"מפחיד לחשוב שהביאו אותה רק כדי לסמן וי": איך הגיע המאגר הביומטרי לידיים שלא אמורות לגעת בו? - TechNation - TheMarker

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

"מפחיד לחשוב שהביאו אותה רק כדי לסמן וי": איך הגיע המאגר הביומטרי לידיים שלא אמורות לגעת בו?

החוק קובע כי אבטחת המאגר חייבת להיות מנוהלת על יד עובד מדינה - אך בפועל היא נוהלה בשלוש השנים האחרונות בידי עובדת קבלן ■ התנועה לזכויות דיגיטליות: "הניסיון של העובדת אינו מספק; הרשות לניהול המאגר הביומטרי מתנהלת בחובבנות לאורך כל הדרך"

43תגובות
טביעת אצבע

ניהול האבטחה של אחד ממאגרי המידע הרגישים כיום בישראל, המאגר הביומטרי, נעשה בניגוד לקבוע בחוק. על פי החוק שנחקק ב–2011, מחויבת הרשות לניהול המאגר הביומטרי לאבטח את המאגר תחת ניהולו של עובד מדינה, בעוד בפועל ניהול האבטחה נעשה בשלוש השנים האחרונות על ידי עובדת קבלן — כך עולה מתביעה שמתנהלת בימים אלה בבית הדין לעבודה נגד נציבות שירות המדינה ומשרד הפנים.

מהתביעה שהגישה באוקטובר 2017 מיטל מגעיד, עובדת הרשות שמועסקת בחברת קבלן המספקת שירותי אבטחת מידע חיצוניים למשרד הפנים, עולה כי היא זו ששימשה בפועל כאחראית האבטחה של המאגר מספטמבר 2015. מגעיד היא עובדת של לוג־און, שהיא חברת מיקור חוץ של מומחים באבטחת מידע. החוק קובע כי כל עובדי הרשות חייבים להיות עובדי מדינה. בעצם העסקתה ברשות בכלל וכאחראית אבטחת המידע של המאגר בפרט, עוברת הרשות לניהול המאגר הביומטרי על סעיף 11(ג) לחוק הביומטרי — שכן מדובר בעובדת חוץ שיש לה גישה למאגר.

איתן אבריאל פרטיות - דלג

מגעיד הגישה את התביעה לאחר שניגשה באפריל 2017 למכרז מנהל תחום אבטחת מידע ברשות הביומטרית במשרד הפנים, ונפסלה על ידי הוועדה מלהתמודד על התפקיד. היא התמודדה במכרז מול אבי מנור, ששימש בעצמו ממלא מקום מנהל אבטחת המידע ומנהלה הישיר של מגעיד ומול אילן נעמתי — מתמודד נוסף שנפסל. לבסוף קבעה הוועדה כי מנור, המועסק באופן ישיר על ידי משרד הפנים, הוא היחיד שמתאים להתמודד על תפקיד מנהל אבטחת המידע.

מכתב התביעה עולה כי מגעיד מחזיקה בהשכלה האקדמית המתאימה ובניסיון בתחום: חמש שנים בתחום אבטחת המידע, בין היתר בתעשייה האווירית, ולאחר מכן ברשות לניהול המאגר הביומטרי. לטענתה, לאלה יש להוסיף את שלוש השנים שבהן היא עובדת ברשות כניסיון בפועל בתחום. לטענתה, הוועדה שדנה במכרז לא התייחסה לניסיונה המקצועי — ומכאן עולה תמונה בעייתית.

בתביעה נכתב כי: "מכיוון שהרשות הביומטרית מוגדרת כתשתית קריטית, נדרשת כשירותם של המועמדים לתפקיד אבטחת מידע והיא נבדקת על ידי הקצין המוסמך ממטה הסייבר שמהווה גוף מנחה בתחום זה. בתום ראיונות קבע הקצין המוסמך כי המועמדים, ומיטל מגעיד ביניהם, אינם כשירים לתפקיד ועל כן חברי הוועדה יכולים לדון בהתאמתו לתפקיד של המועמד אבי מנור בלבד".

מגעיד טוענת בתביעתה שפסילתה מהמכרז בטענה שאינה כשירה לשמש בתפקיד אינה ברורה: "התובעת התמודדה לתפקיד שהיא מבצעת בפועל כממלאת מקום כבר שלוש שנים ברציפות". ממעקב אחר מסמכים והחלטות שיצאו מן הרשות ניתן למצוא מסמכים מהשנים האחרונות שעליהם חתומה מגעיד תחת התפקיד אחראית אבטחת מידע.

"המאגר הביומטרי מוגדר כתשתית קריטית, אך בתשתית כזאת לא ניתן לשים בתפקיד ניהול האבטחה מישהי עם ניסיון דל כל כך. זהו מאגר בסיווג רגיש ולא ניתן לאייש את אבטחתו עם מישהו ללא ניסיון", אומר ניר הירשמן, דובר התנועה לזכויות דיגיטליות.

