הוועדה המשותפת לעניין המאגר הביומטרי דחתה (יום ג', 29.10.14) את אישור התקנות המקלות באבטחת המאגר הביומטרי. ההצבעה על התקנות נדחתה לאחר שח"כ
תמר זנדברג חשפה במהלך הדיון כי הרשות לא התייעצה עם שרת המשפטים, על שינוי תקנה 14 לחוק, במסגרתו ביקשה הרשות להקל על אבטחת המידע של המאגר.
עוד החליטה הוועדה כי בתקנות שיובאו לאישור בעתיד יושמט הסעיף המאפשר לקשישים, מתנדבים ובנות שירות לעסוק בלקיחת דגימות מידע ביומטרי וחלוקת תעודות ביומטריות.
לדברי ח"כ זנדברג אמרה כי "רשות האוכלוסין באה לדיון וטענה בפנינו כי השינוי בסעיף אבטחת המידע הוא טכני בלבד ומטרתו רק להקל ולייעל את התהליך והנה גילינו שבחוות דעת הייעוץ המשפטי של הוועדה נכתב כי כל שינוי בסעיף זה מצריך התייעצות עם שרת המשפטים... המהלך כולו מעלה חשש כי השינוי אינו טכני אלא בעל משמעות והקלה באבטחת המידע. דווקא בתקופת הפיילוט חשוב להקפיד ולא להקל בנושא זה".
פערי אבטחה בשמירה על המאגר הביומטרי
עו"ד יהונתן קלינגר, היועמ"ש לתנועה לזכויות דיגיטליות אמר בתום הדיון כי: "חברות הכנסת זנדברג ויחימוביץ' שאלו היום בדיון את השאלות הקשות והראו כי בפועל כי הרשות הביומטרית פועלת להפחתת רף אבטחת המאגר הביומטרי. לשמחתינו, חברות הכנסת עצרו את התהליך שהיה אמור לאפשר לבנות שירות לאומי ולמתנדבים לגשת למידע הביומטרי שלנו, והצליחו לעצור את צמצום הפער האווירי. אנו קוראים לשאר חברי הכנסת לעצור את הפארסה של המאגר הביומטרי ולאפשר לאזרחי ישראל לקבל תעודות זהות חכמות מבלי להיכנס למאגר הביומטרי. העובדה ש- 70% ממבקשי תעודות הזהות מסרבים להיכנס למאגר היא כרטיס אדום ואנו קוראים להסיק את המסקנות מכך ולבטל את המאגר מייד".
התנועה לזכויות דיגיטליות פנתה לחברי הוועדה המשותפת לעניין המאגר הביומטרי בבקשה כי לא יאשרו את התקנות אשר פוגעות באבטחת המאגר. במכתב עליו חתומים היועמ"ש לתנועה עו"ד יהונתן קלינגר וצבי דביר כתבו השניים כי: "בתיקון תקנה 14 יצומצם "הפער האווירי" (Air gap) אשר עומד במרכזו של אבטחת המאגר הביומטרי.
העברת הנתונים אל מחוץ למאגר תעשה באופן אוטומטי באמצעות מחשב המוצב בסמוך למחשב המחובר למאגר, דבר אשר יקל על פורץ פוטנציאלי לנצל אפיק תקיפה זה.
בנוסף, הערוץ הטלפוני מטרתו לוודא שמי שלכאורה ביקש את המידע אכן ביקש את המידע. אם פורץ מצליח להתחבר למחשב של פקיד רשות האוכלוסין או אל המערכת דרכה נשלחות בקשות האישור, הוא יכול להעביר שאילתה שתעובד אוטומטית ללא כל בקרה נוספת. כל עוד יש חובת דיווח טלפוני, הניסיון יתגלה מיידית. ביטול חובת הדיווח הטלפוני תמנע את גילויו של הפורץ.
בהוספת תקנה 16 יותר לקשישים, מתנדבים שירות לאומי ואנשים שאינם עובדי שירות המדינה, לחלק את התיעוד הביומטרי ולקחת דגימות מידע ביומטרי.
הורדת הרף המקצועי של הפקידים המטפלים בחלוקת התיעוד הביומטרי ייצור סדרה של פערי אבטחה אשר גם הם יקלו על פורצים לעשות שימוש לרעה בתיעוד ובמאגר. לדוגמה, יקל על אדם להתחזות למתנדב/ת או לבעל תפקיד אחר שיש לו סמכות ליטול נתונים ביומטריים".