ליקויים במשרד החינוך עלולים לסכן את אמינותם של ציוני הבגרות ואת השמירה על טוהר הבחינות. ישראל לא מספיק ערוכה לאיומי סייבר במגזר התחבורה. ובאבטחת הסייבר במערכות מידע ביומטרי בצה"ל קיימים פערים משמעותיים. אלו רק חלק מהליקויים שעליהם מצביע מבקר המדינה, מתניהו אנגלמן, בדוח מיוחד בנושא הגנת הסייבר המתפרסם אחר הצהריים (יום ג').
בדוח שישה פרקים העוסקים בהיבטי סייבר במגזר התחבורה, צה"ל, רשות המיסים, מערכת המים ומערכות בחינות וציוני הבגרות. בהקדמה לדוח כתב המבקר כי פרסום דוחות אלה מייצג מתח בין הערך של זכות הציבור לדעת לבין חיסיון שיש להטיל על חלקים מהדוחות כחלק מאבטחת המידע. בהודעת משרד מבקר המדינה הסבירו כי כיוון שוועדת המשנה לביקורת המדינה לא התכנסה, החליט אנגלמן, לאחר בחינת הגורמים הרלוונטיים, לפרסם את הדוחות תוך הטלת חיסיון על חלקים ממנו.
בתחום מערכת החינוך נמצא בין היתר כי משרד החינוך לא ביצע תרגילים מסוימים לשחזור מידע ולהתאוששות מאסון. הוא גם לא ביצע תרגיל לשחזור מלא של מערכת מחשב מסוימת שלו.
עוד עולה מדוח המבקר כי בבדיקה שנערכה שלוש שנים לאחר כניסתן לתוקף של תקנות הגנת הפרטיות בנוגע לאבטחת מידע, נמצא כי משרד החינוך גיבש את מסמכי מבנה המאגר, הגדרות המאגר רשימת המצאי רק עבור חמישה מ-50 מאגרי המידע שרשומים בפנקס רשם מאגרי מידע. במסמך הגדרות המאגר "תלמידים" לא עודכן מיהו הממונה על אבטחת המידע, ורשימת המצאי אינה מלאה.
בבדיקת הרשת שבה מנוהל התהליך הנוגע לבדיקתן ולהערכתן של מחברות בחינות הבגרות ששימשו את הנבחנים למענה על שאלוני הבחינה, עלה בביקורת כי הרשת מוגנת על ידי גרסה מיושנת של מערכת הגנה מסוימת, שבספטמבר 2019 היצרן הפסיק לתמוך בה. נכון לנובמבר 2021 מערכת הגנה מסוימת עדכנית עדיין לא הוטמעה באופן מלא ברשת זו. כמו כן מצא מבקר המדינה כי ברשת זו עלו פערים בנוגע לרכיבים מסוימים לאבטחת מידע.
ליקויים נמצאו גם במערכת נוספת, שאליה נטענים קובצי מחברות הבחינה הסרוקות וקובצי מחברות הבחינה המתוקשבות. לפי המבקר, הגישה למערכת באמצעות האינטרנט מוקנית לכ-4,000 מעריכים חיצוניים אשר בודקים את מחברות הבחינות ומזינים עבורן ציונים. בנוגע למערכת זו העלתה הביקורת כי המעריכים מתחברים למערכת באמצעות מחשבים אישיים שאינם מנוהלים או מוקשחים על ידי משרד החינוך וכי החיבור שלהם מאובטח חלקית.
עוד עלה בביקורת כי קבצים מועברים בין המערכת הזו לבין משרד החינוך (או ספקים אחרים שלו) בלא שנבדק אם יש בהם סיכון מסוים לפגיעה, אף שהתקנות מחייבות ביצוע פעולה מסוימת בעת העברת מידע ברשת הציבורית או באינטרנט. ישנם קבצים שיש בהם מידע רגיש שמועברים ממערכת זו למשרד בממשקים לא מאובטחים דיים, והדבר מגביר את הסיכון לדלף מידע רגיש ולפגיעה.
