מבקר המדינה על דוח הסייבר
(צילום: דוברות מבקר המדינה)
פרצות של ממש בביקורת הגבולות בנתב"ג, מיליוני תקיפות סייבר של הביטוח הלאומי ביום, והזנחה רבת שנים של מערכות המידע בשב"ס. אלה רק חלק מהליקויים שעליהם מצביע מבקר המדינה מתניהו אנגלמן בדוח מיוחד שפרסם אחר הצהריים (ג') בנושא סייבר ומערכות מידע. בפודקאסט "דוח מצב", המתפרסם במקביל לדוח, מודה המבקר כי משרדו מעסיק האקרים על מנת לבדוק פרצות אבטחה בגופים מבוקרים, וכי בעקבות כך נמצאו ליקויים קשים באחד מבתי החולים בארץ.
מבקר המדינה הקדיש פרק לתעודות הזהות והדרכונים הביומטריים, שחלקים ממנו לא פורסמו כדי לשמור על ביטחון המדינה. מהקטעים שהותרו לפרסום עולים ליקויים רבים. בין היתר, המבקר מצא כי למרות שהמעבר לתעודות זהות חכמות החל כבר לפני כעשור, והפך למחייב ב-2017, כ-45% מהמחזיקים בתעודות זהות מחזיקים בתעודה מהסוג הישן, שקלה לזיוף. זאת למרות שבמהלך הושקעו עד כה כ-430 מיליון שקלים.
אנגלמן התריע כי להמשך השימוש בתעודות הישנות השלכות בהיבטים פליליים וביטחוניים. כדי להמחיש את הבעיה ציין המבקר כי בחציון הראשון של 2022 נרשמו במעברי הגבול של רשות המעברים היבשתיים כ-400 ניסיונות כניסה לארץ באמצעות מסמכי זיהוי מזויפים.
המבקר ציין כי יש קשר ברור בין מספר הפעמים שבהן אזרחים דיווחו על אובדן תעודת זהות חכמה וביקשו להנפיק חדשה לבין הרישום הפלילי או המשטרתי של המבקשים. לפי הדוח, מאז החלה הנפקת תעודות הזהות החכמות ביוני 2013 – 3,834 אזרחים דיווחו על אובדן או גניבה של תעודה חכמה לפחות שלוש פעמים, 70% מהם היו בעלי רישום משטרתי או פלילי. בקרב אלו שביקשו לפחות שמונה פעמים שיעור בעלי הרישום המשטרתי או הפלילי היה 100%.
אחת התכליות המרכזיות של המעבר לתעודת זהות החכמה הייתה מתן שירותים מתקדמים לציבור בעזרת השימוש בה. אבל בביקורת התגלה שפחות מאחוז מהתושבים השתמשו בתעודה החכמה לצורך קבלת שירותים במערכת ההזדהות הלאומית, למרות שכך ההזדהות בטוחה יותר. המבקר ציין כמה חסמים שהובילו לכך, בהם הצורך בקורא כרטיסים וזכירת סיסמה.
לפי דוח המבקר, נכון לספטמבר 2022, הגוף היחיד שמשתמש ברובד הביומטרי של תעודת הזהות החכמה לצורך אימות זהות אדם הוא רשות האוכלוסין. המבקר ציין כי המשטרה, כמו גם כלל משרדי הממשלה, אינם משתמשים ברוב הביומטרי של תעודת הזהות החכמה. לפי המבקר, גם רשות האוכלוסין עושה זאת באופן מוגבל – רק בעת שבעל תעודת הזהות החכמה מגיע פיזית לקבל שירות בלשכה.
בכל הנוגע לדרכונים הביומטריים, המבקר מצא כי כעשור לאחר שהחלה הנפקת הדרכונים הביומטריים, כ-2.9 מיליון תושבים, ששיעורם כ-37% מכלל המחזיקים בדרכונים, עדיין מחזיקים בדרכונים מהסוג הישן, הקלים לזיוף.
פרצה של ממש בנתב"ג
ליקויים נוספים נמצאו במקום שאליו מגיעים הזייפנים – נתב"ג. רשות האוכלוסין קבעה נוהל במטרה לחסום פרצה שעלולה לאפשר לגורמי פשיעה וטרור זרים וישראלים להיכנס לארץ ולצאת ממנה. ממסמכי רשות האוכלוסין, כמו גם מסיורים וניסיונות מעבר בביקורת הגבולות של נציגי המבקר, עולה כי יש פערים בהתנהלות רשות האוכלוסין במימוש הנוהל.
לפי המבקר, מדובר בפרצה של ממש בביקורת הגבולות, ובסיכון שכבר התממש. בדוח הוצגו מספר מקרים שבהם גורמים שונים נכנסו לארץ או יצאו ממנה תוך ניצול החולשה בביקורת הגבולות. המבקר הדגיש שהדוגמאות אינן מייצגות את היקף ניצול החולשה, משום שמדובר רק במקרים שנפגשו.
