דוח של מבקר המדינה חשף ליקויים חמורים באבטחת המידע בצה"ל. 

על פי הדוח, ישנם פערים משמעותיים באבטחת סייבר במערכות מידע ביומטרי בצה"ל. בין היתר, נמצא כי צה"ל שמר מידע ביומטרי של חיילים שנפטרו, מה שמשאיר פתח לפצחנים לגניבת זהות.

אין נוהל אבטחה ראוי

על פי הדוח, צה"ל לא בחן כנדרש אחת לשנה כנדרש האם שמור מידע מיותר במאגרי אמצעי הזיהוי. המבקר הבהיר כי מידע ביומטרי על  נפטרים עלול לשמש ביתר קלות למטרת התחזות וגניבת זהות, שכן אין מי שיתלונן על השימוש שנעשה בו.

בנוסף לכך, מעיר המבקר כי בצה"ל אין נוהל אבטחה ייעודי למערכות אמצעי הזיהוי, זאת למרות ששמור בהן מידע ביומטרי אישי ורגיש, המחייב רמת אבטחה גבוהה.

בנוסף לכך, נמצאו פערים רבים, בהם פערים ברמת ההגנה הלוגית בנושאי הזדהות; הרשאות גישה; סקר בקרת גישה; בקרה על ביצוע פעולות לא מורשות; מנגנוני הצפנה; ובקרה שוטפת לצורך תהליכי הגנה על יישומים

המבקר אנגלמן ציין כי ממצאיו של דוח זה משקפים פערים משמעותיים באבטחת המידע המצוי במערכות רגישות אלו, וכן הם מעידים על אי-קיום חלק מתקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר. מצב זה יוצר סיכון לפגיעה באמינות, בזמינות ובסודיות של המידע שבמאגרים. על ראש אכ"א לפעול לתיקון הליקויים ולבחון את ההמלצות שבדוח זה.

צה"ל: "המאגר לא נגיש לגורמים חיצוניים"

מצה"ל נמסר בתגובה כי "צה"ל מודה למבקר המדינה על ביקורת זו ומתייחס בכובד ראש לממצאיה. מרבית ההמלצות בנושא ניהול ואבטחת המידע הביומטרי התקבלו ונבחנו בצה״ל והגופים הרלוונטיים החלו ביישומן".

"מאגר המידע הצבאי והמערכות המצוינות בדוח נמצאים בתוך הרשת הצה"לית המסווגת ואינם נגישים לגורמים חיצוניים או חשופים לגורמי שאינם מורשים לכך בתוך צה"ל.עם קבלת ממצאי הדו"ח, הותנעו מספר תהליכים לשיפור אבטחת מאגר המידע הביומטרי והשימוש בו".

"כחלק מהתהליכים, הסתיים פיתוח תשתית התוכנה לחיבור מצלמות חדשות אשר נרכשו לטובת שיפור איכות הרכשת הזיהוי בשרשרת החיול. בחלק ממחזורי הגיוס הקודמים השנה, פעלה תחנה ניידת ובה עמדות הרכשה שהושאלו משרשרת החיול, זאת תמשיך לפעול בהתאם לצורך".

"בצה״ל קיימים מנגנונים למניעת כניסת גורמים בלתי מורשים בצה"ל למערכות אלה, לצד זאת, נבחן שדרוג תשתיות אלו לטובת שיפור נוסף באבטחת המידע. מסמך מדיניות ההגנה בסייבר נמצא בימים אלו בתהליך תיקוף ועדכון. המלצת המבקר לעדכנו באופן עתי כל מספר שנים התקבלה והפקודה תתוקף אחת למספר שנים".

"תכנית העבודה לשנת 2023 עתידה לכלול אלמנטים לשיפור עמידת מערכות המידע ומאגר המידע בדרישות אבטחת המידע והגנת הפרטיות העדכניות".