בעניין הפצה לא מורשית של בחינות הבגרות, נמצאו בביקורת שבע קבוצות ביישומונים להעברת מסרים מיידים במגזר היהודי ובמגזר הערבי, שבהן התבצעה פעילות הפצה לא מורשית של שאלונים ושל הפתרונות לשאלונים. באחת הקבוצות, נכתב, חברים 12 אלף איש. צוות הביקורת מצא עשרות דוגמאות להפצה של שאלוני בחינות בגרות בזמן קיום הבחינה, והביא כמה דוגמאות - ובהן שאלונים שהודלפו בקבוצות דקות אחרי תחילת הבגרות.
ומה עשה המשרד? המבקר מצא כי בשנים 2018 עד 2020 הגיש משרד החינוך ארבע תלונות בלבד במשטרה בגין עבירת "קבלת דבר במרמה" בעקבות הפצה לא מורשית של שאלונים או של תשובות של בחינות הבגרות - אף שב-2010 לבדה פסל המשרד יותר מ-16 אלף מחברות בחינה בשל חשד לפגיעה בטוהר הבחינות. בנובמבר 2021 דיווחה המשטרה לצוות הביקורת כי שניים מהתיקים נסגרו בעילה של "עבריין לא נודע", תיק אחד נסגר בעילה של "היעדר עבירה פלילית", ותיק אחד עדיין בחקירה.
בסיכום הפרק, כתב המבקר אנגלמן כי "ממצאי הדוח והבעיות שבשורש ממצאים אלה עלולים לסכן את שלמותם, זמינותם, סודיותם ואמינותם של ציוני בחינות הבגרות וכן עולה מהם חשש לפגיעה בעקרונות טוהר הבחינות. משרד המבקר ממליץ למשרד החינוך לפעול לתיקון הליקויים שהועלו בדוח, ובכלל זה לעמוד בלוחות הזמנים שנקבעו בתוכניות העבודה בתחום אבטחת המידע והגנת הסייבר, לשפר ולהעלות את רמת אבטחת המידע והגנת הסייבר בכלל מערכותיו ותשתיותיו".
"מומלץ גם שבמערכת החדשה לניהול ציוני הבגרות יינתן מענה על הממצאים שהועלו בדוח זה בנוגע לאבטחת המידע של בחינות הבגרות וציוני הבגרות", כתב המבקר והתריע כי "הליקויים שעולים מהדוח עלולים לסכן את אמינות ציוני הבגרות ואת השמירה הנדרשת מפני פגיעה בטוהר הבחינות".
פערים באבטחת הסייבר בצה"ל
פרק נוסף עוסק בהגנות סייבר בצה"ל. המבקר אנגלמן אמר כי יש פערים "משמעותיים" באבטחת סייבר במערכות מידע ביומטרי בצה"ל. הוא ציין כי פקודות המטכ"ל על הגנת הפרטיות לא עודכנו מ- 1996, ומצא כי בצה"ל יש מידע ביומטרי של חיילים שנפטרו, והחשש הוא שהאקרים ישתמשו בכך להתחזות ולגניבת זהות.
בדוח מצא המבקר בין היתר כי צה"ל לא בחן אחת לשנה כנדרש בתקנות אם שמור מידע עודף במאגרי אמצעי הזיהוי. למשל: מידע ביומטרי על חיילים אשר הלכו לעולמם ואשר לא בוצע לגביהם תהליך זיהוי. המבקר העיר כי מידע ביומטרי על נפטרים עלול לשמש ביתר קלות למטרת התחזות וגניבת זהות, שכן אין מי שיתלונן על השימוש שנעשה בו.
עוד נמצא בביקורת כי צה"ל לא גיבש נוהל אבטחה פיזית ייעודי למערכות אמצעי הזיהוי, אף ששמור בהן מידע ביומטרי, אישי ורגיש החייב ברמת אבטחה גבוהה. כמו כן נמצאו פערים ברמת האבטחה הפיזית של המערכות ביחידה מסוימת בנושאים: הגנה פיזית ובקרה על הכניסות והיציאות, הגנת סביבת העבודה והגנה סביבתית.
