מבקר המדינה: כשלים באבטחת מידע אישי של אזרחי המדינה

הדו"ח האחרון של מבקר המדינה חושף פרצות אבטחה חמורות, בנוגע למידע אישי אודות אזרחים האצור במאגרי המידע של רשויות המדינה. המבקר בדק את הפעולות הנעשות למימוש דרישות חוק הגנת הפרטיות ואבטחת המידע במאגרי המידע שבתחום אחריותם של משרד הפנים והמוסד לביטוח לאומי. כך למשל, עובדי משרד הפנים והביטוח הלאומי מתקשים לדאוג כי מידע רגיש לא ידלוף ואינם פועלים לפי הנהלים להגנה עליו. עוד חושף הדו"ח כי פקידי הביטוח הלאומי נהגו לחטט במידע אישי אודות קרובי משפחה וידוענים. המבקר חושש כי המחויבות למלא אחר הוראות חוק הגנת הפרטיות אינה עומדת בראש סדר העדיפויות של בכירי המשרד. בכלל זה משרד הפנים לא מינה אחראי על אבטחתו של מאגר המידע הממוחשב של מנהל האוכלוסין, בניגוד לנהלים. לדברי המבקר, ייתכן וזו הסיבה לכך שלפני כשנתיים הוצעה למכירה באינטרנט תוכנה ובה נתונים על תושבי המדינה. עם זאת, המשטרה ומשרד הפנים סגרו את תיק החקירה לאחר שלושה חודשים בלבד. הדו"ח מתריע כי הסכנה לדליפת נתונים אישיים עדיין קיימת. בין השאר, קיים חשש לפרצות אבטחה בתחום ניהול הסיסמאות במאגרים ובהצפנת הנתונים. הנה עיקרי הממצאים מתוך הדו"ח -

רשות האוכלוסין, ההגירה ומעברי הגבול במשרד הפנים (להלן - רשות האוכלוסין) מופקדת על מאגרי מידע של ניהול מרשם האוכלוסין. מאגרי המידע הללו ובכללם המרשם מנוהלים באופן ממוחשב במערכת "אביב", המופעלת באמצעות חברה פרטית לשירותי מחשוב שמשרד הפנים התקשר עמה בשנת 1993 . המערכת הוגדרה על ידי הרשות לאבטחת מחשבים במשרד ראש הממשלה כמערכת מידע קריטית בעלת מידע בלתי מסווג, ומנהלה מונחה מקצועית על ידיה.

לא מונה ממונה לאבטחת מידע לא במשרד הפנים ולא ברשות האוכלוסין, בניגוד לדרישות חוק הגנת הפרטיות והתקשי"ר.

בשנים 2006-2007 הוצעה למכירה על ידי אלמוני באתר אינטרנט תכנה המכילה נתונים ממרשם האוכלוסין הכוללים קשרי משפחה בין אזרחים. בישיבת ועדת הפנים והגנת הסביבה של הכנסת במרס 2007 ביקש יו"ר הוועדה חקירה משטרתית בעניין . בעקבותיה פנה משרד הפנים למשטרה בבקשה שתחקור בעניין. בינואר 2008 שלח משרד הפנים למשטרה, לבקשתה, רשימה של 20 לקוחות שמקבלים קובצי עדכון גדולים ממערכת "אביב", שייתכן שהמידע זלג מאחד מהם. במרס 2008 סגרה המשטרה את תיק התלונה בטענה שלא ניתן לחקור כל כך הרבה חשודים, ולכן העבריין לא נודע. בין המסמכים שמסר משרד הפנים למשטרה היה סיכום בדיקה שבו נכללו כעשרה גופים שקיבלו עדכוני מרשם בהיקפים גדולים, ואחד מהם אף זוהה כמקבל נתונים בצורה דומה למבנה המאגר שהופץ באינטרנט. אפילו גוף זה לא נחקר על ידי המשטרה. לא נמצא שמשרד הפנים והמשטרה שיתפו פעולה בחקירה. שיתוף פעולה כזה היה עשוי להניב תוצאות חיוביות. יש לראות בחומרה את כישלונה של רשות האוכלוסין בהגנת פרטיותם של אזרחי המדינה.

במרס 2008 הוחל במערך המחשוב של מרשם האוכלוסין ברישום יומן שימוש (להלן - לוג ) לשם מעקב אחר שאילתות שהציגו עובדי משרד הפנים ולקוחות חיצוניים. בבדיקת נתוני הלוג בחודשים מרס-יולי 2008 מצא משרד מבקר המדינה כי הוצגו שאילתות באמצעות הרשאות הגישה של 78 ממשתמשי המערכת, כשאלה שהו בחו"ל בלי שהייתה להם לכאורה גישה למערכת. נוסף על כך, נמצא שהוצגו שאילתות באמצעות הרשאות הגישה של חמישה משתמשים שלפי הרישומים במערכת "אביב" נפטרו לפני מועדי ביצוע השאילתות.


מקור: TheMarker. לעיון בדו"ח המלא בנושא זה לחץ כאן.