לקויים בניהול ואבטחת מאגרי מידע במשרד הביטחון
למרות הסיכון הרב למתקפות סייבר על מחשבי משרד הביטחון ולמרות הנתונים האישיים של מאות אלפים שנמצאים במאגרי המידע, אין מספיק בקרה ומבחני חדירות כמות מקבלי הרשאות הכניסה למאגרים, כולל המאגר הרגיש על נכי צה"ל בלי שיש להם צורך (70% מהמשתמשים החיצוניים לא נכנסו למערכות למעלה מחצי שנה)
הסיכונים להגנת הפרטיות ולאבטחת המידע שבמאגרי המידע גברו במהלך מלחמת חרבות ברזל נוכח התעצמות מתקפות הסייבר, שהן חלק בלתי נפרד מהמלחמה המודרנית, ובהן מתקפות על מאגרי מידע של גופים ציבוריים והתגברות ניסיונות הודעות הדיוג (פישיניג) המכוונים לגורמים בישראל, ובכלל זה לאנשי מערכת הביטחון לשעבר - ניסיונות שהפכו מתוחכמים יותר וממוקדים יותר ביעד התקיפה באמצעות איסוף מידע מקדים בנוגע לתחומי העיסוק ולתחומי העניין של היעד.
התממשות הסיכונים למאגרי המידע של משרד הביטחון עלולה לגרום למשל לחשיפה של מידע אישי על חיילים שנפצעו במלחמה (מאגר נכי צה"ל) או על חטופים מטבח שבעה באוקטובר ששוחררו מעזה (מאגר פדויי שבי) והפכו, בעל כורחם, לעניין ציבורי. נוסף על כך, חשיפת מידע או שיבוש מידע ממאגרים בעלי ערך ביטחוני, דוגמת מאגר עובדי משרד הביטחון ומאגר ספקי המשרד, שנדרש לשמור על חסיונם, עלולים לפגוע ברציפות התפקודית של משרד הביטחון וביכולתו לספק את האמצעים הנדרשים לצה"ל, לגרום לו נזק תדמיתי, לפגוע ביחסיו עם ספקים ולקוחות ולחשוף אותו לקנסות. יתרה מכך, לעניין זה השפעה תודעתית - הדבר עלול אף לזרוע בהלה ותחושת חוסר ביטחון בציבור ולפגוע בקשרי החוץ של המדינה בהקשרים ביטחוניים-מדיניים.
ואכן, במהלך מלחמת חרבות ברזל התממש הסיכון לדלף מידע ממשרד הביטחון: באפריל 2024 פורסם בכלי התקשורת כי באתר אינטרנט שהקימו פצחנים (האקרים) בין-לאומיים פורסם מידע שהודלף בידי גורמים עוינים מתוך פורטלים מינהליים של משרד הביטחון, ונכלל בהם מידע מזהה של עובדי המשרד, מידע על מכרזים ביטחוניים ועל מערכות טכנולוגיות של צה"ל, כגון פרטים על כלי רכב משוריינים, תשריטים הנדסיים ומידע טכני על מערכות צילום לווייניות.
תמונת המצב העולה מן הביקורת
עמידת משרד הביטחון בדרישות החלות עליו בתחום אבטחת המידע שבמאגרי המידע בהיבטי הגנת הפרטיות - אגף התקשוב במשרד הביטחון לא מימש את האחריות שהוא נושא בה לקיים את הדרישות החלות על משרד הביטחון בתחום אבטחת המידע במאגרי המידע בהיבטי הגנת הפרטיות, ובהן קביעת נוהל אבטחה וביצוע סקרי סיכונים, מבדקי חדירות והדרכה להגברת המודעות של העובדים; זאת משום שהוא נסמך על אגף ביטחון, שהוא הגורם המקצועי ובעל הסמכות בתחום אבטחת המידע של משרד הביטחון, בלא שווידא כי הפעולות שאגף ביטחון מבצע אכן נותנות מענה לכלל הדרישות הייחודיות בהיבט הגנת הפרטיות. יצוין כי אגף ביטחון מבצע פעולות לאבטחת מידע, אולם פעולות אלה דרושות לשם שמירה על מידע מסווג כהגדרתן בחוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח-1998, שמכוחו פועל האגף, והן לא נותנות מענה מלא לאבטחת המידע במאגרי המידע בהיבט הגנת הפרטיות.