כמו כן, נמצאו פערים ברמת ההגנה הלוגית בנושאי הזדהות; הרשאות גישה; סקר בקרת גישה; בקרה על ביצוע פעולות לא מורשות; מנגנוני הצפנה; ובקרה שוטפת לצורך תהליכי הגנה על יישומים.
בביקורת נבדקה מידת ההגנה של מאגרים רגישים הכוללים מידע על כל אחד ואחד מאיתנו ששירת בצה"ל, ובכלל זאת טביעות אצבע ותצלומי שיניים. המבקר כתב כי ממצאי הדוח משקפים פערים משמעותיים באבטחת המידע המצוי במערכות רגישות אלו, ומעידים על אי-קיום חלק מתקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר. מצב זה, הוא העיר, יוצר סיכון לפגיעה באמינות, בזמינות ובסודיות של המידע.
הדוח, כך לפי בדיקת המבקר, כולל ממצאים נוספים הנוגעים להליכי תפעול וניהול של מערכות המידע של אמצעי הזיהוי. נמצא כי מערכות המידע אינן מנוהלות ביעילות ולפי מתודולוגיה סדורה לניהול פרוייקטי מערכות מידע, ועקב כך יש חשש שמערכות אמצעי הזיהוי לא יוכלו למלא את ייעודן. כמו כן נמצא כי מנהל הפרויקט לא הכין תכניות עבודה למערכות אמצעי הזיהוי ולא וידא שהקמתן וניהולן של המערכות עומדים ביעדים המקובלים של תכולה, לוחות זמנים, עלויות ושביעות רצון הלקוח.
המבקר אנגלמן ציין כי ממצאיו של דוח זה משקפים פערים משמעותיים באבטחת המידע המצוי במערכות רגישות אלו, וכן הם מעידים על אי-קיום חלק מתקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר. מצב זה יוצר סיכון לפגיעה באמינות, בזמינות ובסודיות של המידע שבמאגרים. על ראש אכ"א לפעול לתיקון הליקויים ולבחון את ההמלצות שבדוח זה.
דובר צה"ל מסר בתגובה: "צה"ל מודה למבקר המדינה על ביקורת זו ומתייחס בכובד ראש לממצאיה. מרבית ההמלצות בנושא ניהול ואבטחת המידע הביומטרי התקבלו ונבחנו בצה"ל והגופים הרלוונטיים החלו ביישומן. מאגר המידע הצבאי והמערכות המצוינות בדוח נמצאים בתוך הרשת הצה"לית המסווגת ואינם נגישים לגורמים חיצוניים או חשופים לגורמי שאינם מורשים לכך בתוך צה"ל".
"עם קבלת ממצאי הדו"ח, הותנעו מספר תהליכים לשיפור אבטחת מאגר המידע הביומטרי והשימוש בו. כחלק מהתהליכים, הסתיים פיתוח תשתית התוכנה לחיבור מצלמות חדשות אשר נרכשו לטובת שיפור איכות הרכשת הזיהוי בשרשרת החיול. בחלק ממחזורי הגיוס הקודמים השנה, פעלה תחנה ניידת ובה עמדות הרכשה שהושאלו משרשרת החיול, זאת תמשיך לפעול בהתאם לצורך. בצה"ל קיימים מנגנונים למניעת כניסת גורמים בלתי מורשים בצה"ל למערכות אלה, לצד זאת, נבחן שדרוג תשתיות אלו לטובת שיפור נוסף באבטחת המידע".
"מסמך מדיניות ההגנה בסייבר נמצא בימים אלו בתהליך תיקוף ועדכון. המלצת המבקר לעדכנו באופן עתי כל מספר שנים התקבלה והפקודה תתוקף אחת למספר שנים. תוכנית העבודה לשנת 2023 עתידה לכלול אלמנטים לשיפור עמידת מערכות המידע ומאגר המידע בדרישות אבטחת המידע והגנת הפרטיות העדכניות".
