לצד החלק המשמעותי הדן בנושא הבינה המלאכותית, דוח מבקר המדינה חושף כשלים חמורים בהגנת המידע בביטוח הלאומי, דואר ישראל ומערכי ממשל נוספים. מתקפות יומיומיות על מאגרי מידע רגישים, אבטחה לקויה ומערכות מיושנות משאירים את פרטיות הציבור חשופה ופוגעים בשירותים חיוניים.
הדוח המיוחד שמפרסם מבקר המדינה מתניהו אנגלמן היום (ג'), מצביע בין השאר על שורה של ליקויים חמורים באבטחת המאגר הענק והרגיש במיוחד של הביטוח הלאומי (בט"ל), הכולל מידע על כל תושבי מדינת ישראל מיום הלידה ועד יום הפטירה.
המאגר, כך מתברר, נתון למתקפות סייבר בלתי פוסקות, עשרות אלפי ניסיונות ביום, שעלולות לגרום לפגיעה חמורה בפרטיותם של מיליוני אזרחים ואף לפגיעה ביכולת לשלם קצבאות. למרות זאת, את תחקורן של שלל המתקפות הללו מבצע אנליסט בודד שמאייש את מרכז השליטה והבקרה לטיפול באירועי סייבר (SOC) בארגון.
צוותים שלא הוכשרו וליקויים שאינם מטופלים
המבקר מביע חשש כי לא יתאפשר לזהות אירועי אמת בזמן סביר או בכלל, כיוון שבנוסף למצב הקיים, בביטוח הלאומי אין צוותים ייעודיים לניהול משברי סייבר, וצוות ההנהלה לניהול אירועי סייבר שהוקם בסוף ינואר 2024 לא התכנס, לא הוכשר ולא תורגל.
המבקר אף חושף אירוע גניבת זהויות חמור שהתרחש בארגון בחודש פברואר 2022, בעקבותיו מידע אישי על 2,000 אזרחים היה חשוף ונגיש למי שאינו מורשה לכך. לדבריו, הביטוח הלאומי אינו עוקב אחר תיקון ליקויים שנמצאו במבדקים שנערכו בו – זאת למרות שנמצאו ליקויים חוזרים וליקויים רוחביים ברמת חומרה גבוהה שלא תוקנו.
במקרה של אירועי סייבר - נמצאו פערים ביכולת של הביטוח הלאומי לשחזר מידע מגיבויים: טיוטת הנוהל כוללת סדרי עדיפות משנת 1991 אשר אושררו בשנת 2013 ואינם עדכניים עוד. תרגול של התאוששות מאסון לא בוצע בשלוש השנים האחרונות.
מדיניות הגנת הסייבר לא עודכנה במשך עשור
לפי אנגלמן, במשך 10 שנים לא עודכנה מדיניות הגנת הסייבר של הביטוח הלאומי, זאת למרות העלייה הדרמטית בסיכונים. התוצאה: רק 50% מהנהלים שנדרשים כיום בנוהלי אבטחת מידע של כל ארגון נשמרים בו. רוב התקנות מקוימות באופן חלקי בלבד ואין ביקורת תקופתית על העמידה בהן.
במקביל, טוען המבקר כי ועדת היגוי סייבר בראשות מנכ"ל הביטוח הלאומי לא התכנסה אפילו פעם אחת בשנתיים האחרונות. המבקר מציין בנוסף כי הביטוח הלאומי אינו מנהל רשימת מצאי של כלל הנכסים והתהליכים העסקיים שלו ואינו מסווג אותם, כנדרש וכמקובל, לפי רמת הקריטיות שלהם לארגון.
המבקר, אגב, עוקב אחר הפרויקט לשדרוג מערך המחשוב במוסד לביטוח לאומי, ומציין שגם 14 שנה לאחר תחילתו - אין עדיין צפי להשלמתו. החריגה בהוצאה עד כה היא של מיליארד שקלים, והיא צפויה לגדול בעוד מאות מיליוני שקלים – גידול של 200% מהתכנון המקורי. ועל הכל - הוא לא יכלול תחומי ליבה כמו גמלאות זקנה ושארים, שמטופלים כיום על-ידי מערכת מידע בת 51 שנים.
