בדוח שפרסם היום (שלישי) מבקר המדינה מתניהו אנגלמן נמצא כי ישנם פערים משמעותיים באבטחת המידע בצה"ל, המעידים על אי-קיום מלא של תקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר. "מצב זה", התריע המבקר, "יוצר סיכון לפגיעה באמינות, בזמינות ובסודיות של המידע".
מבקר המדינה התריע מפני פערים במערכות מידע של הצבא, שכוללת רשומות של מאות אלפי מתגייסים. צה"ל מנהל שלוש מערכות מידע ביומטריות לזיהוי חללים: מאגר טביעות אצבע וכף היד, מאגר תצלומי שיניים ואוסף כתמי דם, הכוללים מידע רפואי, אישי ורגיש של מאות אלפי חיילים שהתגייסו לצה"ל.
בדוח נמצא כי מערכות המידע אינן מנוהלות ביעילות ולפי מתודולוגיה סדורה לניהול פרויקטים של מערכות מידע, ועקב כך יש חשש שמערכות אמצעי הזיהוי לא יוכלו למלא את ייעודן. כמו כן, נמצא כי מנהל הפרויקט לא הכין תוכניות עבודה למערכות אמצעי הזיהוי ולא וידא שהקמתן וניהולן של המערכות עומדים ביעדים המקובלים של תכולה, לוחות זמנים, עלויות ושביעות רצון הלקוח.
המבקר מצא כי מדיניות ההגנה בצה"ל לא עודכנה מאז אפריל 2015, כלומר שבע שנים, שבהן חלו שינויים טכנולוגיים, בעקבות פרסום תקנות הגנת הפרטיות (אבטחת מידע) משנת 2017. המבקר מצא כי למרות שמאגר טביעות אצבע וכף היד ומאגר תצלומי שיניים הוגדרו בסיווג סודי, היו עם חסינות בינונית למרות שמערכות אלו נדרשות לעמוד ברמת אבטחה גבוהה, ולמרות הנזק הרב שעלול להיגרם מדליפת מידע ביומטרי רגיש המוחזק במערכות אלו.
המבקר ציין כי בצה"ל ישנם מספר גורמים שאחראים על אבטחת המידע - יחידת הגנת הסייבר במרכז המחשבים ומערכות המידע (ממר"ם), מחלקת ביטחון מידע (מחב"ם), קצין האמל"ח וגורמי מדיניות ההגנה באגף התקשוב, אולם אין גורם אחד הנושא באחריות למאגרים הרגישים. המבקר ציין כי צה"ל לא בחן אחת לשנה כנדרש אם שמור מידע עודף במאגרי אמצעי הזיהוי כדוגמת מידע ביומטרי על חיילים שנפטרו.
תגובת דובר צה"ל
צה"ל מודה למבקר המדינה על ביקורת זו ומתייחס בכובד ראש לממצאיה. מרבית ההמלצות בנושא ניהול ואבטחת המידע הביומטרי התקבלו ונבחנו בצה״ל והגופים הרלוונטיים החלו ביישומן. מאגר המידע הצבאי והמערכות המצוינות בדו"ח נמצאים בתוך הרשת הצה"לית המסווגת ואינם נגישים לגורמים חיצוניים או חשופים לגורמי שאינם מורשים לכך בתוך צה"ל.
עם קבלת ממצאי הדו"ח, הותנעו מספר תהליכים לשיפור אבטחת מאגר המידע הביומטרי והשימוש בו. כחלק מהתהליכים, הסתיים פיתוח תשתית התוכנה לחיבור מצלמות חדשות אשר נרכשו לטובת שיפור איכות הרכשת הזיהוי בשרשרת החיול. בחלק ממחזורי הגיוס הקודמים השנה, פעלה תחנה ניידת ובה עמדות הרכשה שהושאלו משרשרת החיול, זאת תמשיך לפעול בהתאם לצורך.