בידוק ביומטרי בנתב"ג
הארץ

"התביעה חושפת את הבעיות במאגר הביומטרי"

אחת העדויות למחדל הגדול של משרד הפנים היא העובדה שאחת מפרשות דליפת המידע הגדולות והחמורות שהיו בישראל בשנים האחרונות התרחשה במשרד זה לפני יותר מעשור — פרשת דליפת מרשם האוכלוסין. במסגרת הפרשה פרטיהם של 9 מיליון ישראלים נגנבו מרשות האוכלוסין ב–2005 על ידי שלום ביליק, עובד מיקור חוץ של משרד העבודה והרווחה, ששימש מתכנת ומנהל מאגרי מידע ותפעל בזמנו את מאגר מרשם האוכלוסין. ביליק, שהורשע בספטמבר האחרון במעשיו היה בעצם עובד קבלן שלאחר סיום עבודתו העתיק ולאחר מכן מכר את המידע לאנשים שבנו ממנו את תוכנת האגרון שמאגדת את המידע שנגנב ממרשם האוכלוסין, ושהופצה ברשת ועדיין נמצאת בידיהם של אנשים רבים אותם לא ניתן לאתר. פרשת האגרון היא אחת הסיבות לכך שלחוק המאגר הוכנס סעיף שמורה על כך שעובדי המאגר יהיו עובדי מדינה.

"התביעה חושפת את הבעיות שיש מאחורי הפרויקט של המאגר הביומטרי וכמה הוא מנוהל בצורה לא אחראית תוך זלזול במידע הרגיש", מוסיף הירשמן. "החוק קובע שחייב להיות מנהל אבטחת מידע. מה שמטריד הוא שמגעיד טוענת שנאמר לה שיש לה מספיק ניסיון כדי לשמש בתפקיד, אך כעת כשהיא ניגשה למכרז פתאום הניסיון שלה לא מספיק. הם ניסו לאחוז את המקל בשני קצותיו. מדובר במחדל — מפחיד לחשוב שמישהו הביא אותה לעבוד ברשות רק כדי לסמן וי".

בית המשפט קיבל את טענתה של מגעיד בכך שלפני כשלושה חודשים החליט להקפיא את המכרז, ונכון לכיום ממשיכה מגעיד לשמש בתפקיד אחראית אבטחת המידע של המאגר הביומטרי.

"הגילוי בפרשה של אבי מנור חמור מכמה סיבות", מסביר עו"ד יהונתן קלינגר, היועץ המשפטי של התנועה לזכויות דיגיטליות. "הסיבה הראשונה היא שמיטל מגעיד, שטוענת שעבדה בתור ממונה על אבטחת מידע ברשות לניהול המאגר הביומטרי בכלל לא היתה עובדת מדינה, וזאת בניגוד לחוק. חוק המאגר הביומטרי קובע במפורש שעובדי הרשות יהיו עובדי מדינה, וגם אז הם צריכים להיות עובדי הרשות בלבד. הסיבה לכך היא לא רק חובות הסודיות והנאמנות הרציניות שקיימות בתקנון שירות המדינה, אלא ניסיון העבר שהראה שעובדים במיקור חוץ, היו מאחורי כמה מהדליפות הרציניות שקרו בארץ".

ע"וד יהונתן קלינגר
תומר אפלבאום

קלינגר הוסיף כי "במקרה הזה מצטיירת תמונה עגומה, לפיה במשך מספר רב של שנים ובניגוד לתגובה של הרשות בעבר לתקשורת, לא היה ממונה אבטחת מידע קבוע, וגם המועמד השני, אילן נעמתי, לפחות לפי עמוד הלינקד־אין שלו, עובד במקביל בעבודה נוספת בחברת ייעוץ. לכל אורך הפרויקט ראינו חובבנות מצד הרשות לניהול המאגר הביומטרי, אבל האם ניתן לצפות מעובד קבלן שיהיה אמיץ מספיק להתריע על ליקויים, ובראש ובראשונה אי־עמידה בדרישות החוק? מדובר על שגיאה מהותית נוספת מבית הרשות לניהול המאגר הביומטרי שמוכיחה שיש לחסל את המאגר לפני שיגיע לידי גורמים עוינים".

מהרשות לניהול המאגר הביומטרי נמסר: "מנהל אבטחת המידע ברשות לניהול המאגר הביומטרי הינו עובד מדינה. לבעל תפקיד זה כפופים בין השאר גם עובדים מחברות חיצוניות כפי שמקובל בשירות המדינה. עובדים אלה מסווגים ברמה הגבוהה ביותר ועוברים בדיקות התאמה ביטחונית כפי שקבוע בחוק".



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#