מהמוסד לביטוח לאומי נמסר בתגובה כי "דוח המבקר הגיע בעיצומו של שינויים תהליכים ועבודת מטה מעמיקה עם הגיעו של סמנכ״ל מחשוב חדש לביטוח הלאומי. למרות שהשינויים היו בעיצומם ולמרות שהדבר נאמר למבקר והוצגה לו תוכנית העבודה, הביקורת התקיימה".
"זו הסיבה שבדוח אין התייחסות לאירועי סייבר או דליפת מידע כתוצאה מרשלנות ועיקר הביקורת מתרכזת בהיבטים מנהלתיים בלבד, שגם עליהם אנו שמים דגש. כל מה שעלה בדוח כבר נמצא בתוכניות העבודה שחלקו כבר הסתיים ושודרג", לשון התגובה.
ביקורת על מערך הסייבר ומערך הדיגיטל; התנהלות בעייתית ברפא"ל
התייחסות מיוחדת מקדיש המבקר להגנת סייבר בחברות הממשלתיות. הוא קובע, כי במשך 12 שנים לא יישמו מערך הסייבר הלאומי ומלמ"ב (הממונה על הביטחון במשרד הביטחון) את החלטת הממשלה בנוגע לקביעת הסדרים מיוחדים לקידום ההגנה במרחב הסייבר. נוסף על כך, המלמ"ב לא פרסם הנחיות לגופים שתחת אחריותו לגבי ההיערכות הנדרשת לניהול אירועי סייבר.
אנגלמן מציין כי ברפאל - הרשות לפיתוח אמצעי לחימה, שהיא חברה ממשלתית - ההנהלה לא העלתה לאישור הדירקטוריון מסמך אסטרטגיית סיכון כוללת לחברה ומדיניות לניהול סיכונים. היא גם לא דיווחה על כמות מתקפות הסייבר שאירעו בחברה, כנדרש.
עוד נמצא כי ההנהלה לא תחקרה את ניהולם של אירועי סייבר שהתרחשו ברפאל בשנים 2020 – 2022, בהיבטים הנוגעים לתפקוד הנדרש של החברה. מחברת רפא"ל נמסר בתגובה כי כלל הפערים שצויינו בדו"ח קיבלו את המענה הנדרש.
המבקר מציין גם את המצב המדאיג בתחום ניהול הסיכונים בתקשוב הממשלתי. הוא קובע, כי מערך הדיגיטל הממשלתי לא גיבש תמונת מצב כוללת של סיכונים, לא פעל להפחתה שלהם, ובמשך כשנתיים וחצי גם לא מונה בו מנהל סיכונים ראשי. מנהלים כאלה גם לא מונו ברוב משרדי הממשלה שנבדקו ולא בוצע בהם סקר סיכונים.
אגב, מערך הדיגיטל עצמו הוא היחיד מבין 48 המשרדים שלא דיווח במערכת המידע המרכזית ולו פעם אחת בשנים 2021 - 2023 על סיכוני תקשוב העלולים לפגוע ביכולתו לממש את יעדיו, אף שהוא אמון על פיתוח שירותים ותשתיות ברמה הלאומית ואף שהוא גורם מנחה, שאמור לשמש דוגמה למשרדי הממשלה.
הדואר: מחשבים ישנים ומערכת קיצור תורים שרק מאריכה אותם
בפרק מיוחד בדו"ח מוקדש למצב מערכות המידע בחברת דואר ישראל ובבנק הדואר, שופך אנגלמן אור על התקלות הרבות בסניפי הדואר, שפגעו קשות בשירות ללקוחות. לדבריו, החברה שומרת רק על המצב הקיים ולא דואגת לשיפור: כ-92% מהתקלות שגרמו להשבתה של יחידות דואר נובעות מציוד ממוחשב אשר כבר ב-2018 נדרש להחליפו. מתוך 1,850 מחשבים ישנים כאלה הוחלפו או שודרגו עד חודש מרץ השנה רק 683.
