך‪ .‬בהודו‪ ,‬אשר מקימה את המאגר הביומטרי הגדול ביותר בעולם‪ ,‬אשר מונה כיום‬
‫קרוב ל – ‪ 200‬מיליון אזרחים הודים ובעתיד יכלול כ‪ 4.9-‬מיליארד אזרחים‪ ,‬נעשה שימוש בצילום‬
‫פנים‪ 40 ,‬טביעות אצבע ונתוני קשתיות העיניים‪ .‬במאגר הנתונים בהודו מבוצעים תהליכי ההשוואה‪,‬‬
‫‪ De-Duplication‬על בסיס השוואת טביעות האצבע וכן על בסיס השוואת קשתיות העין‪ ,‬כשכאמור גם‬
‫תמונות הפנים נשמרות במאגר‪ .‬שילוב הביומטריות מאפשר איתור מתחזים מרבי תוך שמירה על רף‬
‫מינימלי של התראות שווא על אף היקף הרשומות האדיר במאגר‪.‬‬
‫איור ‪-6‬נטילת תמונה של קשתית העין בהודו‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 17‬מתוך ‪57‬‬
‫התקן הבינלאומי של ‪ ICAO‬לדרכונים ביומטריים מאפשר אמנם שימוש בנתוני קשתית העין‪ 10‬אולם‬
‫בפועל אף מדינה (כולל הודו) לא עשתה שימוש בנתונים אלו לצורך אחסונם בתיעוד הביומטרי ורק‬
‫מיעוט קטן של מדינות משתמש בקשתית העין לצורך זיהוי באמצעות מאגר‪.‬‬
‫הצפי הוא שהשימוש בקשתית כביומטריה נפוצה בתהליכי אימות וזיהוי יתרחב בעתיד‪ .‬עם זאת‪,‬‬
‫בשל העובדה שלא ניתן לבצע פעילות השוואה אנושית‪ ,‬על בסיס השוואת תמונות‪ ,‬כשמדובר‬
‫בקשתית‪ ,‬ההערכות הן כי הקשתית תשמש כביומטריה נוספת‪ ,‬תומכת החלטה‪ ,‬במערכי תיעוד‬
‫לאומי‪ .‬ביישומים אחרים‪ ,‬כגון זיהוי משתמשים למערכות מחשוב‪ ,‬מערכות בקרת כניסה‪ ,‬ילך‬
‫ויתרחב השימוש בטכנולוגיה זו‪.‬‬
‫‪.3.8.5‬‬
‫זיהוי וורידים ‪Vein Recognition -‬‬
‫איור ‪ -2‬קורא ורידי כף היד‬
‫‪ .3.8.5.0‬כללי‬
‫טכנולוגיה זו מתבססת על קריאת ומיפוי זרימת הדם בוורידים‪ .‬השימוש הינו בקריאת הוורידים בכף‬
‫היד או באצבעות כף היד‪ ,‬שכן זהו המקום הנוח ביותר להרכשה ללא הפרעה‪.‬‬
‫הקריאה מבוצעת על ידי יצירת תמונה אינפרא‪-‬אדום מקורא מרוחק מספר סנטימטרים מכף היד‪,‬‬
‫וללא מגע פיזי עם כף היד‪.‬‬
‫הטכנולוגיה הינה קשה לשכפול וזיוף‪ ,‬שכן כלי הדם נמצאים בתוך גוף האדם‪ ,‬ומחייבת זרימת דם על‬
‫מנת לדגום אותה‪.‬‬
‫‪10‬‬
‫על פי תקן ‪ ICAO DOC9303‬יש חובה לכלול בדרכון תמונת פנים וניתן לכלול שתי טכנולוגיות ביומטריות משלימות‪ ,‬שהן‬
‫טביעות אצבע (בקובץ ‪ )DG3‬וקשתית העין (בקובץ ‪ .) DG4‬בפועל רק מדינה אחת או שתיים שילבו את קשתית העין בדרכון‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 12‬מתוך ‪57‬‬
‫‪ .3.8.5.5‬קריאת וורידים בכף היד‬
‫השימוש הנפוץ הינו בקריאת וורידי כל כף היד ‪ ,‬אשר מספקת עקב הגודל היחסי שלה‪ ,‬כמות מידע‬
‫רבה ביותר ומכאן גם רמת שונות ורמת דיוק גבוהה‪ .‬חברת ‪ FUJITSU‬הכריזה על רמת דיוק של‬
‫= ‪FRR‬‬
‫‪ 0.01%‬עבור ‪.FAR – 0.00008%‬‬
‫ביפן נעשה שימוש בקריאת וורידי כף היד במערכות כספומט בבנקאות ובמערכות בקרת כניסה מאז‬
‫‪.9001‬‬
‫‪ .3.8.5.3‬קריאת וורידי אצבע‬
‫עם השיפורים בטכנולוגיה‪ ,‬נעשה מאמץ למזעור הקורא וכיום נמצאים קוראים קטנים יותר היכולים‬
‫לבצע קריאת וורידי אצבע ועל כן הקורא קטן יותר ושימושי יותר‪.‬‬
‫איור ‪ -8‬קורא וורידי אצבע‬
‫‪ .3.8.5.4‬יתרונות‬
‫לטכנולוגיה יתרונות בכך שהיא אינה מחייבת מגע פיזי‪ ,‬המונע העברת מחלות ומונע לכלוך מהקורא‬
‫(קורא ט‪.‬א‪ ,).‬הקורא אינו רגיש לתנועת היד מעל הקורא ויכול בקלות לרכוש את הטביעה‪ .‬כמובן‬
‫שקריאת וורידים כורכת בתוכה בדיקת חיות של הנקרא‪ ,‬המהווה יתרון גדול במניעת זיופים‪.‬‬
‫הטכנולוגיה מאפשרת בדיקת חיות‪ ,‬פרמטר שהנו חשוב לצורך מניעת עבירות וניסיונות זיוף‪ .‬על פי‬
‫מחקרים בתחום‪ ,‬הטכנולוגיה מאפשרת רמת ביצועים ודיוק גבוהה מאוד‪.‬‬
‫‪ .3.8.5.2‬חסרונות‬
‫הניסיו ן בשימוש בטכנולוגיה הורידים הנו מועט יחסית‪ .‬לא ידוע על פרויקטים בקנה מידה לאומי‬
‫אשר נעשה בהם שימוש בטכנולוגיה זו‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 19‬מתוך ‪57‬‬
‫הביטוי הממוחשב של מפת הורידים הינו תבנית‪ ,‬כאשר לתמונה אין משמעות‪ .‬כלומר‪ ,‬לא קיימת‬
‫יכולת של השוואה על ידי מומחה בן אנוש בעת התראת מערכת‪ .‬המשמעות היא התראות שווא‬
‫מרובות יחסית כאשר יבוצע שימוש במאגרים המכילים כמות רשומות גדולה של עשרות מיליוני‬
‫רשומות‪ ,‬כגון בפרויקטים לתיעוד לאומי‪.‬‬
‫‪ .3.8.5.6‬שימושים‬
‫סקרים ופיתוחים חדשים מצביעים על מגמה של כניסה חזקה של קוראי ורידים‬
‫לתחום התשלומים בעולם הפיננסיים‪ ,‬על חשבון השימוש בטביעת אצבעות‪.‬‬
‫‪Vein Recognition‬‬
‫כן ניתן לראות יותר מכשירי כספומטים עם קוראי וורידים מופצים בעולם‪.‬‬
‫איור ‪ - 9‬כספומטים משולבים קוראי וורידים‬
‫לאחרונה פורסם כי במסגרת הקמת מערכת זיהוי ואימות בטורקיה‪ ,‬לבתי חולים ובתי מרקחת‪ ,‬נעשה‬
‫שימוש ב‪ VEIN-‬ובטביעת אצבעות לצרכי זיהוי‪ ,‬בו נבחרו מספר חברות בתחום זה לאספקת המערכת‪,‬‬
‫כאשר ארבע מהחברות הן יפניות‪ .‬בהתאם לפרסומים‪ ,‬נרכשו בטורקיה אלפי קוראים לשימוש‬
‫בתעודת הזהות הטורקית‪.‬‬
‫בפרויקט זה שולב קורא וורידי אצבעות ביחד עם קריאת טביעת שלוש אצבעות על מנת להגביר את‬
‫רמת הדיוק של המערכת‪.‬‬
‫‪ .3.8.5.2‬מגמות‬
‫ככלל‪ ,‬עקב התגברות הצורך בהגנת מערכות ממוחשבות‪ ,‬והתרחבות השימוש בביומטריה לאימות‬
‫אנשים וטרנזקציות‪ ,‬המגמה הינה כי טכנולוגית קריאת ורידים ‪ Vein Recognition -‬צפויות לגדול בכ‪-‬‬
‫‪ 2%‬בשנים הקרובות‪ ,‬זאת עקב רמת הדיוק הגבוהה ונוחות השימוש‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 21‬מתוך ‪57‬‬
‫השימוש בטכנולוגיה זו לצורך זיהוי (להבדיל מאימות זהות הנדרש במערכות בקרת כניסה פיזית) הינו‬
‫עדיין בשלבים ראשוניים ואין די פרויקטים בהיקף לאומי שניתן ללמוד מהם על ביצועי הטכנולוגיה‪.‬‬
‫‪ .3.8.5.0‬סיכום חלופת קריאת הורידים‬
‫השימוש בוו רידים כמזהה ביומטרי נמצא עדיין בראשית דרכו‪ .‬קיימות תחזיות לגידול ולהרחבת‬
‫השימוש בטכנולוגיה זו‪ ,‬כשהיתרונות המרכזיים הינם יכולת בחינת החיות‪ ,‬ההגנה על הפרטיות ורמת‬
‫הדיוק הגבוהה‪.‬‬
‫עם זאת‪ ,‬לשימוש בפרויקטים לאומיים ולמערכי תיעוד גדולים ברמת מדינה‪ ,‬השימוש בוורידים‬
‫כביומטריה בעתיד הקרוב ישמש לכל היותר כביומטריה נוספת ולא בלעדית‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 21‬מתוך ‪57‬‬
‫‪ .4‬הנושאים הנמדדים אשר לאורם נבחנות החלופות במסגרת תקופת המבחן‬
‫החלופות אשר נבחנו במהלך תקופת המבחן נמדדות בהתאם לעשרת הנושאים המפורטים בצו ובפרוטוקול תקופת‬
‫המבחן‪:‬‬
‫‪ .4.0‬יכולת איתור הרכשה כפולה‬
‫סעיף זה דן בשיעור‪ ,‬או במספר הפעמים בהם המערכת איתרה הרכשה כפולה בצורה נכונה‪ ,‬כלומר ביכולת‬
‫המערכת למלא את יעודה ולאתר ניסיונות התחזות‪ ,‬ללא קשר לאיתור הזהויות המעורבות באירוע‪ .‬יכולת‬
‫האיתור של כפילים תימדד על פי עקומות ה‪.ROC -‬‬
‫‪ .4.5‬יכולת איתור הזהות הכפולה‬
‫סעיף זה דן ביכולת לאתר את הזהויות המעורבות באירוע של ניסיון התחזות‪ ,‬ללא התייחסות ליכולת להבחין‬
‫בין המתחזה לקורבן או לתרום לתהליך האבחנה ביניהם‪ .‬האיתור של הזהות הכפולה נעשה על ידי חיפוש‬
‫הכפיל מול כל המאגר‪ ,‬כלומר על ידי חיפוש מסוג ‪ M:4‬ולא על חיפוש מסוג ‪ ,4:4‬שאיננו רלבנטי לצורך זה‪.‬‬
‫הבדיקה בסעיף זה היא של המערך המלא‪ ,‬כולל הבחינה האנושית של התוצאות‪ .‬גודל מאגר הייחוס לצורך‬
‫הבדיקה יהיה מיליון רשומות‪.‬‬
‫כאשר יש אירוע שסומן כחשד להתחזות ידוע תמיד למי ניסה העבריין להתחזות ולכן בחינת החלופות תתבצע‬
‫על פי היכולת לאתר את זהות העבריין בנוסף לזהות הקורבן לכאורה‪ ,‬שידועה ממילא‪.‬‬
‫‪ .4.3‬מספר התראות השווא‬
‫סעיף זה דן במספר התראות השווא של המערכת‪ ,‬על פי בחינת ביצועי המערכת המתבטאת ברמת איתור‬
‫המתחזים ורמת התראות השווא ‪ ,‬הבאה לידי ביטוי ביצירת עקומות ה‪ .ROC -‬התראות אלה כוללות ארבעה‬
‫סוגי אירועים עבור תרחישי הזיהוי ואימות הזהות‪ ,‬כמפורט בסעיף ‪ 4‬בצו‪:‬‬
‫‪.4.3.0‬‬
‫אירועי התאמה מוטעית ‪False Match -‬‬
‫אירוע מסוג זה יתרחש כאשר המערכת תצביע על רשומה קיימת למרות שהנתונים מייצגים רשומה‬
‫חדשה או רשומה קיימת אחרת‪ .‬עבור מתחזה מתייחס אירוע זה לתרחיש של זיהוי מול המאגר (‪.)1:M‬‬
‫‪.4.3.5‬‬
‫אירועי אי התאמה מוטעית ‪False Non-Match - -‬‬
‫אירוע מסוג זה יתרחש כאשר המערכת תתריע שנתונים קיימים במאגר אינם מייצגים רשומה קיימת‪.‬‬
‫גם אירוע זה מתייחס לתרחיש של זיהוי מול המאגר ()‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 22‬מתוך ‪57‬‬
‫‪.4.3.3‬‬
‫אירועי קבלה מוטעית ‪False Accept -‬‬
‫אירוע מסוג זה יתרחש כאשר תוצאת ההשוואה הראתה התאמה בין הנתונים הביומטריים של התושב‬
‫לבין הנתונים הכלולים במסמך זיהוי או במאגר לגבי אותו תושב‪ ,‬במקום בו לא הייתה התאמה‪ .‬אירוע‬
‫זה מתאים לתרחיש אימות הזהות (‪.)4:4‬‬
‫‪.4.3.4‬‬
‫אירועי דחייה מוטעית ‪False Non-Match -‬‬
‫אירוע מסוג זה יתרחש כאשר תוצאת ההשוואה הראתה אי התאמה בין הנתונים הביומטריים של‬
‫התושב לבין הנתונים הכלולים במסמך זיהוי או במאגר לגבי אותו תושב‪ ,‬במקום בו הייתה התאמה‪.‬‬
‫גם אירוע זה מתאים לתרחיש אימות הזהות )‪.) 4:4‬‬