אי-עמידה בדרישות אבטחת המידע מתוקף תקנות הגנת הפרטיות מגבירה את הסיכונים הנשקפים למאגרי המידע, ובהם דֶלֶף מידע, שיבוש מידע או פגיעה בזמינותו, זאת בפרט נוכח האתגרים הייחודיים הקיימים באכיפה הנוגעת להגנת הפרטיות במאגרי מידע ממוחשבים. בשנים האחרונות דָלַף מידע מתוך משרד הביטחון הן כתוצאה מתקיפות סייבר מצד גורמים חיצוניים עוינים שהדליפו מידע מתוך פורטלים מינהליים של משרד הביטחון, לרבות מידע מזהה של עובדי המשרד, מידע על מכרזים ביטחוניים ומידע על מערכות טכנולוגיות של צה"ל, ובכלל זה תשריטים הנדסיים ומידע טכני; והן כתוצאה מטעויות אנוש של עובדים שפרסמו בשגגה מספרי תעודות זהות, שמות ומספרי רכב של בכירים במשרד הביטחון.
בקרת משרד הביטחון על יישום תקנות אבטחת מידע במאגרי המידע - בניגוד לנדרש בחוק הגנת הפרטיות ובתקנות, שלפיהם ימונה ממונה אבטחת מידע למאגרי המידע שיבצע בקרה שוטפת על העמידה בדרישות שבתקנות אבטחת מידע, אין בעל תפקיד במשרד הביטחון שאחראי לזהות את הדרישות החלות על המשרד מתוקף החוק והתקנות, ובכלל זה לתקף את העמידה בהם ולבצע בקרה על כך.
עוד עלה כי עד אוקטובר 2024 ראש אגף התקשוב במשרד הביטחון, המופקד על ניהול מאגרי המידע ונושא על פי חוק באחריות ישירה לאבטחת המידע שבמאגרי המידע במשרד הביטחון ולעמידה בחובות המנויות בתקנות בנוגע למאגרי המידע שמשרד הביטחון הוא בעל השליטה בהם, לא וידא שהממונה על אבטחת המידע במאגרי המידע ממלאת את תפקידיה בהתאם לנדרש בתקנות; וממילא הוא לא ביצע בקרה על עמידתו של משרד הביטחון בדרישות החלות על המשרד מתוקף התקנות, חרף חשיבותן של תקנות אלו להגנה על פרטיותם של אנשים שמידע רגיש לגביהם שמור במאגרים וחרף הסיכונים הרבים הנשקפים למאגרים והשלכותיהם הרוחביות - בהיבטי הפרט, הארגון וביטחון המדינה.
מיפוי ורישום מאגרי מידע במשרד הביטחון - שלא בהתאם לנדרש בחוק הגנת הפרטיות, כי בעל שליטה במאגר מידע ירשום את המאגרים במרשם מאגרי המידע ויודיע על שינויים מסוימים הנוגעים למאגרים, אגף התקשוב לא מיפה את כלל המידע שבבעלות משרד הביטחון משנת 2007 כדי לדעת אם הוא כולל מידע אישי כהגדרתו בחוק ובתקנות, ואם חלות על משרד הביטחון דרישות נוספות מתוקף החוק, לרבות החובה לרשום מידע זה במרשם המאגרים.
במצב זה משרד הביטחון לא הכיר בכך שייתכן שיש בבעלותו מאגרי מידע נוספים שלגביהם הוא נדרש לפעול בהתאם להוראות שבחוק הגנת הפרטיות ובתקנות, ובכלל זה מאגרים שכוללים מידע אישי רגיש דוגמת מידע על צנעת חיי המשפחה של אדם; מצב בריאותו; עברו הפלילי; נתוני שכרו; אמונותיו הדתיות; מוצאו; הערכת מאפייני אישיותו המהותיים, ובכלל זה קווי אופי, יכולת שכלית ויכולת תפקוד בעבודה; נתוני מיקומו ונתוני תעבורה.
