המבקר: צה"ל כושל בהגנה על מערכות ביומטריות רגישות

נמצאו פערים משמעותיים באבטחת המידע של מערכות ביומטריות רגישות בצבא; מאז הוקמו המערכות, לפני 16 שנים, בוצעו אפס מבדקי חדירה ואפס סקרי סיכונים למערכות; זה שבע שנים לא עודכנה מדיניות ההגנה של צה"ל; זה 26 שנים לא עודכנו פקודות מטכ"ל בנושאי הגנת הפרטיות והן לא מתייחסות לתקנות אבטחת מידע מ-2017 – כך קובע מבקר המדינה, מתניהו אנגלמן, בדו"ח שהמתפרסם היום (ג').

בדו"ח המבקר בנושא "סייבר ומערכות מידע" יש ששה פרקים. בפרק הדן ב"ניהול מידע ביומטרי בצה"ל והגנת הסייבר עליו", נכתב כי "הסיכונים הנשקפים למאגר מידע ביומטרי הם משמעותיים, היות שלהבדיל מאמצעי זיהוי אחרים, מידע ביומטרי אי אפשר לבטל, או להחליף, בעקבות גניבה או דלף של מידע".

המידע הביומטרי בצה"ל נאסף ממתגייסים, משמש לזיהוי חללים ונשמר בשלושה מאגרים של אמצעי זיהוי (טביעות אצבע וכף היד, תצלומי שיניים וכתמי דם). בצה"ל יש 3 מערכות IT מרכזיות לניהול תהליך הזיהוי, שתיים מהן ברמת סיווג סודי.

פרסום ביוזמת המבקר

דו"ח הביקורת הועבר לראש הממשלה, יאיר לפיד, ב-31 באוגוסט השנה, והוטל עליו חיסיון עד לדיון בוועדת המשנה של הוועדה לענייני ביקורת המדינה. זו לא התכנסה, ואז המבקר החליט לפרסם אותו.

"מסמך מדיניות ההגנה של צה"ל כולל התייחסות לחלק מהנושאים שהיחידה להגנת הסייבר בממשלה (יה"ב) הגדירה שיש לכלול, אך אינו כולל התייחסות לנושאים כגון ניהול וסיווג של נכסים, שרשרת האספקה, משאבי אנוש והתאמה לדרישות החוק (כמו תקנות אבטחת מידע)", נכתב. "מסמך מדיניות ההגנה לא עודכן מאפריל 2015, במשך שבע שנים, שבמהלכן חלו שינויים טכנולוגיים וכן חלו שינויים בחובות החלות על צה"ל בנושא אבטחת מידע, בעקבות פרסום תקנות הגנת הפרטיות (אבטחת מידע) מ-2017".

"שתיים מהמערכות", נכתב, "הוגדרו בסיווג סודי, עם חסינות בינונית, למרות שהן נדרשות לעמוד ברמת אבטחה גבוהה לפי תקנות אבטחת מידע, ולמרות הנזק הרב שעלול להיגרם מדליפת מידע ביומטרי רגיש שמוחזק במערכות אלו… למערכות אמצעי הזיהוי של צה"ל אין מענה הגנה מפורט במסמך, הכולל את דרישות ההגנה הייעודיות למערכות אלו בהתאם לסיווג שלהן".

לפי המבקר, "בצה"ל יש כמה גורמים העוסקים בהיבטים שונים בתחום אבטחת המידע של IT, אולם אין גורם אחד שנושא באחריות לכל היבטי אבטחת המידע של המערכות".

לא נערך בהיבטי שמירה על המידע. צה"ל. צילום: BigStock

"אין בידי אכ"א תוכנית לבקרה שוטפת על מידת העמידה של מאגרי אמצעי הזיהוי בדרישות תקנות אבטחת מידע, וכן לא בוצעו ביקורות בנושאים אלו", כותב המבקר. "פקודות המטכ"ל בנושא הגנת הפרטיות לא עודכנו ממועד כתיבתן – לפני 26 שנים, ולכן הן אינן מתייחסות לתקנות אבטחת מידע מ-2017. הרשות להגנת הפרטיות לא ביצעה ביקורות ופעולות פיקוח רוחביות על מאגרי המידע בצה"ל בכלל ועל המאגרים הביומטריים לזיהוי חללים בפרט. זאת, אף שצה"ל מחזיק במאגרי מידע שבהם שמור מידע רגיש ואישי על אזרחים רבים".

