"תרבות ארגונית לקויה ופערים טכנולוגיים": הדו"ח החריף של המבקר על מחדל הסייבר במשרדי הממשלה
דוח חמור של מבקר המדינה מתניהו אנגלמן מניף דגל אדום בוהק מעל מוכנות המדינה למתקפות סייבר • מה קורה למידע הרגיש שלכם, מדוע השירותים הממשלתיים הדיגיטליים תקועים מאחור? • ממצאי דו"ח מבקר המדינה
דו"ח מבקר המדינה שהתפרסם היום (שלישי) מצייר תמונה עגומה בכל הנוגע למוכנות הדיגיטלית ואבטחת המידע במשרדי הממשלה. הדו"ח קובע כי למרות החלטות ממשלה רציפות שנועדו לבסס תשתיות אלו כנדבך מרכזי באסטרטגיה הדיגיטלית, המדיניות מיושמת באופן איטי וחלקי - והאזרחים אינם יכולים ליהנות מקבלת מרבית השירותים באופן מקוון ומרוכז.
>>> הצטרפו לערוץ הוואטסאפ החדש של i24NEWS עברית <<<
"יותר מעשור אחרי החלטת הממשלה הראשונה על הקמת תשתית ההזדהות הממשלתית... אזרחי המדינה עדיין אינם יכולים ליהנות מקבלת מרבית השירותים הציבוריים באופן מקוון, מרוכז וידידותי", כותב המבקר. על פי הממצאים, בסוף שנת 2024 היו רשומים למערכת 4.6 מיליון אזרחים, אך פוטנציאל המערכת רחוק ממימוש נוכח נתונים נמוכים במיוחד של חיבור וסנכרון מצד משרדי הממשלה והגופים הציבוריים.
פערים ניכרים בחיבור משרדי הממשלה ויחידות הסמך
אחד הכשלים המרכזיים שנבדקו הוא שיעור ההתחברות המצומצם של משרדי הממשלה למערכת ההזדהות הלאומית, שנועדה לייצר מנגנון זיהוי אחוד ומאובטח. מהדו"ח עולה כי 8 משרדי ממשלה מתוך 31 (26%) אינם מחוברים כלל למערכת, ובהם משרד החוץ ומשרד הביטחון – המנהל מערכות הזדהות עצמאיות. מבין 23 המשרדים שכן מחוברים, משרדים מרכזיים כמו משרד הבינוי והשיכון, משרד החקלאות ומשרד החדשנות מאפשרים לקבל באמצעותה רק חלק מהשירותים, בעוד שירותים פופולריים אחרים (כמו פרויקט הגרלות "דירה בהנחה") מנוהלים במערכות עצמאיות נפרדות.
המבקר מצביע על כך שהמשך הניהול של מערכות הזדהות עצמאיות במקביל למערכת הלאומית גורר השלכות רוחביות חמורות: "הניהול והתחזוקה של מערכת הזדהות עצמאית לצד מערכת ההזדהות הלאומית מביאים לחוסר יעילות, לחשיפה לליקויי אבטחת מידע ולהערמת קשיים על האזרחים והעסקים החפצים לקבל שירותים מגופים אלו".
המצב חמור לא פחות ביחידות הסמך ובתאגידים הסטטוטוריים. רק 11 יחידות סמך ממשלתיות (30%) מתוך כ-36 מחוברות למערכת. גופים בעלי היקף שירות עצום לציבור כמו רשות המיסים, המוסד לביטוח לאומי ושירות התעסוקה אינם מחוברים למערכת ההזדהות הלאומית ומנהלים מערכות עצמאיות, אף שנדרשו להתחבר על פי החלטות הממשלה. כמו כן, נמצא כי רק בית חולים ממשלתי כללי אחד בלבד מתוך 11 (בית החולים רמב"ם) מחובר למערכת.
התעלמות מסקרי סיכונים והפקרת הרשאות: ליקויי אבטחה חמורים במשרד הבינוי והשיכון
משרד הבינוי והשיכון משתמש בכמה עשרות מערכות מידע לצורך ניהול פעילותו, אשר חלקן הוקמו לפני שנים רבות. מערכות אלו כוללות במצטבר מיליוני רשומות המכילות מידע אישי ורגיש על אזרחים, בהם דיירי הדיור הציבורי, מקבלי סיוע לדיור ומשתתפי תוכניות "דירה בהנחה". למרות רגישות המידע, דוח הביקורת חושף שורה של ליקויים מהותיים בניהול אבטחת המידע ובהגנה על מערכות אלו, וזאת בצל מלחמת "חרבות ברזל" שבה נרשם זינוק של 130% בהתרעות על פעילות החשודה כאיום סייבר במשרד.
