X

דו"ח המבקר: נמצאו ליקויים בהגנת הפרטיות במערכות במרכז לגביית קנסות שברשות האכיפה והגבייה

על אף שהמערכת התפעולית של המרכז לגביית קנסות מוגדרת כמאגר שמחייב רמת אבטחה גבוהה, נמצאו ליקויים בתחום הגנת הפרטיות ואבטחת המידע • ההרשאות של 14 עובדי מוקד לשעבר למערכת התפעולית לא הוסרו לאחר סיום עבודתם • רשות האכיפה והגבייה: "המערכות נמצאות ברמת הגנה גבוהה"

היאלי יעקבי-הנדלסמן
, עודכן
0השמעה
(סייבר - אילוסטרציה). צילום: רויטרס

מאגר המידע של המרכז לגביית קנסות (מג"ק) כולל מידע רגיש בנוגע לכ-3 מיליון חייבים וסכומי החוב שבטיפולו, ומסתכמים נכון למועד הביקורת בכ-6.8 מיליארד שקלים. מדו"ח מבקר המדינה, של המבקר מתניהו אנגלמן עולה כי על אף שהמערכת התפעולית של המרכז לגביית קנסות מוגדרת כמאגר שמחייב רמת אבטחה גבוהה, נמצאו ליקויים בתחום הגנת הפרטיות ואבטחת המידע במערכות המידע במרכז לגביית קנסות שברשות האכיפה והגבייה.

כך, על אף שהמג"ק הגדיר בשנת 2016 רשימה של 13 אירועים עסקיים חריגים הדורשים בחינה פרטנית אם היו מוצדקים, בספטמבר 2022 תועדו 1,391 אירועים חריגים, מהם נבדקו 99 (7%) אירועים בלבד. נוסף על כך, המג"ק לא עדכן את רשימת האירועים החריגים במערכת משנת 2016.

ממצא נוסף הוא שההרשאות של 14 עובדי מוקד לשעבר למערכת התפעולית של המג"ק לא הוסרו לאחר סיום עבודתם בטווח של חודש עד 13 חודשים לפני מועד הביקורת. בנוסף, המג"ק לא פעל לחסימת כרטיסים חכמים של עובדים שסיימו את עבודתם במוקד, ובפועל צוות המוקד משתמש בכרטיסים ובסיסמאות של עובדים אלה במקרים שונים.

המבקר אנגלמן, צילום: אורן בן חקון

עוד עולה כי מתוך 44 הרשאות למשתמשים שנפתחו במערכת הממוחשבת הייעודית לכך (מערכת ב') בשנת 2021, 23 הרשאות (52%) נפתחו בלי שהתבקש עבורן אישור ממינהלן ההרשאות, כנדרש בנוהל המג"ק. בנוסף, 21% מעובדי מוקד המידע הטלפוני, קרי 20 מתוך 94, השתמשו במערכת ללא כרטיס חכם המשויך להם.

המרכז לגביית קנסות, אגרות והוצאות ברשות האכיפה והגבייה (המג"ק) הוא הגוף שתפקידו לגבות חובות לטובתם של אוצר המדינה וגופים ציבוריים וכן לגבות פיצויים שנפסקו לנפגעי עבירה בהליכים פליליים. לצורך גביית החובות הוענקו למג"ק סמכויות גבייה וביניהן דרישת מידע על החייב מגוף ציבורי. על מנת לפעול לגביית החובות ביעילות מנוהלת עבודת המג"ק באמצעות מערכת ממוחשבת המכילה מאגר מידע רחב היקף בנוגע לכ-3 מיליון חייבים, וכוללת בין היתר שמות, מספרי זהות, כתובות מגורים, מספרי טלפון, פרטים על נכסים שברשות החייבים, מידע מהמוסד לביטוח לאומי, מאגף הרישוי שבמשרד התחבורה ומרשויות אחרות.

לא בוצעה בקרה

בכל הנוגע להגנת הפרטיות ולאבטחת מידע נדרש המג"ק לפעול בהתאם להוראות הדין, ובהן חוק הגנת הפרטיות, התשמ"א-1981 והתקנות על פיו, להחלטות ממשלה ולנהלים והנחיות הגופים המסדרים את הנושא, ובהם היחידה להגנת הסייבר בממשלה (להלן - יה"ב), המהווה גורם מנחה מקצועית בתחום הגנת הסייבר.

החל ביולי 2020, מועד תחילת עבודת המג"ק באמצעות מערכת ב', ועד מועד סיום הביקורת באוקטובר 2022, לא בוצעה בקרה על ההרשאות שנפתחו במערכת, וכן לא נבדק אם יש צורך בהסרת הרשאות, נוכח אי-התאמה למהות התפקיד או עקב מעבר תפקיד.

כל עובדי המג"ק וכן עובדי מוקד המידע הטלפוני שהם עובדים המועסקים במיקור חוץ, הם בעלי גישה למלוא המידע במערכת התפעולית של המג"ק על אודות מיליוני החייבים שנתוניהם שמורים במערכת, בלי שנבחן אם היקף הגישה למידע נחוץ על פי הגדרת תפקידם.