‫האירועים הרלבנטיים למאגר הם האירועים מסוג ‪ False Match‬והאירועים מסוג ‪ .False Non-Match‬מספר‬
‫האירועים משני הסוגים יתקבל מתוך עקומות ה‪ ROC -‬של כל אחת מהחלופות הביומטריות או יתקבל מתוך‬
‫המודל ההסתברותי של הלמ"ס עבור תהליך התשאול‪ .‬המשקל בסעיף זה יינתן בצורה מלאה לביצועים במצב‬
‫של ‪( M:4‬תרחיש הזיהוי)‪ .‬הבדיקה איננה כוללת את מערך הסינון האנושי‪.‬‬
‫‪ .4.4‬מורכבות תפעולית‬
‫סעיף זה דן במורכבות התפעולית למימוש כל אחת מהחלופות‪ .‬סעיף זה אינו כולל את הנושא התקציבי‪,‬‬
‫המטופל בסעיף נפרד‪ .‬בנוסף לכך מתייחס סעיף זה אך ורק לתוספת המורכבות הנגזרת מכל חלופה על תהליך‬
‫ההרכשה‪ ,‬שיהיה אחיד עבור כל החלופות‪ ,‬ללא קשר למידע הנשמר במאגר‪.‬‬
‫ההתייחסות כאן היא לעבודה השוטפת ולא לאירועי ההחשדה‪ .‬מורכבות היישום תלויה בתהליכי העבודה‬
‫הנגזרים מכל חלופה‪ .‬מורכבות ההטמעה תלויה ביכולת לאמת את ביצועי המערכת ולבצע בדיקות קבלה‪.‬‬
‫‪ .4.2‬מתן מענה לרשות האוכלוסין‬
‫סעיף זה דן במתן המענה לצרכי רשות האוכלוסין ומורכב מיכולת הטיפול באירועי החשדה‪ ,‬המשאבים‬
‫הנדרשים למתן המענה וזמן הטיפול בין מועד ההרכשה ועד לקבלת אישור הנפקה לתיעוד המבוקש‪ .‬כאשר יש‬
‫אירוע של החשדה‪ .‬הניקוד יתבסס על מספר הזהויות המועברות בכל אחת מהחלופות וכן על הזמן והמשאבים‬
‫הנדרשים על מנת לטפל בהתראות אלה ברשות האוכלוסין‪.‬‬
‫‪ .4.6‬מתן מענה למשטרה‬
‫סעיף זה דן במתן המענה למשטרה‪ ,‬בהתאם למענה של כל חלופה לצרכי המשטרה המוגדרים בחוק‪ .‬סעיף זה‬
‫שונה מהמענה לרשות האוכלוסין בגלל אופי שאילתות שונה – שאילתות זיהוי עבור המשטרה לעומת‬
‫שאילתות אימות זהות ומניעת הרכשה כפולה עבור רשות האוכלוסין‪ .‬הניקוד ניתן כאמור על ידי משטרת‬
‫ישראל‪ ,‬בהתאם לשיקולים המקצועיים שלה‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 23‬מתוך ‪57‬‬
‫‪ .4.2‬רמת השירות לתושב‬
‫סעיף זה דן בהשפעה שיש לכל חלופה על רמת השירות לתושב‪ .‬בתהליך אימות הזהות אין ממשק ישיר עם‬
‫התושב (למעט בתהליך התשאול‪ ,‬המתבצע בלשכות) ולכן סעיף זה יורכב רק מפרק הזמן שעובר מההרכשה עד‬
‫לקבלת האישור להנפקת התיעוד המבוקש כאשר אין אירוע של החשדה‪ .‬פרק הזמן לא יכלול את זמן המשלוח‬
‫ממערך ההנפקה לתושב וזמן המסירה‪ .‬זמן הטיפול באירועי החשדה מטופל בנפרד בסעיף המענה לרשות‬
‫האוכלוסין‪.‬‬
‫‪ .4.8‬הגנה על הפרטיות‬
‫סעיף זה דן בהשפעת כל חלופה על הפרטיות‪ ,‬בהתאם למודל המפורט במסמך אופן מתן הציונים לחלופות‪.‬‬
‫מודל זה מתבסס על בחינת הנושאים הבאים‪:‬‬
‫‪‬‬
‫שימוש בתבניות מול שימוש בתמונות‬
‫‪‬‬
‫כמות המידע הנדרש למימוש החלופה‬
‫‪‬‬
‫כמות המידע המועבר בעת טיפול בהחשדה‬
‫‪‬‬
‫פוטנציאל נזק ממשי של המידע‬
‫‪‬‬
‫מובהקות המידע הנשמר במאגר‬
‫‪‬‬
‫קישור לזהות בפועל‬
‫‪‬‬
‫רמת הגנה שניתנת ליישום בכל חלופה‬
‫‪‬‬
‫צורך בשיתוף פעולה מצד הנבדק‬
‫‪‬‬
‫תאימות הדדית למאגרים שאינם ביומטריים‬
‫‪ .4.9‬עלות תקציבית‬
‫סעיף זה דן בעלות התקציבית של כל אחת מהחלופות‪ ,‬מבחינת מערכות המידע וכוח האדם הנדרש לטיפול‬
‫שוטף‪.‬‬
‫‪ .4.01‬אבטחת מידע‬
‫סעיף זה דן במצב אבטחת המידע עבור כל אחת מהחלופות‪ ,‬מבחינת היכולת לתקוף את המערכת והיכולת‬
‫לקיים אבטחת מידע ברמת "סודי ביותר" וזאת בהתאם למודל המפורט במסמך ניקוד החלופות‪.‬‬
‫מודל זה מתבסס על בחינת הנושאים הבאים‪:‬‬
‫‪ )4‬משך הזמן הדרוש למימוש תקיפה‪.‬‬
‫‪ )9‬רמת המומחיות הנדרשת מהתוקף‪.‬‬
‫‪ )1‬מידת ההיכרות עם יעד התקיפה‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 25‬מתוך ‪57‬‬
‫‪ )1‬עלות הציוד הנדרש למימוש התקיפה‪.‬‬
‫‪ )2‬הסיכון לתוקף‪.‬‬
‫‪ )6‬מידת הנגישות ליעד הנדרשת למימוש התקיפה‪.‬‬
‫‪ )2‬היכולת לקיים אבטחת מידע ברמת "סודי ביותר" כנדרש בחוק‪.‬‬
‫ניתן לראות פירוט נוסף במסמך אופן מתן הציונים‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 22‬מתוך ‪57‬‬
‫‪ .2‬משקלים לנושאים הנמדדים‬
‫כפי שנקבע בצו בסעיף ‪44‬א ‪ -‬תוך ‪ 20‬ימים מתחילת תקופת המבחן תחליט הוועדה המייעצת‪ ,‬בהתייעצות עם ראש‬
‫רשות האוכלוסין וראש הרשות לניהול המאגר הביומטרי‪ ,‬על משקל לכל אחד מן הנושאים הנבדקים‪.‬‬
‫כל אחד מהנושאים הנ"ל קיבל משקל בציון החלופה‪ ,‬בהתאם להחלטת הועדה המייעצת‪ ,‬כמפורט בטבלה‬
‫הבאה‪:‬‬
‫נושא נמדד‬
‫‪ %‬משקל‬
‫מספר הפעמים שבהן התקיים חשד להרכשה כפולה או להתחזות בזהות אחרת‬
‫‪01‬‬
‫יכולת איתור הזהות הכפולה במקרים שנמצאו‬
‫‪01‬‬
‫מספר הפעמים שבהן התקבלה תוצאת זיהוי מוטעית לגבי אמצעים ונתונים ביומטריים‬
‫‪01‬‬
‫מידת המורכבות התפעולית ליישום אופן בדיקת הזיהוי‬
‫‪0‬‬
‫יכולת מתן מענה לרשות האוכלוסין‬
‫‪7‬‬
‫יכולת מתן מענה למשטרת ישראל‬
‫‪0‬‬
‫רמת שירות לתושב מבקש התיעוד‬
‫‪1‬‬
‫יכולת הגנה על הזכות לפרטיות לפי חוק ועל פרטי מידע של תושב‬
‫‪07‬‬
‫עלויות תקציביות‪ ,‬לרבות בנוגע למערכות הטכנולוגיות וכוח אדם‬
‫‪0‬‬
‫מתן מענה לדרישות אבטחת מידע‬
‫‪07‬‬
‫סה"כ‬
‫‪ -‬בלמ"ס ‪-‬‬
‫‪011%‬‬
‫עמוד ‪ 26‬מתוך ‪57‬‬
‫‪ .6‬תהליך בדיקת החלופות הביומטריות‬
‫(למעט בדיקת שיטת ההקבצים המפורטת בנפרד‪ ,‬בפרק ‪.)8‬‬
‫בדיקות הביצועים‪ ,‬העמידה במדדים ובחינת החלופות הביומטריות לוותה על ידי המרכז למחקרים צבאיים‬
‫(מחצ"ב) ברפא"ל ויועצים חיצוניים מקצועיים בתחום הביומטריה‪ .‬דו"חות מחצ"ב ‪ /‬רפא"ל הינם מסווגים‬
‫ויועברו בתפוצה מוגבלת רק לגורמים המעורבים בפרויקט‪ .‬בדיקות החלופות בוצעו על פי העקרונות המוגדרים‬
‫בתקני ‪ ISO/IEC19795-2‬ו‪.ISO/IEC19795-6-‬‬
‫‪ .6.0‬סביבת בדיקה‬
‫בדיקת החלופות ברשות בוצעה בסביבת בדיקות המכילה נתוני אמת הקיימים במאגר (סביבת ה‪.)staging-‬‬
‫סביבה זו נפרדת מסביבת הייצור של המאגר הביומטרי ומאגר הבדיקה נלקח מתוך מאגר המערכת המלא כפי‬
‫שהיה במועד הבדיקה‪.‬‬
‫‪ .6.5‬רשומות לבדיקה‬
‫הרשומות אשר שימשו לבדיקות היו רשומות מלאות ותקינות‪ ,‬הכוללות תמונת פנים וטביעות שתי האצבעות‬
‫המורות‪ .‬הרשומות נלקחו מתוך מארזי ההרכשות הביומטריות אשר מגיעות בקבוצות ממוספרות מלשכות‬
‫רשות האוכלוסין ("מארזים")‪ .‬מכיוון שדרישות החוק הם רק לגבי אצבעות מורות הוסרו מהמאגר המלא כל‬
‫הרשומות ללא שתי אצבעות מורות ותמונת פנים‪ .‬בהתאם לחלופה הנבדקת בוצע שימוש בחלק מן הנתונים‬
‫הביומטריים שברשומות‪.‬‬
‫‪ .6.3‬כמות רשומות‬
‫גודל המאגר אשר נבדק עמד על כ‪ 46,900 -‬רשומות ו‪ 9,220-‬חידושים‪ .‬רשומות טביעות האצבע הינן רשומות‬
‫אשר הורכשו על גבי הסורקים החדשים מסוג ‪.1M COGENT‬‬
‫‪ .6.4‬הכנת הנתונים‬
‫מאגר הבדיקה שימש לבדיקת הביצועים לאחר הסרת רשומות מתוך המאגר המלא‪ .‬לצורך זה בוצע תהליך‬
‫התאמה של נתוני הבסיס בהתאם לנדרש בכל חלופה‪ ,‬על ידי הסרת המידע העודף ועל ידי טיוב (כגון הסרת‬
‫זוגות תאומים)‪.‬‬
‫‪ .6.2‬תוכנות עזר‬
‫להלן התוכנות שבאמצעותן נערכה בדיקת החלופות‪:‬‬
‫‪.6.2.0‬‬
‫‪Filelist‬‬
‫כלי להכנת רשימות קבצים‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 27‬מתוך ‪57‬‬
‫‪.6.2.5‬‬
‫‪Farfrrcompare‬‬
‫תוכנת ההשוואה הביומטרית‪ .‬התוכנה משתמשת במנוע ההשוואה של טביעות האצבע‪ ,‬גרסה ‪1.9‬‬
‫(‪ .)__.biometrics.dll‬התוכנה מחשבת במעבר אחד את השוואת ימין לימין‪ ,‬שמאל לשמאל וכן את כל‬
‫שיטות ההיתוך (‪.)minimum, maximum, average, multiplication,fusion‬‬
‫‪.6.2.3‬‬
‫‪Compare‬‬
‫תוכנה להשוואה ביומטרית של פנים‪ .‬התוכנה משתמשת במנוע השוואת הפנים גרסה ‪.2.2.0.9‬‬
‫‪.6.2.4‬‬
‫‪Nfiq‬‬
‫תוכנה לחישוב מדד איכות טביעת אצבע על פי ‪ ,NFIQ‬המשתמשת במנוע השוואת טביעות האצבע‪.‬‬
‫‪.6.2.2‬‬
‫‪ROCer‬‬
‫סקריפט ליצירת גרף ‪ ROC‬מתוך גרפים של ‪ FAR‬ו‪.FRR-‬‬
‫‪ .6.6‬השוואה‬
‫ההשוואה בוצעה במתכונת של "רבים לרבים" (‪ )M:M‬כדי לבחון את תרחיש הזיהוי וכן במתכונת של ‪ 4:4‬כדי‬
‫לבחון את תרחיש אימות הזהות‪ ,‬כמפורט בהמשך‪ .‬מתכונת ה‪ M:M-‬היא הרחבה של תרחיש הזיהוי הרגיל‬
‫(‪ )M:4‬כאשר כל רשומה עוברת השוואה לכלל יתר הרשומות שבמאגר‪.‬‬
‫‪ .6.2‬הצגת התוצאות‬
‫תוצאות ההשוואה מוצגות כגרפים של ‪ FAR‬ו‪ FRR-‬וכעקומת ‪.ROC‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 22‬מתוך ‪57‬‬
‫‪ .2‬תוצאות בדיקת החלופות הביומטריות‬
‫(למעט בדיקת שיטת ההקבצים המפורטת בנפרד‪ ,‬בפרק ‪.)8‬‬
‫‪ .2.0‬תקציר התוצאות‬
‫ביצועי המנועים הביומטריים נבדקו על המאגר הקיים‪ .‬במסגרת הבחינה נבדקו חלופות לשילוב בין כמויות‬
‫וסוגים שונים של מידע ביומטרי‪:‬‬
‫‪‬‬
‫תמונת פנים בלבד‬
‫‪‬‬
‫טביעת אצבע בודדת‬
‫‪‬‬
‫טביעת אצבע אחת ותמונת פנים‬
‫‪‬‬
‫טביעות שתי אצבעות ללא תמונת פנים‬
‫‪‬‬
‫טביעות שתי אצבעות ותמונת פנים (חלופת המאגר המלא ‪ +‬חלופת התבניות)‬
‫הטבלאות המסכמות שלהלן מציגות את ההשוואה בין החלופות בתרחיש זיהוי (‪ )1:M‬וכן בתרחיש אימות‬
‫זהות (‪ .)1:1‬לגבי עמידה בדרישות החוק של כל אחת מהחלופות בנוגע להתראות שווא וכן לגבי עמידה‬
‫בדרישות החוק של כל אחת מהחלופות בנוגע ליכולת איתור מתחזה‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 29‬מתוך ‪57‬‬