מידע אישי רגיש מסוג זה עשוי להיכלל למשל במאגרי המידע של מבדקי התאמה מהימנותיים וביטחוניים שמבצע משרד הביטחון לכלל האוכלוסיות שמועסקות בו ובמאגרי המידע של מבדקי הערכה לגיוס עובדים. לפיכך משרד הביטחון אינו מודע לכך שייתכן שחלות עליו חובות נוספות בנוגע למידע אישי שהוא בעל השליטה בו וכן חובות מתוקף תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023, שעמידה בהן מקלה על קיום קשרי מסחר עם המדינות החברות באיחוד האירופי, והיעדרה עלול לפגוע בקשרי החוץ עם מערכות ביטחון זרות שלהן חשיבות רבה למימוש יעדי הביטחון הלאומי של מדינת ישראל.
סיווג המאגרים וגיבוש מענה ההגנה עבורם - בניגוד לנדרש בתקנות אבטחת מידע, שלפיהן יוכן מסמך הגדרות מאגר שמתאר היבטים מרכזיים שנוגעים לו, וכי המאגר יסווג בהתאם לסיכוני האבטחה שהוא מייצר, אגף התקשוב במשרד הביטחון לא הכין מסמך כאמור לכל אחד ממאגרי המידע שהוא בעל השליטה בהם, והוא לא סיווג את מאגרי המידע בהתאם לרמות האבטחה החלות עליהם (בינונית או גבוהה).
במצב זה אין לאגף התקשוב תמונת מצב מלאה ועדכנית בנוגע לכל המאגרים שהוא מנהל אשר תאפשר לו להתאים את מענה ההגנה הנדרש עבורם בהתאם לסיכונים שהם מייצרים. יתרה מכך, מאוגוסט 2025, עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, עלול משרד הביטחון להיות חשוף לעיצומים כספיים בסכום שבין 20,000 ש"ח ל-320,000 ש"ח בגין הפרות שונות של תקנות אבטחת מידע בנוגע לכל מאגר.
ניהול הרשאות גישה במערכת ניהול זהויות
לפי ניתוח שביצע משרד מבקר המדינה, 7 מכל 10 משתמשים חיצוניים בעלי הרשאת גישה לרשת מחשב מרכזית של משרד הביטחון, שהיא שער כניסה למאגרי מידע, לא נכנסו לרשת זו יותר מחצי שנה, מרביתם (60%) לא נכנסו אליה מעולם. במצב זה עולה חשש כי הם בעלי הרשאת גישה שלא לצורך ביצוע תפקידם. מרבית המשתמשים שלא נכנסו לרשת יותר מחצי שנה (90%) הם עובדי מיקור חוץ, וחלק גדול מהם (60%) משויכים לחמישה אגפים שמידת הסיכון לחשיפה של מידע ביטחוני מתוכם או של מידע בנוגע לפרט מתוכם, היא גבוהה. מאחר שרשת זו היא שער הכניסה למאגרי מידע, וקיימים בה נכסים, חלקם רגישים, וכן תשומות המשרתים תהליכים עסקיים ותהליכי הצטיידות של צה"ל, גובר הסיכון לחשיפת מידע אישי בפני מי שאינם מורשים לכך.
אגף התקשוב במשרד הביטחון לא הסדיר שיטת דיווח מצד הגורמים דורשי ההרשאות מאגפי משרד הביטחון וצה"ל בנוגע לסיום תפקידם של משתמשים מקבוצת המשתמשים החיצוניים לצורך ביטול הרשאותיהם. זאת אף שכתוצאה מהיעדר דיווח סדור קיימות הרשאות פעילות שלא לצורך בקבוצת המשתמשים החיצוניים, ובכלל זה הרשאות לרשתות מחשבים ולמערכות מידע שהן שער כניסה למאגרי מידע.
אגף התקשוב אינו מבצע סקירת הרשאות סדורה ומובנית על אלפי המשתמשים המנוהלים במערכת ניהול זהויות ועל עשרות אלפי סוגי ההרשאות שבה לצורך עדכון רשימות המשתמשים, אלא הוא מבצע מפעם לפעם בדיקות ממוקדות של הרשאות לקבוצת משתמשים מצומצמת לפי שיקול דעתו ובאופן ידני. זאת, שלא בהתאם לדרישה בתקנות לנהל רישום מעודכן של המשתמשים ושל הרשאות הגישה שניתנו להם לביצוע תפקידם ואף שאגף התקשוב מודע לקיומן של הרשאות שאינן לצורך בקבוצת המשתמשים החיצוניים.