סייבר (אילוסטרציה), צילום: GettyImages

המג"ק אינו מתעד את הגישה של משתמשי המערכת במג"ק למידע הרב והרגיש שקיים בה ואינו מבצע בקרה עליה. במצב דברים זה, גם אם קיימות חריגות של משתמשים, אין אפשרות לאתרן ולהפסיקן. הרשאות למערכת ג', המאפשרת להפיק דוחות רוחביים על פעילות המג"ק ומידע פרטני על תיקים, ניתנו לעובדים שאופי תפקידם אינו מצריך גישה למידע שבמערכת. ואכן, קרוב ל-40% מבעלי ההרשאות למערכת ג' (20 מתוך 52) לא השתמשו במערכת ג' לכל הפחות החל משנת 2021.

סכנת חדירה

במבדק חדירות שביצעה יה"ב (היחידה להגנת הסייבר בממשלה)נמצאו ליקויים ברמת התשתית שיכולים להוות סיכון משמעותי אם תתרחש חדירה לרשת הארגון. בביקורת נמצא כי על אף ממצאי מבדק החדירות, רשות האכיפה והגבייה לא הטמיעה במערכותיה, ובכלל זה
במערכת התפעולית של המג"ק, פיתרון אבטחתי טכנולוגי ייעודי מסוים.

יש לציין כי בחודשים ספטמבר 2021 - אוקטובר 2022 בדק משרד מבקר המדינה היבטים בתחום ההגנה על הפרטיות ואבטחת המידע במערכות המג"ק. בביקורת נבדקו אופן תיעוד הגישה, השימוש במערכות המידע במג"ק והשינויים בהן, מערך ההרשאות למערכות המידע במג"ק וההתמודדות עם סכנת חדירה למערכות המידע. בדיקות השלמה בוצעו בחודשים ינואר ופברואר 2023. הביקורת נעשתה במרכז לגביית קנסות שברשות האכיפה והגבייה ובמטה הרשות. בדיקות השלמה נערכו ברשות להגנת הפרטיות במשרד המשפטים וביה"ב, במערך הדיגיטל הלאומי.

המבקר אנגלמן ממליץ כי רשות אכיפה והגבייה והמג"ק יפעלו בהקדם על פי הנחיות הגופים הרלוונטיים למניעת דליפת מידע מהארגון ולשמירה על שלמותו, במטרה למנוע פגיעה בשלמות המידע וברציפות התפקודית של המג"ק במתן שירותים, למנוע דליפה של נתונים ומידע ממאגר המידע ולמנוע את חשיפתם לגורמים שאינם מורשים לכך.

רשות האכיפה והגבייה: ״ראשית יובהר, כי מרבית הנושאים שהוצגו בדו"ח המבקר הובאו בפניו בידי רשות האכיפה והגבייה, הללו דווחו כמצויים בשלבים שונים של תהליכי טיפול ובהתאם גובשה והוצגה בפניו תכנית מקצועית סדורה ומקיפה לתיקונם.

"ביתר פירוט, נציין כי רשות האכיפה והגבייה מצויה בתהליך מתקדם להטמעת מערכת תיעוד מסכים. מערכת זו תאפשר בקרה יעילה אודות פעילות המשתמשים במערכות המרכז לגביית קנסות ותתעד כניסות אליהן. סיום הטמעת המערכת ייעשה עוד בשנה זו.

"עניין ביצוע המעקב אחר אירועים חריגים לא פורש נכונה בדו"ח המבקר. יודגש, כי מדובר באירועים עסקיים אשר הוגדרו על ידינו כדורשים בקרה נוספת. בימים אלה מגייסת הרשות כוח אדם טכנולוגי מתאים לביצוע בקרות אלה.

באשר לתהליך מתן ההרשאות למערכת התפעולית גם ביחס לעובדי המוקד הטלפוני, חודדו נהלי העבודה וכן מבוצעים פעמיים בשנה באופן קבוע ניקוי וטיוב הרשאות עובדים. כמו כן, גובש עץ הרשאות דיפרנציאלי למשתמשי המערכת.

בנוגע לסיכון לחדירת תוקפים חיצוניים למערכת, הביקורת מתייחסת למבדק חדירות שהוזמן על ידי רשות האכיפה והגבייה עצמה, על מנת לבדוק את חוסנה של המערכת; במסגרת הביקורת עלו מספר חולשות המטופלות בימים אלו.

חשוב לסכם, כי הביקורת נעשתה באופן מעמיק ותוצאותיה היו טובות. בעטיין נמצא, כי המערכות נמצאות ברמת הגנה גבוהה. עם זאת, רשות האכיפה והגבייה ממשיכה ללמוד ממצאים נוספים שעלו בדו"ח ולשפר כל העת את מערכותיה״.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו

כדאי להכיר