אי-ביטחון מידע: מדו"ח מבקר המדינה שפורסם היום (שלישי) עולים ליקויים רבים בתחומים כגון ביטחון, תחבורה, חינוך, מים ועוד. מהדו"ח עולה כי קיימים פערים משמעותיים במערכות המידע הצה"ליות שבהן גם אמצעי זיהוי שמטרתם זיהוי חללים. מדובר במערכות הכוללות בתוכן מאגרי מידע של מאות אלפי טביעות אצבע וכף יד, מאגר תצלומי שיניים ואוסף כתמי דם של כל מי שהתגייס אי פעם לצה"ל.
המידע הביומטרי בצה"ל נאסף ממתגייסים, משמש לזיהוי חללים ונשמר בשלושה מאגרים של אמצעי זיהוי (מאגר טביעות אצבע וכף היד, מאגר תצלומי שיניים ואוסף כתמי דם). בתהליך הגיוס בשרשרת החיול נוטלים מכל חייל המתגייס לצה"ל את אמצעי הזיהוי האלו. תהליך זיהוי החלל מתבצע באמצעות השוואת הנתונים הביומטריים שניטלו מהמתגייס לאלו שניטלו מהחלל.
בצה"ל קיימות שלוש מערכות מידע מרכזיות לניהול תהליך הזיהוי: שתי מערכות המנהלות את מאגרי אמצעי הזיהוי הוגדרו על ידי צה"ל בסיווג סודי, ומערכת שלישית המנהלת ומתעדת את הטיפול בחלל ובכלל זה את תהליך זיהוי החלל. המשתמשים העיקריים במערכות הם יחידת מיטב (בתהליך ההרכשה) וענף זיהוי וקבורה (זו"ק) ברבנות הצבאית (בתהליך זיהוי החלל).
צה"ל לא ערוך
לכשנדרש לכך, על צה"ל לפעול בהתאם למדיניות ההגנה בתחום הסייבר, ובהתאם לחוק הגנת הפרטיות. לפי תקנות אבטחת מידע, מאגר מידע המכיל מידע ביומטרי שיש בו יותר מ-100 אלף רשומות, נדרש לעמוד ברמת אבטחה גבוהה. התקנות מפרטות כיצד יש לשמור על רמת האבטחה שנקבעה למאגר.
למרות כל אלו, על פי דו"ח מבקר המדינה, חלפו 7 שנים מאז עודכנה מדיניות ההגנה של צה"ל בנודע למערכות הללו, ולא פחות מ-26 שנים מאז עודכנו פקודות מטכ"ל בנושא הגנת הפרטיות. כמו כן, הצבא לא ערך סקרי סיכונים ומבדקי חדירה למערכות הללו מאז הקמתן ב-2005-2006.
עוד עולה מהדו"ח כי במערכות חסרות 0.5% מטביעות האצבע, 6.6% מתצלומי הרנטגן, 32.8% מתצלומי חלל הפה ו-3.8% מדגימות הדנ"א. כמו כן, ישנם חוסרים של מאות טביעות אצבע של חיילים שהתגייסו בשנים 2016 ו-2017 ושל כמה אלפי תצלומי שיניים עבור אנשי קבע שהתגייסו בשנים 1994 – 2004.
המבקר העיר עוד כי צה"ל לא גיבש נוהל אבטחה פיזית ייעודי למערכות אמצעי הזיהוי כנדרש בתקנה 4 לתקנות אבטחת מידע, וזאת למרות ששמור בהן מידע ביומטרי אישי ורגיש החייב ברמת אבטחה גבוהה. יתר על כן, נמצאו פערים ברמת ההגנה הלוגית, קרי הזדהות, הרשאות גישה, בקרה על ביצוע פעולות לא מורשות, מנגנוני הצפנה ועוד.
"מצב זה יוצר סיכון לפגיעה באמינות, בזמינות ובסודיות של המידע שבמאגרים", קבע המבקר והוסיף כי מערכות המידע אינן מנוהלות ביעילות ולפי מתודולוגיה סדורה לניהול פרויקטי מערכות מידע. עקב כך יש חשש שמערכות אמצעי הזיהוי לא יוכלו למלא את ייעודן.
כמו כן, נמצא כי מנהל הפרויקט בצה"ל לא הכין תוכנית עבודה למערכות אמצעי הזיהוי ולא וידא שהקמתן וניהולן של המערכות עומדים ביעדים המקובלים של תכולה, לוחות זמנים, עלויות ושביעות רצון הלקוח. "על ראש אכ"א לפעול לתיקון הליקויים ולבחון את ההמלצות שבדו"ח זה", קבע המבקר.
מדובר צה"ל נמסר בתגובה: "צה"ל מודה למבקר המדינה על ביקורת זו ומתייחס בכובד ראש לממצאיה. מרבית ההמלצות בנושא ניהול ואבטחת המידע הביומטרי התקבלו ונבחנו בצה״ל והגופים הרלוונטיים החלו ביישומן. מאגר המידע הצבאי והמערכות המצוינות בדו"ח נמצאים בתוך הרשת הצה"לית המסווגת ואינם נגישים לגורמים חיצוניים או חשופים לגורמים שאינם מורשים לכך בתוך צה"ל.
"עם קבלת ממצאי הדו"ח, הותנעו מספר תהליכים לשיפור אבטחת מאגר המידע הביומטרי והשימוש בו. כחלק מהתהליכים, הסתיים פיתוח תשתית התוכנה לחיבור מצלמות חדשות אשר נרכשו לטובת שיפור איכות הרכשת הזיהוי בשרשרת החיול. בחלק ממחזורי הגיוס הקודמים השנה, פעלה תחנה ניידת ובה עמדות הרכשה שהושאלו משרשרת החיול, זאת תמשיך לפעול בהתאם לצורך.
"בצה״ל קיימים מנגנונים למניעת כניסת גורמים בלתי מורשים בצה"ל למערכות אלה, לצד זאת, נבחן שדרוג תשתיות אלו לטובת שיפור נוסף באבטחת המידע. מסמך מדיניות ההגנה בסייבר נמצא בימים אלו בתהליך תיקוף ועדכון. המלצת המבקר לעדכנו באופן עתי כל מספר שנים התקבלה והפקודה תתוקף אחת למספר שנים. תכנית העבודה לשנת 2023 עתידה לכלול אלמנטים לשיפור עמידת מערכות המידע ומאגר המידע בדרישות אבטחת המידע והגנת הפרטיות העדכניות".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו