משרד החינוך אשר לא מפקח כשורה על מאגרי המידע

יום ג', 7 במאי 2019
 
מחדלים בתחומי ניהול התקשוב של משרדי הבריאות והחינוך מביאה להפקרת הפיקוח על מידע אישי רגיש של מיליוני תלמידים וחולים בישראל – כך עולה מדו"ח מבקר המדינה שפורסם עתה.
בנוסף, מצא המבקר ליקויים חמורים בפעילות הרשות להגנת הפרטיות במשרד המשפטים, שמתבטאים בהעדר אכיפה ראויה וחוסר יכולת להטיל סנקציות על גופים שמפרים פרטיות של אזרחים.
 
הממצאים מובאים  בפרק נרחב שבוחן הבטים שונים של הגנה על פרטיות במאגרי מידע. בדיקת המבקר נערכה בין מרץ לאוגוסט 2018 והתמקדה ברשות להגנת הפרטיות, במשרד החינוך ובמשרד הבריאות. בדיקות השלמה נעשו במחלקת ייעוץ וחקיקה במשרד המשפטים, במערך הסייבר הלאומי וברשות התקשוב הממשלתי במשרד ראש הממשלה, בשתי קופות חולים ובשני בתי חולים ממשלתיים.
 
"אף שמשרד החינוך מופקד על פעילותם של מוסדות חינוך שמחזיקים במידע אישי רגיש במיוחד על 1.7 מיליון תלמידים, עד היום אין למשרד מדיניות אבטחת מידע וסייבר מאושרת. במקביל, החקיקה בתחום הגנת הפרטיות לא מעודכנת ואינה כוללת התייחסות מיוחדת לילדים. ניסיונות של משרד החינוך להסדיר את הסוגיה בדרכים אחרות לא צלחו, כאשר חוזר מנכ"ל בנושא נמצא בגיבוש לפחות מספטמבר 2013." עוד מגלה המבקר כי הרשות הארצית להערכה ומדידה בחינוך פועלת מאז הקמתה לפני 12 שנים בלי שנחקק חוק המסדיר את פעולתה, תפקידיה וסמכויותיה. כמו כן, לא נקבעו כללים לאיסוף, להחזקה ולשמירה של מידע רגיש ומזוהה, ולהעברתו ממאגריה לגורמים אחרים.
 
מחדלי משרד החינוך  
 
מוסדות חינוך רבים החלו להציב מצלמות בתוך המבנים בשנים האחרונות. ואולם, אף שמשרד החינוך פרסם חוזר מנכ"ל בנושא ב-2015, בפועל פעולות הבקרה של המשרד לא בודקות האם דרישות החוזר ממולאות ולא נותנות תמונה מלאה על אופן הטמעת ההוראות.
 
כמו כן גילה המבקר שמשרד החינוך לא מבצע בדיקות מקדימות, כפי שנדרש בתקנות אבטחת מידע, לפני פרסום מכרזים לשירותי מיקור חוץ שכוללים גישה למאגרי מידע של המשרד או קבלת מידע מהם. "משהתקבלו הצעות במכרזים, לא נעשית בדיקה אם הספקים עומדים בדרישותיו של נספח אבטחת המידע שצורף למכרז", נכתב עוד. "בהתקשרויות הפטורות ממכרז אין גורם מקצועי במשרד החינוך המנסח דרישת עמידה בחובות וסטנדרטים של אבטחת מידע. בתקופת ההתקשרות עם ספקים משרד החינוך לא עושה בקרה ופיקוח בתחום אבטחת מידע".
משרד החינוך גם לא ערך מיפוי מלא של מאגרי המידע שברשותו, כאשר בתקופת הביקורת היתה הפעילות בתחום רק בראשית דרכה עם צפי לסיום ביוני 2019. "במשרד החינוך אף אין רשימה מרוכזת של ספקים שזכו במכרזים, ולמעשה אין למשרד החינוך תמונה מלאה על אותם ספקים המחזיקים במאגרי מידע, ואין דרך ליישם את התקנות וההנחיות השונות הנוגעות לאבטחת המידע".
 
בחלק ההמלצות מציין המבקר שמשרד החינוך מקדם פרויקט שיאפשר קישור בין נתונים מכמה מאגרים קיימים. "יש לבחון אם מאגר זה עומד בהגדרת 'מאגר מידע' חדש ו'מאגר על', הטעון רמת הגנה גבוהה יותר, וכן ניהול ורישום מיוחדים", הוא אומר. "על צוות ההיגוי המנהל את הפרויקט לשקול לערב את הרשות להגנת הפרטיות ואת מחלקת ייעוץ וחקיקה במשרד המשפטים בקידומו, על מנת שיוטמעו בו דרישות יסודיות מתחום אבטחת המידע והגנת הפרטיות".
 
כן ממליץ המבקר למשרד לפעול מיידית להסדרת פעילות הרשות להערכה ומדידה, לבחון ולאכוף את יישום ההוראות לגבי שימוש במצלמות בבתי ספר ולשלב שלב מקדמי לפני פרסום מכרזים בהתאם לדרישות תקנות אבטחת מידע. "על משרד החינוך לפקח על עמידתם של ספקים בדרישות אבטחת מידע שנכללו בהסכמים עימם נוכח ההשלכות ופוטנציאל הפגיעה בפרטיות התלמידים, כדי להפחית את הסיכון שאירוע של גילוי מידע רגיש על תלמידים באינטרנט יישנה", הוא אמר.
 
משרד הבריאות: מידע רפואי מופקר  
 
מידע רפואי הוא כנראה המידע האישי הרגיש ביותר שבנמצא, ולדליפתו או לגניבתו יכולות להיות השלכות חמורות. ואולם, אף שחוזר מנכ"ל של משרד הבריאות מחייב עמידה בתקן אבטחת מידע במערכות בריאות על מנת לקבל או לחדש רישיון לנהל מוסד רפואי, מתוך 1,500 מוסדות שמחויבים ברישיון שכזה רק 150 בלבד (מרביתם בתי חולים וקופות חולים) קיבלו הסמכה לתקן. "שאר המוסדות הטעונים רישיון, ובהם בתי חולים גריאטריים, מרכזים למשתמשים בסמים, מרפאות כירורגיות ומרפאות שיניים, לא קיבלו הסמכה לתקן, ומשרד הבריאות אינו אוכף עליהם חובה זאת".
 
בנוסף, למרות שכבר לפני שנה פרסמה ועדה של המשרד המלצות בנושא, המשרד עדיין לא הנחה את המוסדות הרלוונטיים לגבי מקרים שיחייבו דיווח על אירועי אבטחת מידע, והמשרד "טרם קבע כללים ל'התממה' (הסרת מרכיבים מזהים מובהקים ממידע אישי והמרתם בערכים כלליים יותר) ולקידוד של מידע רפואי אישי לצורכי מחקר, לרבות מחקרים בנתוני עתק".
 
"גם כשמוסד רפואי מעביר לחוקרים מידע שאינו מזוהה, הדבר נעשה באמצעות קידוד בלבד ולא בהתממה מלאה, כאמור בהנחיות משרד הבריאות". בנוסף, המחלקה לניסויים קליניים במשרד הבריאות לא בודקת אם הועבר מידע רפואי אישי על מטופלים לגורמים שאינם מורשים.
 
המבקר ממליץ למשרד הבריאות למפות מוסדות רפואיים שמחייבים רישיון ושלא מחזיקים בהסמכה לתקן אבטחת מידע ולהניעם להשגתו, וליצור תוכנית פיקוח ובקרה על אבטחת מידע במוסדות אלו. "על משרד הבריאות בשיתוף משרד המשפטים לפעול לקביעתם של כללי התממה מתאימים בשים לב לצורכי המחקרים מזה ולחובת ההגנה על פרטיותם של נושאי המידע מזה", הוסיף.
 
