דוח מבקר המדינה | מטביעות אצבע ועד תצלומי שיניים: הליקויים בתחום הסייבר בצה"ל נחשפים

צה"ל מנהל מערכות מידע שבאמצעותן מנוהלים מאגרי מידע ביומטריים הכוללים מידע רפואי, אישי ורגיש של מאות אלפי חיילים שהתגייסו לצה"ל, ולכן נדרש כי רמת האבטחה של המאגרים תהיה גבוהה לפי תקנות הגנת הפרטיות בתחום אבטחת המידע. הסיכונים הנשקפים למאגר מידע ביומטרי הם משמעותיים, היות שלהבדיל מאמצעי זיהוי אחרים כמו תעודה, סיסמה או אמצעי פיזי – מידע ביומטרי אי אפשר לבטל או להחליף בעקבות גניבה או דליפת מידע.

בתוך כך, מבקר המדינה אנגלמן בדק את מידת ההגנה של מאגרים רגישים אלו הכוללים מידע על כל אחד ואחד מאתנו ששירת בצה"ל (טביעות אצבע, תצלומי שיניים). ממצאי הדוח משקפים פערים משמעותיים באבטחת המידע המצוי במערכות רגישות אלו, ומעידים על אי-קיום חלק מתקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר. מצב זה יוצר סיכון לפגיעה באמינות, בזמינות ובסודיות של המידע.

7+

הדוח כולל ממצאים נוספים הנוגעים להליכי תפעול וניהול של מערכות המידע של אמצעי הזיהוי. נמצא כי מערכות המידע אינן מנוהלות ביעילות ולפי מתודולוגיה סדורה לניהול פרויקטי מערכות מידע, ועקב כך יש חשש שמערכות אמצעי הזיהוי לא יוכלו למלא את ייעודן. כמו כן נמצא כי מנהל הפרויקט לא הכין תכניות עבודה למערכות אמצעי הזיהוי ולא וידא שהקמתן וניהולן של המערכות עומדים ביעדים המקובלים של תכולה, לוחות זמנים, עלויות ושביעות רצון הלקוח. על ראש אכ"א לפעול לתיקון הליקויים ולבחון את ההמלצות שבדוח זה.

פירוט הממצאים העיקריים שעלו בדוח:

המידע הביומטרי בצה"ל נאסף ממתגייסים, משמש לזיהוי חללים ונשמר בשלושה מאגרים של אמצעי זיהוי (מאגר טביעות אצבע וכף היד, מאגר תצלומי שיניים ואוסף כתמי דם). בתהליך ההרכשה שבשרשרת החיול נוטלים מכל חייל המתגייס לצה"ל טביעת אצבעות ותצלומי שיניים. בהסכמת המתגייס, ניטלים ממנו גם כתמי דם המשמשים להפקת דגימת דנ"א בעת הצורך. תהליך זיהוי החלל מתבצע באמצעות השוואת הנתונים הביומטריים שניטלו מהמתגייס לאלו שניטלו מהחלל.

בצה"ל קיימות שלוש מערכות מידע מרכזיות לניהול תהליך הזיהוי: מערכת א' ומערכת ב' המנהלות את מאגרי אמצעי הזיהוי הוגדרו על ידי צה"ל בסיווג סודי ונדרשות לעמוד ברמת אבטחה גבוהה בהתאם לתקנות אבטחת מידע. מערכת מידע נוספת בשם מערכת ג' מנהלת ומתעדת את הטיפול בחלל ובכלל זה את תהליך זיהוי החלל.

7+

בנוגע למדיניות ההגנה בתחום הסייבר נמצא כי מסמך מדיניות ההגנה לא עודכן מאפריל 2015, במשך שבע שנים, שבמהלכן חלו שינויים טכנולוגיים ובחובות החלות על צה"ל בנושא אבטחת מידע בעקבות פרסום תקנות הגנת הפרטיות (אבטחת מידע) משנת 2017. כמו כן מסמך מדיניות ההגנה של צה"ל כולל התייחסות לחלק מהנושאים שהיחידה להגנת הסייבר בממשלה הגדירה שיש לכלול במסמך מדיניות להגנת הסייבר, כגון: הגנת רשומות, הגנה לוגית ופיזית והמבנה הארגוני, אך אינו כולל התייחסות לנושאים כגון ניהול וסיווג של נכסים, שרשרת האספקה, משאבי אנוש והתאמה לדרישות החוק (כמו תקנות אבטחת מידע).

מערכות הוגדרו בסיווג סודי בינוני למרות שהיו צריכות שנדרשו לעמוד ברמת אבטחה גבוהה

בהיבטי מענה הגנה בתחום הסייבר, עלה כי מערכת א' ומערכת ב' הוגדרו בסיווג סודי עם חסינות בינונית למרות שמערכות אלו נדרשות לעמוד ברמת אבטחה גבוהה לפי תקנות אבטחת מידע, ולמרות הנזק הרב שעלול להיגרם מדליפת מידע ביומטרי רגיש שמוחזק במערכות אלו. כמו כן למערכות אמצעי הזיהוי של צה"ל אין מענה הגנה מפורט במסמך הכולל את דרישות ההגנה הייעודיות למערכות אלו בהתאם לסיווג שלהן.

בצה"ל יש כמה גורמים העוסקים בהיבטים שונים בתחום אבטחת המידע של מערכות מידע, ובהם: יחידת הגנת הסייבר במרכז המחשבים ומערכות המידע , מחלקת ביטחון מידע, קצין האמל"ח וגורמי מדיניות ההגנה באגף התקשוב. אולם אין גורם אחד שנושא באחריות לכל היבטי אבטחת המידע של מערכות אמצעי הזיהוי ותפקידו ותחומי אחריותו הוגדרו בהתאם לתקנה 3 בתקנות אבטחת מידע ובהתאם למדיניות ההגנה של צה"ל.

7+

פערים בדרישות תקנות אבטחת המידע

עוד עלה כי אין בידי אכ"א תוכנית לבקרה שוטפת על מידת העמידה של מאגרי אמצעי הזיהוי בדרישות תקנות אבטחת מידע, וכן לא בוצעו ביקורות בנושאים אלו. דוח זה משקף פערים בעמידה של המאגרים בדרישות תקנות אבטחת המידע. עוד נמצא כי פקודות המטכ"ל בנושא הגנת הפרטיות לא עודכנו ממועד כתיבתן בשנת 1996 (פרק זמן של 26 שנים), לכן הן אינן מתייחסות לתקנות אבטחת מידע שפורסמו בשנת 2017.

כמו כן הרשות להגנת הפרטיות לא ביצעה ביקורות ופעולות פיקוח רוחביות על מאגרי המידע בצה"ל בכלל ועל המאגרים הביומטריים לזיהוי חללים בפרט, כדי לוודא שהמאגרים עומדים בתקנות אבטחת המידע. זאת אף שצה"ל מחזיק במאגרי מידע שבהם שמור מידע רגיש ואישי על אזרחים רבים. צה"ל לא גיבש מסמך הגדרות למאגרי אמצעי הזיהוי כנדרש בתקנות אבטחת מידע, הכולל מידע חיוני הקשור למאגרים ולאופן השימוש בהם, כמו פירוט הסיכונים העיקריים של פגיעה באבטחת המידע ואופן ההתמודדות עימם.

7+

צה"ל לא בחן אחת לשנה כנדרש בתקנות אם שמור מידע עודף במאגרי אמצעי הזיהוי

בנוסף, צה"ל לא בחן אחת לשנה כנדרש בתקנות אם שמור מידע עודף במאגרי אמצעי הזיהוי. במאגרי אמצעי הזיהוי קיים מידע עודף, למשל: מידע ביומטרי על חיילים אשר הלכו לעולמם ואשר לא בוצע לגביהם תהליך זיהוי. מידע ביומטרי על נפטרים עלול לשמש ביתר קלות למטרת התחזות וגנבת זהות, שכן אין מי שיתלונן על השימוש שנעשה בו.

עוד נמצא כי צה"ל לא גיבש נוהל אבטחה פיזית ייעודי למערכות אמצעי הזיהוי כנדרש בתקנה 4 לתקנות אבטחת מידע, זאת אף ששמור בהן מידע ביומטרי, אישי ורגיש החייב ברמת אבטחה גבוהה. כמו כן נמצאו פערים ברמת האבטחה הפיזית של המערכות ביחידה א' בנושאים: הגנה פיזית ובקרה על הכניסות והיציאות, הגנת סביבת העבודה והגנה סביבתית. כמו כן, נמצאו פערים ברמת ההגנה הלוגית בנושאים שלהלן: הזדהות; הרשאות גישה; סקר בקרת גישה; בקרה על ביצוע פעולות לא מורשות; מנגנוני הצפנה; בקרה שוטפת לצורך תהליכי הגנה על יישומים.

מאגר הנתונים הביומטריים של צה"ל אינו שלם

בביקורת נמצא כי צה"ל לא פיתח לתהליך אמצעי הזיהוי תוכנית המשכיות עסקית שמכסה את כל התהליכים הקשורים לאמצעי הזיהוי ואת כל היחידות המעורבות בתהליכים אלו ולא הגדיר מהם החלקים בתהליך שהם קריטיים לאירוע חירום. כמו כן הוא לא ביצע תרגול הפעלה במתכונת חירום של כל המערך הנדרש לזיהוי חלל. זאת ועוד נמצאו הפערים האלה: צה"ל לא וידא כי המערכות נגישות באופן קבוע מאתרים חלופיים שנקבעו מראש; ביחידת ממר"ם לא נעשו תרגולים עיתיים של אחזור מגיבויים כדי לבדוק את תקינותם ואת העמידה ביעד אחזור הנתונים; האוסף הפיזי של כתמי הדם נשמר במקום יחיד ואין יתירות למידע שבו על ידי שמירתו במקום נוסף.

7+

עוד נמצא כי מאגר הנתונים הביומטריים של צה"ל המכיל מאות אלפי רשומות אינו שלם. במאגר קיימות כמה עשרות אלפי רשומות של משרתי חובה וקבע שנכון למועד סיום הביקורת באפריל 2022, חסרים בהן אמצעי הזיהוי האלו: 0.5% מטביעות האצבע, 6.6% מתצלומי הרנטגן, 32.8% מתצלומי חלל הפה ו-3.8% מדגימות הדנ"א. כמו כן יש חוסרים של מאות טביעות אצבע של חיילים שהתגייסו בשנים 2016 ו-2017 ושל כמה אלפי תצלומי שיניים עבור אנשי קבע שהתגייסו בשנים 1994 – 2004. נוסף על כך, מצא מדור זיהוי רפואי בביקורות שביצע בשנים 2018 – 2019 כי כ-95% מתצלומי השיניים של חלל הפה הם באיכות שאינה מספקת. איכות ההרכשה הירודה של תצלומי השיניים לא טופלה עד מועד סיום הביקורת באפריל 2022.

בנוסף, במערכות אמצעי הזיהוי אין מסמכי יסוד כמו מסמכי דרישות מפורטים או תוצרי ביניים הנדרשים בתהליכי עבודה לפי מתודולוגיות מקובלות לניהול פרויקטי מערכות מידע ולפי הק"א 10/1, ללא מסמכי יסוד ותוצרי ביניים אלו נשקף סיכון שהמערכות המפותחות אינן תואמות לדרישות המשתמשים.

לא הוסדר השימוש במרכז איסוף נתוני חללים

בנוגע לזיהוי חללים בהתרחש אסון רב נפגעים (אר"ן) מעורב של אזרחים וחיילים, עלה כי לא הוסדר השימוש במרכז איסוף נתוני חללים ("מרכז הצבי") של הרבנות הצבאית בהתרחש אר"ן מעורב של אזרחים וחיילים; כמו כן, אף שצה"ל מחזיק במאגר ובו מאות אלפי רשומות של אזרחים וחיילים הכולל אמצעי זיהוי ייחודיים כדוגמת טביעות עשר אצבעות וכן כפות ידיים, לא הושלמה הבחינה של אפשרות השימוש במאגרי אמצעי הזיהוי המוחזקים בצה"ל לצורך זיהוי חללים בהתרחש אר"ן.

