המבקר: מאגרי מידע רגישים לא מנוהלים כראוי, כשלים בהגנת סייבר

דוח שפרסם היום (ראשון) מבקר המדינה, יוסף שפירא, מציג ליקויים שנמצאו בהגנה על הפרטיות במאגרי מידע במגזר הציבורי, והן כשלים בהיערכותם של גופים חיוניים להגנת הסייבר.

בחינת ההיבטים בסוגיית ההגנה על הפרטיות במאגרי מידע בישראל נעשתה ברשות להגנת הפרטיות, במשרד החינוך ובמשרד הבריאות, בין מארס לאוגוסט 2018. בדיקות השלמה נוספות נערכו במחלקת ייעוץ וחקיקה במשרד המשפטים, במערך הסייבר הלאומי וברשות התקשוב הממשלתי במשרד ראש הממשלה, בשתי קופות חולים ובשני בתי חולים ממשלתיים.

מבדיקת הרשות להגנת הפרטיות נמצא כי על אף שבינואר 2007 הוגש דוח על תיקוני חקיקה נחוצים בתחום מאגרי המידע, מרבית ההמלצות לא יושמו עד מועד עריכת הביקורת. בפברואר 2018 פורסמה הצעת חוק הגנת הפרטיות, שמטרתה להרחיב את סמכויות האכיפה של רשם מאגרי המידע, אך בשל מחלוקות שהתגלעו בין הגופים השונים, הצעת החוק לא קודמה. על פי המבקר, כל עוד לא תוקן החוק, לא קיימת סנקציה יעילה בגין הפרה של חובת אבטחת המידע, והדבר פוגע ביכולת ההרתעה של הרשות.

לכתבות נוספות מתוך דוח מבקר המדינה: 

דוח המבקר: דני דנון קיבל תרומות - בניגוד להנחיות היועמ"ש

רופא שטיפל באביו ועובדי תע"א: המבקר נגד מינוי מקורבי חיים כץ

סגירת תיקים וטיפול לקוי בתוקפים: כשלים בהתמודדות עם פדופיליה

עוד עולה מהדוח כי פעילותה של הרשות בסוגיות הגנת הפרטיות במאגרי מידע איננה מספקת. הרשות אינה מעודכנת על העברות מידע בין גופים ציבוריים, גם כאשר מדובר במאגרים בעלי מידע רגיש ששמירה על חשאיותם היא בעלת חשיבות עליונה. ישנה מגמת ירידה משמעותית בפרסום הנחיות בתחום הגנת הפרטיות, לא נקבעה מדיניות אכיפה סדורה, ובעשור האחרון פחתו פעולות האכיפה - חרף הגידול בהיקפו של שוק המידע האישי בישראל.

הביקורת במשרדי הבריאות והחינוך העלתה כי במשרדים מתבצעים פרויקטים מקיפים שבמסגרתם נאסף מידע אישי, מבלי שהוסדרה כראוי המסגרת הנורמטיבית לכך. נוסף על כך, נמצאו ליקויים במדיניות אבטחת המידע וביישומה.

מהדוח עולה כי משרד החינוך אינו מחזיק במדיניות אבטחת מידע וסייבר מאושרת. נמצא כי הרשות הארצית להערכה ומדידה בחינוך פועלת זה 12 שנים מבלי שנחקק חוק המסדיר את פעולתה, תפקידיה וסמכויותיה, ומבלי שנקבעו בחוק כללים לאיסוף ושמירה של מידע רגיש ולהעברתו ממאגריה לגורמים אחרים. עוד עולה כי על אף הוראת חוזר המנכ"ל משנת 2015 בעניין מצלמות במוסדות חינוך, הבקרה הנעשית כיום על ידי משרד החינוך אינה בודקת את מילוי דרישותיו ואינה מספקת תמונה מלאה על אופן הטמעתן ההוראות.

