המבקר: ליקויים חמורים בהגנה על הפרטיות ברשות האכיפה והגבייה

מבקר המדינה מתריע על העדר בקרה על הרשאות גישה למאגר המידע הרגיש, ושעובדים שעזבו לפני שנה עדיין יכולים להיכנס אליו ● כמו כן, אין היערכות מתאימה להגנת סייבר במערכות הליבה של המרכז לגביית קנסות

מבקר המדינה, מתניהו אנגלמן.

דו"ח מבקר המדינה, שפורסם אתמול (ג'), כולל פרק שעוסק ברשות האכיפה והגבייה, שאחראית על גביית חובות של אזרחים. בציבור היא מוכרת בעיקר בשם הקודם שלה – ההוצאה לפועל. גביית החובות מנוהלת על ידי מאגר מידע רגיש, שכולל את כל הנתונים האישיים של שלושה מיליון בעלי החוב במדינת ישראל – חוב שעל פי הנתונים, בעת כתיבת הדו"ח הגיע ל-6.8 מיליארד שקלים. הציפייה היא, כפי שהמבקר כותב, שתהיה הקפדה יתרה על הפיקוח והבקרה על מערכות המידע הללו, בין היתר פיקוח על מי שרשאי להיכנס אליהן ועל הגנת הסייבר שלהן. תמונת המצב שהמבקר גילה – מדאיגה.

"דו"ח זה מעלה ליקויים בתחום הגנת הפרטיות ואבטחת המידע במערכות המידע במרכז לגביית קנסות שברשות האכיפה והגבייה, ובין היתר תיעוד של הגישה של משתמשי המערכת התפעולית של המרכז למידע המצוי במערכת, וכפועל יוצא מכך היעדר בקרה על אותה גישה", כותב המבקר, מתניהו אנגלמן. הליקויים המרכזיים הם: העדר סינון ובקרה על הרשאות הגישה של עובדים למאגר המידע; אי ביצוע מעקב הולם אחר אירועים חריגים המתרחשים במערכת; היקף גישה בלתי מוגבל של משתמשי המערכת למידע המצוי במערכת; ניהול לקוי של תהליך מתן ההרשאות למערכת התפעולית; וכללית, ניהול לקוי של הרשאות.

"הליקויים לא עולים בקנה אחד עם הוראות הדין"

אנגלמן מתייחס בחומרה רבה לליקויים אלה וכותב שהם "לא עולים בקנה אחד עם הוראות הדין, ובהן חוק הגנת הפרטיות והתקנות על פיו, החלטות הממשלה הרלוונטיות והנחיות הגופים המאסדרים את הנושא. הדברים מקבלים משנה תוקף נוכח העובדה שעל פי הוראות תקנות אבטחת המידע, המערכת התפעולית של המרכז לגביית קנסות מסווגת כמאגר שמחייב רמת אבטחה גבוהה".

המבקר ממליץ לרשות להקים מערך לתיעוד ובקרה של השימוש במערכות המידע; לבצע פיקוח הדוק יותר על הכניסה של עובדים למאגר; ולעקוב ולבדוק האם זה נעשה על פי ההרשאות שלהם. במהלך הביקורת התברר כי עובדים נכנסים למאגר שלא באמצעות כרטיס חכם, כפי הנדרש, וכן שלקבוצה גדולה של עובדים, שעזבו את הרשות בטווח של שנה אחורה, יש עדיין הרשאות גישה למאגרים, כאשר חלקם הם בכלל עובדי מיקור-חוץ. עוד דבר שהמבקר ממליץ עליו הוא זירוז הליכי מכרז להקמת פתרון טכנולוגי להגנה ולאבטחה, שיבטיח הגנה על נכסי המידע של הרשות.

לא נמסרה תגובת רשות האכיפה והגבייה.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים