המבקר: "סיכונים באבטחת הסייבר בצה"ל, חשש לגניבת זהויות"

מבקר המדינה מתניהו אנגלמן פרסם היום (שלישי) את הדו"ח בנושא הגנת הסייבר, ובראשו הפערים המשמעותיים שנמצאו באבטחת סייבר במערכות מידע ביומטרי בצה"ל. לפי המבקר, "פקודת המטכ"ל על הגנת הפרטיות לא עודכנו מ- 1996; בצה"ל יש מידע ביומטרי של חיילים שנפטרו - חשש שהאקרים ישתמשו בכך להתחזות ולגניבת זהות".

אנגלמן כתב כי "צה"ל מנהל מערכות מידע של אמצעי זיהוי שמטרתן לזהות חללים. מדובר במערכות שבאמצעותן מנוהלים מאגרי מידע ביומטריים הכוללים מידע רפואי, אישי ורגיש של מאות אלפי חיילים שהתגייסו לצה"ל, ולכן נדרש כי רמת האבטחה של המאגרים תהיה גבוהה לפי תקנות הגנת הפרטיות בתחום אבטחת המידע. הסיכונים הנשקפים למאגר מידע ביומטרי הם משמעותיים, היות שלהבדיל מאמצעי זיהוי אחרים כמו תעודה, סיסמה או אמצעי פיזי - מידע ביומטרי אי אפשר לבטל או להחליף בעקבות גניבה או דליפת מידע".

מבקר המדינה אנגלמן בדק את מידת ההגנה של מאגרים רגישים אלו הכוללים מידע על כל אחד ואחד מאיתנו ששירת בצה"ל (טביעות אצבע, תצלומי שיניים).  ממצאי הדו"ח משקפים פערים משמעותיים באבטחת המידע המצוי במערכות רגישות אלו, ומעידים על אי-קיום חלק מתקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר. מצב זה יוצר סיכון לפגיעה באמינות, בזמינות ובסודיות של המידע.

הדו"ח כולל ממצאים נוספים הנוגעים להליכי תפעול וניהול של מערכות המידע של אמצעי הזיהוי. נמצא כי מערכות המידע אינן מנוהלות ביעילות ולפי מתודולוגיה סדורה לניהול פרויקטי מערכות מידע, ועקב כך יש חשש שמערכות אמצעי הזיהוי לא יוכלו למלא את ייעודן. כמו כן נמצא כי מנהל הפרויקט לא הכין תכניות עבודה למערכות אמצעי הזיהוי ולא וידא שהקמתן וניהולן של המערכות עומדים ביעדים המקובלים של תכולה, לוחות זמנים, עלויות ושביעות רצון הלקוח. אנגלמן הנחה את ראש אכ"א לפעול לתיקון הליקויים וההמלצות.

להלן פירוט הממצאים העיקריים שעלו בדו"ח:

"המידע הביומטרי בצה"ל נאסף ממתגייסים, משמש לזיהוי חללים ונשמר בשלושה מאגרים של אמצעי זיהוי (מאגר טביעות אצבע וכף היד, מאגר תצלומי שיניים ואוסף כתמי דם). בתהליך ההרכשה שבשרשרת החיול (שר"ח) נוטלים מכל חייל המתגייס לצה"ל טביעת אצבעות ותצלומי שיניים. בהסכמת המתגייס, ניטלים ממנו גם כתמי דם המשמשים להפקת דגימת דנ"א בעת הצורך. תהליך זיהוי החלל מתבצע באמצעות השוואת הנתונים הביומטריים שניטלו מהמתגייס לאלו שניטלו מהחלל", כותב המבקר.

אנגלמן מסביר עוד כי "בצה"ל קיימות שלוש מערכות מידע מרכזיות לניהול תהליך הזיהוי: מערכת א' ומערכת ב' המנהלות את מאגרי אמצעי הזיהוי הוגדרו על ידי צה"ל בסיווג סודי ונדרשות לעמוד ברמת אבטחה גבוהה בהתאם לתקנות אבטחת מידע. מערכת מידע נוספת בשם מערכת ג' מנהלת ומתעדת את הטיפול בחלל ובכלל זה את תהליך זיהוי החלל"

לדברי, "בנוגע למדיניות ההגנה בתחום הסייבר נמצא כי מסמך מדיניות ההגנה לא עודכן מאפריל 2015, במשך שבע שנים, שבמהלכן חלו שינויים טכנולוגיים ובחובות החלות על צה"ל בנושא אבטחת מידע בעקבות פרסום תקנות הגנת הפרטיות (אבטחת מידע) משנת 2017.כמו כן מסמך מדיניות ההגנה של צה"ל כולל התייחסות לחלק מהנושאים שהיחידה להגנת הסייבר בממשלה (יה"ב) הגדירה שיש לכלול במסמך מדיניות להגנת הסייבר, כגון: הגנת רשומות, הגנה לוגית ופיזית והמבנה הארגוני, אך אינו כולל התייחסות לנושאים כגון ניהול וסיווג של נכסים, שרשרת האספקה, משאבי אנוש והתאמה לדרישות החוק (כמו תקנות אבטחת מידע)".

בהיבטי מענה הגנה בתחום הסייבר, עלה כי מערכת א' ומערכת ב' הוגדרו בסיווג סודי עם חסינות בינונית למרות שמערכות אלו נדרשות לעמוד ברמת אבטחה גבוהה לפי תקנות אבטחת מידע, ולמרות הנזק הרב שעלול להיגרם מדליפת מידע ביומטרי רגיש שמוחזק במערכות אלו. כמו כן למערכות אמצעי הזיהוי של צה"ל אין מענה הגנה מפורט במסמך הכולל את דרישות ההגנה הייעודיות למערכות אלו בהתאם לסיווג שלהן".

לפי הדו"ח, בצה"ל יש כמה גורמים העוסקים בהיבטים שונים בתחום אבטחת המידע של מערכות מידע, ובהם: יחידת הגנת הסייבר במרכז המחשבים ומערכות המידע (ממר"ם), מחלקת ביטחון מידע (מחב"ם), קצין האמל"ח וגורמי מדיניות ההגנה באגף התקשוב. אולם אין גורם אחד שנושא באחריות לכל היבטי אבטחת המידע של מערכות אמצעי הזיהוי ותפקידו ותחומי אחריותו הוגדרו בהתאם לתקנה 3 בתקנות אבטחת מידע ובהתאם למדיניות ההגנה של צה"ל.

עוד עלה כי אין בידי אגף כוח האדם בצה"ל תוכנית לבקרה שוטפת על מידת העמידה של מאגרי אמצעי הזיהוי בדרישות תקנות אבטחת מידע, וכן לא בוצעו ביקורות בנושאים אלו. "דו"ח זה משקף פערים בעמידה של המאגרים בדרישות תקנות אבטחת המידע. עוד נמצא כי פקודות המטכ"ל בנושא הגנת הפרטיות לא עודכנו ממועד כתיבתן בשנת 1996 (פרק זמן של 26 שנים), לכן הן אינן מתייחסות לתקנות אבטחת מידע שפורסמו בשנת 2017. כמו כן הרשות להגנת הפרטיות לא ביצעה ביקורות ופעולות פיקוח רוחביות על מאגרי המידע בצה"ל בכלל ועל המאגרים הביומטריים לזיהוי חללים בפרט, כדי לוודא שהמאגרים עומדים בתקנות אבטחת המידע. זאת אף שצה"ל מחזיק במאגרי מידע שבהם שמור מידע רגיש ואישי על אזרחים רבים. צה"ל לא גיבש מסמך הגדרות למאגרי אמצעי הזיהוי כנדרש בתקנות אבטחת מידע, הכולל מידע חיוני הקשור למאגרים ולאופן השימוש בהם, כמו פירוט הסיכונים העיקריים של פגיעה באבטחת המידע ואופן ההתמודדות עמם.