‫‪.2.0.0‬‬
‫החלופה‬
‫כמות התראות השווא‬
‫עמידה בדרישות החוק‬
‫תמונת פנים בלבד (יצרן ואמת)‬
‫‪‬‬
‫טביעת אצבע אחת‬
‫‪‬‬
‫טביעת אצבע אחת ותמונת פנים‬
‫‪‬‬
‫טביעות שתי אצבעות ללא תמונת פנים‬
‫‪‬‬
‫שתי אצבעות ותמונת פנים (חלופת המאגר המלא וחלופת התבניות)‬
‫‪.2.0.5‬‬
‫החלופה‬
‫‪‬‬
‫יכולת איתור מתחזה‬
‫עמידה בדרישות החוק‬
‫תמונת פנים בלבד (יצרן)‬
‫‪‬‬
‫תמונת פנים בלבד (אמת)‬
‫‪‬‬
‫טביעת אצבע אחת‬
‫‪‬‬
‫טביעת אצבע אחת ותמונת פנים‬
‫‪‬‬
‫טביעות שתי אצבעות ללא תמונת פנים‬
‫‪‬‬
‫שתי אצבעות ותמונת פנים (חלופת המאגר המלא וחלופת התבניות)‬
‫‪‬‬
‫‪ .2.5‬תוצאות הבדיקה‬
‫תוצאות בדיקת החלופות הללו מתוארות בגרפים הבאים ובהסברים המלווים ובכללם‪ :‬גרף המתאר את מספר‬
‫התראות השווא בכל חלופה וגרף המתאר את יכולת איתור כפילים בכל חלופה וזאת אל מול דרישות הצו‪.‬‬
‫השוואת החלופות המוצגת במסמך זה מתבססת על מדגם טביעות אצבע שניטלו באמצעות הסורקים החדשים‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 31‬מתוך ‪57‬‬
‫‪.2.5.0‬‬
‫כמות התראות השווא בהתאם לעמידה במדד איתור הכפיל אשר נקבע בצו‪:‬‬
‫הגרף שלהלן מתאר את כמות התראות השווא בנוגע לחלופות ביומטריות שונות ומאגר מלא בהתאם‬
‫לעמידה במדד איתור הכפיל אשר נקבע בצו‪:‬‬
‫ביצועי החלופות‪-‬התראות שווא‬
‫הסבר‬
‫דרישות החוק להתראות שווא הינן – התראת שווא אחת בממוצע למנה של ‪ 40,000‬רשומות‪ .‬גרף זה‬
‫מתייחס ל‪ 3-‬גדלי מאגר‪ :‬מאגר של ‪ 011,111‬רשומות‪ ,‬מאגר של מיליון רשומות ומאגר של ‪ 01‬מיליון‬
‫רשומות‪ .‬הגרף מציג את מספר התראות השווא בגדלי מאגר שונים לגבי החלופות המתוארות‪:‬‬
‫‪ .2.9.4.4‬חלופת השוואת פנים בלבד (ביצועי אמת)‬
‫אינה עומדת בדרישות החוק בשלושת גדלי המאגרים שנבדקו‪ .‬ביצועי פנים בלבד כפי שמתקבל‬
‫מביצועי המאגר בפועל‪ ,‬הינם טובים יותר מהביצועים עליהם מצהיר היצרן וזאת עקב טווחי הזמן‬
‫הקצרים יחסית בין ההרכשות (בממוצע פחות מחודש)‪ .‬לפי מבחנים בתחום אשר בוצעו על ידי מכון‬
‫המחקר האמריקאי‪ ,‬מבחני ‪ ,NIST‬לגורם הזמן משמעות גדולה על הביצועים (הרעה לאורך זמן)‪ ,‬ולכן‬
‫אנו צופים שביצועי מנוע הפנים ילכו ויידמו לנתוני הביצועים עליהם מצהיר היצרן ככל שיגדל טווח‬
‫הזמן בין ההרכשות החוזרות של אותם אנשים (חידושים)‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 31‬מתוך ‪57‬‬
‫‪ .2.9.4.9‬חלופת השוואת פנים בלבד (ביצועי יצרן)‬
‫ביצועי החלופה כפי שמצהיר היצרן‪ ,‬אינם עומדים בדרישות החוק‪ .‬ביצועים אלה כאמור בסעיף לעיל‬
‫הינם הביצועים הצפויים כאמור עם הגדלת טווחי הזמן בין ההרכשות בלשכות‪.‬‬
‫‪ .2.9.4.1‬חלופת אצבע אחת‬
‫חלופת אצבע אחת‪ ,‬הן אצבע ימין בלבד והן אצבע שמאל בלבד אינן עומדות בדרישות החוק‪ .‬כפי‬
‫שמתואר בגרף‪ ,‬ביצועי אצבע שמאל בלבד הינם פחות טובים מביצועי אצבע ימין בלבד‪ .‬ההנחה היא‬
‫שהגורם לכך הינו ארגונומי ותלוי בנוחות הגישה וההרכשה של יד ימין לעומת שמאל‪.‬‬
‫‪ .2.9.4.1‬חלופת שתי אצבעות‬
‫חלופה זו עומדת בדרישות החוק ומייצרת אפס התראות שווא‪.‬‬
‫‪ .2.9.4.2‬חלופת פנים ואצבע אחת‬
‫חלופה זו עומדת בדרישות החוק ומייצרת אפס התראות שווא‪ ,‬הן בהיתוך עם פנים בביצועי אמת והן‬
‫בהיתוך עם פנים בביצועי יצרן‪.‬‬
‫‪ .2.9.4.6‬חלופת מאגר מלא‬
‫חלופה זו עומדת בדרישות החוק ומייצרת אפס התראות שווא‪ ,‬הן בהיתוך עם פנים בביצועי אמת והן‬
‫בהיתוך עם פנים בביצועי יצרן‪.‬‬
‫חלופת שתי אצבעות‪ ,‬פנים ואצבע וחלופת מאגר מלא – פנים ושתי אצבעות עומדות בדרישות החוק לגבי כמות‬
‫התראות השווא וזאת בהתייחס לשלושה גדלי מאגר שונים‪ .‬חלופת פנים בלבד וחלופת אצבע אחת בלבד אינן‬
‫עומדות בדרישות החוק וזאת בהתייחס לשלושה גדלי מאגר שונים‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 32‬מתוך ‪57‬‬
‫‪.2.5.5‬‬
‫יכולת איתור המתחזה בהתאם לעמידה במדד התראות השווא אשר נקבע בצו‬
‫הגרף שלהלן מתאר את יכולת איתור המתחזה בנוגע לחלופות ביומטריות שונות ומאגר מלא בהתאם‬
‫לעמידה במדד התראות השווא אשר נקבע בצו ‪:‬‬
‫הסבר‬
‫הסבר‬
‫גרף זה מציג את יכולת איתור הכפיל (‪ 22%‬ע"פ דרישת הצו)‪ ,‬לגבי כל אחת מהחלופות הנ"ל כאשר‬
‫מספר התראות השווא הנדרשות הוא עד התראת שווא אחת ל‪ 40,000 -‬בממוצע‪.‬‬
‫‪ .2.5.5.0‬חלופת פנים בלבד (ביצועי אמת)‬
‫החלופה עומדת בדרישות החוק‪ .‬כפי שצוין לעיל‪ ,‬ביצועי פנים בלבד כפי שמתקבל מביצועי המאגר‬
‫בפועל‪ ,‬הינם טובים יותר מהביצועים עליהם מצהיר היצרן וזאת עקב טווחי הזמן הקצרים יחסית בין‬
‫ההרכשות (בממוצע פחות מחודש)‪ .‬לפי מבחנים בתחום אותם ביצעו ‪ ,NIST‬לגורם הזמן משמעות‬
‫גדולה (הרעה בביצועים)‪ ,‬על הביצועים ולכן אנו צופים שביצועי מנוע הפנים ילכו ויידמו לנתוני‬
‫הביצועים עליהם מצהיר היצרן ככל שיגדל טווח הזמן בין ההרכשות החוזרות של אותם אנשים‬
‫(חידושים)‪.‬‬
‫‪ .2.5.5.5‬חלופת פנים בלבד (ביצועי יצרן)‬
‫ביצועי החלופה כפי שמצהיר היצרן‪ ,‬אינם עומדים בדרישות החוק‪ .‬ביצועים אלה כאמור הינם‬
‫הביצועים הצפויים כאמור עם הגדלת טווחי הזמן בין ההרכשות בלשכות‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 33‬מתוך ‪57‬‬
‫‪ .2.5.5.3‬חלופת אצבע אחת‬
‫חלופת אצבע אחת‪ ,‬הן אצבע ימין בלבד והן אצבע שמאל בלבד אינן עומדות בדרישות החוק‪ .‬כפי‬
‫שמתואר בגרף‪ ,‬ביצועי אצבע שמאל בלבד הינם פחות טובים מביצועי אצבע ימין בלבד‪ .‬ההנחה היא‬
‫שהגורם לכך הינו ארגונומי ותלוי בנוחות הגישה וההרכשה של יד ימין לעומת יד שמאל‪.‬‬
‫‪ .2.5.5.4‬חלופת שתי אצבעות‬
‫חלופה זו עומדת בדרישות החוק וביצועיה הינם יכולת איתור כפיל של ‪.22.2%‬‬
‫‪ .2.5.5.2‬חלופת פנים ואצבע אחת‬
‫חלופה זו עומדת בדרישות החוק הן בהיתוך עם פנים בביצועי אמת והן בהיתוך עם פנים בביצועי‬
‫יצרן‪ ,‬הצפי הינו כאמור‪ ,‬ביצועים הדומים לביצועי יצרן עם הגדלת הטווח בין ההרכשות בלשכות‬
‫(חידושים) כך שיכולת איתור הכפיל תעמוד על ‪.26.2%‬‬
‫‪ .2.5.5.6‬חלופת מאגר מלא‬
‫חלופה זו עומדת בדרישות החוק וביצועיה הינם יכולת איתור כפיל של ‪ .22.2%‬חלופה זו מספקת את‬
‫הביצועים הטובים ביותר בכל הנוגע ליכולת איתור כפיל (זאת בהתייחס לביצועי יצרן הצפויים‬
‫להשתנות ואשר ילכו ויורעו ככל שיחלוף הזמן)‪.‬‬
‫‪ .2.3‬סיכום והמלצות‬
‫כאמור לעיל‪ ,‬חלופת שתי אצבעות‪ ,‬חלופת פנים ואצבע וחלופת מאגר מלא – פנים ושתי אצבעות‪ ,‬עומדות‬
‫בדרישות החוק לגבי כמות התראות השווא וזאת בהתייחס לשלושה גדלי מאגר שונים‪ .‬חלופת פנים בלבד‬
‫וחלופת אצבע אחת בלבד אינן עומדות בדרישות החוק‪ .‬כך גם בהתייחס ליכולת איתור מתחזה‪ :‬חלופת שתי‬
‫אצבעות‪ ,‬פנים ואצבע וחלופת מאגר מלא – פנים ושתי אצבעות עומדות בדרישות החוק לגבי יכולת איתור‬
‫מתחזה‪ .‬חלופת פנים בלבד וחלופת אצבע אחת בלבד אינן עומדות בדרישות החוק‪( .‬ההתייחסות בסיכום הינה‬
‫לביצועי מנועי זיהוי פנים כפי שמופיעים בהצהרת היצרן ולא על ביצועי האמת אשר צפויים להשתנות כפי‬
‫שמוסבר לעיל)‪ .‬ביצועיה של חלופת מאגר מלא הם הטובים ביותר בכל הנוגע ליכולת איתור מתחזה והינם‬
‫זהים לביצועי חלופת שתי אצבעות וחלופת אצבע אחת ופנים בנוגע להתראות השווא‪.‬‬
‫‪.2.3.0‬‬
‫יישום חלופת שתי אצבעות בלבד‬
‫כאמור‪ ,‬חלופת שתי אצבעות עומדת בדרישות החוק‪ ,‬הן לגבי התראות שווא והן לגבי יכולת איתור‬
‫מתחזה אך יישומה המעשי של חלופה זו ‪ -‬האפשרות לכלול במאגר אך ורק טביעות אצבע ללא תמונת‬
‫פנים‪ ,‬התברר כלוקה בחסר וזאת בשל העובדה כי אפשרות זו לא תאפשר מניעת התחזות ותמיכה‬
‫תפעולית שוטפת‪ .‬באופן טבעי‪ ,‬עבור כ‪ 4.2%-‬מבקשות החידוש לא ניתן להשוות אף אחת משתי‬
‫האצבעות ברשומת חידוש לעומת רשומה קודמת‪ ,‬בשל שילוב של אצבעות חסרות‪ ,‬דגימה באיכות‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 35‬מתוך ‪57‬‬
‫נמוכה‪ ,‬ו‪/‬או דגימת אצבע שונה – באצבע ימין וגם באצבע שמאל‪ .‬מכאן שהמאגר לא מסוגל לאמת עבור‬
‫מקרים אלו כלל האם מחדש התיעוד הינו בעל התיעוד המקורי או לא‪ .‬מכיוון שקיים חשש שמתחזים‬
‫ינצלו פרצה זו ויגרמו באופן יזום להכללת בקשותיהם בקבוצה זו‪ ,‬לא ניתן יהיה למנוע ניסיונות של‬
‫התחזויות וגניבת זהות‪.‬‬
‫יתרה מכך‪ ,‬עבור כ‪ 1%-‬נוספים מהאוכלוסייה לא ניתן להשתמש בבקשות חידוש באחת מבין אצבע‬
‫ימין או אצבע שמאל להשוואה מול הרשומה הקודמת‪ .‬בדומה לכך‪ ,‬במעל ‪ 4%‬מהבקשות לא קיימת‬
‫אצבע מורה תקינה אחת לפחות‪ ,‬ובכ‪ 1%-‬נוספים קיימת רק אצבע מורה תקינה אחת‪ .‬במקרים אלו‬
‫חיפוש הכפילים אל מול הרשומה הקודמת ושאר המאגר יתבצע למעשה רק על בסיס אצבע אחת‪,‬‬
‫חלופה שאינה עומדת בדרישות החוק‪ .‬גם כאן‪ ,‬ההגבלה שנובעת מדגימת שתי אצבעות בלבד‬
‫והאפשרות לדגום אצבעות שונות משתי המורות אינן מאפשרות לבצע השוואה ביומטרית בין כל‬
‫הרשומות במאגר‪.‬‬
‫קושי נוסף קיים בשל העובדה שלחלק מהאוכלוסייה לא ניתן לדגום את טביעות אצבעותיה‬
‫(וממתחזים שעלולים באופן יזום להצטרף לאוכלוסייה זו)‪ .‬עבור כ‪ 0.9%-‬מהאוכלוסייה‪ ,‬לא ניתן‬
