מבקר המדינה מתניהו אנגלמן מפרסם הערב (ג') דו״ח חמור על מוגנות גופי המדינה מפני מתקפות סייבר, הכולל פרק מיוחד על צה״ל וכשליו בנושא זה. המבקר מצא מספר פערים משמעותיים באבטחת הסייבר במערכות מידע ביומטרי בצה"ל, וגילה כי פקודת המטכ"ל על הגנת הפרטיות לא עודכנו משנת 1996.
לפי המבקר, בצה"ל קיים מידע ביומטרי של חיילים שנפטרו ויש חשש ממשי שהאקרים ישתמשו בכך לגניבת זהות של חללי צה״ל ולהתחזות. ״צה"ל מנהל מערכות מידע של אמצעי זיהוי שמטרתן לזהות חללים״, נכתב בדו״ח. ״מדובר במערכות שבאמצעותן מנוהלים מאגרי מידע ביומטריים הכוללים מידע רפואי, אישי ורגיש של מאות אלפי חיילים שהתגייסו לצה"ל, ולכן נדרש כי רמת האבטחה של המאגרים תהיה גבוהה לפי תקנות הגנת הפרטיות בתחום אבטחת המידע״.
המבקר העיר כי הסיכונים הנשקפים למאגר המידע הביומטרי הם משמעותיים, היות שלהבדיל מאמצעי זיהוי אחרים כמו תעודה, סיסמה או אמצעי פיזי – מידע ביומטרי אי אפשר לבטל או להחליף בעקבות גניבה או דליפת מידע.
אנגלמן בדק את מידת ההגנה של מאגרים רגישים אלו הכוללים מידע על כל אחד ואחד מאזרחי ישראל ששירתו בצה"ל. המידע הביומטרי נאסף ממתגייסים, משמש לזיהוי חללים ונשמר בשלושה מאגרים של אמצעי זיהוי: מאגר טביעות אצבע וכף היד, מאגר תצלומי שיניים ואוסף כתמי דם. תהליך זיהוי החלל מתבצע באמצעות השוואת הנתונים הביומטריים שניטלו מהמתגייס לאלו שניטלו מהחלל.
שתיים משלוש מערכות המידע המרכזיות בצה"ל לניהול תהליך הזיהוי, מסווגות כסודיות ונדרשות לעמוד ברמת אבטחה גבוהה בהתאם לתקנות אבטחת מידע. מערכת מידע נוספת מנהלת ומתעדת את הטיפול בחלל ואת תהליך זיהויו.
ממצאי הדו"ח מעידים על אי-קיום חלק מתקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר, למשל מערכת א' ומערכת ב' הוגדרו בסיווג סודי עם חסינות בינונית למרות שמערכות אלו נדרשות לעמוד ברמת אבטחה גבוהה, ולמרות הנזק הרב שעלול להיגרם מדליפת מידע ביומטרי רגיש. כמו כן, למערכות אמצעי הזיהוי של צה"ל אין מענה הגנה מפורט במסמך הכולל את דרישות ההגנה הייעודיות למערכות אלו בהתאם לסיווגן.
עוד נמצא כי מסמך מדיניות ההגנה לא עודכן מאפריל 2015, במשך שבע שנים, שבמהלכן חלו שינויים טכנולוגיים ושינויים בחובות החלות על צה"ל בנושא אבטחת מידע, בעקבות פרסום תקנות הגנת הפרטיות (אבטחת מידע) משנת 2017.
כמו כן, מסמך מדיניות ההגנה של צה"ל כולל התייחסות רק לחלק מהנושאים שהיחידה להגנת הסייבר בממשלה (יה"ב) הגדירה שיש לכלול אותם, והוא אינו כולל התייחסות לשורת נושאים כגון ניהול וסיווג של נכסים, שרשרת האספקה, משאבי אנוש והתאמה לדרישות החוק (כמו תקנות אבטחת מידע).
