מדיניות ההגנה בתחום הסייבר - מסמך מדיניות ההגנה של צה"ל כולל התייחסות לחלק מהנושאים שהיחידה להגנת הסייבר בממשלה (יה"ב) הגדירה שיש לכלול במסמך מדיניות להגנת הסייבר, כגון: הגנת רשומות, הגנה לוגית ופיזית והמבנה הארגוני, אך אינו כולל התייחסות לנושאים כגון...
מענה הגנה בתחום הסייבר - מערכת א' ומערכת ב' הוגדרו בסיווג סודי עם חסינות בינונית למרות שמערכות אלו נדרשות לעמוד ברמת אבטחה גבוהה לפי תקנות אבטחת מידע, ולמרות הנזק הרב שעלול להיגרם מדליפת מידע ביומטרי רגיש שמוחזק במערכות אלו. כמו כן למערכות אמצעי הזיהוי...
ממונה על אבטחת מידע - בצה"ל יש כמה גורמים העוסקים בהיבטים שונים בתחום אבטחת המידע של מערכות מידע, ובהם: יחידת הגנת הסייבר במרכז המחשבים ומערכות המידע (ממר"ם), מחלקת ביטחון מידע (מחב"ם), קצין האמל"ח וגורמי מדיניות ההגנה באגף התקשוב. אולם אין גורם אחד שנ...
עמידה בתקנות אבטחת מידע - אין בידי אכ"א תוכנית לבקרה שוטפת על מידת העמידה של מאגרי אמצעי הזיהוי בדרישות תקנות אבטחת מידע, וכן לא בוצעו ביקורות בנושאים אלו. עוד נמצא כי פקודות המטכ"ל בנושא הגנת הפרטיות לא עודכנו ממועד כתיבתן בשנת 1996 (פרק זמן של 26 שני...
מסמך הגדרות מאגר מידע - צה"ל לא גיבש מסמך הגדרות למאגרי אמצעי הזיהוי כנדרש בתקנות אבטחת מידע, הכולל מידע חיוני הקשור למאגרים ולאופן השימוש בהם, כמו פירוט הסיכונים העיקריים של פגיעה באבטחת המידע ואופן ההתמודדות עימם.
מידע עודף - צה"ל לא בחן אחת לשנה כנדרש בתקנות אם שמור מידע עודף במאגרי אמצעי הזיהוי. במאגרי אמצעי הזיהוי קיים מידע עודף, למשל: מידע ביומטרי על חיילים אשר הלכו לעולמם (נפטרו) ואשר לא בוצע לגביהם תהליך זיהוי. מידע ביומטרי על נפטרים עלול לשמש ביתר קלות למ...
הגנה פיזית - צה"ל לא גיבש נוהל אבטחה פיזית ייעודי למערכות אמצעי הזיהוי כנדרש בתקנה 4 לתקנות אבטחת מידע, זאת אף ששמור בהן מידע ביומטרי, אישי ורגיש החייב ברמת אבטחה גבוהה. כמו כן נמצאו פערים ברמת האבטחה הפיזית של המערכות ביחידה א' בנושאים: הגנה פיזית ובק...
הגנה לוגית - נמצאו פערים ברמת ההגנה הלוגית בנושאים שלהלן: הזדהות; הרשאות גישה; סקר בקרת גישה; בקרה על ביצוע פעולות לא מורשות; מנגנוני הצפנה; בקרה שוטפת לצורך תהליכי הגנה על יישומים.
המשכיות עסקית - צה"ל לא פיתח לתהליך אמצעי הזיהוי תוכנית המשכיות עסקית שמכסה את כל התהליכים הקשורים לאמצעי הזיהוי ואת כל היחידות המעורבות בתהליכים אלו ולא הגדיר מהם החלקים בתהליך שהם קריטיים לאירוע חירום. כמו כן הוא לא ביצע תרגול הפעלה במתכונת חירום של...
שלמות אמצעי הזיהוי - מאגר הנתונים הביומטריים של צה"ל המכיל מאות אלפי רשומות אינו שלם. במאגר קיימות כמה עשרות אלפי רשומות של משרתי חובה וקבע שנכון למועד סיום הביקורת באפריל 2022, חסרים בהן אמצעי הזיהוי האלו: 0.5% מטביעות האצבע, 6.6% מתצלומי הרנטגן, 32.8...