לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור
facebook linkedin telegram instagram tiktok threads

הגנת הפרטיות – אבטחת מידע ואיכותו במאגרי מידע ממשלתיים

הדוח המלא /sites/DigitalLibrary/Documents/2009-59b-229-Hagana.doc /sites/DigitalLibrary/Documents/2009-59b-229-Hagana.pdf
הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
הגנת הפרטיות; מידע; מרשם האוכלוסין; מערכת "אביב" תכנת האינטלינקס" (Intellinx)

תקציר

התפתחות עולם המחשבים מאפשרת לאחסן מידע רב במערכות מחשב. חוק יסוד: כבוד האדם וחירותו קובע כי "כל אדם זכאי לפרטיות ולצנעת חייו". על פי חוק הגנת הפרטיות, התשמ"א-1981 (להלן - חוק הגנת הפרטיות), מידע מוגדר "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו". היות שמאגרי מידע מכילים פרטים אישיים, ועלולה להיות פגיעה בפרטיות האדם בין בשוגג בין במזיד אם נתוניו נמסרים לאחר, נדרש לאבטח את המידע. על פי חוק הגנת הפרטיות, אבטחת מידע היא "הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין".

פעולות הביקורת

בחודשים מאי-נובמבר 2008, לסירוגין, בדק משרד מבקר המדינה את הפעולות הנעשות במשרד הפנים ובמוסד לביטוח לאומי (להלן - הביטוח הלאומי) למימוש דרישות חוק הגנת הפרטיות והפסיקה בדבר הגנת הפרטיות ואבטחת המידע במאגרי מידע שבאחריותם. כמו כן נבדקה איכות הנתונים במרשם האוכלוסין.

עיקרי הממצאים

רשות האוכלוסין, ההגירה ומעברי הגבול במשרד הפנים

רשות האוכלוסין, ההגירה ומעברי הגבול במשרד הפנים (להלן - רשות האוכלוסין) מופקדת על מאגרי מידע של ניהול מרשם האוכלוסין. מאגרי המידע הללו ובכללם המרשם מנוהלים באופן ממוחשב במערכת "אביב", המופעלת באמצעות חברה פרטית לשירותי מחשוב שמשרד הפנים התקשר עמה בשנת 1993 . המערכת הוגדרה על ידי הרשות לאבטחת מחשבים במשרד ראש הממשלה כמערכת מידע קריטית בעלת מידע בלתי מסווג, ומנהלה מונחה מקצועית על ידיה.

לא מונה ממונה לאבטחת מידע לא במשרד הפנים ולא ברשות האוכלוסין, בניגוד לדרישות חוק הגנת הפרטיות והתקשי"ר.

בשנים 2006-2007 הוצעה למכירה על ידי אלמוני באתר אינטרנט תכנה המכילה נתונים ממרשם האוכלוסין הכוללים קשרי משפחה בין אזרחים. בישיבת ועדת הפנים והגנת הסביבה של הכנסת במרס 2007 ביקש יו"ר הוועדה חקירה משטרתית בעניין . בעקבותיה פנה משרד הפנים למשטרה בבקשה שתחקור בעניין. בינואר 2008 שלח משרד הפנים למשטרה, לבקשתה, רשימה של 20 לקוחות שמקבלים קובצי עדכון גדולים ממערכת "אביב", שייתכן שהמידע זלג מאחד מהם. במרס 2008 סגרה המשטרה את תיק התלונה בטענה שלא ניתן לחקור כל כך הרבה חשודים, ולכן העבריין לא נודע . בין המסמכים שמסר משרד הפנים למשטרה היה סיכום בדיקה שבו נכללו כעשרה גופים שקיבלו עדכוני מרשם בהיקפים גדולים, ואחד מהם אף זוהה כמקבל נתונים בצורה דומה למבנה המאגר שהופץ באינטרנט. אפילו גוף זה לא נחקר על ידי המשטרה. לא נמצא שמשרד הפנים והמשטרה שיתפו פעולה בחקירה. שיתוף פעולה כזה היה עשוי להניב תוצאות חיוביות. יש לראות בחומרה את כישלונה של רשות האוכלוסין בהגנת פרטיותם של אזרחי המדינה