16 "ממצאים משמעותיים" בביקורת בעירייה אחת
גם בפרק העוסק במשרד התחבורה נמצאו ליקויים רבים. השורה התחתונה שלו היא ש"ישראל לא מספיק ערוכה לאיומי סייבר במגזר התחבורה". בסיכום הפרק הסביר המבקר שככל שתשתית מסוימת חיונית יותר לחיי היום-יום של התושבים, כך היא מושכת יותר את התוקפים, וככל שהיא תלויה יותר בממד הסייבר, כך היא פגיעה יותר לתקיפות שעשויות לגרום לשיבושים בתפקודה התקין ואף להשבתתה המלאה, לפגיעה כלכלית ניכרת ולפגיעה בחיי אדם.
המבקר אנגלמן כתב כי ממצאי פרק זה משקפים בעיה מבנית ותפקודית יסודית בכל הנוגע להיערכות של מדינת ישראל לאיומי הסייבר במגזר התחבורה.
בביקורת נמצא כי חסרה הסדרת תחומי האחריות והסמכות של מערך הסייבר ומשרד התחבורה בכל הנוגע לגופים שאינם תשתית מדינה קריטיות (תמ"ק); משרד התחבורה אחראי לפעילויות המגזר אולם אין בידיו תמונה מלאה של מצב ההגנה של הגופים בו; אין הלימה בין האיומים והמענים להם במגזר כולו לבין המשאבים של משרד התחבורה; חסרות דרישות סייבר בהתקשרויות בחלק ניכר מהפעילויות וחסרה הקצאת המשאבים הנדרשים לכך על ידי הגופים.
המבקר העיר כי הבעיה התפקודית והמבנית שהועלתה בדוח זה עשויה להיות רלוונטית למגזרים גדולים נוספים, ולכן טיפול מערכתי בנושאים אלו עשוי לשפר את מוכנות המשק והמגזרים הגדולים הפועלים בו להתמודד עם אירועי סייבר.
בדוח נכתב עוד כי במסגרת הביקורת בוצע מבדק חדירה על ידי צוות הביקורת במערכות בתחום התחבורה בעירייה מסוימת. המבקר הדגיש כי חשיבותה של פעולה חדשנית זו, שיושמה לראשונה בדוח ביקורת של משרד מבקר המדינה, בכך שהיא מאפשרת להעריך את מוכנותו האמיתית של הגוף לעמוד בפני התקפות סייבר, באמצעות שימוש בכלים החושפים חולשות אבטחה בסביבת העבודה התפעולית של הגוף ולסייע בכך באופן מעשי וממשי לשיפור רמת ההגנה של הגופים המבוקרים.
במהלך מבדק החדירה והתשאול, שהתבצעו בעירייה ששמה לא פורסם, זוהו 16 ממצאים משמעותיים בתחומים הבאים: ניהול משתמשים והרשאות; תיעוד וניטור; בקרת גישה לרשת; הגנת עמדות ושרתים; סגמנטציה ובקרת זרימה; עדכניות התכנה; ואבטחת הגישה. 11 מהממצאים היו ברמה המוגדרת חמורה מאוד ושלושה בדרגה חמורה. המבקר כתב כי ממצאים אלו הוצגו לעירייה כבר בדצמבר 2021 לצורך תיקון וטיפול בהם וחלקם תוקנו עד מועד סיום הביקורת.
בסוף הפרק, כתב המבקר כי על משרד התחבורה ועל מערך הסייבר לוודא כי תשתיות התחבורה, ובפרט התשתיות הקריטיות, מבצעות הערכת סיכונים באופן שוטף ומשפרות את מידת עמידתן בפני מתקפות סייבר אפשריות.
עשור של עיכובים: "רשות המיסים שבויה בידי הספק"
שניים מתוך שישה פרקים הוקדשו לרשות המיסים. על פרויקט "שער עולמי" - מערכת מחשוב במינהל המכס ברשות המיסים לניהול סחר החוץ של ישראל - כתב מבקר המדינה: "היה עיכוב של למעלה מעשור בהשלמת הפרויקט, חריגות תקציב במאות מיליוני שקלים - ולמרות זאת ביצועי המערכת דורגו בפחות מהממוצע".
