המבקר: כישלון חמור בהגנה על פרטיות האזרחים
בדו"ח מבקר המדינה נכתב כי מרשם האוכלוסין מופץ ברשת לכל דיכפין, ואין חקירת משטרה בנושא; לביטוח לאומי אין נהלים ומבנה ארגוני המאפשרים ביקורת ראוייה על חיפושים שנעשים במאגר הנתונים שלו. המבקר ממליץ לתקן את הליקויים
דו"ח מבקר המדינה לשנת 2009 קובע כי פרטיותם של אזרחי מדינת ישראל מופקרת, וכי אין הגנה מספקת על מאגרי מידע ממשלתיים: מרשם האוכלוסין במשרד הפנים (המבוסס על מערכת "אביב" בשנים האחרונות), וביטוח לאומי. זאת בעקבות בדיקות שנערכו בתקופה של מאי עד נובמבר 2008.
מאגר מידע של אזרחי ישראל הכולל שמות, מספרי תעודות זהות, מספרי טלפון (כולל חסויים) כתובות ופרטי האב והאם של האזרחים, מופץ באתרי אינטרנט וברשתות שיתוף
קבצים בשנים האחרונות. מפעם לפעם המאגר דולף שוב וכך ניתן למצוא מאגרים מעודכנים יחסית ברשת.
המשטרה לא יכולה לחקור את כולם
בחודש מרץ 2007 התקיימה ישיבה בנושא, בוועדת הפנים ואיכות הסביבה של הכנסת. יושב ראש הועדה דאז, חבר הכנסת אופיר פינס-פז, דרש ממשרד הפנים לתת עדיפות עליונה לחקירה של העניין ולתיאום עם המשטרה בנושא.
באותו זמן הופץ ברשת מאגר הכולל למעלה מ-9,000,000 רשומות של אזרחי המדינה כולל כאלה שנפטרו או עזבו את הארץ. בתגובה לפנית ynet באוקטובר 2007, אמרו במשרד הפנים כי הוגשה תלונה למשטרה, והמשטרה נמסר אז "לאחר פעולות חקירה מגוונות, לא ניתן היה להגיע למקור ההפצה - ועל כן התיק נסגר".
בדו"ח מבקר המדינה מצויין כי תיק חקירה בנושא נסגר במרץ 2008, בטענה שלא ניתן לחקור כל כך הרבה חשודים להם הייתה גישה למאגר. "לא נמצא שמשרד הפנים והמשטרה שיתפו פעולה בחקירה", נכתב בדו"ח וצויין כי המשטרה קיבלה מסמכים וכיווני חקירה שלא בדקה בינואר 2008, בהם פרטים על גוף המקבל עדכונים ממערכת אביב - שמאגר הנתונים שלו דומה למאגר שהופץ ברשת.
אנשים מתים ניגשו למאגר
במרץ 2008 הוחלה מערכת רישום של שאילתות שבוצעו במאגר האוכלוסין. כל מי שניגש והוציא ממנו פרטים - נרשם. על פי הדו"ח, הבדיקה העלתה כי בתקופה של מרץ-יולי 2008, למאגר ניגשו אנשים בעלי הרשאה שנמצאים בחו"ל ולא יכולים לגשת פיזית למאגר, וכן חמישה אנשים שנפטרו עוד לפני שנרשם כי ביצעו בו חיפושים.
חמישה חודשים לאחר מכן אף נשלח דו"ח סיכונים לרשות האוכלוסין שהראה כי קיימות פרצות במאגר, ושרתים בהם לא התבצעו עדכוני אבטחה. אלה עשויים לגרום לדליפה של הנתונים. "יש לראות בחומרה את כישלונה של רשות האוכלוסין בהגנת פרטיותם של אזרחי המדינה", נכתב בדו"ח. עוד נכתב כי הדלת של חדר השרתים לפעמים הושארה פתוחה ללא השגחה.
המשרד הודיע למבקר כי שלח מכתב לנציגי הגופים שעובדים עם המאגר והזהיר מפני חריגות, השווה את מאגר המשתמשים לקובץ הנפטרים והכין תוכנה שבודקת חריגות בשאילתות אחת לחודש. המשרד עוד ציין בתגובה לסיכונים כי מונתה ועדה שתבדוק אותם, ואת שיפור טיפול בדרכונים ואשרות בלי להעמיס על המטה - כאשר תאריך היעד
להגשת המסקנות לראש מנהל אוכלוסין הוא 30 במרץ 2009.
ביטוח לאומי: אין אבטחה בגלל כונן קשיח קטן
הדו"ח מעביר ביקורת גם על התנהלות המוסד לביטוח לאומי ועל המבנה הארגוני שלא מאפשר עבודה יעילה. הממונה על אבטחת המידע במוסד כפוף לסמנכ"ל התקשורת ומערכות מידע, אך אמור לבצע ביקורת על הפעילות של הממונה עליו - דבר בלתי אפשרי. בתגובה אמרו במוסד לביטוח לאומי כי בחודש מרץ 2009 הוקם פורום לתיאום נושאי אבטחת מידע, וכי הוא יתכנס פעם בחודש.
בנוסף המוסד לביטוח לאומי התחייב בפני בג"ץ ביוני 2005 כי יבצע רישום פעילות של מי שמבצע שימוש בתקשורת שלו. יחד עם זאת המערכת לא הופעלה משום שחטיבת אבטחת המידע לא נערכה מבחינת דרישות חומרה עבור המערכת שהחולט לרכוש - הכוננים הקשיחים לא היו מספיק גדולים.
החטיבה לאבטחת מידע בביטוח לאומי נערכת, בעקבות הדו"ח, להפעיל את המערכת עד סוף החודש.
המלצות המבקר
מבקר המדינה ממליץ למשרד הפנים להכין נוהלי אבטחת מידע ולאייש את התפקידים למילוי חוק הגנת הפרטיות. למוסד לביטוח לאומי הוא ממליץ להפעיל את המערכות שתוכננו ב-2007 ועוד לא נכנסו לפעילות, וכן להסדיר את המבנה הארגוני שיאפשר פעילות ביקורת תקינה.
עוד ממליץ המבקר להגביר את מודעות העובדים לחובת השמירה על נוהלי אבטחת המידע. המלצה נוספת היא לפרסם עברות שנעשו וצעדים משמעתיים שננקטו נגד העובדים שביצעו אותן (תוך שמירה על פרטיותם), וזאת על מנת ליצור הרתעה.