ליקויים באבטחת הסייבר
מבקר המדינה: המידע על מאות אלפי חיילים עלול לדלוף
מבקר המדינה מתניהו אנגלמן פרסם דוח מיוחד בנושא הגנת הסייבר ממנו עולה בין היתר כי פקודות המטכ"ל על הגנת הפרטיות לא עודכנו מ- 1996, וכי בצה"ל יש מידע ביומטרי של חיילים שנפטרו. החשש המרכזי שעולה מכך הוא שהאקרים ישתמשו במידע להתחזות ולגניבת זהות
- חזקי ניימן
- י"ב כסלו התשפ"ג
מחשבים בצה"ל. אילוסטרציה צילום: אתר צה"ל
מבקר המדינה פרסם אחר הצהריים (שלישי) לציבור את דו"ח הסייבר ממנו עולה כי ישנם ליקויים במגוון תחומים באחריות מדינת ישראל. מתוקף הסמכות הנתונה למבקר המדינה, משלא התכנסה ועדת המשנה לוועדה לביקורת המדינה, החליט המבקר אנגלמן, לאחר בחינת הגורמים הרלוונטיים, לפרסם דוחות אלו תוך הטלת חיסיון על חלקים ממנו. במקביל הדוחות המלאים עם פרוט כלל הליקויים הומצאו לגופים הרלוונטיים, על מנת שיתקנו את הליקויים שעלו.
"פערים משמעותיים באבטחת סייבר במערכות מידע ביומטרי בצה"ל, הפקודות לא עודכנו מ-1996"
צה"ל מנהל מערכות מידע של אמצעי זיהוי שמטרתן לזהות חללים. מדובר במערכות שבאמצעותן מנוהלים מאגרי מידע ביומטריים הכוללים מידע רפואי, אישי ורגיש של מאות אלפי חיילים שהתגייסו לצה"ל, ולכן נדרש כי רמת האבטחה של המאגרים תהיה גבוהה לפי תקנות הגנת הפרטיות בתחום אבטחת המידע.
הסיכונים הנשקפים למאגר מידע ביומטרי הם משמעותיים, היות שלהבדיל מאמצעי זיהוי אחרים כמו תעודה, סיסמה או אמצעי פיזי - מידע ביומטרי אי אפשר לבטל או להחליף בעקבות גניבה או דליפת מידע.
מבקר המדינה אנגלמן בדק את מידת ההגנה של מאגרים רגישים אלו הכוללים מידע על כל אחד ואחד מאתנו ששירת בצה"ל (טביעות אצבע, תצלומי שיניים). ממצאי הדוח משקפים פערים משמעותיים באבטחת המידע המצוי במערכות רגישות אלו, ומעידים על אי-קיום חלק מתקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר. מצב זה יוצר סיכון לפגיעה באמינות, בזמינות ובסודיות של המידע.
הדוח כולל ממצאים נוספים הנוגעים להליכי תפעול וניהול של מערכות המידע של אמצעי הזיהוי. נמצא כי מערכות המידע אינן מנוהלות ביעילות ולפי מתודולוגיה סדורה לניהול פרויקטי מערכות מידע, ועקב כך יש חשש שמערכות אמצעי הזיהוי לא יוכלו למלא את ייעודן. כמו כן נמצא כי מנהל הפרויקט לא הכין תכניות עבודה למערכות אמצעי הזיהוי ולא וידא שהקמתן וניהולן של המערכות עומדים ביעדים המקובלים של תכולה, לוחות זמנים, עלויות ושביעות רצון הלקוח. על ראש אכ"א לפעול לתיקון הליקויים ולבחון את ההמלצות שבדוח זה.
בצה"ל יש כמה גורמים העוסקים בהיבטים שונים בתחום אבטחת המידע של מערכות מידע, ובהם: יחידת הגנת הסייבר במרכז המחשבים ומערכות המידע (ממר"ם), מחלקת ביטחון מידע (מחב"ם), קצין האמל"ח וגורמי מדיניות ההגנה באגף התקשוב. אולם אין גורם אחד שנושא באחריות לכל היבטי אבטחת המידע של מערכות אמצעי הזיהוי ותפקידו ותחומי אחריותו הוגדרו בהתאם לתקנה 3 בתקנות אבטחת מידע ובהתאם למדיניות ההגנה של צה"ל.
תגובת דובר צה"ל לדו"ח מבקר המדינה: צה"ל מודה למבקר המדינה על ביקורת זו ומתייחס בכובד ראש לממצאיה. מרבית ההמלצות בנושא ניהול ואבטחת המידע הביומטרי התקבלו ונבחנו בצה״ל והגופים הרלוונטיים החלו ביישומן.
מאגר המידע הצבאי והמערכות המצוינות בדו"ח נמצאים בתוך הרשת הצה"לית המסווגת ואינם נגישים לגורמים חיצוניים או חשופים לגורמי שאינם מורשים לכך בתוך צה"ל. עם קבלת ממצאי הדו"ח, הותנעו מספר תהליכים לשיפור אבטחת מאגר המידע הביומטרי והשימוש בו.
כחלק מהתהליכים, הסתיים פיתוח תשתית התוכנה לחיבור מצלמות חדשות אשר נרכשו לטובת שיפור איכות הרכשת הזיהוי בשרשרת החיול. בחלק ממחזורי הגיוס הקודמים השנה, פעלה תחנה ניידת ובה עמדות הרכשה שהושאלו משרשרת החיול, זאת תמשיך לפעול בהתאם לצורך.
בצה״ל קיימים מנגנונים למניעת כניסת גורמים בלתי מורשים בצה"ל למערכות אלה, לצד זאת, נבחן שדרוג תשתיות אלו לטובת שיפור נוסף באבטחת המידע.
מסמך מדיניות ההגנה בסייבר נמצא בימים אלו בתהליך תיקוף ועדכון. המלצת המבקר לעדכנו באופן עתי כל מספר שנים התקבלה והפקודה תתוקף אחת למספר שנים.
תכנית העבודה לשנת 2023 עתידה לכלול אלמנטים לשיפור עמידת מערכות המידע ומאגר המידע בדרישות אבטחת המידע והגנת הפרטיות העדכניות.
הוספת תגובה
לכתבה זו טרם התפרסמו תגובות