עוד קובע המבקר כי "צה"ל לא גיבש מסמך הגדרות למאגרי אמצעי הזיהוי כנדרש בתקנות אבטחת מידע, הכולל מידע חיוני הקשור למאגרים ולאופן השימוש בהם, כמו פירוט הסיכונים העיקריים של פגיעה באבטחת המידע ואופן ההתמודדות עימם".

"צה"ל לא בחן אחת לשנה כנדרש בתקנות אם שמור מידע עודף במאגרי אמצעי הזיהוי: ויש במאגרי אמצעי הזיהוי מידע עודף, למשל: מידע ביומטרי על חיילים אשר נפטרו ושלא בוצע לגביהם תהליך זיהוי. מידע ביומטרי על נפטרים עלול לשמש ביתר קלות למטרת התחזות וגניבת זהות, שכן אין מי שיתלונן".

עוד נכתב כי "צה"ל לא גיבש נוהל אבטחה פיזית ייעודי למערכות אמצעי הזיהוי כנדרש, אף ששמור בהן מידע ביומטרי, אישי ורגיש, החייב ברמת אבטחה גבוהה… נמצאו פערים ברמת האבטחה הפיזית של אחת המערכות… נמצאו פערים ברמת ההגנה הלוגית בכמה נושאים: הזדהות; הרשאות גישה; סקר בקרת גישה; בקרה על ביצוע פעולות לא מורשות; מנגנוני הצפנה; בקרה שוטפת לצורך תהליכי הגנה על יישומים".

לא נערכו לשימוש במאגרים לצורך זיהוי חללים באירוע רב נפגעים

"צה"ל לא פיתח לתהליך אמצעי הזיהוי תוכנית המשכיות עסקית שמכסה את כל התהליכים הקשורים לאמצעי הזיהוי ואת כל היחידות המעורבות בתהליכים אלו, ולא הגדיר מהם החלקים בתהליך שהם קריטיים לאירוע חירום. כמו כן הוא לא ביצע תרגול הפעלה במתכונת חירום של כל המערך הנדרש לזיהוי חלל. זאת ועוד, נמצאו הפערים האלה: צה"ל לא וידא כי המערכות נגישות באופן קבוע מאתרים חלופיים שנקבעו מראש; בממר"ם לא נעשו תרגולים עיתיים של אחזור מגיבויים, כדי לבדוק את תקינותם ואת העמידה ביעד אחזור הנתונים; האוסף הפיזי של כתמי הדם נשמר במקום יחיד, ואין יתירות למידע שבו על ידי שמירתו במקום נוסף".

"מאגר הנתונים הביומטריים של צה"ל, המכיל מאות אלפי רשומות, אינו שלם. במאגר קיימות כמה עשרות אלפי רשומות שחסרים בהן אמצעי זיהוי… יש חוסרים של מאות טביעות אצבע… יש חוסרים של אלפי תצלומי שיניים… חלק מתצלומי השיניים הם באיכות שאינה מספקת".

לפי המבקר, "לא הושלמה הבחינה של אפשרות השימוש במאגרים המוחזקים בצה"ל לצורך זיהוי חללים בהתרחש אירוע רב נפגעים".

"מערכות המידע אינן מנוהלות ביעילות ולפי מתודולוגיה סדורה לניהול פרויקטי IT, ולכן יש חשש שהמערכות לא יוכלו למלא את ייעודן", צין אנגלמן בדו"ח.

תגובות

מחלקת ביטחון מידע, מחב"ם, מסרה כי הם "יבחנו ויתקפו את הסיווגים של המערכות".

צה"ל מסר כי "במסגרת שיתוף הפעולה בינו ובין הרשות להגנת הפרטיות, עדכון פקודת המטכ"ל החל ב-2021 ונמצא בשלבי טיוטה".

צה"ל אישר כי עד מועד סיום הביקורת, באפריל השנה, לא מונה מנהל מאגר מידע צה"לי. עוד נמסר כי למיטב ידיעתם, "מאגר המידע הצה"לי נרשם ברשם מאגרי המידע בתחילת שנות התשעים". המבקר העיר שלא התקבל מצה"ל מסמך המוכיח זאת.

עוד נמסר מצה"ל כי "תבוצע בחינה לגבי עדכניות נתוני הנפטרים במאגרי המידע של צה"ל והיכולת למחוק מידע זה… נוהל האבטחה הפיזית בהיבט ביטחון המידע ייקבע בהתאם להגדרת הסיווג המרבי של המערכות".