"בנוסף, צה"ל לא בחן אחת לשנה כנדרש בתקנות אם שמור מידע עודף במאגרי אמצעי הזיהוי. במאגרי אמצעי הזיהוי קיים מידע עודף, למשל: מידע ביומטרי על חיילים אשר הלכו לעולמם (נפטרו) ואשר לא בוצע לגביהם תהליך זיהוי. מידע ביומטרי על נפטרים עלול לשמש ביתר קלות למטרת התחזות וגנבת זהות, שכן אין מי שיתלונן על השימוש שנעשה בו. עוד נמצא כי צה"ל לא גיבש נוהל אבטחה פיזית ייעודי למערכות אמצעי הזיהוי כנדרש בתקנה 4 לתקנות אבטחת מידע, זאת אף ששמור בהן מידע ביומטרי, אישי ורגיש החייב ברמת אבטחה גבוהה. כמו כן נמצאו פערים ברמת האבטחה הפיזית של המערכות ביחידה א' בנושאים: הגנה פיזית ובקרה על הכניסות והיציאות, הגנת סביבת העבודה והגנה סביבתית", לשון הדו"ח.

בנוגע לזיהוי חללים בהתרחש אסון רב נפגעים (אר"ן) מעורב של אזרחים וחיילים, עלה כי "לא הוסדר השימוש במרכז איסוף נתוני חללים ("מרכז הצבי") של הרבנות הצבאית בהתרחש אר"ן מעורב של אזרחים וחיילים; כמו כן, אף שצה"ל מחזיק במאגר ובו מאות אלפי רשומות של אזרחים וחיילים הכולל אמצעי זיהוי ייחודיים כדוגמת טביעות עשר אצבעות וכן כפות ידיים, לא הושלמה הבחינה של אפשרות השימוש במאגרי אמצעי הזיהוי המוחזקים בצה"ל לצורך זיהוי חללים בהתרחש אר"ן".

מדובר צה"ל נמסר: "צה"ל מודה למבקר המדינה על ביקורת זו ומתייחס בכובד ראש לממצאיה. מרבית ההמלצות בנושא ניהול ואבטחת המידע הביומטרי התקבלו ונבחנו בצה״ל והגופים הרלוונטיים החלו ביישומן. מאגר המידע הצבאי והמערכות המצוינות בדו"ח נמצאים בתוך הרשת הצה"לית המסווגת ואינם נגישים לגורמים חיצוניים או חשופים לגורמי שאינם מורשים לכך בתוך צה"ל. עם קבלת ממצאי הדו"ח, הותנעו מספר תהליכים לשיפור אבטחת מאגר המידע הביומטרי והשימוש בו.

"כחלק מהתהליכים, הסתיים פיתוח תשתית התוכנה לחיבור מצלמות חדשות אשר נרכשו לטובת שיפור איכות הרכשת הזיהוי בשרשרת החיול. בחלק ממחזורי הגיוס הקודמים השנה, פעלה תחנה ניידת ובה עמדות הרכשה שהושאלו משרשרת החיול, זאת תמשיך לפעול בהתאם לצורך. בצה"ל קיימים מנגנונים למניעת כניסת גורמים בלתי מורשים בצה"ל למערכות אלה, לצד זאת, נבחן שדרוג תשתיות אלו לטובת שיפור נוסף באבטחת המידע.

"מסמך מדיניות ההגנה בסייבר נמצא בימים אלו בתהליך תיקוף ועדכון. המלצת המבקר לעדכנו באופן עתי כל מספר שנים התקבלה והפקודה תתוקף אחת למספר שנים. תוכנית העבודה לשנת 2023 עתידה לכלול אלמנטים לשיפור עמידת מערכות המידע ומאגר המידע בדרישות אבטחת המידע והגנת הפרטיות העדכניות".