‫להרכיש טביעת אצבע תקינה כלשהי‪ .‬עבור כ‪ 0.2%-‬נוספים‪ ,‬ניתן להרכיש רק טביעת אצבע אחת‬
‫תקינה‪ .‬את קבוצות אוכלוסייה אלו לא ניתן לבדוק במאגר‪.‬‬
‫קשיים אלו ייחודיים לחלופה בה דוגמים שתי אצבעות בלבד‪ .‬דגימת כל עשרת האצבעות הייתה‬
‫מפחיתה משמעותית (אך לא מבטלת) את הסיכון לאי זיהוי כתוצאה מבחירת האצבעות או איכות‬
‫דגימה נמוכה‪ .‬תמונת הפנים‪ ,‬בהיותה ביומטריה אוניברסאלית בלתי תלויה בטביעות האצבע‪ ,‬מונעת‬
‫התחזות לזהות שכבר מצויה במאגר‪ ,‬ותסכל בסבירות גבוהה בשילוב טביעות אצבע ניסיון התחזות‬
‫כאשר המתחזה כבר קיים במאגר בזהות אחרת‪.‬‬
‫‪.2.3.5‬‬
‫יישום חלופת פנים בלבד‬
‫פני האדם משתנים לאורך חייו‪ ,‬ואף בהפרשי זמן קצרים‪ .‬לעיתים אף לנו בני האדם קשה לזהות‬
‫בביטחון את פני האדם שמולנו‪ ,‬במיוחד לאחר תקופה או לאחר שינויים‪ .‬טכנולוגיית השוואת הפנים‬
‫נדרשת להבחין מחד בין תמונות אנשים שונים (משימת הזיהוי)‪ ,‬ומאידך לשייך יחד תמונות שונות של‬
‫אותו אדם (משימת האימות)‪ ,‬גם כשיישנם הפרשי זמן בין התמונות‪ ,‬שינויים בתנאי הדגימה ושינויים‬
‫בפנים עצמם כגון בסידור השיער‪.‬‬
‫כפי שעולה מנתוני יצרני מנועי השוואת הפנים‪ ,‬השימוש בפנים בלבד לזיהוי כפילים אינו עומד‬
‫בדרישות החוק – הן בשל כמות התראות שווא גבוהה מדי (חשד לדמיון בין אנשים שונים) והן בשל‬
‫מקרים צפויים רבים מדי של הצלחת התחזות‪ ,‬כפי שעולה מנתונים המשקפים הפרשי זמנים בין‬
‫התמונות שהינם גדולים מהקיימים כרגע ממצב האמת במאגר‪ .‬לפיכך בגודל המאגר הצפוי‪ ,‬תמונת‬
‫פנים לבדה אינה מאפשרת השוואה באיכות הנדרשת לתפקודי המאגר‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 32‬מתוך ‪57‬‬
‫למרות שיעורי השגיאה הללו‪ ,‬השוואת תמונת הפנים הינה כלי חשוב להשלמת ההשוואה על בסיס‬
‫טביעות אצבע‪ .‬תמונת הפנים מספקת מידע מסוים לגבי דמיון בין רשומות גם כאשר חסרות טביעות‬
‫אצבע‪ ,‬הן באיכות נמוכה‪ ,‬או מאצבעות שונות‪ .‬במיוחד בהשוואות ‪ 4:4‬בחידוש‪ ,‬תמונות הפנים‬
‫מסייעות להתגבר על חוסרים בטביעות האצבע‪ ,‬למנוע התחזות ולהגיע למסקנה טובה יותר לגבי‬
‫אמינות הזיהוי‪.‬‬
‫‪.2.3.3‬‬
‫חלופת שימוש בתבניות בלבד (ללא תמונות)‬
‫‪ .2.3.3.0‬רקע‬
‫תהליך העבודה ברשות כולל את השלבים הבאים‪:‬‬
‫‪‬‬
‫קליטת רשומות‬
‫הקלט לשלב זה הוא קובץ חתום של רשומות משלב ההרכשה‪ .‬העברת הרשומות‬
‫המוצפנות מתהליך ההרכשה למערכות הרשות‪ ,‬שאינן מקוונות‪ ,‬נעשית בתהליך ידני‪.‬‬
‫שלב זה כולל בדיקה של נכונות המידע ושלמותו וכן פענוח של הרשומות המוצפנות‪.‬‬
‫‪‬‬
‫השוואה ביומטרית‬
‫הקלט לשלב זה הוא הרשומות מהשלב הקודם‪ ,‬עליהן מבוצע תהליך ממוכן של השוואת‬
‫הרשומות לנתונים שכבר נמצאים במאגר‪ .‬הפלט הוא חיווי על רשומות תקינות מבחינת‬
‫השוואתן לרשומות במאגר (בפועל מרבית הרשומות)‪ ,‬ורשימה של נתונים שעלה לגביהם‬
‫חשד של התחזות‪.‬‬
‫‪‬‬
‫ניתוח ידני‬
‫הקלט לשלב זה הוא הרשומות שלגביהן התעורר חשד להתחזות‪ .‬רשומות אלו מועברות‬
‫לטיפול ידני‪ ,‬שבו מומחה אנושי מנסה לבחון את הנתונים ולאשש או להפריך את החשד‬
‫להתחזות‪ .‬במקרים מסוימים מסייע לתהליך זה מומחה פורנזי‪ .‬הפלט הוא זיכוי של‬
‫רשומות חשודות והעברתן לרשימת הרשומות התקינות או סימון רשומות כחשודות‬
‫בהיותן שייכות למתחזה והעברת הטיפול בהן לרשות האוכלוסין‪.‬‬
‫חלופה זו מתבססת על ביצועיה של המערכת הביומטרית בלבד (מנועי ההשוואה הביומטרית) ללא‬
‫יכולת של בחינת תוצאות ההשוואה ע"י גורם אנושי‪.‬‬
‫‪ .2.3.3.5‬משמעות יישום השיטה‬
‫בתצורת העבודה ברשות‪ ,‬תוצרי המערכת הביומטרית נבחנים ע"י עובדי הרשות בצורה פרטנית על‬
‫מנת לוודא בצורה מלאה כי התראת המערכת אכן במקומה ותואמת את התרחיש כפי שהתקבל‪ .‬זאת‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 36‬מתוך ‪57‬‬
‫כדי למנוע התראו ת שווא אשר בגינן יידרשו תושבים להגיע ללשכות רשות האוכלוסין לביצוע הרכשה‬
‫חוזרת‪ .‬חלופת התבניות מתבססת על ביצועיה של המערכת הביומטרית בלבד (מנועי ההשוואה) ללא‬
‫בחינה ע"י גורם אנושי של תוצאות בדיקת המערכת‪.‬‬
‫ביצועי המערכת בכל הנוגע להתראות שווא ויכולת איתור כפיל בחלופה זו זהים לביצועי חלופת מאגר‬
‫מלא הכולל שתי טביעות אצבע ותמונת פנים‪ .‬משמעות יישומה של חלופה זו היא שלא ניתן לבצע‬
‫בדיקה ויזואלית לתוצאות בדיקת המערכת והעברתן של כלל תוצאות הזיהוי והאימות (‪)N:0 ,0:0‬‬
‫אשר התקבלו כתוצאה מעיבוד הנתונים והשוואתם על ידי המערכת הביומטרית‪ ,‬לטיפולה של רשות‬
‫האוכלוסין‪ .‬זו מצידה תאלץ לזמן את אותם התושבים אשר לגביהם עלו ההתראות ע"י המערכת‬
‫הביומטרית לבירור בלשכות‪ ,‬מכיוון שבתצורת חלופה זו אין תמונות במאגר אלא רק תבניות שאינן‬
‫מאפשרות בדיקה ידנית על ידי גורם אנושי‪ .‬המשמעות ליישום חלופת התבניות הנה מניעת הנפקת‬
‫תיעוד לעשרות מבקשי תיעוד מדי יום ביומו‪.‬‬
‫‪ .2.3.3.3‬סיכום והמלצות בנוגע לחלופת התבניות‬
‫הספים‪ ,‬כפי שהוגדרו ברשות לניהול המאגר הביומטרי לעבודה השוטפת‪ ,‬הינם ספים מחמירים‬
‫ה גבוהים מהנדרש בחוק‪ .‬ספי העבודה הוגדרו באופן זה על מנת להקשות על ניסיונות התחזות ועל‬
‫מנת להגביר את יכולת איתור הכפיל על ידי מנועי ההשוואה הביומטריים‪ .‬המשמעות של עבודה‬
‫בספים מחמירים בפועל הינה כמות גבוהה יותר של התראות שווא הנדרשות לטיפול ידני מאשר‬
‫כמות התראות השווא כפי שהוצגו כאשר יכולת איתור הכפיל נקבעה בהתאם לדרישות החוק‪ .‬אולם‪,‬‬
‫כא שר המאגר מכיל תבניות בלבד ללא תמונות מקור‪ ,‬לא ניתן לטפל במקרי ההחשדה ידנית ולכן לא‬
‫ניתן לטייב את ביצועי המאגר‪ ,‬ולהפחית את סיכויי ההתחזות‪ ,‬באמצעות שלב ההשוואה האנושית‪.‬‬
‫מעבר לכך‪ ,‬ההשוואה האנושית מכילה את השגיאות המובנות במערכת הממוחשבת‪ ,‬ומצמצמת אותן‬
‫משמעותית ‪ .‬העברת כל השגיאות האינהרנטיות מההשוואה הממוחשבת לטיפול רשות האוכלוסין‬
‫תצריך קריאה והרכשה חוזרת של אזרחים רבים‪ .‬ללא תמונות המקור‪ ,‬לא ניתן יהיה להבחין בין‬
‫מקרי התחזות אמתיים (בשיעור קטן) לבין שגיאות מערכת (בשיעור גדול) ולכן כאשר כל המקרים‬
‫יטופלו כשגיאות מערכת לא ניתן יהיה לתחקר‪ ,‬להרתיע ולמנוע התחזות‪.‬‬
‫ההיבט הנוסף לעבודה בתבניות בלבד הוא טכנולוגי‪ .‬הבחירה בשיטה מסוימת להפקת התבנית היא‬
‫בלתי הפיכה כאשר דגימות המקור של הפנים והאצבעות אינן נשמרות‪ .‬התבניות הינן ספציפיות‬
‫לטכנולוגיה מסחרית מסוימת ולשיטת ההשוואה שלה בין הדגימות‪ .‬במצב זה נוצרת תלות של המאגר‬
‫בספק הטכנולוגיה המסחרי‪ ,‬וחוסר יכולת להחליף ספק במידת הצורך‪ ,‬עם מגוון השלכות‪ .‬מהבחינה‬
‫המסחרית‪ ,‬ספק שנבחר יוכל בהמשך להרע את המחירים והתנאים המסחריים‪ ,‬כשאין לממשלה‬
‫אלטרנטיבה‪ .‬האינטרס של הספק לתמוך במאגר ברמת שירות גבוהה יורד‪ .‬במידה והספק יפסיק את‬
‫פיתוח המוצר או את התמיכה בו מסיבות כלשהן‪ ,‬המאגר יוותר ללא אופק טכנולוגי עתידי‪ .‬מהבחינה‬
‫התפעולית‪-‬טכנולוגית‪ ,‬תפגע יכולת ניטור הביצועים של מנוע ההשוואה לצרכי כיול ושיפור‪ ,‬ולא‬
‫יתאפשר שימוש במנועי השוואה נוספים בלתי תלויים להצלבת ולשיפור תוצאות ההשוואה‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 37‬מתוך ‪57‬‬
‫לסיכום‪ ,‬שיטת שמירת התבניות ללא תמונות המקור אינה מאפשרת למאגר הביומטרי להגשים את‬
‫מטרותיו‪ ,‬כפי שהוגדרו בחוק בכמה היבטים‪ :‬ההשלכות כלפי השירות לאזרח‪ ,‬ההשלכות על יכולת‬
‫המאגר למנוע כפל זהויות‪ ,‬בקרת איכות וטיוב הביצועים המערכתיים של תשובות המאגר לרשות‬
‫האוכלוסין‪ ,‬וכמו כן היכולת לשמור על גמישות מסחרית – טכנולוגית‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 32‬מתוך ‪57‬‬
‫‪ .8‬חלופת שיטת ההקבצים – אפיון‪ ,‬בחינת השיטה ותוצאותיה‬
‫פרק זה מהווה תמצית למסמך אפיון לבחינה מפורטת של השיטה‪ ,‬מסמך תכנון הניסוי ומסמך סיכום ותוצאות‬
‫בחינתה של שיטת ההקבצים אשר נכתבו על ידי הרשות‪ 11‬כחלק מבחינת השיטה‪ .‬המסמכים מתבססים בין היתר‬
‫על החומרים הבאים‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫שיטת ההקבצים‪ :‬תיאור והמלצה על אופן בדיקת השיטה במסגרת פיילוט המאגר הביומטרי" מאת מר‬
‫אדי חירמן‪.‬‬
‫"חלוקת המאגר הביומטרי להקבצים‪ :‬מימוש המאגר הביומטרי ע"פ הצעת פרופ' עדי שמיר" מאת ד"ר‬
‫יוסי גרינברג ומר יורם אורן‪ ,‬מתאריך ‪. 42/2/9040‬‬
‫"אתגרי המאגר הביומטרי‪ :‬שיטת המגירות"‪ ,‬מצגת משטרת ישראל מאוגוסט ‪.9049‬‬
‫"שיטת ההקבצים (שיטת שמיר)‪ :‬עמדת הרשות הביומטרית"‪ ,‬מצגת הרשות לניהול המאגר הביומטרי‪.‬‬
‫"עמדת הרשות לניהול המאגר הביומטרי בנוגע לשיטת ההקבצים"‪ ,‬מתאריך ‪.10/40/9049‬‬
‫סיכום פגישה עם פרופ' עדי שמיר‪ ,‬שנערכה בתאריך ‪.92/4/9042‬‬
‫מסמך האפיון מתייחס לשאלה האם שיטת ההקבצים נותנת מענה סביר לצורך של מניעת הרכשות ביומטריות‬
‫כפולות‪ ,‬וליתר המטרות המוגדרות בחוק‪ .‬המסמך‪ ,‬בין היתר‪ ,‬בוחן את הסוגיות הבאות‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫בחינה מעשית של יכולת השיטה לתת מענה למטרות המרכזיות שלשמן היא הוצעה‪ ,‬ובפרט לצורך הגנת‬
‫הפרטיות‪.‬‬