כמו כן, עלה כי משרד החינוך אינו עושה בדיקות מקדמיות כנדרש בתקנות אבטחת מידע ובהנחיית הרשם בנושא מיקור חוץ, לפני פרסום מכרזים לשירותי מיקור חוץ, הכוללים גישה למאגרי מידע או קבלת מידע ממאגרי מידע שבבעלות משרד החינוך. למשרד החינוך אין מיפוי של מאגרי המידע שלו, והפעילות למיפויים נמצאת רק בראשית דרכה. המשרד לא מחזיק ברשימה מרוכזת של ספקים שזכו במכרזים, כך שאין לו תמונה מלאה על הספקים המחזיקים במאגרי מידע, ואין דרך ליישם את התקנות וההנחיות השונות הנוגעות לאבטחת המידע.

בתחום הגנת הפרטיות במידע הרפואי נמצא כי מתוך כ-1,500 מוסדות רפואיים הטעונים רישיון, כ-150 בלבד קיבלו הסמכה לתקן ניהול אבטחת מידע במערכות בריאות – תנאי לקבלת וחידוש רישיון ממשרד הבריאות. שאר המוסדות לא קיבלו את ההסמכה הנדרשת, ומשרד הבריאות אינו אוכף ביצוע חובה זאת.

עוד עלה מהבדיקה כי משרד הבריאות טרם הנחה את המוסדות הרפואיים בנוגע למקרים שיחייבו דיווח על אירועי אבטחת מידע, למרות שחלפה שנה ממתן המלצותיה של ועדה שעסקה בסוגייה במשרד הבריאות. מערכת המידע המקוונת לשיתוף מידע רפואי, המאפשרת לבתי החולים לצפות במידע הרפואי שמחזיקות קופות חולים על המטופל, פועלת מבלי שהוסדרה בחקיקה, בניגוד לעמדתו של משרד המשפטים. עוד נמצא כי ככלל, במסגרת בקרותיה על המחקרים במוסדות הרפואיים, המחלקה לניסויים קליניים במשרד הבריאות אינה בודקת אם הועבר מידע רפואי אישי על מטופלים לגורמים שאינם מורשים.

על מנת לתקן את הליקויים שאותרו, ממליץ המבקר כי משרד המשפטים יבחן את התיקונים הנדרשים בדיני הגנת הפרטיות ויקבע לוחות זמנים לקידומם. לאור רגישותו של המידע הנצבר אצל גופים ציבוריים, על הרשות להגנת הפרטיות להקפיד לדרוש ולקבל דיווחים על העברות המידע הנעשות דרך קבע בין גופים ציבוריים.

עוד ממליץ המבקר כי משרד המשפטים, בשיתוף עם גורמים רלוונטיים בתחום ההגנה על זכויות הילד, ישקול הסדרת פרטיותם של ילדים בחקיקה. משרד החינוך, על פי הדוח, יצטרך לפעול להסדרת פעולתה של הרשות הארצית להערכה ומדידה בחינוך בחקיקה. על משרד החינוך לבחון את מידת הטמעתן של הוראות חוזר המנכ"ל לעניין המצלמות בבתי ספר, ולפעול לבקרת יישומן. כמו כן, על המשרד לפקח על עמידתם של ספקים חיצוניים בדרישות אבטחת מידע שנכללו בהסכמים עמם, נוכח ההשלכות ופוטנציאל הפגיעה בפרטיות התלמידים.

על מנת לתקן את הכשלים שנמצאו באבטחת המידע הרפואי, ממליץ המבקר למפות את המוסדות הרפואיים שאינם מחזיקים בהסמכה לתקן לניהול אבטחת מידע, ולהניעם להשיג את ההסמכה הנדרשת. בהמשך, על המשרד לבחון דרכים להניע גם מרפאות שאינן טעונות רישיון להשיג את ההסמכה לתקן.

כמו כן, על משרד הבריאות לבנות תוכנית לפיקוח ובקרה על אבטחת המידע בכל המוסדות הרפואיים. המבקר ממליץ כי המשרד יפעל לוודא שהמוסדות השונים מבצעים בקרות על מחקרים רפואיים בהתאם לכללים שקבע, ויבחן דרכים לפיקוח על העברת המידע הרפואי במסגרת המחקר לחוקרים וליזמים.

היערכות גופים חיוניים להגנת הסייבר

בדוח מדגיש המבקר כי בשנים הבאות צפוי גידול ניכר בחדירת מרחב הסייבר לשגרת היום יום, ובהתאם צפויה עלייה ניכרת בשכיחותם של איומי סייבר ובמידת חומרתם. מבדיקת מבקר המדינה עולה כי ישנם פערים בהגנת הסייבר של גופים מסוימים של הממשלה ושל המשק.

