מבקר המדינה: הרשות להגנת הפרטיות לא ביצעה פיקוחי רוחב בממשלה

אולי יעניין אותך גם

פערים מהותיים בהגנה הפיזית, בהגנה הסביבתית וברציפות התפקודית של חדרי שרתים ותקשורת בגופי תשתיות מדינה קריטיות, בגופים חיוניים, במשרדי ממשלה וביחידות סמך. כך מצא דוח מבקר המדינה בנושא "תשתיות תקשוב לאומיות: היבטים פיזיים, סביבתיים ורציפות תפקודית", שפורסם לאחר ביקורת שנערכה מאפריל 2024 עד אפריל 2025. הביקורת כללה 12 גופים ו-26 חדרי שרתים ותקשורת, והעלתה כי האסדרה המחייבת והפיקוח בתחומים אלה חלקיים ואינם אחידים.

ממצאי הדוח מצביעים על חסרים ברמה המדינתית והמגזרית. בתחום ההגנה הסביבתית כמעט שאין אסדרה מחייבת, בתחום הרציפות התפקודית האסדרה לגבי גופי תמ"ק (תשתיות מדינה קריטיות) המונחים בידי מערך הסייבר והשב"כ היא חלקית. בתחום ההגנה הפיזית נמצאה אסדרה חסרה הן ברמה המדינתית והן ברמה המגזרית. עוד עלה כי קיימת שונות בין מגזרים שונים בנושאים המוסדרים, אף שנורמות מקובלות כגון ISO 27001, תורת ההגנה 2.0 ו-NIST 800-53 כוללות בקרות מפורטות בנושאים אלה.

לגבי גופי תמ"ק, הדוח קובע כי מערך הסייבר והשב"כ פרסמו הנחיות חלקיות בלבד, ובפרט לא פרסמו הנחיות לגופים אלה בהיבטי הגנה סביבתית על חדרי שרתים ותקשורת. הפיקוח של מערך הסייבר על יישום הבקרות הקיימות טעון שיפור, בין היתר בשל תיעוד חסר, אי הכללת פערים מסוימים בקובצי הבקרה ואי קביעת לוחות זמנים לתיקון ליקויים.

לא ביצעה פיקוח רוחב

הדוח ממקד ביקורת ברשות להגנת הפרטיות. לפי ממצאיו, האסדרה והפיקוח שהיא מפעילה אינם נותנים מענה מלא להגנה פיזית, להגנה סביבתית ולרציפות תפקודית של מאגרי מידע אישי, לרבות מאגרים רגישים רחבי-היקף בגופים ציבוריים ותשתיות חיוניות.

לרשות מוקנות סמכויות אכיפה ופיקוח מכוח חוק הגנת הפרטיות, התשמ"א-1981 ו-תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. עם זאת, הדוח מציין כי תקנה 6 לתקנות, שכותרתה "אבטחה פיזית וסביבתית", כוללת בפועל הוראות חלקיות בלבד בנושא ההגנה הפיזית על תשתיות ומערכות, ואינה מסדירה היבטי הגנה סביבתית או רציפות תפקודית. עוד עלה כי הרשות לא פרסמה הנחיות או המלצות משלימות בתחום, למרות שנורמות מקובלות בתחום אבטחת המידע, ובהן ISO 27001 ו-NIST 800-53, כוללות בקרות ייעודיות בנושאים אלה.

במישור הפיקוח, נמצא כי בחמש השנים שקדמו לאפריל 2025 הרשות לא ביצעה פיקוח רוחב בכל משרדי הממשלה, ולא כללה בהליכי פיקוח מינהלי היבטים של הגנה פיזית מכוח תקנה 6. זאת, אף שמדובר במאגרים שחלקם כוללים מידע אישי רגיש על כלל תושבי המדינה.