המבקר: נתוני כשלושה מיליון איש לא מאובטחים כראוי במשרד הביטחון

במשרד הביטחון יש מאגרי מידע המכילים פרטיים אישיים-מסווגים. חלקם לא מאובטח לפי הנהלים, ועל אף שכבר אירע מקרה דליפת מידע ממאגר של המשרד, ושאיומי הסייבר גדלו מאז ה-7 באוקטובר – הליקויים בעינם עומדים, ולא תוקנו. הדבר מוביל לסיכוני אבטחת מידע ופגיעה בפרטיות – כך קובע מבקר המדינה, מתניהו אנגלמן, באחד משורת דו"חות ביקורת ביטחוניים שהוא מפרסם היום (ג').

המבקר ציין כי יש למשרד הביטחון 14 מאגרים של נתונים אישיים, שכוללים פרטים על 2.84 מיליון אנשים. על שמונה מאותם מאגרים חלה רמת אבטחה גבוהה. בין היתר, כלולים בהם הפרטים של 230 אלף צה"ל ו-18 אלף פצועים מהמלחמה האחרונה. אחד הממצאים הבולטים של אנגלמן הוא שמשרד הביטחון לא ערך סקרים לאיתור סיכוני אבטחת מידע ומבדקי חדירות לאף לא אחד מהמאגרים האלה, למרות הסיכון הרב למתקפות סייבר על המחשבים שלו.

אנגלמן מצא כי "18 שנים עברו מאז שמשרד הביטחון מיפה, ב-2007, את כלל המאגרים שבבעלותו. למרות זאת, מספר הסקרים לאיתור סיכוני אבטחת מידע במאגרים ומבדקי החדירות למערכות של המאגרים שערך המשרד לצורך אבטחתם מפני סיכונים חיצוניים ופנימיים הוא אפס". "לכן", ציין, "אין זיהוי, ניתוח והערכה של התרחישים להתממשות אירוע אבטחה". לדברי אנגלמן, "בהיעדר סקרי סיכונים ומבדקי חדירות למאגרי מידע אין למשרד הביטחון את הכלים להעריך את רמת הבשלות שלו להתמודדות עם איום לפגיעה בשלמות המידע שבמאגרים, בסודיות שלו ובזמינותו".

"סכנה לחשיפת מידע אישי של פצויים וחטופים לשעבר"

המבקר כתב כי "הסיכונים להגנת הפרטיות ולאבטחת המידע שבמאגרים גברו במהלך המלחמה, כי מתקפות הסייבר התעצמו". הוא ציין מתקפות פישינג שאירעו במהלך המלחמה נגד גורמים בישראל, ובכלל זה נגד אנשי מערכת הביטחון לשעבר. "אירועי הסייבר הפכו מתוחכמים וממוקדים יותר, והתממשות הסיכונים עלולה לגרום לחשיפה של מידע אישי על חיילים שנפצעו במלחמה ממאגר נכי צה"ל, או על חטופים מטבח 7 באוקטובר ששוחררו מעזה, ממאגר פדויי השבי", הוסיף. כמו כן, ציין, "חשיפת מידע או שיבוש מידע ממאגרים בעלי ערך ביטחוני, דוגמת מאגר עובדי משרד הביטחון ומאגר ספקי המשרד, עלולים לפגוע ברציפות התפקודית שלו וביכולתו לספק את האמצעים הנדרשים לצה"ל, לגרום לו נזק תדמיתי, לפגוע ביחסיו עם ספקים ולקוחות, לחשוף אותו לקנסות, להשפיע תודעתית – לזרוע בהלה ותחושת חוסר ביטחון בציבור, ולפגוע בקשרי החוץ של המדינה".

"ואכן, במהלך המלחמה התממש הסיכון לדלף מידע", ציין המבקר. "באפריל 2024, האקרים פרסמו מידע שהודלף בידי גורמים עוינים מתוך פורטלים מנהליים של משרד הביטחון, ובהם מידע מזהה של עובדי המשרד, על מכרזים ביטחוניים ועל מערכות טכנולוגיות של צה"ל".

החשש: רבים בעלי הרשאות גישה שלא לצורך למערכות משרד הביטחון

אנגלמן מפרט בדו"ח על הכניסות של משתמשים חיצוניים בעלי הרשאה להיכנס למערכות המחשוב של משרד הביטחון. הוא מצא ששבעה מ-10 מהם לא נכנסו למערכות הללו יותר מחצי שנה ו-60% מהם לא נכנסו אליהן מעולם. 90% הם עובדי מיקור-חוץ – מה שמקיים את הסיכון שהם בעלי הרשאת גישה לרשת שלא לצורך. 60% מכלל המשתמשים החיצוניים שלא נכנסו לרשת יותר מחצי שנה שייכים לחמישה אגפים במשרד – שמידת הסיכון לחשיפת מידע ביטחוני מתוכם או לחשיפת מידע בנוגע לפרט מתוכם גבוהה. גם חמישה מ-10 משתמשים חיצוניים עם הרשאת גישה למערכת שבה מנוהל מאגר נכי צה"ל לא נכנסו אליה יותר מחצי שנה. בשני המקרים מתעורר החשש שיש להם הרשאות גישה שלא לצורך.