בין יולי 2017 ליולי 2018 בדק משרד מבקר המדינה את היערכותם של גופי תשתיות מחשוב קריטיות (תמ"ק), משרדי ממשלה, יחידות סמך ויחידות הכוונה מגזריות במשרדי ממשלה לאירועי סייבר. בנוסף נבדקו פעולות המערך והיחידה להגנת סייבר בממשלה וכן נעשו בדיקות השלמה בשב"כ. חלקים מסוימים מדוח זה לא פורסמו, מפאת שמירה על מידע מסווג.

מהדוח עולה כי עד מועד סיום הביקורת הסמיך מערך הסייבר הלאומי רק חלק מגופי תמ"ק כעומדים בהנחיות הנדרשות שהכתיב השב"כ, ותמונת המצב שהייתה בידי המערך לא שיקפה את רמת מוכנות הגופים להתמודד עם התקפות סייבר.

בגוף תמ"ק א', נמצא כי טיוטת מיפוי האיומים לא כללה רכיבים נדרשים, והמיפוי שנעשה לא היה עדכני ולא שיקף את תמונת המערכות בצורה מהימנה. בביקורת נמצאו פערים, בין היתר, בדיווחים למערך על חלק מהאירועים. בגוף תמ"ק ב' נמצא כי בניגוד להנחיות שב"כ, מסמך המדיניות ופק"ם חירום לא תוקפו כנדרש. עד מועד סיום הביקורת לא הוטמע רכיב הגנה מסוים. בגוף ג' לא נמצאו חלק מהנהלים הנדרשים, פק"ם החירום לא תוקף כנדרש ולא נמצא פק"ם התאוששות.

מנתונים שהתקבלו מהיחידה להגנת סייבר בממשלה נמצא כי לא כל הגופים הנמצאים תחת אחריותה מינו מנהל הגנת סייבר, חלקם לא ערכו מסמך מדיניות אבטחת מידע וסייבר, ואחרים טרם השלימו את תהליך סקר הסיכונים הנדרש.

כמו כן, מבדיקת היערכות משרדי הממשלה להכוונת מגזרי המשק השונים התגלו פערים בתשתית המשפטית לתחום הגנת הסייבר. מערך הסייבר הכין תזכיר של חוק הגנת הסייבר, אך במועד סיום הביקורת טרם הושלמו התהליכים הנדרשים לגיבוש נוסח חוק הסייבר.

היות שלא הוסדרו בחקיקה סמכויות עובדי מערך הסייבר כלפי יחידות ההכוונה המגזרית במשרדי הממשלה והארגונים הכפופים לאחריות המערך, עולה החשש כי עובדי המערך נמנעים מביצוע פעולות מסוימות (למשל לקיחת מחשבים לצורך בדיקה), עקב חוסר בהירות בעניין תחומי הסמכות. היעדר תשתית משפטית מספיקה מעורר קושי למלא אחר החלטות הממשלה.

לאור הליקויים שנמצאו, ממליץ המבקר לקדם תהליך חקיקה, בשיתוף מערך הסייבר, משרד המשפטים ומשרד ראש הממשלה, במטרה לעגן את סוגיית הסמכויות. על גופי התמ"ק בשיתוף המערך לבחון את הצורך בהשלמת תהליך המיפוי, כדי שלממשלה תהיה תמונת מצב עדכנית ומדויקת יותר בנושא רמת מוכנותם להתמודדות עם איומי סייבר, ותוכל לתת מענה בהתאם.

על היחידה להגנת סייבר בממשלה לוודא כי רשימת הגופים שהיא מנחה מעודכנת, ולדאוג להנחותם בהקדם. כמו כן, עליה לפעול ביתר שאת לכך שמשרדי הממשלה ויחידות הסמך ישלימו את היערכותם בתחום הגנת הסייבר. על המרכז להכוונת מגזרים ומשרדי הממשלה להשלים בהקדם את מיפוי מגזרי ההכוונה באופן מלא, ולאייש במלואן את יחידות ההכוונה המגזרית בכלל משרדי הממשלה.