המבקר: ליקויים באבטחת המידע של המאגר הביומטרי של רשות האוכלוסין
על רקע הגידול המתמיד באיומי הסייבר ואבטחת המידע, דו"ח מבקר המדינה המתפרסם היום חושף שורה של ליקויים באבטחת המידע בגופים וארגונים שתחת פעילות הממשלה. בין היתר מביע המבקר חשש מפני מענה מוגבל מאד של הביטוח הלאומי אל מול איומי סייבר, ומצביע על ליקויים באבטחת המידע הביומטרי של רשות האוכלוסין. לצד זאת, מתח המבקר ביקורת חריפה על אבטחת המידע בשירות בתי הסוהר ומאגר המידע של המרכז לגביית קנסות (מג"ק) הכולל מידע רגיש בנוגע לכ-3 מיליון חייבים.
הביטוח הלאומי
דו"ח המבקר המתפרסם היום חושפת מציאות מטרידה בנוגע לפער בין איומי הסייבר על מערכות הביטוח הלאומי לבין המשאבים המוקצים לכך על פי הדו"ח, נכון לנובמבר 2022, במוסד לביטוח לאומי (בט"ל) מתבצעות בכל יום כ-2.9 מיליון תקיפות סייבר בממוצע, ומהן כ-66,000 תקיפות שיש בהן פוטנציאל לנזק. עם זאת 20 עובדים, כאשר 6 מהם סטודנטים, מבצעים את הפיקוח על אבטחת המידע בביטוח הלאומי. לשם השוואה, על תחום התקשוב וההגנה בצה"ל מופקד קצין בדרגת אלוף.
על פי המבקר, ישנו צורך מידי בגיבוש מענה אסדרתי מספק הכולל הנחיה של מערך הסייבר הלאומי, הנחיה של הרשות להגנת הפרטיות ותיאום בין שניהם כדי להבטיח את ההגנה המיטבית. כמו כן, בביקורת עלה כי אין גוף מאסדר לבט"ל בתחום הגנת הסייבר המנחה אותו והמפקח עליו בתחום זה.
- כל הכותרות
המאגר הביומטרי הלאומי
בשנתיים הקרובות צפוי לפוג תוקף תעודות הזהות של 3.6 מיליון תושבים, דבר אשר צפוי להביא לעומסים נוספים בלשכות האוכלוסין. אלא שלצד החשש מפני תורים ארוכים והיעדר יכולת לתת מענה לפניות הציבור, הצביע המבקר על כשלים בכל הקשור לאבטחת המידע הביומטרי, אשר מצוי בפיגור ביחס לדרישות החוק.
לפי הדו"ח, על מנת שרשות המאגר הביומטרי הלאומי תוכל לממש את תפקידה - מניעה של זיוף זהות והרכשה כפולה - עליה להיות מצוידת במערכת השוואה ביומטרית. בשנת 2017 נקבע בחוק כי בתום הוראת השעה, המאגר הביומטרי יבוסס על תמונות פנים בלבד וטביעות האצבע שבו יימחקו, אולם התברר כי מערכת ההשוואה הביומטרית הקיימת אינה מתאימה לשם כך. חרף העובדה שבשנת 2020 קבע ראש מערך הסייבר כי קיימים אמצעים טכנולוגיים המתאימים לשם ביסוס המאגר על תמונות פנים בלבד, רק בדצמבר 2022 רשות המאגר הביומטרי הלאומי פרסמה את השלב הראשון במכרז לרכישת מערכת השוואה ביומטרית המתאימה לשם כך. לדברי משרד הפנים, המערכת צפויה להיות מוטמעת לקראת הרבעון הרביעי בשנת 2024.
כמו כן, לצד המאגר הביומטרי הלאומי, רשות האוכלוסין מחזיקה במערכות המידע שלה מאגרי תמונות פנים של מיליוני תושבים. בשל ההתפתחות הטכנולוגית, תמונות הפנים הן באיכות ביומטרית, ועל כן החזקת המאגרים אינה עולה בקנה אחד עם הוראות החוק. כמו כן, רמת ההגנה על מאגרים אלו פחותה מזו של המאגר הביומטרי הלאומי. נמצא כי נכון לאוקטובר 2022, כשלוש שנים לאחר שהממונה על היישומים הביומטריים התריע לראשונה על סוגיה זו, הרשות לא גיבשה פתרון לנושא.
נוכח חומרת ממצאי הביקורת, המבקר אנגלמן המליץ, כי רשות האוכלוסין תפעל לתיקון הליקויים, וכי שר הפנים יוודא שנעשות פעולות לתיקון הליקויים בתחומים האמורים, ובכלל זאת יוודא כי ליקויים בתחום הביטחון וההגנה על המידע יתוקנו בתיאום עם הגורמים המקצועיים האמונים על כך: השב"כ, המשטרה ומערך הסייבר הלאומי.
שירות בתי הסוהר
הגוף השני אשר זכה לביקורת מצד המבקר, בכל הקשור לאבטחת מיד ואיומי סייבר, הוא שירות בתי הסוהר. מבקר המדינה מצא פערים משמעותיים, העומדים בניגוד לפרקטיקה המחייבת בגופים מקבילים בכל אחד מהתחומים הבאים: טיפול במידע דיגיטלי מסווג ובמסמכים מסווגים, הסדרת הטיפול במידע ביטחוני מסווג באמצעות נוהלי אבטחה, שמירה וסיווג מסמכים, טיפול במידע מסווג המתקבל מגורמים חיצוניים, הסדרת הסיווג הביטחוני של עובדים בשב"ס, שימוש באמצעי תקשורת.