‫בחינה מעשית של השלכות השימוש בשיטת ההקבצים על נושאי מניעת התחזות וגניבת זהות‪.‬‬
‫בדיקת השפעות העבודה בשיטת ההקבצים על התפעול השוטף של הרשות הביומטרית‪.‬‬
‫בדיקת השפעות העבודה בשיטת ההקבצים על תהליכי העבודה ברשות האוכלוסין‪ ,‬כגון בתהליכי ההרכשה‬
‫הביומטרית‪ ,‬בהנפקה ובמסירת תיעוד‪ ,‬וכד'‪.‬‬
‫בדיקת השפעות העבודה בשיטת ההקבצים על עבודת גורמי אכיפת החוק וגורמי הביטחון‪ ,‬בהתאם‬
‫לסמכויות שניתנו להם ע"פ החוק‪.‬‬
‫בדיקת השפעות העבודה בשיטת ההקבצים על טיפול במקרה של אירוע רב‪-‬נפגעים‪.‬‬
‫‪ .8.0‬אופן הבדיקה‬
‫להלן תיאור מפורט של אופן הבדיקה‪:‬‬
‫‪.8.0.0‬‬
‫בדיקות איכותנית‬
‫מסמך האפיון מנתח באופן איכותני את התאמת שיטת ההקבצים ליישום המאגר הביומטרי‪ ,‬על פי‬
‫עמידה בדרישות החוק ובתבחינים לבחינת החלופות‪.‬‬
‫‪11‬‬
‫מסמך "מסקנות הניתוח האיכותני והניסוי של שיטת ההקבצים במאגר הביומטרי" ‪ ,‬מסמך "אפיון בחינת חלופת שיטת ההקבצים‬
‫ליישום במאגר הביומטרי" ומסמך "תכנון אופן ביצוע ניסוי שיטת ההקבצים" הינם מסמכים מסווגים אשר יועברו בתפוצה מוגבלת‬
‫לגורמים המעורבים בפרויקט‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 39‬מתוך ‪57‬‬
‫שיטת ההקבצים הינה רעיון תיאורטי שניתן ליישם מעשית בכמה אופנים (וריאציות)‪ .‬הניתוח בוחן את‬
‫האפשרויות והפרמטרים ליישום המעשי של השיטה‪ ,‬בהתייחס להצעת פרופ' עדי שמיר‪ ,‬למעטפת‬
‫הביצועים הטכנולוגיים האפשרית ולתרחישי השימוש במאגר‪ .‬הבחינה האיכותנית מאפשרת התמקדות‬
‫בהצעת יישום מובילה לצורך בדיקות כמותיות והשוואה אל מול חלופות אחרות‪.‬‬
‫‪.8.0.5‬‬
‫בדיקות כמותיות ממוחשבות‬
‫בדיקות כמותיות ממוחשבות משמשות לאמידת מדדים כמותיים לביצועי הצעת היישום המובילה‬
‫לשיטת ההקבצים‪ .‬הבדיקות הממוחשבות כוללות תרחישים שונים של השוואות ביומטריות של‬
‫רשומות שהורכשו עם רשומות קיימות במאגר מבוסס שיטת ההקבצים‪ .‬על מנת להבטיח שתוצאות‬
‫הבדיקה ישקפו את תנאי האמת‪ ,‬הבדיקה מבוצעת עם רשומות המאגר האמתיות שהורכשו‪.‬‬
‫‪.8.0.3‬‬
‫הערכת הבדיקות האיכותניות והכמותיות‬
‫הניתוח האיכותני והכמותי של הצעת היישום המובילה יתבצע בהתייחס לרשימת המדדים המפורטת‬
‫בצו הכללת אמצעי זיהוי ביומטריים ונ תוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע (סעיף ‪( 2‬ב))‬
‫ובמסמכי ההמשך‪:‬‬
‫‪‬‬
‫מספר הפעמים שבהן התקיים חשד להרכשה כפולה או להתחזות בזהות אחרת‪.‬‬
‫‪‬‬
‫יכולת איתור הזהות הכפולה במקרים שהוחשדו‪.‬‬
‫‪‬‬
‫מספר הפעמים שבהן התקבלה תוצאת זיהוי מוטעית‪ ,‬ובכלל זה מספר ההתאמות המוטעות‬
‫ומספר אי‪-‬ההתאמות המוטעות‪.‬‬
‫‪‬‬
‫מידת המורכבות התפעולית ליישום אופן בדיקת הזיהוי‪.‬‬
‫‪‬‬
‫יכולת מתן מענה לרשות האוכלוסין‪.‬‬
‫‪‬‬
‫יכולת מתן מענה למשטרת ישראל‪.‬‬
‫‪‬‬
‫רמת השירות תושב מבקש התיעוד‪.‬‬
‫‪‬‬
‫יכולת הגנה על הזכות לפרטיות לפי חוק ועל פרטי מידע של תושב‪.‬‬
‫‪‬‬
‫עלויות תקציביות‪ ,‬לרבות בנוגע למערכות הטכנולוגיות ולכח אדם‪.‬‬
‫‪‬‬
‫מתן מענה לדרישות אבטחת מידע‪.‬‬
‫הצעת היישום המובילה של שיטת ההקבצים (התצורה המיטבית) היא זו שתושווה לשאר החלופות הנבחנות‬
‫בהתאם למדדים אלו‪.‬‬
‫‪.8.0.4‬‬
‫וריאציות יישום רלוונטיות לבחינה‬
‫שיטת ההקבצים הינה רעיון תיאורטי‪ ,‬ומשכך ישנן מספר אפשרויות (וריאציות) שונות למימושה‬
‫המעשי‪ .‬בחירת הווריאציה משפיעה על תועלתה ועלותה של שיטת ההקבצים‪ ,‬ומכאן שיש לנפות‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 51‬מתוך ‪57‬‬
‫אפשרויות שאינן רלוונטיות ליישום‪ :‬כאלו שלא תגענה לשיפור הנדרש בתחום הפרטיות‪ ,‬שלא‬
‫תאפשרנה למאגר למלא את ייעודו‪ ,‬או שעלותן התפעולית גבוהה מאוד‪.‬‬
‫להלן הנושאים העיקריים לגביהם קיימות אפשרויות יישום שונות ואשר מובאים במסמך‪.‬‬
‫‪‬‬
‫כמות התאים וגודלם במסד נתונים מגודל נתון‪.‬‬
‫‪‬‬
‫אלגוריתם הקצאת הרשומות להקבצים‪.‬‬
‫‪‬‬
‫צימוד או פיזור הדגימות ברשומה והיתוך תוצאות ההשוואה‪.‬‬
‫‪.8.0.2‬‬
‫תרחישים לניתוח‬
‫ע"פ החוק‪ ,‬המאגר הביומטרי מיועד לבצע ארבע פעולות‪ .‬על מנת שתצורה מסוימת של שיטת‬
‫ההקבצים תהיה רלוונטית ליישום החוק‪ ,‬עליה לתמוך בכל ארבע הפעולות‪.‬‬
‫‪ .8.0.2.0‬מניעת הרכשה כפולה‬
‫יכולת זו נדרשת ע"פ סעיפים ‪(1‬ג) ו‪ 41-‬לחוק‪ .‬במקרה זה מתקבלות מלשכות רשות האוכלוסין דגימות‬
‫חדשות של אזרחים (תמונת פנים‪ ,‬ושתי טביעות אצבע ככל שניתן לדגום אותן)‪.‬‬
‫‪‬‬
‫הדגימות החדשות נבדקות מול כלל הדגימות הקיימות במאגר (חיפוש ‪ ,)N:4‬במטרה‬
‫למנוע הרכשה כפולה (כפיל ‪ -‬שתי זהויות שונות לאותו אדם)‪ .‬אם נמצאת דגימה דומה‬
‫מאוד תחת זהות אחרת‪ ,‬יש לבדוק את הנושא‪.‬‬
‫‪‬‬
‫בנוסף‪ ,‬אם לאותה זהות קיימות דגימות קודמות במאגר (כלומר‪ ,‬מדובר בחידוש תיעוד)‪,‬‬
‫הדגימות החדשות נבדקות מול הדגימות הקודמות (השוואה ‪ ,)4:4‬במטרה למנוע משני‬
‫אנשים שונים להנפיק תעודות בשם זהות אחת (מתחזה – שני אנשים עם זהות אחת)‪.‬‬
‫‪ .8.0.2.5‬בירור זהות‬
‫יכולת זו נדרשת ע"פ סעיף ‪(2‬א) לחוק‪ .‬במקרה זה מתקבלות דגימות ביומטריות של אדם (או גופה)‪,‬‬
‫ייתכן חלקיות (השלשה של פנים ושתי טביעות אצבע לא מלאה) או באיכות נמוכה‪ .‬המאגר משיב‬
‫בזהות אחת (או יותר) שדגימותיה הקיימות במאגר דומות (בחיפוש ‪ )1:M‬לדגימות שהתקבלו‪.‬‬
‫‪ .8.0.2.3‬אימות זהות‬
‫יכולת זו נדרשת ע"פ סעיף ‪(2‬א) לחוק‪ .‬במקרה זה מתקבלות דגימות ביומטריות של אדם (או גופה)‪,‬‬
‫ייתכן חלקיות (השלשה של פנים ושתי טביעות אצבע לא מלאה) או באיכות נמוכה‪ ,‬וזהות נטענת של‬
‫אותו אדם באמצעות מספר מזהה‪ .‬המאגר מבצע השוואה ‪ 4:4‬של הדגימה המתקבלת לדגימות‬
‫קיימות בזהות זו‪ ,‬ומשיב אם הדגימות שהתקבלו דומות לדגימות הקיימות או לא‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 51‬מתוך ‪57‬‬
‫‪ .8.0.2.4‬בירור נתונים ביומטריים‬
‫יכולת זו נדרשת ע"פ סעיפים ‪(42‬א) ו‪ 42-‬לחוק‪ .‬במקרה זה מתקבלת זהותו של אדם‪ ,‬ועל המאגר לספק‬
‫את הדגימות הביומטריות המשויכות לזהות זו‪.‬‬
‫‪ .8.5‬תוצאות בחינת חלופת ההקבצים‬
‫סיכום ותוצאות מפורטות של בחינת השיטה מפורטים במסמך "מסקנות הניתוח האיכותני והניסוי של שיטת‬
‫ההקב צים במאגר הביומטרי" בפרק הנ"ל יובאו עיקרי הסיכום והמסקנות‪ .‬בנוסף לכך‪ ,‬הרחבה והסברים‬
‫מפורטים קיימים במסמך "אפיון בחינת חלופת שיטת ההקבצים ליישום במאגר הביומטרי"‪.‬‬
‫‪.8.5.0‬‬
‫מסקנות מהניתוח האיכותני‬
‫‪ .8.5.0.0‬ניתוח הוואריאציות השונות לבדיקה‬
‫אפשרות היישום בה הדגימות של כל זהות מפוזרות בהקבצים שונים מסתמנת כלא מתאימה ליישום‪,‬‬
‫משום שאינה מצליחה לשמור על רף הפרטיות הנדרש ועל רף מניעת ההתחזות גם יחד ‪.‬‬
‫אפשרות היישום בה הדגימות לא מצומדות‪ ,‬אך באותו הקבץ‪ ,‬מסתמנת כלא מתאימה ליישום ממספר‬
‫סיבות‪ ,‬ביניהן בעיות תפעוליות‪ ,‬בעיות פונקציונליות‪ ,‬ובעיות התכנותיות ‪.‬‬
‫האפשרות המובילה לבחינה‪ ,‬גם על דעתו של פרופ' שמיר‪ ,‬הינה זו בה שלוש הדגימות הביומטריות של‬
‫כל זהות מצומדות ‪.‬‬
‫‪.8.5.5‬‬
‫‪.8.5.5.0‬‬
‫השלכות של שימוש בשיטת ההקבצים‬
‫עבור שאילתת זיהוי ‪1:M‬‬
‫שיטת ההקבצים אינה משפיעה על השלב הממוחשב של החיפוש הביומטרי (‪ )1:M‬במניעת הרכשה‬
‫כפו לה‪ .‬אולם‪ ,‬במקרים בהם עולה חשד להתחזות‪ ,‬נגרמת פגיעה משמעותית בפרטיות אזרחים‪ ,‬נוצר‬
‫פתח נוסף להתחזות‪ ,‬יכולת השלמת הבירור נפגעת וכל זאת תוך יצירת עומס תפעולי משמעותי‪.‬‬
‫‪ .8.5.5.5‬עבור שאילתת אימות ‪0:0‬‬
‫בנוגע לשאילתת אימות זהות והשוואות ‪ ,4:4‬ישנה בעייתיות – עד כדי פתח משמעותי להתחזות –‬
‫בטיפול ברשומות שאינן מלאות ותקינות ובשינוי אצבעות; סיכויי הצלחת ההתחזות גדלים במספר‬
‫תרחישים; נדרש סף איכות השוואה ממוכנת גבוה בהרבה מהקיים; נוצרת תופעת ‪data corruption‬‬
‫הולכת ומתגברת כתוצאה ממקרי ‪ ,FAR‬חידוש‪ ,‬מחיקת רשומות ונפטרים‪ .‬עומס תפעולי נוסף ייגרם‬
‫במקרי ‪.FRR‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 52‬מתוך ‪57‬‬
‫‪.8.5.3‬‬
‫מענה שיטת ההקבצים לנושא הפרטיות‬
‫השגת מטרת שיטת ההקבצים נפגמת במידה מהותית בשל הזמינות של דגימות ביומטריות מזוהות‬
‫ממקורות חיצוניים למאגר‪ .‬דגימות אלו זמינות במידה רבה גם לגורמים פרטיים (למשל מרשתות‬
‫חברתיות) וגם לממשלה (ממאגרים אחרים שברשותה)‪ .‬השימוש בנתונים חיצוניים מאפשר‪ ,‬בתהליך‬
‫הניתן למיכון ברובו ובאיכות תוצאה צפויה טובה‪ ,‬לשייך חזרה זהויות לדגימות ודגימות לזהויות‪ .‬גם‬
‫כאשר הדגימות החיצוניות הן באיכות נמוכה‪ ,‬מסקנה זו אינה נפגעת במידה משמעותית‪ .‬חולשה‬
‫אינהרנטית בשיטה נובעת מהאפשרות להתחזות לאחר באותו הקבץ‪ .‬בשל כך בטחון השיטה נסמך על‬
‫חסיון שיוך הזהויות להקבצים‪ .‬חסיון זה נפגע אינהרנטית בשל חשיפת הקבצים בתהליכי בירור‬
‫שונים; זאת כאשר הליך ה"שקשוק" המיועד להתמודד עם חשיפת הקבצים צפוי להיות איטי ביותר‪,‬‬
‫מכביד על האזרחים‪ ,‬מועד לטעויות וחשוף לתקיפות‪.‬‬
‫‪.8.5.4‬‬
‫מענה השיטה ליכולת מניעת הרכשה כפולה וההתמודדות עם התראות שווא‬
‫‪ .8.5.4.0‬שאילתות‬
