ניהול מאגרי מידע במשרד הביטחון ואבטחתם

למשרד הביטחון תפקיד מרכזי במימוש יעדי הביטחון הלאומי של מדינת ישראל, ולצורך ביצוע משימותיו הוא משתמש במאגרי מידע רחבי היקף, ובהם מאגרי עובדים, ספקים, לקוחות, נכי צה"ל, משפחות שכולות, חללים, פדויי שבי ויועצים. מאגרים אלה כוללים מידע אישי, כגון נתונים על אישיותו של אדם, מעמדו האישי, מצבו הבריאותי, מצבו הכלכלי והכשרתו המקצועית. חשיפת המידע שבמאגרים עלולה לפגוע בזכות לפרטיות של האנשים שמידע רגיש לגביהם שמור בהם, שהיא אחת מזכויות האדם החשובות בישראל. כמו כן, עלולות להיות לכך השלכות על תפקודו של משרד הביטחון ועל ביטחון המדינה, כמתואר להלן:

 התרשים בקובץ המצורף 

הסיכונים להגנת הפרטיות ולאבטחת המידע שבמאגרי המידע גברו במהלך מלחמת חרבות ברזל נוכח התעצמות מתקפות הסייבר, שהן חלק בלתי נפרד מהמלחמה המודרנית, ובהן מתקפות על מאגרי מידע של גופים ציבוריים והתגברות ניסיונות הודעות הדיוג (פישיניג) המכוונים לגורמים בישראל, ובכלל זה לאנשי מערכת הביטחון לשעבר - ניסיונות שהפכו מתוחכמים יותר וממוקדים יותר ביעד התקיפה באמצעות איסוף מידע מקדים בנוגע לתחומי העיסוק ולתחומי העניין של היעד. בשנת 2024 חלה עלייה של 24% במספר אירועי הסייבר שאימת מערך הסייבר הלאומי בהשוואה לשנת 2023 (17,078 אירועי סייבר בשנת 2024 לעומת 13,040 בשנת 2023). המתקפות הנפוצות ביותר היו אירועי דיוג (פישינג) - בשנת 2024 אומתו 10,084 אירועים לעומת 3,301 בשנת 2023; 44% מאירועי הדיוג בשנת 2023 (1,449) אירעו משבעה באוקטובר ועד סוף שנת 2023. כמו כן, אומתו בשנת 2024 1,771 אירועי חדירה למערכות מחשוב לעומת 1,714 בשנת 2023, מחצית מאירועים אלה בשנת 2023 (873) אירעו משבעה באוקטובר ועד סוף שנת 2023.

התממשות הסיכונים למאגרי המידע של משרד הביטחון עלולה לגרום למשל לחשיפה של מידע אישי על חיילים שנפצעו במלחמה (מאגר נכי צה"ל) או על חטופים מטבח שבעה באוקטובר ששוחררו מעזה (מאגר פדויי שבי) והפכו, בעל כורחם, לעניין ציבורי. נוסף על כך, חשיפת מידע או שיבוש מידע ממאגרים בעלי ערך ביטחוני, דוגמת מאגר עובדי משרד הביטחון ומאגר ספקי המשרד, שנדרש לשמור על חסיונם, עלולים לפגוע ברציפות התפקודית של משרד הביטחון וביכולתו לספק את האמצעים הנדרשים לצה"ל, לגרום לו נזק תדמיתי, לפגוע ביחסיו עם ספקים ולקוחות ולחשוף אותו לקנסות. יתרה מכך, לעניין זה השפעה תודעתית - הדבר עלול אף לזרוע בהלה ותחושת חוסר ביטחון בציבור ולפגוע בקשרי החוץ של המדינה בהקשרים ביטחוניים-מדיניים.

ואכן, במהלך מלחמת חרבות ברזל התממש הסיכון לדלף מידע ממשרד הביטחון: באפריל 2024 פורסם בכלי התקשורת כי באתר אינטרנט שהקימו פצחנים (האקרים) בין-לאומיים פורסם מידע שהודלף בידי גורמים עוינים מתוך פורטלים מינהליים של משרד הביטחון, ונכלל בהם מידע מזהה של עובדי המשרד, מידע על מכרזים ביטחוניים ועל מערכות טכנולוגיות של צה"ל, כגון פרטים על כלי רכב משוריינים, תשריטים הנדסיים ומידע טכני על מערכות צילום לווייניות.

​בחודשים אוגוסט 2024 עד ינואר 2025 בדק משרד מבקר המדינה את האופן שבו משרד הביטחון מנהל את מאגרי המידע שהוא בעל השליטה בהם ואת האופן שבו הוא מאבטח אותם בראי הדרישות החלות עליו כפי שנקבעו בחוק הגנת הפרטיות, התשמ"א-1981, ובתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (תקנות אבטחת מידע). יצוין כי הביקורת לא עסקה באבטחת מידע בהיבטי סייבר. הביקורת נעשתה במשרד הביטחון - באגף תקשוב וניהול מערכות מידע (אגף התקשוב) ובאגף ביטחון; במשרד המשפטים - ברשות להגנת הפרטיות. בדיקות השלמה נעשו באגף שיקום נכים שבמשרד הביטחון.