במרס 2008 הוחל במערך המחשוב של מרשם האוכלוסין ברישום יומן שימוש (להלן - לוג ) לשם מעקב אחר שאילתות שהציגו עובדי משרד הפנים ולקוחות חיצוניים. בבדיקת נתוני הלוג בחודשים מרס-יולי 2008 מצא משרד מבקר המדינה כי הוצגו שאילתות באמצעות הרשאות הגישה של 78 ממשתמשי המערכת, כשאלה שהו בחו"ל בלי שהייתה להם לכאורה גישה למערכת. נוסף על כך, נמצא שהוצגו שאילתות באמצעות הרשאות הגישה של חמישה משתמשים שלפי הרישומים במערכת "אביב" נפטרו לפני מועדי ביצוע השאילתות.

באוגוסט 2008, כעשר שנים מאז מוחשב מרשם האוכלוסין, הוגש לראשונה לרשות האוכלוסין דוח סקר סיכונים על מערכת "אביב". בסקר הסיכונים עלו ליקויים בתחומים אלה: ניהול הססמאות, הפעלת מערכות שליטה ובקרה, כלי ניהול ייעודיים, הצפנת הנתונים, עדכון גרסאות מערכות הפעלה ובדיקת נתוני קלט ממקורות חיצוניים. הליקויים מצביעים על פרצות העלולות להוביל לדליפת נתונים רגישים או לשיבוש הפעילות השוטפת בעקבות ניסיונות תקיפה או טעויות אנוש שלא יתגלו.

מדוח מבקרת הפנים מאפריל 2008 על לשכת אילת עולה כי במשך שנים ניצל לרעה מְנהל מינהל האוכלוסין באילת את מעמדו ואת הגישה הבלתי מוגבלת כמעט שהייתה לו למשאבי מערכת "אביב", בין השאר, למעשים אלה: הנפקת דרכונים שלא כדין וביצוע מניפולציות בתאריכים שונים במרשם. בעקבות הדוח פותח במערכת "אביב" מנגנון בקרה בשם "הרשאת מנהל", שחייבה לקבל אישור ממוחשב של עובד מטה הרשות להשלמת תהליך הנפקת דרכון או לעדכון רטרואקטיבי של המען. השינוי שהוחל בו ביוני 2008 גרם לעיכובים בטיפול בתושבים, מפני שעובדי המטה לא היו תמיד זמינים לאשר את הפעולות. ביולי 2008 הוענקו גם למנהלי לשכות ולסגניהם חלק מההרשאות. הענקת "הרשאת מנהל" לבעלי תפקידים בלשכות רוקנה מתוכן את הבקרה ואת ההשקעה ליישומה.

הועלו כ-200,000 רשומות של אזרחים פעילים שנולדו בארץ בשנות החמישים של המאה העשרים, שחסרים בהן מספרי הזהות של האב והאם. הדבר מקשה על בדיקות ייחוס הנדרשות לקביעת זכאויות (כגון יורשים), התחייבויות או מגבלות התלויות בבני משפחה. עוד הועלו כמיליון רשומות של תושבים פעילים שבהן רשום תאריך עלייה ולא נרשם מאיזו ארץ עלו, וכ-65,000 רשומות של תושבים פעילים שבהן רשומה ארץ העלייה ולא נרשם תאריך העלייה. בכ-550 רשומות של עולים נמצא שתאריך העלייה קדם לתאריך הלידה.

