מסקנות ועדה
ה כ נ ס ת
מסקנות
ועדת המדע והטכנולוגיה
בעקבות הצעה לדיון מהיר
הכנסת העשרים
מושב רביעי
בנושא: ליקויי אבטחה בגופים האחראיים על המאגר הביומטרי
של חברות הכנסת יוליה מלינובסקי (מס' 8999), יעל כהן-פארן (מס' 9001), שרן השכל (מס' 9062)
על סמך סעיף 60(ג)(1) לתקנון הכנסת החליטו יושב-ראש הכנסת והסגנים להעביר לדיון מהיר בוועדת המדע והטכנולוגיה את הצעתן של חברות הכנסת יוליה מלינובסקי (מס' 8999), יעל כהן-פארן (מס' 9001) ושרן השכל (מס' 9062), בנושא: ליקויי אבטחה בגופים האחראים למאגר הביומטרי.
בדברי ההסבר להצעה כתבו חברות הכנסת: "השבוע נחשף ליקוי משמעותי באבטחת שרתי מערכת זימון התורים שאפשר לפושעי סייבר ולגורמי טרור להשיג גישה לפרטי ישראלים. בכתבה שפורסמה ב'כלכליסט' נכתב שהמתכנת הישראלי רן בר-זיק הגיע לפרטי מזמיני התורים לרשות האוכלוסין וההגירה, לטענתו, כיוון שהשרת לא היה מאובטח כלל.
הליקוי החמור הנ"ל מעלה ספקות לגבי היכולת של רשות האוכלוסין ומשרד הפנים לאבטח מאגרים רציניים וסודיים יותר, וכן מעורר את השאלה אם נעשים בקרה ופיקוח נכונים על מערך אבטחת מאגרי המידע ובפרט על המאגר הביומטרי.
כמו כן, פורסם בשבוע שעבר שהאחראית לאבטחת המידע במאגר הביומטרי עצמו הועסקה כעובדת של חברת קבלן, בניגוד לחוק שמחייב העסקה של עובד מדינה בתפקיד ראש מערך האבטחה.
שתי הסוגיות הללו מעלות ספקות רבים ושאלות רבות על התנהלות הרשות ומשרד הפנים ויכולתן לאבטח בצורה אחראית את המאגר הביומטרי שבו פרטיהם האישיים ביותר של אזרחי מדינת ישראל".
ועדת המדע והטכנולוגיה, בראשות יושב-ראש הוועדה חבר הכנסת אורי מקלב, קיימה ישיבה בנושא ביום ה' באדר תשע"ח (20 בפברואר 2018).
בדברי הפתיחה לדיון אמר חבר הכנסת אורי מקלב: "חשוב מאוד שנושאים כאלה לא יהיו רק בתקשורת ויהיו בהיבט הציבורי. גם כשמוציאים למיקור-חוץ, חייבת להיות מדיניות ברורה באבטחת המידע של משרדי הממשלה. יש כאן הזדמנות להעלות את הנושא, ולא מתוך מטרה לערוף ראשים אלא מתוך דאגה שכל הנצרך יתוקן עד הסוף ולא יהיה מצב שדברים כאלה ייחשפו ולו במעט".
חברת הכנסת כהן-פארן ייצגה את חברות הכנסת בדיון, ואמרה: "נודע לנו שפרצה של האקרים חובבנים, לא מתוחכמים גדולים ולא איזו ממשלה זרה, הצליחו לחדור למערכת של משרד הפנים. זה מעלה שאלה חמורה על היכולת של המאגר לאבטח את המידע הכה-חשוב והפרטי של כל אזרח ואזרח".
מר עידו תלמי, מנהל אבטחת מידע ברשות האוכלוסין וההגירה, אמר בדיון: "הפרצה שסוקרה בתקשורת קשורה למערכת זימון התורים. במשך 20 יום שרת החברה שנשכרה לתפעל את המערכת לא היה מוגן ובערך 150,000 הודעות סמ"ס של מזמיני תור לתעודה ביומטרית היו חשופות. מייד עם היוודע התקלה של החברה ששכרנו שלחנו צוות תגובה, שבדק את כל מערך החברה ונתן להם הוראות איך לאבטח את כל המידע. כיום אין כזה דבר, לאגור מידע בשרתי החברה. בעקבות התקלה, אנו בתהליכים להפסקת הפעילות עם אותה חברה שסיפקה את השירות".
באשר להעסקת עובדת קבלן בתפקיד האחראית למאגר הביומטרי אמר מאיר גובשטיין, מהרשות לניהול המאגר הביומטרי: "מדובר בעובדת שנשאה בתואר 'אחראית' בהתאם לפרמטרים שנקבעו ע"י נציבות שירות המדינה אך בפועל מהות תפקידה לא עסק באחריות מעשית במערך הכולל . כל מי שאחראי למאגר הביומטרי והוא קובע מדיניות ברשות הוא אך ורק עובד מדינה".
היועצת המשפטית לרשות הביומטרית, עו"ד מרגלית לוי, הוסיפה: "אין תמיד יכולת להעסיק אנשי מחשוב ברמה מקצועית גבוהה, שנדרשים לטיפול שוטף של המאגר הביומטרי, כעובדי מדינה. ועל כן המחוקק מאפשר לגייס עובדים במסגרת מיקור חוץ לתפקיד שלא יכול למלא עובד מדינה, בתנאי שיעברו את כל תהליך הסיווג הנדרש, ורק לאחר אישור ספציפי לכל אחד בחתימת שר הפנים וראש הממשלה".
יושב-ראש הוועדה אורי מקלב סיכם את הדיון:
1. ועדת המדע והטכנולוגיה שמעה את הדיווח של רשות האוכלוסין וההגירה והרשות לניהול המאגר הביומטרי בעניין בדיקתם ותיקון הליקויים אשר גרמו לכשל הטכני.
2. הוועדה רואה חשיבות רבה במדיניות ברורה וסדורה באבטחת המידע והטכנולוגיה בכל הקשור למאגר הביומטרי ולמאגרי המידע, על פי הסטנדרטים המחמירים ביותר ועל פי חוק.
3. הוועדה סבורה כי יש להקפיד שבתפקידי הסמכות וקובעי המדיניות ישרתו עובדי מדינה בלבד.
הוועדה תמשיך ותעקוב אחר הנושא.
המסקנות הונחו על שולחן הכנסת ביום:
כ"ז באדר תשע"ז
14 במרץ 2018