"הרשות לניהול המאגר הביומטרי פועלת ללא ממונה אבטחה – ועוברת על החוק"
התנועה לזכויות דיגיטליות פנתה לרמו"ט בעקבות פוסט שפרסם ראש הרשות, גון קמני, בחיפוש אחר ממונה אבטחת מידע ● הרשות בתגובה: "נושא אבטחת המידע מטופל אצלנו בצורה המקצועית ביותר"
הרשות לניהול המאגר הביומטרי עוברת על חוק הגנת הפרטיות, מאחר שהיא פועלת ללא ממונה אבטחת מידע, שנה לאחר הקמתה – כך טוענת התנועה לזכויות דיגיטליות במכתב ששלחה לראש רמו"ט (ר"ת הרשות למשפט וטכנולוגיה במשרד המשפטים). התנועה מבקשת ממנו לקבוע כי יש במקרה זה משום הפרת החוק ולהמליץ לשר הממונה שלא להמשיך את תקופת המבחן של המאגר הביומטרי, שמתקיימת בימים אלה.
הפנייה בוצעה בעקבות פוסט שכתב ראש הרשות, גון קמני, בלינקדאין (LinkedIn), שהוא בעצם מודעת דרושים לממונה אבטחת מידע. בפוסט נכתב אמנם שהרשות מחפשת מנהל אבטחת מידע חדש, אולם התנועה לזכויות דיגיטליות טוענת כי שנה לאחר הקמתה, הרשות טרם גייסה כלל מישהו לתפקיד.
במכתב, אותו כתב עו"ד יהונתן קלינגר, היועץ המשפטי של התנועה, הוא מבקש לקבוע כי "ראש הרשות למאגר ביומטרי לא ביצע את חובתו לפקח ולעשות כל שניתן למנוע עבירות במאגר מידע".
עו"ד קלינגר כתב כי בהתאם לחוק, הרשות חייבת למנות אדם בעל הכשרה מתאימה שיהיה ממונה על אבטחת המידע. הוא ציין אינדיקציה נוספת המוכיחה את הטענה: מכתב שקיבלה התנועה ב-4 במאי מיוגב שמני, מנמ"ר רשות האוכלוסין וההגירה, ממנו עולה שנכון לאותו היום, הרשות לניהול המאגר הביומטרי פועלת ללא ממונה על אבטחת המידע.
דורון אופק, מומחה אבטחת מידע ומהעותרים לבג"ץ נגד המאגר הביומטרי, ציין כי "כל הפעילות של הרשות הביומטרית היא בעיסוק במידע פרטי במיוחד, שיש סכנה רבה שידלוף. למשרד הפנים לא היה ממונה אבטחת מידע במשך עשור וראינו את דליפת מרשם האוכלוסין ממנו. העובדה שלא מונה עדיין מנהל אבטחת מידע לאחת הרשויות הרגישות במדינה היא חובבנות שזועקת לשמיים".
"אבטחת המידע ברשות מבוססת על מעגלים רבים"
מהרשות לניהול המאגר הביומטרי נמסר בתגובה כי ״אבטחת המידע ברשות מטופלת על בסיס מעגלים רבים, כאשר הפעילות הענפה בנושא ממשיכה בימים אלה ותמשיך עד לאיתור מנהל אבטחה, וכמובן גם הלאה. הרשות מפוקחת ומבוקרת על ידי גורמים מקצועיים המוודאים כי נושא רגיש זה מטופל בצורה המקצועית ביותר".
עוד הם טוענים כי "בניגוד למה שנטען ולמען הסר ספק, מיום הקמת הרשות כיהן בה מנהל אבטחת מידע עד לפברואר 2014. בימים אלה הרשות פועלת בכדי לאתר מחליף. במקביל, ברשות מכהן מיום הקמתה ממונה על הגנת הפרטיות, בנוסף לצוותי האבטחה והגנת הפרטיות העוסקים בנושא".
הסיבה שאין מנהל אבטחת מידע היא שהסטנדרטים של האבטחה של משרד הפנים כה גרועים. שום מנהל אבטחת מידע רציני אינו מעוניין להיות זה שדליפת המאגר הביומטרי תיקשר בשמו לנצח.
יוגב שמני (מנמ"ר) היה בעצמו מנהל אבטחת המידע של הארגון עד לא מזמן
הנה עוד סיבה מדוע לא לעשות ת.ז. חכמה. כולם מכירים את שיטת "הסמוך" הכל יהיה בסדר. אבל לא, הכל לא בסדר. כיצד יכול להיות שבמשרד כל כך רגיש שיש בו נתונים אישיים של כל אחד ואחד מאיתנו ואין מנהל אבטחת מידע. זה רק מראה שחובבנים עוסקים בתפקיד הכי רגיש במדינה.
התנועה לזכויות דיגיטליות טוענת שבשנה האחרונה סיימו את תפקידם שני מנהלי אבטחת מידע, בנסיבות שלא פורסמו. http://www.digitalrights.org.il/?p=534
היה היה מנהל אבטחת מידע שפוטר כי לא היה מספיק "ידידותי" עבור ההנהלה והשר היוזם.