הרשות להגנת הפרטיות: אין אכיפבה והרתעה  
 
לגבי הרשות להגנת הפרטיות ציין המבקר שהיא נעדרת יכולת להטיל סנקציות יעילות שכן הצעת חוק שנועדה להרחיב את סמכויות האכיפה שלה לא קודמה בגלל מחלוקת בין משרד המשפטים (שתחתו יושבת הרשות) לבין מערך הסייבר הלאומי במשרד ראש הממשלה. "לא קיימת סנקציה יעילה, בין השאר, בגין הפרה של חובת אבטחת המידע, והדבר פוגע ביכולת ההרתעה של הרשות". עוד התריע המבקר שמעורבות הרשות בכל הנוגע לסוגיות הגנת פרטיות במאגרי מידע שעולומת במגזר הציבורי חלקית, למרות החשיבות שהיא מייחסת לנושא. לדבריו, הרשות לא מעורבת בצורה יעילה בפרויקטים ממשלתיים ודיונים בכנסת בנושא מתקיימים ללא נציגיה.
רק ארבעה גופים ציבוריים שמקבלים באופן שוטף מידע מגוף ציבורי אחרי מדווחים על כך לרשם מאגר מידע, והרשות לא עורכת אכיפה יזומה מול גופים שלא מדווחים בהתאם לחוק. "הרשות אינה מעודכנת על העברות מידע בין גופים ציבוריים גם בקשר ל'מאגרי על' שהם, על פי הגדרתם, מאגרים בעלי מידע רגיש, שפגיעה בחשאיותם, באמינותם, בשלמותם ובזמינותם עלולה לגרום נזק רב מאוד לציבור ולמדינה בהיבטים מדיניים-ביטחוניים, כלכליים או אזרחיים".
הרשות גם כשלה בפעילות שוטפת כמו פרסום הנחיות פעילות בהבטים שונים. בין 2008 ל-2018 פורסמו רק 15 הנחיות בתחום הגנת הפרטיות, כאשר בין 2013 ל-2016 לא פורסמו הנחיות כלל, גם בנושאים שהרשות סברה שיש לפרסם לגביהם הנחיות. "הרשות לא קבעה מדיניות אכיפה סדורה", מוסיף המבקר. "בעשור האחרון פחתו פעולות האכיפה שהרשות נקטה בהן בהשוואה לתחילתו, ואף שבשלהי העשור חלה עלייה, עדיין מספרן קטן משהיה בשנים 2008 - 2009. זאת, על אף הגידול בהיקפו של שוק המידע האישי בישראל ועל אף שכוח האדם בתחום האכיפה ברשות גדל במשך השנים עד להכפלתו".
 
 
 
מבקר המדינה ממליץ למשרד המשפטים לבחון את תיקוני החקיקה הנדרשים בחוק הגנת הפרטיות, ולרשות עצמה ממליץ המבקר לקבוע מדיניות אכיפה שתתאים למפת הסיכונים של הפגיעה בפרטיות. 
 
בחלק אחר בדו"ח בחן מבקר המדינה הבטים שונים בהגנה על הפרטיות ובאבטחת מידע במשרד החקלאות. הבדיקה, שנערכה בין אוקטובר 2017 למרץ 2018, מצאה שורה של ליקויים ובהם העובדה שלא מופו וזוהו מאגרי המידע שבידי המשרד, וכן שמהשרד לא מינה מנהלים למאגרי המידע.  
 
ממשרד החינוך נמסר בתגובה: "סוגיית אבטחת המידע מעסיקה את משרד החינוך מדי יום ביומו ולכן הוא נוקט בשורה של פעולות כדי להבטיח עקרון חשוב זה".
 
מהרשות להגנת הפרטיות נמסר: "בשנים האחרונות גדל היקף פעילות הרשות להגנת הפרטיות. הרשות רואה חשיבות בקידום הצעת החוק בדבר הרחבת סמכויות האכיפה של הרשות. הרשות פועלת למיקוד פעולות האכיפה ולהגברת ההרתעה תוך שימוש מושכל במשאבים העומדים לרשותה. וזאת, על מנת לייצר אכיפה איכותית ומשמעותית. בנוסף, הרשות היתה מעורבת בפרויקטים ממשלתיים משמעותיים ופעלה במספר נושאים בעלי חשיבות לאומית עקרונית".