7+

המבקר אנגלמן ציין כי ממצאיו של דוח זה משקפים פערים משמעותיים באבטחת המידע המצוי במערכות רגישות אלו, וכן הם מעידים על אי-קיום חלק מתקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר. מצב זה יוצר סיכון לפגיעה באמינות, בזמינות ובסודיות של המידע שבמאגרים. על ראש אכ"א לפעול לתיקון הליקויים ולבחון את ההמלצות שבדוח זה.

היבטים באסדרה ובפיקוח בנוגע לספקי המים המקומיים בתחום הגנת הסייבר

איומי הסייבר הולכים ומתעצמים עם צמיחתו של מרחב הסייבר, ועלולים להוביל לפגיעה הן בתוך המרחב והן בעולם הפיזי, כגון במתקני התפלה, בספקי מים ובתשתיות. לפי מסמכי רשות המים, בשנים האחרונות חלה החמרה באיומי הסייבר על מערכות המחשוב של משק המים והביוב בישראל. מבקר המדינה בדק כמה היבטים באסדרה ופיקוח בנוגע לספקי המים המקומיים בתחום הגנת הסייבר.

הגדרת גופי תשתיות מדינה קריטיות (תמ"ק) במשק המים – נמצא כי חברת מקורות היא גוף התמ"ק היחיד במשק המים, והיא מונחה ישירות על ידי מס"ל. יתר הגופים במשק המים מונחים בהנחיה מגזרית. בביקורת עלה כי סוגיית הגדרת גופי תשתית גדולים נוספים במשק המים טרם נבחנה ונידונה בוועדת ההיגוי הייעודית לכך.

7+

עוד עלה כי במועד סיום הביקורת, דצמבר 2021, מועצת רשות המים לא אסדרה בכללים בהתאם לסמכותה על פי החוק את חובת ספקי המים להפעיל מערך ניטור ובקרה ומערך הגנה מפני אירועי סייבר; את חובותיהם להגיש תוכנית לאבטחת מידע לאישור רשות המים; ואת חובתם לחבר את מערכות המחשב שלהם למרכז הקיברנטי. כמו כן לא אוסדרה סמכות מנהל היחידה המגזרית ברשות המים לתת הנחיות לספקי המים, ולא אוסדרה סמכותם של הספקים לפעול על פיהן. הצעת אסדרה כאמור נקבעה בטיוטת כללי המים (אירוע פגיעה במים), אשר נידונה במועצת הרשות בינואר 2022.

קיבלו ציון נמוך על מוכנותם להגנת סייבר

בנוסף, עד מועד סיום הביקורת, דצמבר 2021, מערך הסייבר לא קבע תקן של יחידה מגזרית ברשות המים. נמצא פער בתקן כוח האדם ביחידה המגזרית ברשות המים לעומת תקן המשרות על פי טיוטת התקן ליחידת המגזרית שגיבש מס"ל. כמו כן עד מועד סיום הביקורת כל המשרות שאינן מתוקננות ביחידה המגזרית ברשות המים מאוישות על ידי עובדי מיקור חוץ.

בביקורת עלו פערים גם בתחום בדיקות חדירה. עוד נמצא בביקורת כי רק חלק מכלל ספקי המים שלדעת רשות המים יש לחברם, חוברו למק"ם משרד האנרגייה עד מאי 2022. בשנים האחרונות ועד מועד סיום הביקורת עשתה רשות המים ביקורות סייבר בחלק מכלל התאגידים. חלק מתאגידי המים שנבדקו בידי רשות המים בשנת 2021, קיבלו ציון נמוך על מוכנותם להגנת סייבר.