בדוח צוין כי המקרים הללו מעלים את החשש שהחולשה מוכרת וידועה גם לגורמים המבקשים להשתמש בה לרעה. המבקר ציין כי לא ניתן לדעת כמה מקרים כאלה אירעו עד כה, מי האנשים שיצאו מהארץ או נכנסו אליה, ומדוע ניצלו את החולשה הזו.
העומס בביקוש לדרכונים פוגע בתיעוד הביומטרי
מבקר המדינה התייחס גם להיערכות רשות האוכלוסין וההגירה להתגברות הבקשות לחידוש דרכונים, בתקופה שאחרי הקורונה. לפי המבקר, במהלך המגפה הצטבר פער של כמיליון דרכונים והדבר גרם להיווצרות עומסים כבדים, לרבות קושי בקביעת תורים.
אנגלמן ציין לטובה מספר צעדים שנקטה רשות האוכלוסין כדי להתמודד עם הביקוש העולה. בין היתר, פתיחת המרכז להנפקת דרכונים זמניים, הרחבת שעות פעילות מפעל ייצור הדרכונים והלשכות, וגיוס כוח אדם לשם כך.
עם זאת, המבקר מצא כי לחלק מהפעולות השלכות המתבטאות בעיכוב השלמת המעבר לתיעוד הלאומי הביומטרי (כמו דחיית מועד פקיעת התוקף של התעודות הישנות בשנתיים והגדלת היקף הדרכונים הזמניים), וכן השלכות על פעילות הרשות.
המבקר התייחס לסוגיה נוספת שקשורה למאגר הביומטרי הלאומי – זיהוי קורבנות באירוע רב נפגעים. לפי המבקר, ב-2017 נקבע בחוק כי המאגר יבוסס על תמונות פנים, וטביעות האצבע יימחקו. עם זאת, החל בספטמבר 2020, ביקשו שרי הפנים לבחון אם יש צורך לשמור את טביעות האצבע במאגר כדי לעשות בהן שימוש משני שנקבע בחוק – זיהוי קורבנות באירוע רב נפגעים. למרות הזמן שעבר, נכון לנובמבר 2022, טרם התקבלה החלטה בנושא במשרד הפנים, וטביעות האצבע עדיין שמורות במאגר הביומטרי הלאומי.
בסיכום הפרק המדאיג כתב אנגלמן כי נוכח חומרת ממצאי הביקורת, מומלץ שרשות האוכלוסין תפעל לתיקון הליקויים שהועלו בדוח, וכי שר הפנים יוודא שנעשות פעולות לתיקון הליקויים בתחומים האמורים, ובכלל זאת יוודא כי ליקויים בתחום הביטחון וההגנה על המידע יתוקנו בתיאום עם הגורמים המקצועיים האמונים על כך: שב"כ, המשטרה ומערך הסייבר הלאומי.
מיליוני תקיפות ביום על הביטוח הלאומי
המבקר בחן את הגנת הסייבר במוסד לביטוח הלאומי ומצא כי בכל יום מתקיימות בממוצע כ-2.9 מיליון תקיפות סייבר על הביטוח הלאומי. מי שאמונים להגן על המידע בביטוח הלאומי הם 20 עובדים, שישה מהם סטודנטים. לשם השוואה, על תחום התקשוב וההגנה בצה"ל מופקד קצין בדרגת אלוף.
נוכח היקפי המידע השמורים בביטוח הלאומי, והסיכונים לדליפתו, המבקר המליץ כי ועדת ההיגוי העליונה, שתפקידה לבחון אילו גופים מוגדרים חיוניים וזקוקים להגנה קיברנטית, תקדם את הבחינה של הביטוח הלאומי כגוף תשתיות מחשוב קריטיות (תמ"ק). עד לסיום הבחינה, המליץ המבקר, להסדיר ממשק מקצועי בין מערך הסייבר הלאומי לביטוח הלאומי. בנוסף, המבקר המליץ כי הוועדה תבחן אם יש עוד גופים עם מאגרי מידע בהיקפים דומים לביטוח הלאומי שצריך להגדיר גם אותם כגופי תמ"ק ולשפר את ההגנה על התשתיות החיוניות של מדינת ישראל.
לפני כמעט שנתיים תקיפת סייבר שיתקה כמעט לחלוטין בית חולים, והמצב כיום באחד מבתי החולים ברחבי הארץ לא מעודד. המבקר בחן את עמידות בית החולים לתקיפת סייבר ועשרה מהממצאים היו בדרגת חומרה גבוהה ושלושה בחומרה בינונית. המבקר לא פרסם את שם בית החולים כדי לא לפגוע בביטחון המוסד.
בעקבות המבדק, הנהלת המרכז הרפואי תיקנה מספר ליקויים ועדכנה את רמת האבטחה של מערכות מסוימות. להערכת ההנהלה, העלות הכוללת לתיקון הליקויים יכולה להסתכם ביותר מ-10 מיליון שקלים בשנה באופן שוטף.
