כל אחד מהמתגייסים לצה"ל בוודאי זוכר את הרגע בשרשרת החיול בו נתבקש לתת את הטביעה של עשר אצבעותיו ושל כף היד, אוסף של כתמי דם ובהמשך את תצלום השיניים שבוצע. מדובר בנתונים קריטיים, שכן במידת הצורך הם עשויים לשמש בהליך זיהוי חללים. היינו מצפים שמידע רגיש זה, שכן בניגוד לאמצעי זיהוי אחרים – דוגמת תעודה או סיסמה – לא ניתן להחליף או לבטל או המידע הביומטרי, יהיה מוגן בצורה הטובה ביותר.

דוח מבקר המדינה שפורסם היום (שלישי) מעיד שלא כך המצב – ורמת האבטחה של המאגרים הללו, הכוללים בין היתר מידע רפואי, אישי ורגיש של מאות אלפי חיילים שהתגייסו לצה"ל – וכי ישנן לא מעט בעיות בנושא. ראשית, המבקר מתניהו אנגלמן בדק את מידת ההגנה של מאגרים רגישים אלו, ומהממצאים עולה כי ישנם פערים משמעותיים באבטחת המידע הרגיש השמור בהן וכי מסמך מדיניות ההגנה לא עודכן כלל במהלך שבע השנים האחרונות. 

שתיים מהמערכות הרגישות הללו הוגדרו בסיווג "סודי", אך עם חסינות בינונית, זאת למרות שמערכות אלו נדרשות לעמוד ברמת אבטחה גבוהה לפי תקנות אבטחת מידע, ולמרות הנזק הרב שעלול להיגרם מדליפת המידע המוזק בהן. כאמור, בצה"ל ישנם כמה גורמים העוסקים בהיבטים שונים בתחום אבטחת המידע של מערכות מידע, אך אין גורם אחד שנושא באחריות לכל היבטי אבטחת המידע של המערכות הללו.

עוד עלה מהנתונים כי אין בידי אכ"א תוכנית לבקרה שוטפת על מידת העמידה של מאגרי אמצעי הזיהוי בדרישות תקנות אבטחת מידע, וכן לא בוצעו ביקורות בנושאים אלו. בנוסף, פקודות המטכ"ל בנושא הגנת הפרטיות לא עודכנו מזה למעלה מ-20 שנה, והרשות להגנת הפרטיות לא ביצעה ביקורות ופעולות פיקוח רוחביות על מאגרי המידע בצה"ל בכלל ועל המאגרים הביומטריים לזיהוי חללים בפרט, כדי לוודא שהמאגרים עומדים בתקנות אבטחת המידע. זאת אף שצה"ל מחזיק במאגרי מידע שבהם שמור מידע רגיש ואישי על אזרחים רבים.  

פעילות אגף הסייבר, ארכיון (צילום: דובר צה''ל, למצולמים אין קשר לנאמר בכתבה)
פעילות אגף הסייבר, ארכיון (צילום: דובר צה''ל, למצולמים אין קשר לנאמר בכתבה)

בנוסף, בצבא לא בחנו האם שמור במאגרים מידע עודף, דוגמת מידע ביומטרי על חיילים אשר הלכו לעולמם, ולא בוצע לגביהם תהליך זיהוי. המבקר הדגיש כי מידע ביומטרי על נפטרים עלול לשמש ביתר קלות למטרת התחזות וגנבת זהות, שכן אין מי שיתלונן על השימוש שנעשה בו.

כמו כן, במהלך הביקורת נמצאו פערים רבים, בהם עצם כך שבצבא לא ביצעו תרגול הפעלה במתכונת חירום של כל המערך הנדרש לזיהוי חלל, ולא בוצע וידוא כי המערכות נגישות באופן קבוע מאתרים חלופיים שנקבעו מראש. עוד נמצא כי מאגר הנתונים הביומטריים של צה"ל, המכיל מאות אלפי רשומות אינו שלם, וישנן כמה עשרות אלפי רשומות של משרתי חובה וקבע שחסרים בהן אמצעי הזיהוי רבים. מבדיקות נוספות עלה כי כ-95% מתצלומי השיניים של חלל הפה שבוצעו בשנים 2019-2018 - אינם באיכות מספקת. 

סוגייה נוספת שעלתה בדוח היא שלא הוסדר השימוש במרכז איסוף נתוני חללים ("מרכז הצבי") של הרבנות הצבאית במקרה של אר"ן (אירוע רב נפגעים) במעורבות אזרחים וחיילים, וכי למרות המידע רב שבידי צה"ל - לא הושלמה הבחינה של אפשרות השימוש במאגרי אמצעי הזיהוי המוחזקים בצה"ל לצורך זיהוי חללים בהתרחש אר"ן.

המבקר אנגלמן ציין כי "ממצאיו של דוח זה משקפים פערים משמעותיים באבטחת המידע המצוי במערכות רגישות אלו, וכן הם מעידים על אי-קיום חלק מתקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר. מצב זה יוצר סיכון לפגיעה באמינות, בזמינות ובסודיות של המידע שבמאגרים. על ראש אכ"א לפעול לתיקון הליקויים ולבחון את ההמלצות שבדוח זה".

מדובר צה"ל נמסר: "צה"ל מודה למבקר המדינה על ביקורת זו ומתייחס בכובד ראש לממצאיה. מרבית ההמלצות בנושא ניהול ואבטחת המידע הביומטרי התקבלו ונבחנו בצה״ל והגופים הרלוונטיים החלו ביישומן. מאגר המידע הצבאי והמערכות המצוינות בדו"ח נמצאים בתוך הרשת הצה"לית המסווגת ואינם נגישים לגורמים חיצוניים או חשופים לגורמי שאינם מורשים לכך בתוך צה"ל. עם קבלת ממצאי הדו"ח, הותנעו מספר תהליכים לשיפור אבטחת מאגר המידע הביומטרי והשימוש בו".

"כחלק מהתהליכים, הסתיים פיתוח תשתית התוכנה לחיבור מצלמות חדשות אשר נרכשו לטובת שיפור איכות הרכשת הזיהוי בשרשרת החיול. בחלק ממחזורי הגיוס הקודמים השנה, פעלה תחנה ניידת ובה עמדות הרכשה שהושאלו משרשרת החיול, זאת תמשיך לפעול בהתאם לצורך. בצה״ל קיימים מנגנונים למניעת כניסת גורמים בלתי מורשים בצה"ל למערכות אלה, לצד זאת, נבחן שדרוג תשתיות אלו לטובת שיפור נוסף באבטחת המידע", הוסיפו. 

"מסמך מדיניות ההגנה בסייבר נמצא בימים אלו בתהליך תיקוף ועדכון. המלצת המבקר לעדכנו באופן עתי כל מספר שנים התקבלה והפקודה תתוקף אחת למספר שנים. תכנית העבודה לשנת 2023 עתידה לכלול אלמנטים לשיפור עמידת מערכות המידע ומאגר המידע בדרישות אבטחת המידע והגנת הפרטיות העדכניות", סיכמו בצה"ל.