הוא הצביע על ליקוי מרכזי - הרשות משתמשת בספק אחד בלבד למשך זמן רב מאוד. "רשות המיסים שבויה בידי ספק המערכת. עקב היעדר התחרות במכרז מ-2004 והעיכובים בפרויקט, ההתקשרות המצטברת של רשות המיסים עם הספק בנוגע לשתי המערכות (מערכת שער עולמי והמערכת הישנה) תימשך 48 שנה (מ-1991 עד 2039) והיקפה הכספי יעלה על מיליארד שקל, כשרוב הסכום אושר בפטור ממכרז", כתב המבקר אנגלמן.
מרשות המסים נמסר בתגובה לדוח בעניין "שער עולמי": "המטרה המרכזית של פרסום המכרז להקמת המערכת החדשה ב-2004 הייתה יציאה ממצב של 'לקוח שבוי', אך בסופו של דבר חברה א' זכתה במכרז על פי חוק. מאז עליית המערכת לאוויר התשלום לחברה א' של דמי תחזוקה על המערכת הישנה נעשה רק על החלקים שטרם עלו לאוויר וגם תשלום זה יסתיים בינואר 2023 עם עלייתה הצפויה של מערכת הייצוא. כמו כן, כל הגדלה של ההתקשרות מול החברה נעשתה באישור ועדת הפטור של החשב הכללי שמצאה הצדקה למתן הפטור ואישרה את הארכת ההתקשרות".
על הגנת סייבר והמשכיות עסקית ביחידת שרות עיבודים ממוכנים ברשות המיסים, כתב מבקר המדינה: "הועלו ממצאים אשר מסכנים מהבחינה העסקית את המידע ואת מוניטין רשות המיסים". בתגובה לנושא זה בדוח המבקר, אמרו ברשות המיסים כי הם "מקבלים את המלצות המבקר בנושא בדיקת החוסן האפליקטיבית ופועלים לתיקון הליקויים שנמצאו בה".
ציון נמוך לחלק מתאגידי המים
בפרק המתייחס לתאגידי המים - לאחר דיווחים בעבר על מתקפות סייבר על מתקני מים - כתב המבקר כי "חלק מהתאגידים קיבלו ציון נמוך על מוכנותם להגנת סייבר". המבקר כתב כי איומי הסייבר הולכים ומתעצמים עם צמיחתו של מרחב הסייבר, ועלולים להוביל לפגיעה הן בתוך המרחב והן בעולם הפיזי, כגון במתקני התפלה, בספקי מים ובתשתיות. לפי מסמכי רשות המים, בשנים האחרונות חלה החמרה באיומי הסייבר על מערכות המחשוב של משק המים והביוב בישראל.
בפרק זה כתב המבקר אנגלמן כי מועצת רשות המים לא אסדרה בכללים בהתאם לסמכותה את חובת ספקי המים להפעיל מערך ניטור ובקרה ומערך הגנה מפני אירועי סייבר; את חובותיהם להגיש תוכנית לאבטחת מידע לאישור רשות המים; ואת חובתם לחבר את מערכות המחשב שלהם למרכז הקיברנטי. כמו כן לא אוסדרה סמכות מנהל היחידה המגזרית ברשות המים לתת הנחיות לספקי המים, ולא אוסדרה סמכותם של הספקים לפעול על פיהן.
בדוח נכתב כי בשנים האחרונות ועד מועד סיום הביקורת עשתה רשות המים ביקורות סייבר בחלק מכלל התאגידים. חלק מתאגידי המים שנבדקו בידי רשות המים בשנת 2021 קיבלו ציון נמוך על מוכנותם להגנת סייבר.