המבקר קובע גם, שמערכת ניהול התורים, שחברת הדואר כה מתגאה בה, אינה פותרת באמת את בעיית התורים: היא אינה יודעת, למשל, להבדיל בין מי שבא לאסוף חבילה לבין מי שבא לפתוח חשבון בנק, וגם אינה שולחת תזכורות לתור שנקבע.
החברה מפעילה גם כמות עצומה (55, ועוד 16 בבנק הדואר) של מערכות מידע מסוגים שונים ומתוצרת חברות שונות, שמבוססות על טכנולוגיות שונות ואינן "מדברות" ביניהן. הדבר יוצר קשיים בסינכרון וגורם לסרבול ולטעויות.
אנגלמן מציין גם מחדלי אבטחת מידע: 780 מתוך בעלי ההרשאות במערכת הניהול המרכזי של רשת הדואר, המשמשת גם לפעולות פעולות כספיות, אינם נכללים בכלל ברשימת העובדים הפעילים במערכת משאבי אנוש בחברה. 449 מתוכם כלל לא התחברו למערכת מתחילת 2024.
מדואר ישראל נמסר בתגובה, כי "הדו"ח מתייחס לתקופה בה חברת דואר ישראל הייתה על סף חדלות פירעון, בעידן שכבר מאחורינו, ערב יציאה לתוכנית הבראה משמעותית. מאז, התחלפה הנהלת החברה ויושמה בהצלחה תכנית הבראה הכוללת השקעה של סכומים משמעותיים בהחלפת מערכות מידע וציוד מחשוב מיושן, שינוי שגרות עבודה ונהלים, ועיבוי בקרות".
לצד זאת יש לציין כי בדיקת המבקר מתייחסת לתקופה שבין יוני 23 למרץ 24 - הרבה אחרי שהחלה תוכנית ההבראה בדואר והוחלפה ההנהלה.
פעם אחת? הרבה יותר
התייחסות מיוחדת מקדיש המבקר ליישום מדיניות "פעם אחת" – החלטת ממשלה מלפני 8 שנים, שעיקרה קבלת מידע מהאזרח פעם אחת בלבד ושיתופו בין גופי ממשלה לצורך מתן שירותים שונים, בלי שהאזרח יידרש לטרוח שוב ולמסור אותו בכל פעם מחדש.
אנגלמן קובע, כי רק ב-9% מהשירותים הממשלתיים (350 שירותים מתוך 3,888) מתקיימת העברת מידע הדדית, ובממוצע נדרשת כמעט שנה לאישור או דחייה של בקשה להעברת מידע בין גופים ציבוריים.
12 גופים ממשלתיים כלל לא תיקפו את השירותים שהם מציעים, כך שלא ניתן בינתיים לצרף אותם למיזם, כולל שירותי משרד הביטחון הרלוונטיים למשפחות השכולות ולנכי צה"ל. מערך הדיגיטל הלאומי גם לא קבע מדיניות לעניין המיפוי והתיקוף של השירותים הללו ואין לו נתונים ביחס להיקף השירותים שבהם הנושא מיושם. במקביל, ועדת ההיגוי שהוקמה לצורך הנושא לא התכנסה מאז 2021.
יתרה מזו, בניגוד להחלטת ממשלה מיוחדת בעניינם, להטמיע את השימוש ב"שדרת המידע" לצורך שיתוף מידע עם גופים אחרים עד אפריל 2021, ולמרות ביקורת קודמת של המבקר בנושא - צה"ל, רשות המיסים והמוסד לביטוח הלאומי טרם התחברו ל"שדרת המידע".