‫הטיפול בשאילתות זיהוי וחיפוש כפילים מעורר מספר סוגיות מהותיות‪ :‬שאילתות אלו אכן מגדילות‬
‫את העומס התפעולי כתכונה של שיטת ההקבצים הרצויה מבחינת עקרונות השיטה‪ .‬יחד עם זאת‪,‬‬
‫לעומת שאילתות זיהוי במאגר רגיל‪ ,‬מידת הוודאות בתוצאות השאילתה פוחתת‪ .‬כמו כן‪ ,‬אחוזי‬
‫ההצלחה במתן מענה לשאילתה פוחתים‪ ,‬ישנם קשיים במיקום שלב הסינון הדמוגרפי של המענה‬
‫(ברשות לניהול המאגר הביומטרי ואז יש פרטים דמוגרפיים במאגר‪ ,‬או ברשות האוכלוסין והמשטרה‬
‫ואז יש פגיעה בפרטיות עקב העברת נתונים רבים של למעלה מאלף תוצאות על כל התרעת שווא אחת‬
‫ו‪/‬או שאילתה אחת)‪ .‬בשל הירידה בדיוק‪ ,‬אזרחים לא מעורבים שנמצאים בהקבץ המזוהה צפויים‬
‫להי פגע‪ .‬בנוסף‪ ,‬נפתח פתח להתחזות מושלמת בתוך אותו הקבץ לאורך שנים‪ ,‬כאשר הפתרון היחיד‬
‫לכך הוא תהליך "שקשוק" ‪ -‬השמה מחדש של הזהויות שנחשפו בהקבצים אחרים‪ .‬הגורר בעקבותיו‬
‫מספר בעיות מהותיות (ראו מסמך אפיון בחינת חלופת שיטת ההקבצים ליישום במאגר הביומטרי‪,‬‬
‫פרקים ‪.)2.1 ,2.1‬‬
‫בדומה לשאילתת הזיהוי‪ ,‬גם שאילתת אחזור הנתונים מעוררת קשיים פרקטיים ניכרים כגון ‪ :‬אי‪-‬‬
‫יכולת תמיכה בדרישות החוק כפי שהן‪ ,‬משום שלא ניתן לאתר באופן וודאי את הרשומה המשויכת‬
‫לזהות‪ .‬צמצום הרשומות גורם לעומס תפעולי‪ ,‬תוצאה רצויה מבחינת עקרונות השיטה אך דורשת‬
‫משאבים נוספים וגורעת מהשירות הניתן ועוד‪.‬‬
‫מהניתוח עולה כי מאגר המנוהל בשיטת ההקבצים רגיש בהרבה לאיכות ההשוואה לעומת מאגר רגיל‪.‬‬
‫אמצעי אפשרי להתמודד עם חלק מהקשיים שעולים בניתוח הינו הרחבה משמעותית של מספר‬
‫הדגימות בכל רשומה‪ ,‬למשל דגימת כל עשר האצבעות ולא רק שתיים‪.‬‬
‫מסקנה נוספת הינה שצפוי שלא ניתן יהיה לרדת לחקר האמת בשיעור ניכר מהבדיקות בחשד‬
‫להתחזות‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 53‬מתוך ‪57‬‬
‫‪ .8.5.4.5‬השוואות ילדים‬
‫השוואת רשומות ילדים בעייתית גם במאגר רגיל בשל העובדה כי הרשומות כוללות פנים בלבד ולא‬
‫כוללות טביעות אצבע‪ ,‬עובדה הפוגעת ביכולת להבחין ביומטרית בין רשומות שונות‪ .‬שיטת ההקבצים‬
‫מקצינה קשיים מובנים אלה ומאיינת את האפשרות להשוות רשומות אלו‪.‬‬
‫‪.8.5.4.3‬‬
‫‪Meta Data‬‬
‫נמצא כי קיום ‪ Meta-Data‬מסוגים שונים פוגע בניתוק בין הדגימות הביומטריות לזהות‪ ,‬אך העדרו‬
‫מקשה על התפעול ומונע פיקוח על הנעשה במאגר; לפיכך קיומו בפועל של ‪ Meta-Data‬הוא בלתי‬
‫נמנע‪ .‬המשמעות היא שבפועל שיטת ההקבצים אינה יכולה לבצע הפרדה מוחלטת בין הנתונים‬
‫הביומטריים לבין הזהות ובשל כך ישנו ספק ביכולת השיטה להשיג את מטרתה‪.‬‬
‫‪ .8.5.4.4‬טיפול באסון רב נפגעים‬
‫בנושא הטיפול באסון המוני‪ ,‬נמצא כי שיטת ההקבצים אינה מאפשרת לסייע בזיהוי חללים באסונות‬
‫מרובי נפגעים בשל העובדה כי נוצר חסם מערכתי לכמות שאילתות הזיהוי שניתן לבצע בו זמנית‪ ,‬ועל‬
‫כן השיטה אינה מאפשרת זיהוי מאסיבי‪ ,‬בניגוד למטרות המאגר‪.‬‬
‫‪ .8.5.4.2‬ריפוד המאגר‬
‫ההצעה לריפוד המאגר ע"י זהויות זרים (שאינה ייחודית לשיטת ההקבצים) מלווה במספר קשיים‬
‫הדורשים שינויי חקיקה‪ .‬בנוסף לכך‪ ,‬על מנת שניתן יהיה ליישם את שיטת ההקבצים בשילוב ריפוד‬
‫המאגר ולשמור על אותה רמת ביצועים של הרכשה כפולה והתרעות שווא‪ ,‬ישנו צורך בהרחבה של‬
‫מספר הדגימות בכל רשומה‪ ,‬למשל דגימת כל עשר האצבעות ולא רק שתיים‪.‬‬
‫‪ .8.5.4.6‬שיטת ההקבצים בראי החוק הקיים‬
‫שיטת ההקבצים אינה תואמת‪ ,‬על פניה‪ ,‬את החוק הקיים במספר נקודות (ראו מסמך אפיון בחינת‬
‫חלופת שיטת ההקבצים ליישום במאגר הביומטרי‪ ,‬פרק ‪ .)2.2‬ניתוח החלופה לא כלל התייחסות‬
‫מעמיקה לנושא זה‪ .‬עם זאת ניתן להצביע כי עבור יישום שיטת ההקבצים יהיה צורך בבחינה‬
‫מדוקדקת ושינוי החקיקה‪.‬‬
‫‪ .8.3‬סיכום מסקנות מהניסוי‬
‫בהשוואות ‪( M:4‬חיפוש כפיל) כמות העבודה במאגר זהה בין שתי השיטות‪ .‬עם זאת דיווח מהמאגר לרשות‬
‫האוכלוסין יגדל פי ‪( 0,111‬או לחלופין המאגר יכיל נתונים דמוגרפיים שיאפשרו לצמצם את התוצאות לכ‪21-‬‬
‫עד ‪ .)011‬בכל התרעת שווא יועבר הקבץ במקום רשומה בודדת‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 55‬מתוך ‪57‬‬
‫חיפוש מתחזה‪ :‬קיים פער של פי ‪ 0,111‬בין שיטת ההקבצים לבין השיטה הרגילה בסיכוי לתפיסת מתחזה ברף‬
‫דומה של התרעות שווא‪ .‬קרי‪ ,‬הסיכוי לתפוס מתחזה בשיטת ההקבצים קטן בשלושה סדרי גודל‪ .‬יש הבדל של‬
‫כאחוז בכמות התרעות השווא בסיכוי זהה לתפיסת מתחזה‪ .‬כמו כן יש תוספת עבודה במאגר של עד פי ‪511‬‬
‫יותר השוואות‪( .‬ראו מסמך תוצאות ניסוי שיטת ההקבצים ליישום במאגר הביומטרי‪ ,‬פרק ‪.)9‬‬
‫אין פתרונות מובנים לכלל הבעיות שהשיטה יוצרת לרשות האוכלוסין בבדיקת אימות‪ .‬ברובם לא יהיה מנוס‬
‫לרשות האוכלוסין אלא לזמן אזרחים רבים להרכשות חוזרות ונשנות (ראו מסמך תוצאות ניסוי שיטת‬
‫ההקבצים ליישום במאגר הביומטרי‪ ,‬פרק ‪.)9‬‬
‫מבחינת העמידה בדרישות החוק‪ ,‬יתכן כי השימוש בשתי טביעות אצבע ופנים יעמוד בדרישות החוק (הערכה‬
‫לחסם עליון של עד פי ‪ 40‬השוואות)‪.‬‬
‫‪ .8.4‬סיכום בחינת שיטת ההקבצים‬
‫מניתוח התוצאות ובחינת ההיבטים הפרקטיים של תפעול המאגר הביומטרי עולה כי בשיטת ההקבצים‬
‫קיימות חולשות אינהרנטיות מהותיות רבות‪ .‬חולשות אלו מאיינות את השגת מטרת השיטה מחד‪ ,‬ומאידך‬
‫מונעות מהמאגר להגשים את ייעודיו כפי שהוגדרו בחוק‪ ,‬תוך החמרת סכנת ההתחזות‪ ,‬הגדלה ניכרת של‬
‫התשומות התפעוליות ופגיעה באזרח‪.‬‬
‫העבודה בשיטת ההקבצים תחייב הן ברשות הביומטרית‪ ,‬הן ברשות האוכלוסין וההגירה והן ברשויות החוק‬
‫תוספת תשומות משמעותית ביותר‪ .‬אך אין בתוספת זאת כדי לפתור את הבעיות שעלו מהשיטה וכפי שהוצג‪,‬‬
‫צפויים מקרים בהם לא ניתן יהיה לסיים את הטיפול‪ ,‬להגיע למסקנה מבוססת באשר ללגיטימיות הבקשות‬
‫וליישב חשדות להתחזות‪.‬‬
‫תהליכי העבודה הנדרשים בשיטת ההקבצים צפויים לפגוע בשירות הניתן לאזרחים; בהיבטי משך הטיפול‬
‫בבקשות‪ ,‬ירידה בדיוק התוצאות‪ ,‬תהליכים הפוגעים בפרטיות מבקשי התיעוד‪ ,‬והטרדת אזרחים המתחייבת‬
‫כתוצאה מחולשות מובנות בשיטה‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 52‬מתוך ‪57‬‬
‫‪ .9‬בחינת חלופת התשאול על ידי רשות האוכלוסין‬
‫במסגרת דרישות החוק‪ ,‬ובפרט בהתאם להגדרות הצו‪ ,‬בחינת כלל החלופות בוצעה תוך התבססות על נתונים‬
‫ביומטריים אשר התקבלו ברשות הביומטרית לאחר שמבקשי התיעוד עברו את תהליך התשאול בלשכות רשות‬
‫האוכלוסין‪ .‬כלומר‪ ,‬כלל הבדיקות בוצעו בפועל תוך שילוב חלופת התשאול כשלב מקדים‪.‬‬
‫עם זאת‪ ,‬בהתאם לדרישות הצו‪ ,‬בחנו רשות האוכלוסין והלשכה המרכזית לסטטיסטיקה את היכולת להתבסס על‬
‫התשאול‪ 12‬ככלי בלעדי לאימות זהות מבקש התי עוד‪ ,‬ללא העברת הנתונים הביומטריים למאגר וללא אחסונם‬
‫לצרכי השוואה‪ .‬בחינה זו אפשרה לרשות האוכלוסין לתת ניקוד וציונים לחלופת התשאול בהתאם לעשרת‬
‫הנושאים הנמדדים כנדרש בצו וכמפורט בפרק ‪ 1‬לעיל ואפשרה לבחון את השימוש בחלופה זו כתחליף לקיום‬
‫המאגר‪.‬‬
‫פירוט תהליך ביצוע בחינת חלופת התשאול ותוצאותיה מובאים במסמכים הרלוונטיים אשר מופצים על ידי רשות‬
‫האוכלוסין במסגרת סיכום תקופת המבחן‪.‬‬
‫מסיכום הבדיקות אשר בוצעו עולה כי חלופת התשאול לא מאפשרת לאמת את זהות מבקש התיעוד בצורה נאותה‬
‫ולא מאפשרת התמודדות עם תופעת גניבת הזהות וההתחזות בלשכה מול פקיד‪.‬‬
‫הנחת העבודה כפי שהוצגה על ידי מטה לוט"ר‪ ,‬על ידי משטרת ישראל‪ ,‬וכפי שמפורט במסמכי הרשות‬
‫הביומטרית‪ ,13‬הנה כי בעידן התיעוד החדש‪ ,‬בו יונפק רק תעוד ביומטרי חכם ויוצעו מגוון יישומים המבוססים על‬
‫הזדהות תוך שימוש בתיעוד זה‪ ,‬המוטיבציה של העבריינים וגורמי הטרור להשיג תעוד "לגיטימי" במרמה תוך‬
‫התחזות לאחר מול פקיד‪ ,‬תגדל עשרות מונים‪ .‬זאת מן הטעם הפשוט שהתיעוד הביומטרי החכם יהא תעוד‬
‫אטרקטיבי יותר אשר יאפשר מגוון פעולות וכן בשל העבודה כי תעוד זה לא יאפשר זיוף על ידי גורמים אלו והדרך‬
‫היחידה להשגת תעוד בזהות בדויה‪ ,‬תהיה על ידי התחזות מול פקיד‪.‬‬
‫‪12‬‬
‫חלופת התשאול נבחנה בשתי אפשרויות מימוש‪.4 :‬תשאול במתכונת הנוכחית כפי שמבוצע בלשכות ‪.9‬תשאול מכויל צו אשר משמעו‪-‬‬
‫תשאול המכויל לסף אשר קבע הצו לגבי יכולת איתור מתחזה‪.‬‬
‫‪13‬‬
‫מסמכי הנחיצות כמפורט בפרק המבוא – מסמך לתיאור תופעת ההרכשות הכפולות‪ ,‬עבודת המחקר של המרכז הבינתחומי‪ ,‬מסמכי‬
‫המשטרה בנושא‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 56‬מתוך ‪57‬‬
‫‪ .01‬מתן הניקוד והציונים לחלופות‬
‫בפרק זה מפורטים הציונים אשר ניתנו על ידי הרשות הביומטרית (ורשות האוכלוסין והמשטרה בסעיפים‬
‫הרלוונטיים אליהן)‪ ,‬לכל החלופות אשר נבדקו במהלך תקופת המבחן ע"פ הוראות הצו‪ .‬אופן מתן הציונים ודרכי‬
‫החישוב מפורטים בפרק ‪ 1‬לעיל ובהרחבה במסמך "אופן מתן הציונים לחלופות"‪.‬‬
‫בסעיף להלן יוצגו הציונים המשוקללים והסופיים לכל אחת מהחלופות‪ .‬בסעיף ‪ 40.4‬יוצגו הציונים אשר ניתנו‬
‫לחלופות השונות בחלוקה לנושאים הנמדדים‪.‬‬