המוסד לביטוח לאומי

בביטוח הלאומי קיים ליקוי מבני מתמשך בעניין אבטחת מידע. הוועדה העליונה לאבטחת מידע בראשות סמנכ"ל משאבי אנוש דאז התכנסה לראשונה בספטמבר 2006 ופעלה במשך כתשעה חודשים. הממונה על אבטחת מידע כפוף ישירות לסמנכ"ל תקשורת ומערכות מידע (תמ"מ). מתוקף תפקידו של הממונה על אבטחת מידע הוא נדרש לבקר חלק מפעילות מערכות המידע של הארגון שהן בסמכותו של סמנכ"ל תקשורת ומערכות מידע (תמ"מ), וכפיפות זו פוגעת באי-תלותו. נוסף על כך, הוא אינו מקבל עליו את מרותו של הקב"ט בהתאם לכללי שירות הביטחון הכללי מ-2004. מן הראוי שהנהלת הביטוח הלאומי תגדיר מבנה יעיל לניהול אבטחת המידע במוסדהּ ותפעל באופן מידי ליישומו.

ביוני 2005 התחייב הביטוח הלאומי בפני בג"ץ  לרשום את כל הפעילות של כל משתמשי התקשורת בביטוח הלאומי. בספטמבר 2006 החליטה הוועדה העליונה לתקשורת ולמערכות מידע לרכוש את תכנת "האינטלינקס" (IntellinX) שמאפשרת לעשות זאת. אף שהיה ידוע למנהל החטיבה לאבטחת מידע עוד באוגוסט 2006 מהן דרישות החמרה לעבודתה התקינה של התכנה, לא נערכה החטיבה בהתאם לכך, דבר המעכב את השימוש בה. אי-אפשר להציג בתכנה שאילתות על המידע ולכן היא לא סיפקה לביקורת הפנימית את הכלים הדרושים לעבודתה, אף שהפעלתה תוכננה להתחיל במוסד לביטוח לאומי ב-2007.

סיכום והמלצות

עידן המידע מעמיד יכולות זמינות לרכז מידע, להעביר אותו במהירות ממקום למקום, להצליבו עם מידע אחר, לנתחו, למיין אותו ולהסיק מסקנות. מידע זה מצוי בידי גופים ציבוריים ופרטיים רבים, והם מחויבים בשמירתו. ללא מנגנוני אבטחה ובקרה מהותיים יש חשש ממשי לניצולו לרעה. עובדה זו מאיימת על הפרט בגלל האפשרות לחשוף בריש גלי את המידע האישי שנוגע לו. ואכן, בעטיים של מחדלים באופן השימוש במידע ובמאגרי מידע ובשמירה עליהם דלף בשנים האחרונות מידע אישי על תושבים ועל קבוצות אוכלוסיה שלמות - בניגוד לחוק הגנת הפרטיות.

על מנת לשפר את המצב יש לנקוט את הצעדים האלה: (א) על רשות האוכלוסין להכין נוהלי אבטחת מידע, להקפיד על יישומם ולאייש את התפקידים הנחוצים למילוי דרישות חוק הגנת הפרטיות. (ב) במוסד לביטוח לאומי יש להפעיל ולנצל את כל המערכות לאבטחת מידע אשר הפעלתן תוכננה כבר ב-2007. (ג) יש לערוך סקר סיכונים, להגדיר מדיניות אבטחת מידע ולהסדיר את המבנה הארגוני הנחוץ לאבטחת מידע במוסד לביטוח לאומי בכלל, ואת שיתוף הפעולה בין הקב"ט למנהל החטיבה לאבטחת מידע בפרט. (ד) מן הראוי להגביר את המודעות של העובדים לחובת השמירה על נוהלי העבודה בעניין אבטחת מידע. לשם מניעת חריגות מההוראות והנהלים ראוי שיפורסמו במסגרת פנים ארגונית העברות שעברו העובדים ואמצעי המשמעת שננקטו כלפיהם, תוך שמירת פרטיותם, וראוי שנושא המשמעת יוצג בקביעות בהנהלות הארגונים.