המבקר אנגלמן המליץ שמועצת הרשות ורשות המים יפעלו לקידום של הליכי אסדרת חובת ספקי המים להפעיל מערך ניטור ובקרה ומערך הגנה מאירועי סייבר, להכין תוכניות לאבטחת מידע ולעגן בכללי ביטחון מים את סמכות רשות המים לתת לספקי המים הנחיות בתחום הסייבר. כמו כן מומלץ כי הרשות תפעל לחיבורם של כל ספקי המים הנדרשים למק"ם (מרכז קיברנטי למגזרי אנרגיה ומים). עוד מומלץ כי רשות המים תשלים את ביקורות הסייבר בתאגידים ובספקי מים אחרים שטרם נבדקו בשנתיים האחרונות, ותפעל להגברת מוכנותם של התאגידים למתקפות סייבר.
מרשות המים נמסר בתגובה לדוח: "משק המים הישראלי הוא משק בטוח, הערוך היטב לשעת חירום, כולל התמודדות עם נושא הסייבר על היבטיו השונים. זה כמה שנים, רשות המים נערכת להרחבת מערך ההגנה מפני מתקפות סייבר עתידיות על תשתיות המים בישראל, ובתוך כך מנחה ומתרגלת את ספקי המים לעמידה באתגרים אלה. כחלק מההיערכות, מתקיימת פעילות נרחבת בהובלת הרשות ובשיתוף עם רח"ל ופיקוד העורף, להבטחת הגנה מרבית על מתקני המים ומערכות התפעול, לרבות שדרוג מערכות הבקרה הטכנולוגיות וכן הקמה ותפעול שולחן מים ייעודי במרכז הסייבר הלאומי בבאר שבע.
"חשוב לדעת, כי השילוב בין חיזוק מערך ההגנה מפני התקפות סייבר, גיבוי המערכות, והעובדה שמשק המים בישראל בנוי בצורה מבוזרת וריבוי מקורות מים, מצמצמים את האפשרות להפרעה באספקת המים, וזאת גם במקרה של פגיעות נקודתיות. עד היום, למרות מספר ניסיונות לפגוע במשק המים, לא הייתה הפרעה באספקת המים, איכות המים או סילוק הביוב. רשות המים תמשיך להיערך ולפתח את תחום הסייבר במטרה להבטיח לתושבי ישראל אספקת מים רציפה ובטוחה".
ממשרד התחבורה נמסר בתגובה לדוח: "משרד התחבורה עשה קפיצת מדרגה משמעותית בתחום הגנת הסייבר. לראשונה, הוקם מרכז לניטור אירועי אבטחת מידע בענף התחבורה (SOC מגזרי) לקבלת תמונת מצב ענפית. כך מתאפשר לזהות ניסיונות תקיפה פוטנציאליים, ולהתריע מפני חשיפה אפשרית לגופים דומים, שתסייע להם להיערך ולהתגונן. בנוסף, הוביל המשרד בשנה החולפת חקיקה מהפכנית לרכב האוטונומי, המאפשרת לבצע ניסויים ברכב ללא נהג והסעת נוסעים. בחוק שולבו דרישות סייבר מחמירות וסמכויות אכיפה ובקרה משרד.
"יתר על כן, הוקם בבאר שבע מרכז סייבר לאומי לתחבורה חכמה, בשיתוף מערך הסייבר הלאומי וחברות מובילות במשק. המרכז יאפשר למשרד לבצע בדיקות ולבחון את רמת הגנת הסייבר ברכבים, ברכבות, ברמזורים חכמים ועוד. המשרד מקצה משאבים חסרי תקדים בפיתוח יכולות הגנת סייבר, הכוללות תשתיות טכנולוגיות, ביצוע בדיקות ובקרות, הון אנושי (עובדי משרד ומומחים חיצוניים), ופיתוח תהליכים ותו"ל במקרי מתקפות סייבר. בנוגע לביקורת על מרכזי ניהול ובקרת תנועה המופעלים ומתוקצבים על ידי הרשויות המקומיות - נבקש להדגיש, כי למשרד אין סמכות הנחיה בנושא סייבר על המרכזים הללו, מאחר שסמכות רשות התמרור המקומית הואצלה לרשויות המקומיות".