‫להלן התוצאה הסופית של בחינת החלופות על פי התבחינים (ללא שילוב חלופת התשאול)‪:‬‬
‫יכולת איתור הרכשה כפולה‬
‫יכולת איתור הזהות הכפולה‬
‫דיוק המערכת‬
‫מורכבות תפעולית‬
‫מענה לרשות האוכלוסין‬
‫מענה למשטרה‬
‫רמת שירות לתושב‬
‫פרטיות‬
‫עלות תקציבית‬
‫אבטחת מידע‬
‫ציון סופי‬
‫‪1‬‬
‫שתי ט"א‬
‫‪11.70‬‬
‫‪8.40‬‬
‫‪16.00‬‬
‫‪0.50‬‬
‫‪6.02‬‬
‫‪4.25‬‬
‫‪4.80‬‬
‫‪7.82‬‬
‫‪1.21‬‬
‫‪15.56‬‬
‫‪76.25‬‬
‫‪2‬‬
‫ט"א אחת‬
‫‪0.00‬‬
‫‪8.40‬‬
‫‪11.20‬‬
‫‪0.22‬‬
‫‪4.20‬‬
‫‪3.55‬‬
‫‪3.84‬‬
‫‪7.82‬‬
‫‪1.21‬‬
‫‪15.56‬‬
‫‪55.99‬‬
‫‪3‬‬
‫פנים‬
‫פנים ‪ +‬ט"א‬
‫אחת‬
‫פנים ‪ +‬שתי ט"א‬
‫= מאגר מלא‬
‫‪0.00‬‬
‫‪9.71‬‬
‫‪0.00‬‬
‫‪0.60‬‬
‫‪4.50‬‬
‫‪1.80‬‬
‫‪3.36‬‬
‫‪7.65‬‬
‫‪1.21‬‬
‫‪15.56‬‬
‫‪44.38‬‬
‫‪11.60‬‬
‫‪12.00‬‬
‫‪16.00‬‬
‫‪1.50‬‬
‫‪6.02‬‬
‫‪3.90‬‬
‫‪4.80‬‬
‫‪5.36‬‬
‫‪1.21‬‬
‫‪15.56‬‬
‫‪77.94‬‬
‫‪11.72‬‬
‫‪12.00‬‬
‫‪16.00‬‬
‫‪2.50‬‬
‫‪6.02‬‬
‫‪5.00‬‬
‫‪4.80‬‬
‫‪5.36‬‬
‫‪1.21‬‬
‫‪15.56‬‬
‫‪80.16‬‬
‫‪6‬‬
‫תשאול נוכחי‬
‫‪0.00‬‬
‫‪0.00‬‬
‫‪0.00‬‬
‫‪2.25‬‬
‫‪2.66‬‬
‫‪0.00‬‬
‫‪6.00‬‬
‫‪14.03‬‬
‫‪2.80‬‬
‫‪6.12‬‬
‫‪33.86‬‬
‫‪7‬‬
‫תשאול מכויל לצו‬
‫‪11.40‬‬
‫‪0.00‬‬
‫‪0.00‬‬
‫‪2.13‬‬
‫‪2.66‬‬
‫‪0.00‬‬
‫‪6.00‬‬
‫‪13.26‬‬
‫‪1.87‬‬
‫‪6.12‬‬
‫‪43.43‬‬
‫‪8‬‬
‫הקבצים‬
‫‪11.72‬‬
‫‪3.62‬‬
‫‪8.00‬‬
‫‪0.00‬‬
‫‪1.38‬‬
‫‪1.35‬‬
‫‪1.80‬‬
‫‪7.14‬‬
‫‪1.01‬‬
‫‪15.56‬‬
‫‪51.57‬‬
‫‪9‬‬
‫תבניות‬
‫‪11.71‬‬
‫‪12.00‬‬
‫‪12.80‬‬
‫‪1.60‬‬
‫‪0.92‬‬
‫‪3.10‬‬
‫‪0.00‬‬
‫‪6.89‬‬
‫‪1.21‬‬
‫‪15.56‬‬
‫‪65.78‬‬
‫מס'‬
‫‪4‬‬
‫‪5‬‬
‫החלופה‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 57‬מתוך ‪57‬‬
‫‪90.0‬‬
‫‪80.0‬‬
‫‪77.9‬‬
‫‪76.3‬‬
‫‪80.2‬‬
‫‪65.8‬‬
‫‪70.0‬‬
‫‪60.0‬‬
‫‪56.0‬‬
‫‪51.6‬‬
‫‪44.4‬‬
‫‪50.0‬‬
‫‪43.4‬‬
‫‪33.9‬‬
‫‪40.0‬‬
‫‪30.0‬‬
‫‪20.0‬‬
‫‪10.0‬‬
‫‪0.0‬‬
‫שתי ט"א ט"א אחת‬
‫פנים‬
‫פנים ‪+‬‬
‫פנים ‪+‬‬
‫ט"א אחת שתי ט"א‬
‫תשאול‬
‫נוכחי‬
‫תשאול‬
‫מכויל לצו‬
‫גרף ציוני החלופות‬
‫להלן ציוני החלופות‪ ,‬ממוינות לפי סדר יורד‪:‬‬
‫החלופה‬
‫הציון‬
‫פנים ‪ +‬שתי ט"א‬
‫‪80.2‬‬
‫פנים ‪ +‬ט"א אחת‬
‫‪77.9‬‬
‫שתי ט"א‬
‫‪76.3‬‬
‫תבניות‬
‫‪65.8‬‬
‫ט"א אחת‬
‫‪56.0‬‬
‫הקבצים‬
‫‪51.6‬‬
‫פנים‬
‫‪44.4‬‬
‫תשאול מכויל לצו‬
‫‪43.4‬‬
‫תשאול נוכחי‬
‫‪33.9‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫הקבצים‬
‫תבניות‬
‫עמוד ‪ 52‬מתוך ‪57‬‬
‫‪90.0‬‬
‫‪80.2‬‬
‫‪80.0‬‬
‫‪77.9‬‬
‫‪76.3‬‬
‫‪65.8‬‬
‫‪70.0‬‬
‫‪56.0‬‬
‫‪60.0‬‬
‫‪51.6‬‬
‫‪44.4‬‬
‫‪50.0‬‬
‫‪43.4‬‬
‫‪33.9‬‬
‫‪40.0‬‬
‫‪30.0‬‬
‫‪20.0‬‬
‫‪10.0‬‬
‫‪0.0‬‬
‫פנים ‪ +‬פנים ‪ +‬שתי ט"א תבניות‬
‫שתי ט"א ט"א‬
‫אחת‬
‫ט"א‬
‫אחת‬
‫הקבצים‬
‫פנים‬
‫תשאול‬
‫מכויל‬
‫לצו‬
‫תשאול‬
‫נוכחי‬
‫גרף ציוני החלופות בסדר יורד‬
‫המסקנה הבולטת היא שהחלופות הכוללות את הכמות המרבית של נתונים ביומטריים הן‬
‫אלו שנותנות מענה ראוי ביותר לדרישות החוק‬
‫‪ .01.0‬פירוט הציונים עבור כל אחד מהתבחינים‪:‬‬
‫‪.01.0.0‬‬
‫יכולת איתור הרכשה כפולה‬
‫עבור תבחין זה החלופות הכוללות את מרב הנתונים הביומטריים וכן חלופת התשאול המכוילת‬
‫לדרישות הצו נותנות את הביצועים הטובים ביותר בצורה מובהקת‪.‬‬
‫חלופת הת שאול בתצורה הקיימת‪ ,‬חלופת פנים בלבד וחלופת טביעת אצבע בודדת אינן מאפשרות‬
‫עמידה בדרישות החוק‪ ,‬והציון שלהן הוא אפס‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 59‬מתוך ‪57‬‬
‫יכולת איתור הרכשה כפולה‬
‫‪11.71‬‬
‫‪11.72‬‬
‫‪11.72‬‬
‫‪11.40‬‬
‫‪11.70‬‬
‫‪11.60‬‬
‫‪15.00‬‬
‫‪10.00‬‬
‫‪5.00‬‬
‫‪0.00‬‬
‫‪0.00‬‬
‫‪3‬‬
‫‪2‬‬
‫‪0.00‬‬
‫‪9‬‬
‫‪.01.0.5‬‬
‫‪8‬‬
‫‪7‬‬
‫‪6‬‬
‫‪5‬‬
‫‪4‬‬
‫‪0.00‬‬
‫‪1‬‬
‫יכולת איתור הזהות הכפולה‬
‫עבור תבחין זה החלופות של מאגר מלא‪ ,‬מאגר תבניות או מאגר של תמונות פנים ‪ +‬טביעת אצבע‬
‫בודדת נותנות את הביצועים המיטביים‪.‬‬
‫חלופת פנים בלבד‪ ,‬טביעת אצבע בודדת ושתי טביעות אצבע נותנות ביצועים בינוניים‪ .‬חלופת‬
‫ההקבצים נותנת ציון נמוך‪ .‬חלופות שתי תצורות התשאול אינן עומדות בדרישות החוק בתבחין זה‪,‬‬
‫והציון שלהן הוא אפס‪.‬‬
‫יכולת איתור הזהות הכפולה‬
‫‪15.00‬‬
‫‪12.00‬‬
‫‪12.00‬‬
‫‪12.00‬‬
‫‪9.71‬‬
‫‪8.40‬‬
‫‪8.40‬‬
‫‪10.00‬‬
‫‪5.00‬‬
‫‪3.62‬‬
‫‪0.00‬‬
‫‪9‬‬
‫‪.01.0.3‬‬
‫‪8‬‬
‫‪7‬‬
‫‪0.00‬‬
‫‪0.00‬‬
‫‪6‬‬
‫‪5‬‬
‫‪4‬‬
‫‪3‬‬
‫‪2‬‬
‫‪1‬‬
‫מספר התראות השווא‬
‫החלופות הטובות ביותר עבור תבחין זה הן חלופת התבניות‪ ,‬המאגר המלא‪ ,‬חלופת שתי טביעות אצבע‬
‫וחלופת פנים ‪ +‬טביעת אצבע בודדת‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 21‬מתוך ‪57‬‬
‫מאגר של טביעת אצבע בודדת ומאגר בשיטת ההקבצים מספקים ביצועים בינוניים‪ .‬יתר החלופות‪,‬‬
‫נותנות ביצועים גרועים ומייצרות כמות גדולה ובלתי סבירה של התראות שווא‪.‬‬
‫דיוק המערכת ‪ -‬התראות שווא‬
‫‪16.00‬‬
‫‪16.00‬‬
‫‪16.00‬‬
‫‪15.00‬‬
‫‪11.20‬‬
‫‪10.00‬‬
‫‪12.80‬‬
‫‪5.00‬‬
‫‪8.00‬‬
‫‪0.00‬‬
‫‪0.00‬‬
‫‪9‬‬
‫‪.01.0.4‬‬
‫‪20.00‬‬
‫‪8‬‬
‫‪7‬‬
‫‪0.00‬‬
‫‪0.00‬‬
‫‪6‬‬
‫‪5‬‬
‫‪4‬‬
‫‪3‬‬
‫‪2‬‬
‫‪1‬‬
‫המורכבות התפעולית‬
‫ע בור תבחין זה חלופות התשאול (בשתי התצורות) וחלופת המאגר המלא נותנות את הביצועים‬
‫המיטביים (המורכבות הנמוכה ביותר)‪ .‬עבור חלופת התבניות וחלופת פנים וטביעת אצבע בודדת‬
‫המורכבות היא בינונית‪ .‬יתר החלופות נותנות ביצועים נמוכים‪ ,‬כאשר חלופת ההקבצים נותנת את‬
‫המורכבות הגבוהה ביותר‪.‬‬
‫מורכבות תפעולית‬
‫‪2.50‬‬
‫‪2.13‬‬
‫‪2.50‬‬
‫‪2.25‬‬
‫‪2.00‬‬
‫‪1.50‬‬
‫‪1.50‬‬
‫‪1.60‬‬
‫‪0.60‬‬
‫‪0.50‬‬
‫‪1.00‬‬
‫‪0.50‬‬
‫‪0.22‬‬
‫‪0.00‬‬
‫‪0.00‬‬
‫‪9‬‬
‫‪.01.0.2‬‬
‫‪8‬‬
‫‪7‬‬
‫‪6‬‬
‫‪5‬‬
‫‪4‬‬
‫‪3‬‬
‫‪2‬‬
‫‪1‬‬
‫מתן מענה לרשות האוכלוסין‬
‫עבור תבחין זה החלופות הכוללות של מאגר מלא‪ ,‬שתי טביעות אצבע או פנים וטביעת אצבע בודדת‬
‫נותנות ביצועים טובים‪ .‬חלופת טביעת אצבע בודדת וחלופת פנים נותנות ביצועים בינוניים‪-‬גבוהים‪,‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 21‬מתוך ‪57‬‬
‫חלופות התשאול נותנות ביצועים בינוניים‪-‬נמוכים וחלופת ההקבצים והתבניות נותנות את הביצועים‬
‫הגרועים ביותר‪.‬‬
‫מענה לרשות האוכלוסין‬
‫‪6.02‬‬
‫‪6.02‬‬
‫‪6.02‬‬
‫‪8.00‬‬
‫‪6.00‬‬
‫‪4.20‬‬
‫‪4.50‬‬
‫‪4.00‬‬
‫‪2.00‬‬
‫‪2.66‬‬
‫‪2.66‬‬
‫‪0.00‬‬
‫‪1.38‬‬
‫‪0.92‬‬
‫‪9‬‬
‫‪.01.0.6‬‬
‫‪6‬‬
‫‪7‬‬
‫‪8‬‬
‫‪5‬‬
‫‪2‬‬
‫‪3‬‬
‫‪4‬‬
‫‪1‬‬
‫מתן מענה למשטרת ישראל‬
‫הניקוד עבור תבחין זה ניתן ע"י משטרת ישראל‪ ,‬בהתאם לשיקוליה המקצועיים‪ .‬המאגר המלא מספק‬
‫מענה מיטבי למשטרת ישראל‪ .‬מאגר שיש בו טביעת אצבע בודדת‪ ,‬גם יחד עם תמונת פנים‪ ,‬או מאגר‬
‫של שתי טביעות אצבע מספקים מענה בינוני‪ .‬גם מאגר תבניות מספק מענה בינוני‪ ,‬אך נמוך יותר‬
‫מהיתר‪ .‬חלופות התשאול אינן מספקות מענה כלל‪ .‬חלופות ההקבצים או מאגר תמונות פנים בלבד‬
‫מספקות מענה חלש‪.‬‬
‫מענה למשטרה‬
‫‪5.00‬‬
‫‪4.25‬‬
‫‪3.90‬‬
‫‪3.55‬‬
‫‪5.00‬‬
‫‪4.00‬‬
‫‪3.00‬‬
‫‪3.10‬‬
‫‪1.80‬‬
‫‪2.00‬‬
‫‪1.00‬‬
‫‪1.35‬‬
‫‪0.00‬‬
‫‪9‬‬
‫‪8‬‬
‫‪7‬‬
‫‪0.00‬‬
‫‪0.00‬‬
‫‪6‬‬
‫‪5‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫‪4‬‬
‫‪3‬‬
‫‪2‬‬
‫‪1‬‬
‫עמוד ‪ 22‬מתוך ‪57‬‬
‫‪.01.0.2‬‬
‫רמת השירות לתושב‬
‫עבור תבחין זה חלופות התשאול מספקות מענה מיטבי‪ ,‬עקב קבלת אישור מידי להנפקת תיעוד והעדר‬
‫הצורך בטיפול נוסף כלשהו‪ .‬חלופת התבניות יוצרת את הפגיעה המרבית בשירות לתושב‪ ,‬כמו גם‬
‫חלופת ההקבצים‪ ,‬הטובה ממנה במקצת‪ .‬יתר החלופות מספקות מענה בינוני או בינוני‪-‬גבוה עבור‬
‫תבחין זה‪.‬‬
‫רמת שירות לתושב‬
‫‪6.00‬‬
‫‪6.00‬‬
‫‪4.80‬‬
‫‪4.80‬‬
‫‪4.80‬‬
‫‪3.36‬‬
‫‪6.00‬‬
‫‪3.84‬‬
‫‪4.00‬‬
‫‪2.00‬‬
‫‪0.00‬‬
‫‪1.80‬‬
‫‪0.00‬‬
‫‪9‬‬
‫‪.01.0.8‬‬
‫‪6‬‬
‫‪7‬‬
‫‪8‬‬
‫‪5‬‬
‫‪2‬‬
‫‪3‬‬
‫‪4‬‬
‫‪1‬‬
‫הגנה על הפרטיות‬
‫עבור תבחין זה ניתן לזהות שלוש קבוצות מובחנות היטב‪ .‬חלופות התשאול נותנות מענה מיטבי‬
‫לפרטיות‪ ,‬כאשר התשאול הנוכחי (שכאמור אינו עומד בדרישות הצו) הוא המיטבי ביותר‪ .‬החלופות‬
‫הכוללות כמות רבה יותר של מידע ביומטרי מקבלות ציון בינוני‪-‬נמוך ויתר החלופות מקבלות ציון‬
‫בינוני‪-‬גבוה‪.‬‬
‫פרטיות‬
‫‪13.26‬‬
‫‪15.00‬‬
‫‪14.03‬‬
‫‪7.65‬‬
‫‪6.89‬‬
‫‪5.36‬‬
‫‪7.14‬‬
‫‪7.82‬‬
‫‪7.82‬‬
‫‪5.36‬‬
‫‪10.00‬‬
‫‪5.00‬‬
‫‪0.00‬‬
‫‪9‬‬
‫‪8‬‬
‫‪7‬‬
‫‪6‬‬
‫‪5‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫‪4‬‬
‫‪3‬‬
‫‪2‬‬
‫‪1‬‬
‫עמוד ‪ 23‬מתוך ‪57‬‬
‫‪.01.0.9‬‬
‫עלויות תקציביות‬
‫חלופת התשאול בתצורה הנוכחית הינה החלופה המיטבית עבור תבחין זה‪ .‬יתר החלופות מקבלות‬
‫ציונים בינוניים וחלופת התשאול המכויל לדרישות הצו מקבלת ציון בינוני‪-‬גבוה‪.‬‬
‫עלות תקציבית‬
‫‪3.00‬‬
‫‪2.80‬‬
‫‪1.87‬‬
‫‪1.21‬‬
‫‪1.21‬‬
‫‪1.21‬‬
‫‪1.00‬‬
‫‪1.01‬‬
‫‪8‬‬
‫‪9‬‬
‫‪.01.0.01‬‬
‫‪1.21‬‬
‫‪1.21‬‬
‫‪1.21‬‬
‫‪2.00‬‬
‫‪0.00‬‬
‫‪5‬‬
‫‪6‬‬
‫‪7‬‬
‫‪2‬‬
‫‪3‬‬
‫‪4‬‬
‫‪1‬‬
‫מענה לדרישות אבטחת מידע‬
