דוח המבקר: המידע הביומטרי של חיילי צה"ל לא מאובטח כראוי
דוח המבקר: המידע הביומטרי של חיילי צה"ל לא מאובטח כראוי
המבקר מצא כשלים מדאיגים בכל הנוגע לאבטחת המידע האישי והביומטרי של החיילים והביע חשש מפגיעה בסודיותו עקב כך, כמו גם מקושי לעשות בו שימוש בעת הצורך. בשל היעדר מעקב שוטף, המאגרים כוללים גם מידע על חיילים ואזרחים שנפטרו, שעשוי לשמש זייפני זהות במקרה של דליפה
מבקר המדינה מצביע על פערים חמורים באבטחת מידע ביומטרי ומידע אישי שצה"ל אוגר על חייליו בהווה ובעבר, באופן שפוגע בסודיותו. מדובר במאגרי מידע שכוללים טביעות אצבע ותצלומי שיניים שנלקחים מחיילים במהלך שרשרת החיול עם גיוסם לצבא ואמורים לשמש לזיהוי חללים. המידע כולל גם דגימות דם שנלקחות מהמתגייסים, בכפוף להסכמתם, כדי לקיים השוואה של נתונים ביומטריים במסגרת הליכי הזיהוי. נתונים אלה נשמרים בשלוש מערכות מידע מרכזיות שמחזיק הצבא, הכוללות נתונים של אזרחים רבים שנלקחו ונאגרו בהן מאז גיוסם לצה"ל.
המבקר מצא כי חרף סודיות המידע שמאוחסן במערכות אלה, הן לא מנוהלות בצורה יעילה ועל-פי מתודולוגיה סדורה - זאת, באופן שמעלה את החשש שהן לא יוכלו למלא את ייעודן בעת הצורך. עוד מעלה הדוח כי שתיים מתוך שלוש מערכות המידע הצה"ליות לא מוגנות ברמת אבטחה גבוהה כפי שמחייבות תקנות אבטחת המידע חרף הנזק הרב שעלול להיגרם במקרה של דליפה.
עוד נמצא כי אין גורם אחד בצה"ל שנושא באחריות לכלל היבטי אבטחת המידע של מערכות הזיהוי וכי אגף כוח האדם (אכ"א) לא מחזיק בתוכנית לבקרה שוטפת על עמידת מאגרי המידע הרגישים בתקנות אבטחת המידע. בנוסף, פקודות מטכ"ל בנושא הגנת הפרטיות לא עודכנו מאז 1996 ולפיכך הפקודות הנוכחיות כלל לא מתייחסות לתקנות אבטחת המידע שפורסמו בשנת 2017.
זאת ועוד: הביקורת גילתה כי צה"ל לא מברר אחת לשנה, כפי שדורשות התקנות, אם מאגרי המידע שלו כוללים מידע עודף. כתוצאה מכך, מאגרים אלה כוללים מידע ביומטרי רגיש של אנשים שנפטרו, באופן שעלול לשמש ביתר קלות לגנבות זהות ולהתחזות, שכן אין מי שיתלונן על השימוש בפרטים אלה. בחלק מהמקרים נמצאו גם חוסרים של מאות טביעת אצבע שנלקחו מחיילים שהתגייסו בשנים 2016 ו-2017 וחוסרים של אלפי שיניים של אנשי קבע שהתגייסו בין 1994 ל-2004.
ביקורות שנעשו בשנים האחרונות חשפו גם כי כ-95% מתצלומי השיניים שנלקחו מחיילים היו באיכות שאינה מספקת. לפי הדוח, המרכז לאיסוף נתוני חללים של הרבנות הצבאית גם טרם הסדיר שימוש במאגרי הזיהוי של צה"ל באופן שיאפשר לזהות גופות של אזרחים בעקבות אירוע רב נפגעים.
דובר צה"ל מסר בתגובה: "צה"ל מודה למבקר המדינה על ביקורת זו ומתייחס בכובד ראש לממצאיה. מרבית ההמלצות בנושא ניהול ואבטחת המידע הביומטרי התקבלו ונבחנו בצה״ל והגופים הרלוונטיים החלו ביישומן. מאגר המידע הצבאי והמערכות המצוינות בדו"ח נמצאים בתוך הרשת הצה"לית המסווגת ואינם נגישים לגורמים חיצוניים או חשופים לגורמי שאינם מורשים לכך בתוך צה"ל.
"עם קבלת ממצאי הדו"ח, הותנעו מספר תהליכים לשיפור אבטחת מאגר המידע הביומטרי והשימוש בו. כחלק מהתהליכים, הסתיים פיתוח תשתית התוכנה לחיבור מצלמות חדשות אשר נרכשו לטובת שיפור איכות הרכשת הזיהוי בשרשרת החיול. בחלק ממחזורי הגיוס הקודמים השנה, פעלה תחנה ניידת ובה עמדות הרכשה שהושאלו משרשרת החיול, זאת תמשיך לפעול בהתאם לצורך. בצה״ל קיימים מנגנונים למניעת כניסת גורמים בלתי מורשים בצה"ל למערכות אלה, לצד זאת, נבחן שדרוג תשתיות אלו לטובת שיפור נוסף באבטחת המידע.
"מסמך מדיניות ההגנה בסייבר נמצא בימים אלו בתהליך תיקוף ועדכון. המלצת המבקר לעדכנו באופן עתי כל מספר שנים התקבלה והפקודה תתוקף אחת למספר שנים. תוכנית העבודה לשנת 2023 עתידה לכלול אלמנטים לשיפור עמידת מערכות המידע ומאגר המידע בדרישות אבטחת המידע והגנת הפרטיות העדכניות".
