צה"ל לא עדכן את מסמך מדיניות הגנת הסייבר שלו כבר שבע שנים, לא עדכן את פקודות המטכ"ל בנושא הגנת הפרטיות כבר 26 שנים, לא סיווג כראוי את מערכות המידע הביומטרי שברשותו (למרות הנזק הרב שעלול להיגרם מדליפת מידע מהן) ולא הסדיר את השימוש במרכז איסוף נתוני החללים בהתרחש אירוע רב נפגעים מעורב של אזרחים וחיילים - אלו הם רק חלק מהפערים שמצא מבקר המדינה, מתניהו אנגלמן, בדוח מבקר המדינה - ניהול מידע ביומטרי בצה"ל והגנת הסייבר עליו, שפרסם השבוע.
המבקר מצא עוד שצהל לא גיבש מסמך הגדרות או נוהל אבטחה פיזית ייעודי למאגרי ומערכות אמצעי הזיהוי, לא פיתח תוכנית המשכיות עסקית או ווידא את הרציפות התפקודית לתהליכי אמצעי הזיהוי ולא מינה ממונה על אבטחת המידע של מערכות אמצעי הזיהוי. לדבריו, קיימים פערים בהגנה הפיזית והלוגית של המאגרים הביומטריים בצה"ל (כמו הגנה פיזית ובקרה על הכניסות והיציאות, הזדהות, הרשאות גישה, מנגנוני הצפנה), וצהל כלל במסמך מדיניות ההגנה בתחום הסייבר רק חלק מהנושאים שהיחידה להגנת הסייבר בממשלה הגדירה שיש לכלול בו. הצבא מחזיק במידע ביומטרי עודף על חיילים שנפטרו (מידע שעלול לשמש ביתר קלות למטרת התחזות וגנבת זהות), ואף טרם וידא את שלמות הנתונים הביומטריים במאגרי. כך נמצא ש-95% מתצלומי השיניים של חלל הפה במאגרים הם באיכות ירודה.
המבקר הבהיר כי ממצאי הדוח משקפים פערים משמעותיים במערכות המידע הביומטרי בצה"ל, ומעידים על אי קיום חלק מתקנות אבטחת המידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת הסייבר, באופן שיוצר סיכון לפגיעה בשלמות, זמינות וסודיות המידע שבמאגרים, אשר מוביל לחשש שמערכות אמצעי הזיהוי לא יוכלו למלא את יעודן בעת הצורך. על כן, קורא המבקר לראש אגף כוח האדם בצה"ל לפעול לתיקון הליקויים וליישם את המלצות הדו"ח.