ניהול הרשאות גישה למאגר נכי צה"ל
לפי ניתוח שביצע משרד מבקר המדינה, 5 מכל 10 משתמשים בעלי הרשאת גישה פעילה למערכת שמש (263 משתמשים מתוך 481) לא נכנסו למערכת זו יותר מחצי שנה, חלקם (29% מהם, שהם 78 משתמשים) לא נכנסו אליה מעולם. במצב זה עולה חשש כי הם בעלי הרשאת גישה שלא לצורך ביצוע תפקידם.
אגף התקשוב במשרד הביטחון לא הסדיר שיטת דיווח מצד הגורמים דורשי ההרשאות בנוגע לסיום תפקידם של משתמשים חיצוניים במערכת שמש לצורך ביטול הרשאותיהם. זאת אף שכתוצאה מהיעדר דיווח סדור קיימות הרשאות פעילות שלא לצורך למערכת שמש בקבוצת המשתמשים החיצוניים. לדוגמה, היו הרשאות פעילות שלא לצורך לעובדים שהועסקו באמצעות ספק חיצוני, דוגמת המוקד הטלפוני של אגף שיקום נכים שמונה עשרות עובדים ומתאפיין בתחלופה של עובדים, וכן לספקים חיצוניים שיכלו להתחבר מרחוק למערכת שמש, וזאת אף שהם סיימו את תפקידם.
כתוצאה מכך, בנסיבות מסוימות עלולים גורמים בלתי מורשים להיחשף למידע אישי לרבות מידע בעל רגישות מיוחדת במאגר נכי צה"ל שכולל פרטים על אודות יותר מ-230,000 אנשים, ובכלל זה מצבם הבריאותי, מצבם הכלכלי, בני משפחותיהם והשירותים הניתנים להם. סיכון זה גובר נוכח הגידול של כ-18,000 פצועים שנוספו למאגר נכי צה"ל בשל מלחמת חרבות ברזל והגידול בעקבות זאת במספר נותני השירותים באגף שיקום נכים המשתמשים במערכת שמש. עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות תוכל הרשות להגנת הפרטיות להטיל על משרד הביטחון עיצומים כספיים בגין אי-ביטול הרשאות גישה למשתמשים מיד עם סיום תפקידם בסכום של 160,000 ש"ח למאגר ברמת אבטחה גבוהה, דוגמת מאגר נכי צה"ל.
נוהל אבטחה למאגרי המידע - אגף התקשוב לא קבע נוהל אבטחה למאגרי המידע כנדרש בתקנות. נושאים מסוימים שאותם יש לכלול בנוהל קיימים בנהלים שקבע אגף הביטחון, דוגמת ניהול אירועי סייבר, הגנה בעבודה עם התקנים ניידים ומדיניות סיסמאות, שהיא חלק ממדיניות הגישה למאגרים; אולם נושאים כגון הסיכונים שלהם חשופים מאגרי המידע, אופן קביעת הסיכונים והטיפול בהם ואופן הבקרה על השימוש במאגרים, אינם מקבלים מענה בנהלים מצד אף גורם במשרד הביטחון. בהיעדר נוהל אבטחה למאגרי המידע נותר משרד הביטחון בלא מדיניות אבטחה סדורה ושלמה להתמודדות עם סיכוני האבטחה שלהם חשוף המידע שבמאגרי מידע ובלא כלי לעריכת ביקורות תקופתיות שיאפשרו לו לוודא את קיומם של אמצעי האבטחה הנדרשים לפי הנוהל ואת תקינותם.
