דמיינו תרחיש שבו חיפוש פשוט בגוגל היה מעניק לכל דורש גישה למידע אישי ורגיש של ילדיכם. החל משמותיהם המלאים, מספרי תעודת הזהות ועד השכלת ההורים - הכל זמין בקליק. התרחיש הזה הוא ממש לא דמיוני, אלא פרצת אבטחה אמיתית שהתגלתה לפני כארבע שנים וסיפקה הצצה למציאות המדאיגה של מידע רגיש של תלמידים שמופקר, זאת בשעה שלמשרד החינוך אין מדיניות אבטחת מידע וסייבר מסודרת.
לקריאת הפרק בדוח המבקר על אבטחת מידע לחצו כאן
דוח המבקר - סיקור נרחב: החאפרים שמסכנים את הניתוחים הפלסטיים // המבקר: מורים מלמדים מקצועות ללא הכשרה // מחדל הכרטיסים במשחק מול ארגנטינה
בשנת הלימודים תשע"ח (2017-2018) למדו במערכת החינוך בישראל כ-1.7 מיליון תלמידים. ככלל, על כל תלמיד נאסף מידע אישי שמנוהל במספר רב של מערכות מידע, במשרד החינוך ובבתי הספר ברחבי הארץ. גם במאגרי המידע של הרשות הארצית למדידה והערכה (ראמ"ה) יש נתונים רבים על תלמידי ישראל. מבקר המדינה, השופט (בדימוס) יוסף שפירא מעיר כי במערכת החינוך בישראל ישנם "מאגרים בעלי מידע רגיש, שפגיעה בחשאיותם, באמינותם, בשלמותם ובזמינותם עלולה לגרום נזק רב מאוד לציבור ולמדינה בהיבטים מדיניים-ביטחוניים, כלכליים או אזרחיים".
לפי הדוח השנתי של מבקר המדינה, שחלקו השני התפרסם היום (שני), גופים רבים בישראל אוספים עלינו מידע אישי רב מבלי שמתבצע עליהם מעקב או אכיפה לפי חוק הגנת הפרטיות. הדוח מצביע על שורת ליקויים בפעולות האכיפה של הרשות להגנת הפרטיות במשרד המשפטים, הגוף המופקד על הגנת המידע האישי במאגרי מידע, שמאז 2008 הפחיתה את פעולות האכיפה שלה למרות הגידול שחל בשוק המידע האישי בישראל.
"החקיקה בתחום הגנת הפרטיות אינה תואמת את ההתפתחות הטכנולוגית של העשורים האחרונים, ואף אינה כוללת התייחסות מיוחדת לילדים", העיר המבקר. "גם הניסיונות להסדרתה של ההגנה על פרטיות הילדים בחקיקה או בכללים לא צלחו".
הדוח מעלה בעיה חמורה במיוחד בכל הקשור להתקשרויות עם ספקי מערכות מידע בפטור ממכרז. לפי המבקר, במשרד החינוך אין גורם מקצועי המנסח דרישות לאבטחת מידע ולמשרד אין כל מיפוי של מאגרי המידע שלו או של ספקים שזכו במכרזים, זאת בניגוד לנדרש בחוק. למעשה, ברגע זה ממש ישנם ספקים חיצוניים שמחזיקים במידע רגיש על ילדיכם, ואילו משרד החינוך, שהעניק להם גישה למידע, כלל לא מודע לכך.
"נשקפת סכנה לפרטיות התלמידים"
בסקר אבטחת מידע שמשרד החינוך ערך לפני כשנתיים נמצא, בין היתר, כי אין בבתי הספר תקן אחיד לשמירה ולגיבוי של מידע. "הגיבויים נעשים על פי שיקול דעת מקומי ובמקרים רבים באופן לא מאובטח", כתב המבקר. "למשל, 28% מבתי הספר שהשתתפו בסקר דיווחו כי הם מגבים מידע בהתקן נייד, המהווה סיכון לאבטחת המידע. עוד נמצא, כי מידע פדגוגי ואישי על תלמידים מועבר בבתי הספר בתיבות דוא"ל פרטיות שאינן מאובטחות".
משרד מבקר המדינה העיר למשרד החינוך "כי בהתאם לתקנות אבטחת מידע עליו לפקח על עמידתם של ספקים בדרישות אבטחת מידע שנכללו בהסכמים עימם נוכח ההשלכות ופוטנציאל הפגיעה בפרטיות התלמידים, כדי להפחית את הסיכון שאירוע של גילוי מידע רגיש על תלמידים באינטרנט יישנה". על פי ההערכות, רק החל מיוני 2019 המשרד צפוי לעמוד בדרישות אבטחת המידע.
"בנסיבות הקיימות, של היעדר בדיקות שיבטיחו את הגנת המידע האישי המצוי במאגרי המשרד ומועבר לידי ספקים חיצוניים, נשקפת סכנה לפרטיותם של נושאי המידע, בהם תלמידים ומשפחותיהם. הדברים מקבלים משנה תוקף נוכח אירועי אבטחת מידע באתרים בית ספריים, ודורשים בחינה של כלל הספקים", כתב המבקר.
הליקויים לא מסתכמים רק במשרד החינוך. המבקר מצביע על כך שגם המידע הרפואי שלנו פרוץ. לפי הנחיות משרד הבריאות בנושא אבטחת מידע, עמידה בתקן של ניהול אבטחת מידע במערכות בריאות הוא תנאי לקבלה ולחידוש רישיון למוסד רפואי מהמשרד. לפי הדוח, מתוך כ-1,500 מוסדות רפואיים הטעונים רישיון, ובהם עשרות בתי חולים וארבע קופות חולים, כ-150 בלבד קיבלו הסמכה לתקן. ובשעה שרק 10% מהמוסדות מחזיקים ברישיון, משרד הבריאות לא מחזיק ברשימת המוסדות המוסמכים לתקן.
"משרד הבריאות אינו מקיים פיקוח מיטבי על אבטחת מידע במוסדות הרפואיים", כתב המבקר. "אין למשרד מיפוי של המוסדות הטעונים רישיון שאינם מחזיקים בתקן לניהול אבטחת מידע במערכות בריאות, ורבים מהם אף אינם מוסמכים לתקן זה. המשרד אינו מקיים פיקוח מיטבי על ההגנה על פרטיות המידע של מטופלים שנעשה בו שימוש במחקרים רפואיים".
המבקר קורא למשרד המשפטים לפעול כדי לעגן את ההנחיות הדרושות לשמירת המידע שלנו בספר החוקים. "על משרד המשפטים לקיים עבודת מטה בעניין חוק הגנת הפרטיות, לבחון את התיקונים הנדרשים בדיני הגנת הפרטיות, לתעדפם ולקבוע לוחות זמנים לקידומם, הן לשם הגנה על זכויותיהם של נושאי המידע בישראל והן לשם שמירת מעמדה של ישראל כמדינה המבטיחה הגנה על מידע אישי ברמה נאותה התואמת את הדין האירופי", סיכם המבקר.