‫עבור תבחין זה מתקבלת הפרדה ברורה בין קבוצת חלופות התשאול לקבוצת יתר החלופות‪ ,‬הנובעת‬
‫מהיכולת לקיים מערכת מבודלת (”‪ )“air gap‬עבור קבוצת החלופות הביומטריות‪ ,‬ללא קשר לצורת‬
‫המימוש‪.‬‬
‫אבטחת מידע‬
‫‪15.56‬‬
‫‪15.56‬‬
‫‪15.56‬‬
‫‪15.56‬‬
‫‪15.56‬‬
‫‪15.56 15.56‬‬
‫‪20.00‬‬
‫‪15.00‬‬
‫‪10.00‬‬
‫‪6.12‬‬
‫‪6.12‬‬
‫‪7‬‬
‫‪6‬‬
‫‪5.00‬‬
‫‪0.00‬‬
‫‪9‬‬
‫‪8‬‬
‫‪5‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫‪4‬‬
‫‪3‬‬
‫‪2‬‬
‫‪1‬‬
‫עמוד ‪ 25‬מתוך ‪57‬‬
‫‪ .01.5‬תוצאות בדיקת החלופות במשולב עם ביצוע תהליך תשאול‬
‫בהתאם לדרישות הצו נבחנו החלופות גם בשילוב תוצאות תהליך התשאול‪ .‬שילוב של חלופות הכוללות מידע‬
‫ב יומטרי עם חלופת התשאול המיטבית מבין השתיים צפוי לשפר את יכולת איתור ההרכשה הכפולה אולם‬
‫מצד שני הוא צפוי לפגוע בדיוק המערכת ולייצר הרבה יותר התראות שווא‪ .‬זאת בשל הסיבה שתהליך תשאול‬
‫המיועד לתת מענה לאיתור מתחזים פוטנציאליים מייצר התראות שווא רבות‪ ,‬בלא קשר לתהליך המבוצע‬
‫במערכות הרשות הביומטרית‪ .‬נושאים נוספים המושפעים מהשילוב הם הפרטיות (עקב החיבור של יותר‬
‫מאגרי מידע)‪ ,‬העלות התקציבית ואבטחת המידע‪.‬‬
‫להלן התוצאה הסופית של בחינת החלופות הבדידות‪ ,‬משולבות עם תשאול‪ ,‬על פי אותם תבחינים‪:‬‬
‫יכולת איתור הרכשה כפולה‬
‫יכולת איתור הזהות הכפולה‬
‫דיוק המערכת‬
‫מורכבות תפעולית‬
‫מענה לרשות האוכלוסין‬
‫מענה למשטרה‬
‫רמת שירות לתושב‬
‫פרטיות‬
‫עלות תקציבית‬
‫אבטחת מידע‬
‫ציון משולב עם תשאול מכויל לצו‬
‫ציון משולב עם תשאול נוכחי‬
‫ציון סופי ללא שילוב‬
‫שתי טא‬
‫‪11.99‬‬
‫‪8.40‬‬
‫‪0.00‬‬
‫‪0.35‬‬
‫‪6.02‬‬
‫‪4.25‬‬
‫‪4.80‬‬
‫‪5.27‬‬
‫‪0.07‬‬
‫‪13.22‬‬
‫‪54.37‬‬
‫‪54.22‬‬
‫‪76.25‬‬
‫טא אחת‬
‫‪11.97‬‬
‫‪8.40‬‬
‫‪0.00‬‬
‫‪0.10‬‬
‫‪4.20‬‬
‫‪3.55‬‬
‫‪3.84‬‬
‫‪5.27‬‬
‫‪0.07‬‬
‫‪13.22‬‬
‫‪50.62‬‬
‫‪50.30‬‬
‫‪55.99‬‬
‫פנים‬
‫פנים ‪ +‬טא‬
‫אחת‬
‫פנים‪+‬שתי‬
‫טא=מאגר‬
‫מלא‬
‫‪11.94‬‬
‫‪9.71‬‬
‫‪0.00‬‬
‫‪0.60‬‬
‫‪4.50‬‬
‫‪1.80‬‬
‫‪3.36‬‬
‫‪5.10‬‬
‫‪0.07‬‬
‫‪13.22‬‬
‫‪50.30‬‬
‫‪38.36‬‬
‫‪44.38‬‬
‫‪11.98‬‬
‫‪12.00‬‬
‫‪0.00‬‬
‫‪0.75‬‬
‫‪6.02‬‬
‫‪3.90‬‬
‫‪4.80‬‬
‫‪4.08‬‬
‫‪0.07‬‬
‫‪13.22‬‬
‫‪56.82‬‬
‫‪56.63‬‬
‫‪77.94‬‬
‫‪11.99‬‬
‫‪12.00‬‬
‫‪0.00‬‬
‫‪1.75‬‬
‫‪6.02‬‬
‫‪5.00‬‬
‫‪4.80‬‬
‫‪4.08‬‬
‫‪0.07‬‬
‫‪13.22‬‬
‫‪58.93‬‬
‫‪58.79‬‬
‫‪80.16‬‬
‫הקבצים‬
‫‪11.99‬‬
‫‪3.62‬‬
‫‪0.00‬‬
‫‪0.00‬‬
‫‪1.38‬‬
‫‪1.35‬‬
‫‪1.80‬‬
‫‪5.87‬‬
‫‪0.07‬‬
‫‪13.22‬‬
‫‪39.29‬‬
‫‪39.15‬‬
‫‪51.57‬‬
‫תבניות‬
‫‪11.99‬‬
‫‪12.00‬‬
‫‪0.00‬‬
‫‪0.10‬‬
‫‪0.92‬‬
‫‪3.10‬‬
‫‪0.00‬‬
‫‪5.61‬‬
‫‪0.07‬‬
‫‪13.22‬‬
‫‪47.01‬‬
‫‪46.87‬‬
‫‪65.78‬‬
‫החלופה‬
‫מנתונים אלו ניתן לראות שרמת דיוק המערכת (שיעור התראות השווא) נפגעת בצורה קשה ומשפיעה על הציון‬
‫הכולל בשל משקלו הרב של הסעיף‪ ,‬יכולת האיתור השתפרה‪ ,‬הפרטיות השתנתה במעט לרעה והעלות‬
‫המצטברת (בהשוואה לעלות החלופה הזולה ביותר ללא קשר לשילוב) נפגעה אף היא‪ .‬אבטחת המידע נפגעה‬
‫במקצת‪ .‬כמו כן‪ ,‬ניתן לראות כי אין שינוי בסדר החלופות המובילות (מאגר מלא ופנים ‪ +‬טביעת אצבע בודדת)‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 22‬מתוך ‪57‬‬
‫‪ .00‬סיכום בחינת החלופות‬
‫האמור בפרק זה מסכם את תהליכי הבדיקות אשר בוצעו ברשות הביומטרית במשך כשנה וחצי לבחינת החלופות‬
‫כנדרש בצו‪ .‬המ שקלים לכל תבחין ונושא נבדק ניתנו על ידי הועדה המייעצת בראשות הממונה על היישומים‬
‫הביומטריים‪ .‬הציונים ניתנו על ידי הרשות הביומטרית‪ ,‬רשות האוכלוסין בנושאים הרלוונטיים אליה‪ ,‬משטרת‬
‫ישראל בנושאים הרלוונטיים אליה‪ ,‬ובהתייעצות עם הועדה המייעצת ואף עודכנו בהתאם להערות הועדה‪.‬‬
‫ניתוח הנתונים נערך עלי ידי מומחים בתחום הביומטריה וחקר הביצועים וכן על ידי המכון למחקרים צבאיים‬
‫ברפא"ל‪ ,‬וממנו עולות מספר נקודות מרכזיות‪:‬‬
‫‪ .00.0‬עמידה בדרישות החוק‬
‫קו הבסיס לבחינת החלופות ולהשוואה ביניהן‪ ,‬המהווה למעשה תנאי סף‪ ,‬הנו יכולתה של כל חלופה נבדקת‬
‫לאפשר עמידה בדרישות החוק הבסיסיות בנוגע לרמות הדיוק ולביצועים כפי שהינן מוגדרות בצו‪ ,‬דרישות‬
‫בנוגע ליכולת איתור המתחזים והיקף התראות השווא של המערכת‪ .‬חלופת השימוש באצבע אחת בלבד‪ ,‬או‬
‫חלופת השימוש בתמונת פנים בלבד‪ ,‬ללא שילוב ביומטריות נוספות‪ ,‬אינן מאפשרות עמידה בדרישות החוק‬
‫הבסיסיות‪.‬‬
‫‪ .00.5‬תמונות פנים‬
‫על מנת לשמר את היכולת לבצע תהליכי תפעול וטיפול בתוצאות ההשוואה אשר מעלה המערכת‪ ,‬ולשם שימור‬
‫מרשם אוכלוסין תקין וכפי שניתן לראות מן הנעשה בפרויקטים דומים בעולם‪ ,‬יש צורך מהותי בשמירה‬
‫והשוואת תמונות פנים במאגר‪.‬‬
‫‪ .00.3‬יכולת איתור הרכשה כפולה‬
‫החלופות אשר מאפשרות את רמת איתור ההרכשה הכפולה הטובה ביותר הנן חלופת מאגר מלא הכוללת שתי‬
‫ט"א ותמונת פנים‪ ,‬חלופת התבניות וחלופת שיטת ההקבצים‪.‬‬
‫‪ .00.4‬איתור זהות כפולה‬
‫החלופות אשר מאפשרות את איתור הזהות הכפולה ברמה הגבוהה ביותר הנן חלופות ט"א אחת בשילוב‬
‫תמונת פנים‪ ,‬חלופת תבניות‪ ,‬וחלופת מאגר מלא הכוללת שתי ט"א ותמונת פנים‪.‬‬
‫‪ .00.2‬דיוק‬
‫החלופות אשר מאפשרות פעילות תוך שמירת רף מינימלי של שגיאות ומינימום התראות שווא הנן חלופות‬
‫ט"א אחת בשילוב תמונת פנים וחלופת מאגר מלא הכוללת שתי ט"א ותמונת פנים‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 26‬מתוך ‪57‬‬
‫‪ .44.6‬שימוש בטביעות אצבע בלבד‬
‫חלופת שתי טביעות אצבע בלבד ‪ -‬חלופת שתי אצבעות עומדת בדרישות החוק‪ ,‬הן לגבי התראות שווא והן‬
‫לגבי יכולת איתור מתחזה אך יישומה המעשי של חלופה זו התברר כלוקה בחסר וזאת בשל העובדה כי חלופה‬
‫זו לא תאפשר מניעת התחזות ותמיכה תפעולית שוטפת בשל העובדה שעבור כ‪ 4.2%-‬מבקשות החידוש לא‬
‫ניתן להשוות אף אחת משתי האצבעות ברשומת חידוש לעומת רשומה קודמת‪ ,‬בשל שילוב של אצבעות‬
‫חסרות‪ ,‬דגימה באיכות נמוכה‪ ,‬ו‪/‬או דגימת אצבע שונה‪ .‬בנוסף‪ ,‬עבור כ‪ 1%-‬מהאוכלוסייה לא ניתן להשתמש‬
‫בבקשות חידוש באחת מבין אצבע ימין או אצבע שמאל להשוואה מול הרשומה הקודמת‪ .‬במקרים אלו‬
‫ובמקרים נוספים דומים‪ ,‬איתור הכפילים אל מול הרשומה הקודמת ושאר המאגר יתבצע למעשה רק על בסיס‬
‫אצבע אחת‪ ,‬חלופה שאינה עומדת בדרישות החוק‪ .‬עבור כ‪ 0.9%-‬מהאוכלוסייה‪ ,‬לא ניתן להרכיש טביעת אצבע‬
‫תקינה כלשהי‪ .‬עבור כ‪ 0.2%-‬נוספים‪ ,‬ניתן להרכיש רק טביעת אצבע אחת תקינה‪ .‬לגבי כל קבוצות אוכלוסייה‬
‫אלו לא ניתן לממש בדיקות זיהוי או אימות זהות יעילות‪.‬‬
‫‪ .44.2‬שימוש בטביעת אצבע בודדת ותמונת פנים‬
‫חלופת אצבע ‪ +‬פנים מעלה באופן משמעותי את כמות התראות השווא‪ ,‬בפרט בשל העובדה המתוארת לעיל‬
‫לגבי הקשיים הקיימים בהרכשות תקינות של טביעות אצבע‪ .‬שימוש באצבע אחת בלבד מעלה במספר סדרי‬
‫גודל את הסבירות למצבים בהם לא תתקבל טביעת אצבע כלל וההשוואה תסתמך על תמונות פנים בלבד‪ ,‬אשר‬
‫מספקות רמת דיוק שאינה עומדת בדרישות החוק‪.‬‬
‫‪ .00.8‬פרטיות‬
‫החלופה אשר מאפשרת את הרמה הגבוהה ביותר של הגנה על הפרטיות הינן חלופות התשאול‪ ,‬אשר לא‬
‫כוללות שמירת תמונות במאגר‪.‬‬
‫‪ .44.2‬חלופת התשאול‬
‫חלופת התשאול לא מאפשרת מתן מענה הולם לבעיית גניבת הזהות וההתחזות כפי שמובהר במסמך זה וכפי‬
‫שמובהר במסמכי רשות האוכלוסין‪ ,‬לאור הבדיקות שבוצעו על ידה בשיתוף הלשכה המרכזית לסטטיסטיקה‪.‬‬
‫‪ .44.40‬שימוש בתבניות‬
‫חלופת שיטת התבניות מאפשרת מניעת הרכשה כפולה ואיתור מתחזה ברמה גבוהה‪ ,‬אך יישומה של שיטה זו‬
‫אינו מאפשר ניהול תקין של פרויקט תעוד בקנה מידה לאומי בשל חוסר היכולת לבצע עבודת השוואה ידנית‬
‫לאימות התראות המערכת‪ .‬המשמעות היא ריבוי בלתי סביר של התראות שווא ומניעת יכולת תפעול תקין של‬
‫הנפקת תעוד לתושבי המדינה‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬
‫עמוד ‪ 27‬מתוך ‪57‬‬
‫‪ .44.44‬אבטחת מידע‬
‫מבחינת אבטחת המידע ניתן להבחין כי בפועל אין הבדל משמעותי בין החלופות‪ .‬חליפת האבטחה אשר‬
‫תסופק תינתן בכל מקרה ותתבסס על מעגלי אבטחה כנדרש‪ ,‬ללא תלות בחלופה אשר תיושם בפועל‪.‬‬
‫‪ .44.49‬שיטת ההקבצים‬
‫חלופת שיטת ההקבצים לא מספקת מענה הולם לדרישות החוק במספר סעיפים‪ .‬בנוסף לכך‪ ,‬בתחום ההגנה‬
‫על הפרטיות שהיווה את הבסיס להצעת השיטה‪ ,‬יישומה יכתיב קיום תהליכים אשר ידרשו מהרשות הוצאת‬
‫מאות ואף אלפי מספרים מזהים לרשות האוכלוסין במסגרת תהליכי ההנפקה ובהמשך אף למשטרה במסגרת‬
‫תשאול נקודתי שיבוצע‪ .‬במתן מענה לשאילתת האימות וכן לשאילתת הזיהוי קיימות מגבלות לא פשוטות‬
‫וביצועי השיטה ירודים יחסית לביצועי החלופות הכוללות מגוון נתונים ביומטריים וקישור למספר המזהה‪.‬‬
‫‪ .44.41‬כמות המידע הנדרשת‬
‫אחת הנקודות המרכזיות אשר עולה מבחינת החלופות‪ ,‬הינה כי ככל שיבוצע שימוש במגוון רחב יותר של‬
‫נתונים ביומטריים תשתפר יכולת איתור המתחזים כשבמקביל תרד למינימום כמות התראות השווא‪.‬‬
‫‪ -‬בלמ"ס ‪-‬‬