בצה״ל קיימים מנגנונים למניעת כניסת גורמים בלתי מורשים בצה"ל למערכות אלה, לצד זאת, נבחן שדרוג תשתיות אלו לטובת שיפור נוסף באבטחת המידע. מסמך מדיניות ההגנה בסייבר נמצא בימים אלו בתהליך תיקוף ועדכון. המלצת המבקר לעדכנו באופן עתי כל מספר שנים התקבלה והפקודה תתוקף אחת למספר שנים. תכנית העבודה לשנת 2023 עתידה לכלול אלמנטים לשיפור עמידת מערכות המידע ומאגר המידע בדרישות אבטחת המידע והגנת הפרטיות העדכניות.
הבגרויות מודלפות
בנושא מערכת החינוך, המבקר מצא שבע קבוצות ביישומונים להעברת מסרים מיידיים הפעילות במגזר היהודי ובמגזר הערבי, שבהן התבצעה פעילות הפצה לא מורשית של שאלונים ושל הפתרונות לשאלונים. בשנים 2018-2020 הגיש משרד החינוך ארבע תלונות בלבד במשטרת ישראל בגין עבירת "קבלת דבר במרמה" בעקבות הפצה לא מורשית של שאלונים או של תשובות של בחינות הבגרות.
עוד עולה כי נכון לאוקטובר 2021, יותר משלוש שנים לאחר שביצע משרד החינוך סקר סיכונים מקיף של מערכות ליבה נבחרות שלו, משרד החינוך לא ביצע סקר סיכונים מקיף ומבדקי חדירות בנוגע למערכות הליבה שלו בתדירות הנדרשת בתקנות הגנת הפרטיות אבטחת מידע - אחת ל-18 חודשים.
מתוך שבע המשימות שהוגדרו ברמת סיכון "קריטית" או "גבוהה" בתוכנית העבודה לשנת 2019 של המשרד, ושהמשרד קבע שיש ליישמן בשנת 2019, נכון לאוקטובר 2021, הושלמם הטיפול בשלוש משימות, ובארבע המשימות הנותרות הוא טיפל חלקית.
כמו כן, מסוף שנת 2020 ועד לאוקטובר 2021 משרד החינוך לא אייש את תפקיד ממונה הגנת סייבר. ועדת היגוי סייבר לא התכנסה בתדירות הנדרשת - לכל הפחות פעם בחציון. המשרד, ציין המבקר, גם לא עמד בהנחיה ולפיה יש להקצות לכל הפחות 8% מתקציב תחום טכנולוגיית המידע עבור הגנת הסייבר. בפועל שיעור התקציב הייעודי שהוקצה לכך בשנת 2019 היה כ-5.66%, ובשנת 2020 הוא פחת לכ-5.06%.
תגובת משרד החינוך
"המשרד עובד עפ"י סטנדרטים מחמירים הנהוגים בעולם מערכות המידע בתקן המחמיר ביותר ובהנחיית מטה הסייבר הלאומי. כלל המערכות של המשרד מנוטרות ומוגנות היטב באמצעות מערכות אבטחה והמערכות הקריטיות מחוברות למערך ה-SOC הממשלתי.
בנושא מאגרי המידע המשרד מבצע הליך הסדרה מול משרד המשפטים, כדי לצמצם ולהפחית משמעותית את מספר מאגרי המידע בהם הוא מחזיק: מ-50 מאגרים לעד 10 מאגרים. המשרד טיפל בליקויים שנמצאו ובמקביל ממשיך בהתקנת רכיבי הגנה נוספים במערכות.
בהתייחס למערך בחינות הבגרות: הסביבה הטכנולוגית בה מנוהל מערך בחינות הבגרות, היא סביבה סגורה, המוגנת ע"י מערך האבטחה של המשרד. הפצה לא מורשית של בחינות הבגרות אינה נובעת מפירצה במערכות המידע של המשרד אלא בהפצה שהתבצעה לאחר פתיחת המערכות והפצת הבחינות ובגינה הוגשה תלונה למשטרת ישראל שבימים אלו מבצעת חקירה בנושא.
