למערכת התעודות של המאגר הביומטרי אין אפילו אנטי וירוס
דו"ח של חברת האבטחה קומסק שדלף מהרשות למשפט, מידע וטכנולוגיה חשף כשלים חמורים במערכי ההגנה של המאגר. פיילוט התוכנית מתוכנן להתחיל בעוד כשבוע, למרות הליקויים וסכנת הפריצה
ימים ספורים לפני התחלת פיילוט המאגר הביומטרי,
מסמך שהודלף לרשת חושף בעיות אבטחה במערכת שקשורות להנפקת תעודות הזהות החכמות (שמכונה ממיל"א), אשר עלולות להוביל לחשיפת המידע שעובר בהן.
המערכת המדוברת הינה התעודות האלקטרוניות שיותקנו על השבב החכם שישולב בתעודת הזהות הפיזיות, והן צפויות לכלול את כל המידע האישי והמזהה של האוחז בהן. הדו"ח, שעל דליפתו דווח לראשונה בערוץ 10, הוא חוות דעת שהכינה חברת אבטחת המידע קומסק לבקשת הרשות למשפט, טכנולוגיה ומידע (רמו"ט) במשרד המשפטים.
קראו עוד בכלכליסט:
- המכרז לאבטחת המאגר הביומטרי: מהלך לגיטימי או פתח לדליפת מידע?
- פיילוט המאגר הביומטרי יתחיל בתוך שבועיים
- המדינה רוצה לשכור יחצ"ן שיילחם במתנגדי המאגר הביומטרי
חוזרים בגדול על טעויות העבר
לפי הדו"ח, על מערכות ממיל"א לא מותקנות תוכנות אנטי וירוס, כשל חמור שהוביל בעבר לפריצה למערכות דומות וכתוצאה מכך להנפקת תעודות מזויפות. בנוסף, עולה שבמערך לא מותקנות מערכות למניעת תקיפה וחדירה, בנימוק שמדובר במערך סגור. “מטרת מערכות אלו הינה לא רק למנוע אלא גם לזהות ולהתריע בפני תקיפות וניסיונות חדירה למערכות, לא רק מחוץ לארגון אלא גם על ידי עובדים שאינם מורשים לבצע פעולות מסוגים שונים", נכתב. "ללא מערכות התרעה לא ניתן יהיה לדעת האם מתבצעות פעולות חריגות במערכות ממיל"א ולתחקר אותן כדי למנוע שימוש לרעה בעתיד”.
תעודה חכמה. המערכת שמזינה את המידע לשבב אינה מאובטחת כהלכה
כן נכתב בדו"ח כי הבקשות להנפקת התעודות מועברות בפרוטוקול לא מאבוטח: “למרות שהמידע עובר ברשת שאינה רשת אינטרנט הדבר מהווה סיכון אבטחת מידע. יש להצפין מידע זה מאחר ותוקף יכול להאזין לתעבורה זאת ולשבש אותה". כלומר, יש סכנה שגורם עוין יוכל לנצל את היעדר ההצפנה בעת העברת הנתונים על מנת להחדיר למערכת מידע מזויף. "הטענה שהסיכון נמוך מאחר ומדובר בסיכון מהרשת הפנימית אינו מפצה על כך, ויש לתקן ליקוי זה", נקבע בדו"ח.
עוד מצוין במסמך שליקויים שונים שהתגלו בעבר טרם תוקנו ושאף לא נקבע לוח זמנים לתיקונם, "ולא ברור אם התיקון יתבצע לפני העלייה לאוויר של הפרויקט או אחריה ואם כך אזי תוך כמה זמן”. בנוסף, המערכת עצמה לא עברה בדיקות חדירה מקיפות מספיק, ומחברי הדו"ח ממליצים לבצען לפני התחלת פעילותה.
"ניטרלו את האזעקות ומישהו חושב שהגנב לא יגיע"
"זהו מצב חמור ביותר”, אמר מומחה אבטחת המידע וחבר התנועה לזכויות דיגיטליות, דורון אופק, בהודעה לעיתונות. "הממצאים חושפים את העובדה שאין נהלים, מבוצעים קיצורי דרך ומתייחסים למערכות קריטיות כאילו אין אפשרות לפרוץ אותן. הורידו כאן את מערכות ההגנה, ניטרלו את האזעקות ומישהו חושב משום מה שהגנב לא יגיע”.
מרמו"ט נמסר בתגובה: “המערכת החדשה טרם הופעלה והליקויים שעליהם מצביעה רמו"ט במסגרת הפיקוח שלה אמורים להיות נידונים בימים אלה מול הגורמים הרלוונטיים, כחלק מדיון מקצועי על תפיסת אבטחת המידע במערכת זו. הדיון נמצא בראשיתו והמסמכים כוללים מידע ראשוני וגולמי. המערכת החדשה, שתופעל בינתיים כפיילוט, תיבחן לאורך כל תקופת הפיילוט על פי הסטנדרטים המחמירים ביותר מבחינת אבטחת מידע. המסמך, שנשלח בדואר האלקטרוני, שוגר בשל טעות אנוש לתפוצה רחבה יותר לעומת תפוצתו המקורית. מנכ"ל משרד המשרד המשפטים הטיל על קב"ט המשרד לבדוק את האירוע ולהעביר אליו את מסקנותיו”.
משרד הפנים הפנה את "כלכליסט" לקבלת תגובה ממנהל האוכלוסין. תגובת המנהל טרם התקבלה.