"בניגוד להנחיית היחידה להגנת הסייבר בממשלה (יה"ב), מאז אושרה מדיניות הגנת הסייבר בשנת 2020... היא לא עודכנה, לא נדונה ולא נבחנה", כותב המבקר. עקב כך, מזהיר הדו"ח, עולה חשש ממשי כי בעת התממשות של סיכונים, ההגנה מפניהם לא תהיה עדכנית ולא תתאים להתפתחויות הטכנולוגיות וליכולות התקיפה המתקדמות. עוד נמצא כי ועדת ההיגוי של המשרד פעלה ללא מידע על שיעור תקציב אבטחת המידע מתוך כלל תקציב המחשוב (העומד על 6.5 מיליון ש"ח מתוך 74.5 מיליון ש"ח בשנת 2025), ולא אישרה או סיווגה את נכסי המידע כנדרש.
התעלמות מסקרי סיכונים ומבדקי חדירה
חומרת הממצאים מתעצמת לנוכח היחס של הנהלת המשרד לכלי הבקרה הבסיסיים ביותר. בין השנים 2022 ל-2024 ביצע המשרד שמונה סקרי סיכונים, אך ועדת ההיגוי קיימה דיון לגבי ממצאיהם של שני סקרים בלבד, ולא קבעה כל תוכנית להפחתת הסיכונים שעלו ביתר הסקרים. בנוסף, המשרד ביצע באופן דל חלקי בלבד מבדקי חדירה, וממצאיהם של המבדקים הבודדים שכן בוצעו מעולם לא הובאו בפני הוועדה.
המבקר מדגיש כי לא נמצאו מסמכים המעידים על טיפול כלשהו בסיכונים שהתגלו, לרבות פעולות לתיקון הליקויים. המשרד אף כשל בפיקוח על חברה חיצונית שנשכרה לתפעול המערכות, ולא עמד על כך שתבצע את סקרי הסיכונים ומבדקי החדירה שנקבעו בהסכם עימה. ההפקרות באה לידי ביטוי גם בתחומי ניהול המשתמשים וההרשאות:
אי-ביצוע סקירות שנתיות: לגבי יותר ממחצית ממערכות המידע לא נסקרו הרשאות המשתמשים אחת לשנה כנדרש.
השארת משתמשים לא פעילים: עובדים שהוגדרו בקובצי המשרד כ"לא פעילים" נותרו עם הרשאות תקפות במערכת ולא הוקפאו. חלק מנותני השירות החיצוניים והעובדים הפעילים לא עברו סקירה תקופתית להתאמת הרשאותיהם לתפקידם.
הזנחת משתמשי-על: משרד הבינוי לא ביצע בשלוש השנים האחרונות סקירה תקופתית חצי-שנתית של הרשאות "משתמשי-העל", דבר המגביר את הסיכון לגישה גורפת ובלתי מורשית למידע רגיש.
מערך הסייבר הלאומי מגיב: "החוק שאושר אמש בממשלה ישנה את המציאות הזו"
במערך הסייבר הלאומי , מבהירים כי המחדלים שנחשפו הם בדיוק הסיבה בגללה נדרש שינוי סמכויות דחוף: "הממצאים העולים מדוח מבקר המדינה מדגימים בצורה ברורה את מה שמערך הסייבר הלאומי מקדם בחוק הגנת הסייבר", נמסר מהמערך. "בתקופה שבה איומי הסייבר הפכו לאיום יומיומי על רציפות תפקודית, שירותים ציבוריים ומידע רגיש, לא ניתן להסתמך על גישה שבה כל גוף קובע לעצמו מהי רמת ההגנה הנדרשת, אילו סיכונים לנהל ובאילו תחומים להשקיע. המציאות הזו יוצרת פערים משמעותיים ברמת ההגנה בין גופים שונים ומובילה לחולשות מערכתיות שעלולות להשפיע על המשק כולו".
"זו בדיוק מטרתו של חוק הגנת הסייבר, שאושר אמש בממשלה כהכנה לקריאה ראשונה: לקבוע מסגרת לאומית אחידה, ברורה ומחייבת, המבוססת על סטנדרטים מקובלים בעולם המערבי, בדומה לרגולציות מתקדמות הנהוגות במדינות מערביות. החוק נועד לייצר שפה מקצועית אחידה, לקבוע רף בסיסי מחייב לניהול סיכוני סייבר, לחזק מוכנות ודיווח על אירועים, ולהבטיח שרמת ההגנה על שירותים ותשתיות חיוניות לא תהיה תלויה רק בשיקול דעת מקומי או בפערי משאבים וידע בין ארגונים".