כמו כן, ביצע משרד מבקר המדינה מבדקי חדירה בשילוב סקר הערכת פגיעויות בנוגע לרשתות בשב"ס. בבדיקה שבוצעה הועלו פערים משמעותיים, העומדים בניגוד לפרקטיקה המחייבת בגופים מקבילים, בכל אחד מהנושאים הללו: הגנת הסייבר על חלק מהמערכות, ביצוע סקרי סיכונים באבטחת מידע וסייבר וביצוע מבדקי חדירה, היערכות לניהול אירועי סייבר, ניהול משתמשים והרשאות, תהליכי הפיתוח של רשת מחשב מסווגת.
"הביקורת חושפת מציאות רבת שנים שלפיה תחומי האחריות והסמכות של השב"ס ושל המאסדרים בתחום אבטחת המידע המסווג והסייבר ובתחום הטכנולוגיות הדיגיטליות ומערכות המידע אינם מיושמים, הלכה למעשה, באופן תקין וכנדרש. נמצאו פערים יסודיים בתוכנית התאוששות מאסון של המערכות הטכנולוגיות בשב"ס. תמונת המצב העולה מהביקורת היא תוצאה של הזנחה רבת שנים, שבמהלכן לא הייתה משילות טכנולוגית שהניחה יעדים, קבעה תהליכים, הקצתה משאבים, וניהלה כראוי את הסיכונים והמתודולוגיות הארגוניות בתחום הטכנולוגי. קיימת אי-ודאות תקציבית מהותית בנוגע למימוש המענה המתוכנן בתוכנית "קברניט" למכלול הפערים הטכנולוגיים והאבטחתיים", נכתב בדו"ח.
מרכזים רפואיים
בשנים האחרונות גברו גם איומי הסייבר על מערכת הבריאות, ובכלל זה על מרכזים רפואיים. על פי המבקר, מגזר הבריאות היה אחד מעשרת המגזרים המותקפים ביותר בישראל בשנת 2021. במבדק חדירה שביצע משרד מבקר המדינה, באחד המרכזים הרפואיים בארץ, זוהו 13 ממצאים משמעותיים בחמישה תחומים: סגמנטציה ובקרת זרימה, בקרת גישה לרשת, הגנת עמדות ושרתים, תוכנה לא עדכנית וגישה לא מאובטחת.
עשרה מהממצאים היו בדרגת חומרה גבוהה ושלושה בדרגת חומרה בינונית. בעקבות מבדק החדירה תיקנה הנהלת המרכז הרפואי א' כמה ליקויים, ובפרט עדכנה את רמת האבטחה של מערכות מסוימות. להערכת הנהלת המרכז הרפואי, העלות הכוללת לתיקון הליקויים יכולה להסתכם ביותר מ-10 מיליון שקל לשנה באופן שוטף.
המרכז לגביית קנסות
לבסוף מותח המבקר ביקורת גם על מאגר המידע של המרכז לגביית קנסות (מג"ק) הכולל מידע רגיש בנוגע לכ-3 מיליון חייבים. סכומי החוב שבטיפול המג"ק מסתכמים נכון למועד הביקורת בכ-6.8 מיליארד שקל. אף שהמערכת התפעולית של המרכז לגביית קנסות מוגדרת כמאגר שמחייב רמת אבטחה גבוהה, מבקר המדינה בדק ומצא ליקויים בתחום הגנת הפרטיות ואבטחת המידע במערכות המידע במרכז לגביית קנסות שברשות האכיפה והגבייה.
בין הליקויים שעלו: היעדר תיעוד של הגישה של משתמשי המערכת התפעולית של המג"ק למידע המצוי במערכת וכפועל יוצא מכך היעדר בקרה על אותה גישה, אי-ביצוע מעקב הולם אחר אירועים חריגים המתרחשים במערכת, ניהול לקוי של תהליך מתן ההרשאות למערכת התפעולית של המג"ק ושל הפיקוח והבקרה עליהן, היקף גישה בלתי מוגבל של משתמשי המערכת למידע המצוי בה, ניהול לקוי של הרשאות עובדי מוקד המידע הטלפוני למערכת, וכן סיכון לחדירת תוקפים חיצוניים למערכות המג"ק. כמו כן, נמצא כי 7% בלבד מהאירועים החריגים שהתרחשו בספטמבר 2022 נבדקו על ידי גורמי הבקרה במג"ק. 14 הרשאות של עובדי מוקד המידע הטלפוני של מג"ק לא הוסרו למרות שכבר סיימו את עבודתם במוקד.
תודה.
לתגובה חדשה
חזור לתגובה
-
2.מישהו חשב אחרת?! (ל"ת)ג'ון גאלט 17/05/2023 08:49הגב לתגובה זו0 0סגור
-
1.ככה זה ששלiכים בשלטון, שכונה. (ל"ת)נןןטלט 16/05/2023 20:23הגב לתגובה זו0 0סגור
