צוות מבקר המדינה הצליח להנפיק תעודת גיור מזויפת

מבקר המדינה מצא ליקויים חמורים באבטחת המידע במערך הגיור הממלכתי – גוף שפועל במשרד ראש הממשלה; כך עולה מהדו"ח שהוא מפרסם היום (ג'). בין היתר, אנשיו הצליחו להנפיק תעודת גיור מזויפת. הפרטים המלאים של ממצאי הביקורת אסורים לפרסום, מטעמי ביטחון וסודיות, ואנחנו מביאים כאן את מה שמתאפשר לכתוב.

מערך הגיור ממונה על מכלול התהליכים הקשורים לגיור, והוא הגוף שמוסמך להעניק תעודת המרה, שהיא אישור אזרחי-משפטי להמרת דת ומוכרת לכל דבר ועניין. בגוף זה יש מידע ומסמכים רגישים ביותר – הן של המתגיירים והן ברמה הלאומית-ביטחונית.

בפרק בדו"ח המבקר שעוסק בנושא זה נכתב כי באוגוסט 2023 ביצע המשרד בדיקת חוסן יישומית (אפליקטיבית) למערכת מאור, המשמשת את מערך הגיור. על פי הדו"ח, צוות הביקורת הצליח להנפיק באמצעות המערכת תעודת המרה כוזבת, שמאפשרת למחזיק בה להתחזות ליהודי, ולהתל באופן הזה בכל אדם ובמוסדות המדינה, שרואים בתעודה זו אסמכתא לגיור כהלכה, תוך עקיפת תהליך העבודה ואמצעי הבקרה המובנים במערכת.

ליקויי אבטחה ברמת סיכון גבוהה

בביקורת עלו ליקויים ברמת סיכון גבוהה, לרבות אפשרות לתוקף אנונימי להציף אותה בנתונים, באמצעות שליחה אוטומטית של טופסי פתיחת תיק.

יצוין כי רוב הליקויים שהועלו בבדיקה נוגעים לאיום פנימי, כלומר – איום פוטנציאלי מצד משתמשים בעלי הרשאת גישה למערכת מאור. זאת, בשונה מאיום חיצוני, מצד האקרים וגורמים אחרים שאין להם הרשאה שכזאת.

המבקר, מתניהו אנגלמן, ממליץ למשרד ראש הממשלה לפעול לתיקון הליקויים שעלו בביקורת. "יש מקום שמערך הדיגיטל הלאומי ויחידת ממשל זמין שבו יבדקו אם הליקויים שמפורטים בדו"ח זה רלוונטיים גם לשירותי ממשל ממוחשבים אחרים שעוסקים בהנפקת תעודות רשמיות לציבור", נכתב.

יש לציין שמבקר המדינה לא פרסם את הדו"ח המלא – כאמור, מטעמי סודיות וביטחון, על פי סעיף בחוק המבקר המאפשר זאת, והם גם לא יונחו לדיון במסקנות בכנסת.