יצוין כי מכיוון שתיקון מספר 13 לחוק הגנת הפרטיות ייכנס לתוקף באוגוסט 2025, לאחר מועד סיום הביקורת, נבדקה פעילותו של משרד הביטחון אל מול הוראות החוק טרם התיקון ובהלימה לדרישות שיחולו עליו בראייה צופה פני עתיד. בהתאם, ההגדרות והמונחים וכן ההמלצות המוצגים בדוח זה בהתייחס לחוק הגנת הפרטיות ולתקנות הגנת הפרטיות (אבטחת מידע) הם בהתאם לתיקון 13 לחוק. 

​משרד הביטחון הוא בעל שליטה במאגרים הכוללים מידע אישי, כגון נתונים על אישיותו של אדם, מצבו הבריאותי ומצבו הכלכלי. הסיכונים להגנת הפרטיות ולאבטחת המידע שבמאגרים אלו התגברו לנוכח מלחמת חרבות ברזל והתממשותם עלולה לפגוע ביכולתו של משרד הביטחון לספק את האמצעים הנדרשים לצה"ל, לגרום לו נזק תדמיתי, לפגוע ביחסיו עם ספקים ולקוחות ולחשוף אותו לקנסות. יתרה מכך, הדבר אף עלול לזרוע בהלה ותחושת חוסר ביטחון בציבור ולפגוע בקשרי החוץ של המדינה בהקשרים ביטחוניים-מדיניים. 

בשנים האחרונות דָלַף מידע מתוך משרד הביטחון הן כתוצאה מתקיפות סייבר מצד גורמים חיצוניים עוינים והן כתוצאה מטעויות אנוש של עובדי המשרד, לרבות מידע מזהה על בעלי תפקידים במשרד הביטחון.

תמונת המצב העולה מדוח זה מצביעה על פערים חמורים באופן שבו משרד הביטחון מנהל את 14 מאגרי המידע שהוא בעל השליטה בהם ואת אבטחתם, ושבהם קיימים נתונים אישיים בנוגע ל-2.84 מיליון איש. בביקורת עלה כי אגף התקשוב, הנושא באחריות לקיים את הדרישות החלות על משרד הביטחון מתוקף חוק הגנת הפרטיות ותקנות אבטחת מידע, לא מיפה את כלל המאגרים שבבעלות משרד הביטחון משנת 2007, הוא לא קבע נוהל אבטחה למאגרי המידע, לא ביצע סקרים לאיתור סיכוני אבטחת מידע במאגרי המידע שהם ברמת אבטחה גבוהה ולא ערך מבדקי חדירות למערכות של המאגרים האלה לצורך בחינת עמידותן בפני סיכונים פנימיים וחיצוניים. 

נוסף על כך, בדוח עלו ליקויים בנוגע לניהול הרשאות המשתמשים במערכת ניהול זהויות ובמערכת המידע המקושרת למאגר נכי צה"ל - מאגר שבו אגור מידע על אודות כ-230,000 אנשים ובהם גם כ-18,000 פצועים שנוספו אליו בשל מלחמת חרבות ברזל, לרבות מידע על מצבם הבריאותי, מצבם הכלכלי, בני משפחותיהם והשירותים הניתנים להם. מניתוח שביצע משרד מבקר המדינה עלה כי 5 מכל 10 משתמשים חיצוניים (עובדי מיקור חוץ) בעלי הרשאת גישה פעילה למערכת המידע המקושרת למאגר נכי צה"ל, לא נכנסו אליה יותר מחצי שנה. גם יועצים, שמנוהלים במערכות כוח האדם של משרד הביטחון בדומה לעובדי המשרד, לא נכנסו למערכת יותר מחצי שנה, ושיעורם מסך כל המשתמשים שלא נכנסו למערכת היה 20%. במצב זה עולה החשש כי הם בעלי הרשאות למאגר נכי צה"ל שלא לצורך.

על משרד הביטחון לעמוד בדרישות החלות עליו בהיבטי הגנת הפרטיות כמתחייב בחוק ובתקנות, ובפרט לאור תיקון 13 לחוק, שייכנס לתוקף באוגוסט 2025, המתאים את החוק לאתגרים העכשוויים. כמו כן, נוכח הממצאים שעלו בניתוח הנתונים שביצע משרד מבקר המדינה, מומלץ כי משרד הביטחון יבדוק את תהליכי ניהול ההרשאות בכלל מערכות המידע שמקושרות למאגרי המידע של משרד הביטחון. עוד מומלץ כי מנכ"ל משרד הביטחון יסדיר את תחומי האחריות והסמכות בין אגף התקשוב ובין אגף ביטחון בתחום אבטחת המידע במאגרי המידע בראי הגנת הפרטיות. זאת, כדי לצמצם את הסיכונים לפגיעה בפרטיות ולפגיעה במימוש ייעודו של משרד הביטחון.