מערך הסייבר הלאומי קורא לארגונים להפסיק את השימוש בתאריך הנפקת תעודת הזהות כאמצעי לאימות זהות במערכות מקוונות, ולעבור לשיטות זיהוי ואימות מתקדמות ובטוחות יותר.
עמדת המערך היא כי מדובר בפרט סטטי, גלוי ונגיש שאינו עומד בתקני אבטחת מידע בינלאומיים ומהווה נקודת תורפה חמורה במערכות הזדהות דיגיטליות.
ההמלצה מבוססת על חוות דעת מקצועית שגובשה ביחידה להזדהות ויישומים ביומטריים במערך, בהתאם למדיניות הלאומית להזדהות בטוחה ובהתאם לתקנים בינלאומיים המחייבים שימוש באמצעים מבוססי הצפנה, זיהוי ביומטרי או קוד משתנה - במקום נתונים שהפכו כיום לגלויים.
בשנים האחרונות יותר ויותר אנשים מצלמים את תעודת הזהות שלהם ומשתפים אותה עם גורמים שונים, למשל בעת קבלת משלוחים, השכרת דירה או קבלת שירותים. בנוסף, יש מקרים רבים של דליפת מידע כתוצאה ממתקפות סייבר או הגדרות שגויות. מידע זה, יחד עם מספר תעודת הזהות, עלול לשמש האקרים ונוכלים לגניבת זהות, להתחזות בכניסה למערכות הזדהות ולמתקפות פישינג (דיוג). בשנים האחרונות נרשמה עלייה חדה במקרי הונאה שהתבססו על פרטי תעודות זהות שנגנבו או דלפו לרשת.
"רבים מהציבור אינם מודעים מספיק לכך שצילום תעודת הזהות שהועבר כבדרך אגב למשל לשליח, עלול להפוך להביא לזיוף זהות דיגיטלית, להתחזות ואף לגניבה", אומרת נעמה בן צבי, ראש היחידה להזדהות ויישומים ביומטריים במערך. "שימוש בפרטים סטטיים וגלויים במערכות הזדהות כבר אינו עומד בדרישות התקופה. יש לעבור לשיטות מתקדמות שיכולות להבחין בין משתמש לגיטימי לבין מתחזה בצורה מהימנה".
ההמלצה הועברה בימים האחרונים גם למשרדי ממשלה, שנדרשו לבחון מחדש מערכות שירות מקוונות שבהן נדרש תאריך ההנפקה כחלק מתהליך הזדהות.
אלו הן המלצות מערך הסייבר הלאומי לאימות זהות בצורה מאובטחת:
1. אימות באמצעות אפליקציה. אפליקציות אימות המייצרות קוד חד-פעמי בזמן אמת, או טכנולוגיות כמו Passkey מאפשרות התחברות ללא סיסמה באמצעות קוד ייחודי למכשיר.
2. אימות בטכנולוגיות מתקדמות. שימוש בחתימה דיגיטלית, זיהוי ביומטרי (פנים, טביעת אצבע) או הצפנה מתקדמת להגנה על המידע.
3. לציבור הרחב. הימנעו משיתוף מידע רגיש, והעדיפו שיטות אימות המבוססות על מידע שאינו חשוף לציבור.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו