מערך הסייבר הלאומי: להפסיק להשתמש בתאריך הנפקת תעודת הזהות כאמצעי אימות במערכות ולעבור לשיטות זיהוי מתקדמות

מערך הסייבר הלאומי קורא לארגונים להפסיק את השימוש בתאריך הנפקת תעודת הזהות כאמצעי לאימות זהות במערכות מקוונות, ולעבור לשיטות זיהוי מתקדמות ובטוחות יותר. עמדת המערך היא כי מדובר בפרט סטטי, גלוי ונגיש שאינו עומד בתקני אבטחת מידע בין-לאומיים ומהווה נקודת תורפה חמורה במערכות הזדהות דיגיטליות.

ההמלצה מבוססת על חוות דעת מקצועית שגובשה ביחידה להזדהות ויישומים ביומטריים במערך, בהתאם למדיניות הלאומית להזדהות בטוחה ובסנכרון עם תקנים בין-לאומיים המחייבים שימוש באמצעים מבוססי הצפנה, זיהוי ביומטרי או קוד משתנה במקום נתונים גלויים.

בשנים האחרונות יותר ויותר אנשים מצלמים את תעודת הזהות שלהם ומשתפים אותה עם גורמים שונים, למשל בעת קבלת משלוחים, השכרת דירה או קבלת שירותים, לצד מקרים רבים של דלף מידע כתוצאה ממתקפות סייבר או הגדרות שגויות. מידע זה, יחד עם מספר תעודת הזהות, עלול לשמש האקרים ונוכלים לגניבת זהות ולהתחזות בכניסה למערכות הזדהות ולמתקפות דיוג. בשנים האחרונות נרשמה עלייה חדה במקרי הונאה שהתבססו על פרטי תעודות זהות שנגנבו או דלפו לרשת.

"רוב הציבור אינו מודע לכך שצילום תעודת הזהות שהועבר כבדרך אגב למשל לשליח, עלול להפוך למפתח לזיוף זהות דיגיטלית", אומרת נעמה בן צבי, ראש היחידה להזדהות ויישומים ביומטריים במערך. "שימוש בפרטים סטטיים וגלויים כבר אינו עומד בדרישות התקופה. יש לעבור לשיטות מתקדמות שיכולות להבחין באמת בין משתמש לגיטימי לבין מתחזה באופן מהימן."

בנוסף, ההמלצה הועברה בימים האחרונים גם למשרדי ממשלה, שנדרשו לבחון מחדש מערכות שירות מקוונות בהן נדרש תאריך ההנפקה כחלק מהזדהות מול הציבור.
המלצות המערך לאימות זהות מאובטח יותר: 

1. אימות באמצעות אפליקציה – אפליקציות אימות המייצרות קוד חד-פעמי בזמן אמת, או טכנולוגיות כמו Passkey  מאפשרות התחברות ללא סיסמה באמצעות קוד ייחודי למכשיר.

2. אימות בטכנולוגיות מתקדמות – שימוש בחתימה דיגיטלית, זיהוי ביומטרי (פנים, טביעת אצבע) או הצפנה מתקדמת להגנה על המידע.

3. לציבור הרחב – הימנעו משיתוף מידע רגיש, והעדיפו שיטות אימות המבוססות על מידע שאינו חשוף לציבור.