7+

המבקר אנגלמן המליץ שמועצת הרשות ורשות המים יפעלו לקידום של הליכי אסדרת חובת ספקי המים להפעיל מערך ניטור ובקרה ומערך הגנה מאירועי סייבר, להכין תוכניות לאבטחת מידע ולעגן בכללי ביטחון מים את סמכות רשות המים לתת לספקי המים הנחיות בתחום הסייבר. כמו כן מומלץ כי הרשות תפעל לחיבורם של כל ספקי המים הנדרשים למק"ם. עוד מומלץ כי רשות המים תשלים את ביקורות הסייבר בתאגידים ובספקי מים אחרים שטרם נבדקו בשנתיים האחרונות, ותפעל להגברת מוכנותם של התאגידים למתקפות סייבר.

מדובר צה"ל נמסר: צה"ל מודה למבקר המדינה על ביקורת זו ומתייחס בכובד ראש לממצאיה. מרבית ההמלצות בנושא ניהול ואבטחת המידע הביומטרי התקבלו ונבחנו בצה"ל והגופים הרלוונטיים החלו ביישומן. מאגר המידע הצבאי והמערכות המצוינות בדו"ח נמצאים בתוך הרשת הצה"לית המסווגת ואינם נגישים לגורמים חיצוניים או חשופים לגורמי שאינם מורשים לכך בתוך צה"ל".

עוד נכתב: "עם קבלת ממצאי הדו"ח, הותנעו מספר תהליכים לשיפור אבטחת מאגר המידע הביומטרי והשימוש בו. כחלק מהתהליכים, הסתיים פיתוח תשתית התוכנה לחיבור מצלמות חדשות אשר נרכשו לטובת שיפור איכות הרכשת הזיהוי בשרשרת החיול. בחלק ממחזורי הגיוס הקודמים השנה, פעלה תחנה ניידת ובה עמדות הרכשה שהושאלו משרשרת החיול, זאת תמשיך לפעול בהתאם לצורך".

לבסוף נכתב כי: "בצה"ל קיימים מנגנונים למניעת כניסת גורמים בלתי מורשים בצה"ל למערכות אלה, לצד זאת, נבחן שדרוג תשתיות אלו לטובת שיפור נוסף באבטחת המידע. מסמך מדיניות ההגנה בסייבר נמצא בימים אלו בתהליך תיקוף ועדכון. המלצת המבקר לעדכנו באופן עתי כל מספר שנים התקבלה והפקודה תתוקף אחת למספר שנים. תכנית העבודה לשנת 2023 עתידה לכלול אלמנטים לשיפור עמידת מערכות המידע ומאגר המידע בדרישות אבטחת המידע והגנת הפרטיות העדכניות".

מרשות המים נמסר בתגובה על דוח המבקר: "משק המים הישראלי הוא משק בטוח, הערוך היטב לשעת חירום, כולל התמודדות עם נושא הסייבר על היבטיו השונים. מזה מספר שנים, רשות המים נערכת להרחבת מערך ההגנה מפני מתקפות סייבר עתידיות על תשתיות המים בישראל, ובתוך כך מנחה ומתרגלת את ספקי המים לעמידה באתגרים אלה. כחלק מההיערכות, מתקיימת פעילות נרחבת בהובלת הרשות ובשיתוף עם רח"ל ופיקוד העורף, להבטחת הגנה מרבית על מתקני המים ומערכות התפעול, לרבות שדרוג מערכות הבקרה הטכנולוגיות וכן הקמה ותפעול שולחן מים ייעודי במרכז הסייבר הלאומי בבאר שבע".

עוד נכתב כי: "חשוב לדעת, כי השילוב בין חיזוק מערך ההגנה מפני התקפות סייבר, גיבוי המערכות, והעובדה שמשק המים בישראל בנוי בצורה מבוזרת וריבוי מקורות מים, מצמצמים את האפשרות להפרעה באספקת המים, וזאת גם במקרה של פגיעות נקודתיות. עד היום, למרות מספר ניסיונות לפגוע במשק המים, לא הייתה הפרעה באספקת המים, איכות המים או סילוק הביוב. רשות המים תמשיך להיערך ולפתח את תחום הסייבר במטרה להבטיח לתושבי ישראל אספקת מים רציפה ובטוחה".