דו"ח מחלקת המחקר והמידע של הכנסת חשף כי 1518 אזרחים שאינם עובדי מדינה הם בעלי גישה לשימושי הליבה של מרכב"ה. "האנשים החיצוניים זרים כמעט למערכת", אמר היו"ר מקלב, "האמינות שלהם לא נבדקה אלא יכולתם המקצועית". בדיון התברר כי חלק מהמידע במערכת מרכב"ה לא מנוהל כמתחייב מתקנות הגנת הפרטיות
ועדת המדע והטכנולוגיה קיימה היום (ג') ישיבת מעקב בסוגיית מניעת השימוש לרעה במאגרי מידע: מערכת מרכב"ה (לניהול משאבי המדינה).
יו"ר הועדה חה"כ אורי מקלב: "על פי דו"ח מחלקת המחקר והמידע של הכנסת שנחשף היום בדיון עולה כי כיום יש למערכת מרכב"ה 10,163 משתמשים בעלי גישה לשימושי ליבה של המערכת, בהם: 8456 עובדי מדינה בעלי גישה לשימושי ליבה משרדיים של המערכת, דוגמת כספים, מכירות ומשאבי אנוש ועוד 1518 עובדים שאינם עובדי מדינה (בהם יועצים, אנשי מחשוב, רואי חשבון ועוד) בעלי גישה לשימושי ליבה בהתאם להרשאות לפי תחומי עיסוקם. מכאן שכ-15% מבעלי הגישה לשימושי ליבה של מרכב"ה אינם עובדי מדינה, אלא מועסקים בהעסקה לא-ישירה.
"מטריד אותי מאוד לדוגמא נושא רואי החשבון, יש אנשים שיש להם הרבה אינטרסים והמחויבות שלהם למשרד הממשלתי קצרה. עובד מדינה במהותו נאמן למלאכתו ויודע את הכללים. האנשים החיצוניים זרים כמעט למערכת והאמינות שלהם לא נבדקה אלא יכולתם המקצועית. אי אפשר לבוא ולהגיד שהכל בסדר זה מחייב אותי לחדד ולבדוק".
בדו"ח אותו כתב חוקר הכנסת רועי גולדשמידט נטען כי ישנם כ-33,000 משתמשי מרכב"ה שניתן לכנותם "חיצוניים", ובהם עובדי מדינה המשתמשים במערכת לדיווח שעות נוכחות; ספקים המגישים הצעות מכרזים באמצעות המערכת; גופים מבקשי תמיכות ועוד. "בניגוד למשתמשים הפנימיים, המשתמשים החיצוניים ובהם עובדי המדינה שאינם בעלי גישה לשימושי ליבה של המערכת, נגישים רק למידע אותו הם מזינים ולסטאטוס שלו. לבד מריבוי המשתמשים במערכת, היא כוללת מידע רב ובתוכו מידע רגיש".
עלי קלדרון ממונה הפיקוח ברשות להגנת פרטיות ציין כי ב-8 במאי 2018 נכנסו לתוקפן תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017 שתוקנו מתוקף חוק הגנת הפרטיות. התקנות, שרלבנטיות גם ביחס למאגרי המידע במערכת מרכב"ה, קובעות דרישות מפורטת בהיבטים שונים ובהם: אבטחת מאגרי מידע; תהליכי ניהול הרשאות הגישה; אפשרויות הבקרה ותיעוד הגישה הנדרשות ועוד ואמר כי עצם העובדה שהמערכת לא מאפשרת אפילו בדיעבד הגעה לפרטי הכניסות הספציפיות של כל משתמש לקבצים ספציפיים יוצר מצב בו חלקים במערכת לא פועלים כמתחייב מתקנות הגנת הפרטיות.
עוזי שר אחראי על מערכת מרכב"ה במשרד האוצר: כשהקמנו את המערכת לקחנו בחשבון את הצורך במתן הרשאות בידי המשרדים כך שהאחריות לא תהיה במשרד האוצר. מתן ההרשאות הוא באחריות כל משרד – סמנכ"ל למנהל, חשב המשרד ומנהל ההרשאות. יש הנחיות ברורות למתן הרשאות ויש ניתור ופיקוח מסודר בכל הרמות. כל אחד מטפל בחלק הספציפי שלו, לא יהיה מישהו שיוכל לרשום חשבונית ולאחר מכן הרשאה לשלם את זה".
ראובן אליהו ממונה אבטחה במשרד הבריאות: "חלוקת ההרשאות מאוד מורכבת והיינו שמחים לקבל את הכלים להבין מה כל הרשאה בדיוק מאפשרת. היום כמעט בלתי אפשרי להיכנס ללוגים של מרכב"ה ואז אין לנו אפשרות לפקח על העובדים בזמן אמת וגם אם רוצים לפקח בדיעבד אז זה מצריך עבודה ידנית שכמעט בלתי אפשרית לביצוע. זה חבל כי יש לנו מערכות טכנולוגיות מתקדמות שיכולות לקחת את הלוגים שנמצאים במשרד האוצר ולמצוא כל בעיה בקלות. עובדים שרוצים לעשות עבירות בתחום אבטחת המידע קשה מאוד לעלות עליהם".