סקרי סיכונים ומבדקי חדירות - אגף התקשוב לא ביצע סקרים לאיתור סיכוני אבטחת מידע במאגרי המידע שהם ברמת אבטחה גבוהה ולא ערך מבדקי חדירות למערכות של המאגרים האלה לצורך בחינת עמידותן בפני סיכונים פנימיים וחיצוניים, כפי שנדרש בתקנות הגנת הפרטיות (אבטחת מידע). אגף התקשוב ואגף הביטחון מבצעים סקרי סיכונים ומבדקי חדירות ברשתות ובמערכות מידע שונות במשרד הביטחון ובאתרי אינטרנט של משרד הביטחון שמפתחות חברות במיקור חוץ כדי לוודא שאין בהם חולשות אבטחה; אולם, אף גורם במשרד הביטחון לא ביצע סקרי סיכונים ומבדקי חדירות ייעודיים בנוגע ל-14 מאגרי המידע שמשרד הביטחון הוא בעל השליטה בהם - הוא לא זיהה, לא ניתח ולא העריך את התרחישים האפשריים להתממשות אירוע אבטחה במאגרים באופן פרטני או בשלבי התהליך העסקי שנוגע אליהם ואת סבירותם להתממש; הוא לא התבסס על מיפוי מאפייני מערכות המידע המעבדות מידע מהמאגרים; והוא לא כלל מיפוי של הבקרות הקיימות בארגון למול הבקרות שראוי ליישם למזעור הסבירות להתממשות הסיכונים.
ממילא משרד הביטחון לא בחן את הצורך בעדכון מסמך הגדרות המאגר או בעדכון נוהל אבטחה למאגרי מידע; הוא לא קבע את הבקרות הנדרשות; ולא בחן את יעילות הבקרות ומנגנוני ההגנה הקיימים. בהיעדר סקרי סיכונים ומבדקי חדירות למאגרי מידע אין למשרד הביטחון את הכלים להעריך את רמת הבשלות שלו להתמודדות עם איום לפגיעה בשלמות המידע האגור במאגרי המידע, בסודיות שלו ובזמינותו; לזהות את נקודות החולשה באבטחת המידע; לקבוע סדרי עדיפויות לטיפול בסיכונים אלו; להבין את הבקרות שעליו ליישם בתוכניות העבודה שלו; ולבחון את יעילות הבקרות ואת מנגנוני ההגנה הקיימים.
מינוי ממונה על אבטחת מידע במאגרי המידע שבמשרד הביטחון - בעקבות ביקורת זו מינה ראש אגף התקשוב ממונה חדשה על אבטחת המידע במאגרי המידע שבמשרד הביטחון והקנה לה סמכויות ותפקידים בהלימה לתקנות אבטחת מידע. זאת לאחר שעד אוקטובר 2024 ראש אגף התקשוב לא וידא שהממונה על אבטחת מידע במשרד הביטחון ממלאת את תפקידיה בהתאם לנדרש.
מיפוי מאגרים - בעקבות הביקורת, בדצמבר 2024, הנחה ראש אגף התקשוב את ראשי האגפים והיחידות במשרד הביטחון לבצע מיפוי של מאגרי המידע באגפיהם וביחידותיהם. יצוין כי הנחייתו נגעה רק למידע שהועבר ממשרד הביטחון לגורמים מחוץ למשרד או התקבל מהם. נכון למועד סיום הביקורת, ינואר 2025, טרם הסתיים המיפוי.
מבקר המדינה מתניהו אנגלמן קבע כי על משרד הביטחון לעמוד בדרישות החלות עליו בהיבטי הגנת הפרטיות כמתחייב בחוק ובתקנות, ובפרט לאור תיקון 13 לחוק, שייכנס לתוקף באוגוסט 2025, המתאים את החוק לאתגרים העכשוויים. כמו כן, נוכח הממצאים שעלו בניתוח הנתונים שביצע משרד מבקר המדינה, על משרד הביטחון לבדוק את תהליכי ניהול ההרשאות בכלל מערכות המידע שמקושרות למאגרי המידע של משרד הביטחון. על מנכ"ל משרד הביטחון להסדיר את תחומי האחריות והסמכות בין אגף התקשוב ובין אגף ביטחון בתחום אבטחת המידע במאגרי המידע בראי הגנת הפרטיות. זאת, כדי לצמצם את הסיכונים לפגיעה בפרטיות ולפגיעה במימוש ייעודו של משרד הביטחון.