חלק מממצאי הביקורת נוגעים לתקופתו. שר הביטחון, ישראל כץ. צילום: Alexandros Michailidis, ShutterStock

עוד מצא המבקר כי "אגף התקשוב במשרד הביטחון לא מימש את האחריות שהוא נושא בה לקיים את הדרישות החלות על המשרד בתחום הגנת הפרטיות, ובהן קביעת נוהל אבטחה וביצוע סקרי סיכונים, מבדקי חדירות והדרכה להגברת המודעות של העובדים. כמו כן, המשרד לא וידא כי הפעולות שאגף הביטחון, שהוא הגורם המקצועי בתחום אבטחת המידע שלו, אכן נותנות מענה לכלל הדרישות הייחודיות של הגנת הפרטיות. אגף הביטחון מבצע פעולות לאבטחת מידע, אולם לא נותן מענה מלא להיבט הגנת הפרטיות". בנוסף, ציין אנגלמן כי הרשות להגנת הפרטיות, שהיא הרשות הממשלתית הממונה על התחום, מעולם לא ביצעה ביקורת על משרד הביטחון, ולא ביקשה ממנו דיווחים על הבקרות על הפרטיות, שהוא אמור לבצע בהתאם לחוק.

המבקר אף העלה שבניגוד לנדרש בחוק, אין בעל תפקיד במשרד הביטחון שאחראי לזהות את דרישות אבטחת המידע, לוודא את העמידה בהן ולבצע בקרה על כך. יתרה מזאת, "לאחר שמונתה לתפקיד, ראש אגף התקשוב במשרד הביטחון לא וידא שהממונה על אבטחת המידע במאגרי המידע ממלאת את תפקידיה בהתאם לנדרש בתקנות, וממילא לא ביצע בקרה על עמידתו של משרד הביטחון בדרישות".

מיפוי ורישום מאגרי מידע

אנגלמן ציין בנוסף כי "בניגוד לנדרש בתקנות האבטחה, אגף התקשוב במשרד הביטחון לא הכין מסמך לכל אחד ממאגרי המידע שבשליטתו, ולא סיווג אותם המידע בהתאם לרמות האבטחה החלות עליהם. אין לאגף תמונת מצב מלאה ועדכנית בנוגע לכל המאגרים שהוא מנהל, כך שיוכל להתאים את מענה ההגנה הנדרש עבורם".

המבקר מצא שאגף זה לא מבצע סקירת הרשאות סדורה ומובנית על אלפי המשתמשים המנוהלים במערכת ניהול הזהויות ועל עשרות אלפי סוגי ההרשאות, אלא מבצע מדי פעם בדיקות ממוקדות של הרשאות לקבוצת משתמשים מצומצמת, לפי שיקול דעתו ובאופן ידני. ממצא נוסף הוא שאגף התקשוב לא קבע נוהל אבטחה למאגרי המידע, ונושאים כגון הסיכונים שלהם חשופים מאגרי המידע, אופן קביעתם והטיפול בהם, ואופן הבקרה על השימוש במאגרים לא מקבלים מענה מצד אף גורם במשרד. "כך, נותר משרד הביטחון בלא מדיניות אבטחה סדורה ושלמה להתמודדות עם סיכוני האבטחה, ובלא כלי לעריכת ביקורות תקופתיות", כתב אנגלמן.

התגובות

מהרשות להגנת הפרטיות נמסר כי "במסגרת היערכותנו לכניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, שלחנו מכתבים לראשי הגופים הביטחוניים, יזמנו פגישות עבודה עימם, שמטרתן לדון בסדרי ונהלי העבודה בין הגופים, וציינו את תנאי הכשירות וההכשרה המתאימים בכל גוף וגוף, ובכלל זה במשרד הביטחון".

המשרד עצמו מסר שהוא "רואה חשיבות רבה בהגנה על מאגרי המידע שבאחריות משרד הביטחון, ובחיזוק מתמיד של אמצעי אבטחת המידע והגנת הפרטיות. זאת, כחלק בלתי נפרד ממחויבותנו לשמירה על הביטחון, ולהגנה על נכסי המשרד ועל מרכיבי הרציפות התפקודית החיונית, מתוך הבנה שמידע אישי ורשומות ממוחשבות הם כיום רכיב רגיש וחיוני ממש כמו תשתיות פיזיות".

עוד ציין המשרד כי "נכון למועד הביקורת, היו פערים שנבעו מהאצת תהליכים טכנולוגיים. במסגרת בחינה מעמיקה של הסוגיות שעלו בדו"ח, משרד הביטחון מקיים דיונים עם הרשות להגנת הפרטיות ועם כלל הגורמים הרלוונטיים במשרד – אגף התקשוב, אגף הביטחון, היועץ המשפטי למערכת הביטחון ואגף התכנון – במטרה לקבוע מהן החלופות הטובות והמתאימות ביותר להסדרת הנושא באופן המיטבי. כמו כן, המשרד פועל באינטנסיביות לגישור על הפערים ולהשלמת היערכותו למתן מענה מקיף ועדכני, שיעמוד בדרישות החוקיות והמקצועיות ברמה הגבוהה ביותר".

"דו"ח ביקורת זה משמש עבורנו כלי אפקטיבי, שתורם להכוונת פעולותינו לקידום פעולות ההסדרה, בייחוד לנוכח מועד הביקורת – ערב כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות", נכתב בתגובת משרד הביטחון.