המבקר המליץ שההנהלה תגבש תוכנית עבודה רוחבית למיגור הסיכונים או למזעורם במקרים שלא ניתן לתקן את הליקויים שעלו. כמו כן, מומלץ לבצע מבדקי חדירה בהתאם לתוכנית סדורה. המבקר המליץ כי משרד הבריאות, כרגולטור, יבחן את ממצאי מבקר החדירה שביצע המבקר ויפעל להטמיע את ההמלצות בכלל המוסדות הרפואיים.
מהביטוח הלאומי נמסר בתגובה: "לביטוח הלאומי יש מידעים חשובים של אזרחי ישראל והם שמורים ביראת קודש על ידי מערך המחשוב והסייבר של המוסד. כזכור, ניסיונות הפריצה והסייבר של גורמים עוינים נתקלו בחומה בצורה ונכון היה לציין זאת בדוח. הביטוח הלאומי בעד הכנסתו למערך הסייבר הלאומי ואבטחת המידע כל עוד שאין פגיעה בשירות השוטף לאזרחי ישראל".
הזנחה של שנים בשב"ס
מבקר המדינה הקדיש פרק שלם לטכנולוגיות הדיגיטליות ואבטחת המידע והסייבר בשירות בתי הסוהר. המבקר מצא פערים משמעותיים בניהול מידע ביטחוני מסווג ואבטחתו במערכות המחשוב של שב"ס, וחשף הזנחה רבת שנים שלפיה תחומי האחריות והסמכות של שב"ס והרגולטורים בתחום אבטחת המידע אינם מיושמים.
בנוסף, נמצאו פערים יסודיים בתוכנית התאוששות מאסון של המערכות הטכנולוגיות בשב"ס. תמונת המצב שעולה מהביקורת היא תוצאה של הזנחה רבת שנים, שבמהלכן לא הייתה משילות טכנולוגית שהציבה יעדים, קבעה תהליכים, הקצתה משאבים וניהלה כראוי את הסיכונים והמתודולוגיות בתחום הטכנולוגי.
המבקר בדק גם את הגנת הפרטיות ואבטחת המידע במערכות המרכז לגביית קנסות ברשות האכיפה והגבייה. בביקורת נמצא כי אין תיעוד של הגישה של משתמשי המערכת התפעולית של המרכז למידע המצוי במערכת, וכפועל יוצא אין בקרה על אותה גישה, אין מעקב הולם אחרי אירועים חריגים שמתרחשים במערכת ויש ניהול לקוי של תהליך מתן ההרשאות למערכת התפעולית.
לפי הדוח, היקף הגישה של משתמשי המערכת למידע המצוי בה בלתי מוגבל, ניהול הרשאות עובדי מוקד המידע הטלפוני למערכת הוא לקוי, וישנו סיכון לחדירת תוקפים חיצוניים למערכות המרכז. המבקר המליץ שרשות האכיפה והגבייה והמרכז יפעלו בהקדם כדי למנוע דליפת מידע מהארגון ולשמירה על שלמותו.
משירות בתי הסוהר נמסר בתגובה: "כפי שמצביע המבקר, כבר בחודש מאי 2021, ביצע שב"ס עבודת עומק למיפוי הפערים הטכנולוגיים ובנה תכנית אופרטיבית לצמצומם, במסגרת התוכנית הרב-שנתית 'קברניט'".
החוזה פטור ממכרז – ולא מפורסם
מבקר המדינה בחן את ההתקשרויות הפטורות ממכרז בתחום התקשוב, ומצא בין היתר כי המידע שמפורסם לציבור אינו תואם את המידע במערכת מרכב"ה, וכך, למעשה, נפגעת השקיפות לציבור ויכולת הבקרה על פעילות הרכש הממשלתי.
בנוסף נמצאו מקרים שלא עמדו בהוראות הדין הנוגעות לפרסום התקשרויות. המבקר ציין כי ההתפתחות המהירה של תחום התקשוב גרמה לכך שגופים ממשלתיים נדרשים ליישם חדשנות בתחום במהירות וביעילות כדי למנוע את התיישנות הטכנולוגיה הרלוונטית, עד להשלמת הליך הרכש. עם זאת, המבקר מדגיש כי יש לנהל את הליכי הרכש באופן הוגן, שקוף ושוויוני כדי להביא לתוצאות עסקיות וליעילות כלכלית.
הדוח התייחס גם להנגשת שירותי ממשל בעידן הדיגיטלי לאנשים עם מוגבלות ולציבור שאינו משתמש במדיה דיגיטלית. המבקר המליץ לכלל גופי הממשל לפעול כדי לבצע בדיקות נגישות בשירותיהם הדיגיטליים ולתקן ליקויים שיימצאו.
כמו כן, המליץ המבקר לנציבות שוויון זכויות לאנשים עם מוגבלות ולמערך הדיגיטל הלאומי לקדם את ההנגשה הדיגיטלית של שירותי הממשל.
