הדוח המונח על שולחן הכנסת מציג את תוצאות הביקורת בתחומי הגנת הסייבר, טכנולוגיות המידע והגנת הפרטיות.
הקדמה הטכנולוגית הביאה לכך שתחומים רבים יותר ויותר בחיינו מתבססים על מערכות מידע מרכזיות, ובהתאם לכך צפויה עלייה ניכרת בשכיחותם של איומי סייבר ובמידת חומרתם. לצד היתרונות של המרחב המקוון לכלכלה ולחברה, חלה עלייה בהיקף מתקפות הסייבר הדורשת חיזוק של רמת ההגנה והיערכות להתמודדות מיטבית עם תקיפות סייבר.
בעשור האחרון גברו תקיפות הסייבר על ארגונים ועל אנשים פרטיים ברחבי העולם. בשנת 2020 זוהו ברחבי העולם כ-9.5 מיליון ניסיונות למתקפות סייבר שמטרתן הייתה להשבית מערכות מחשוב ולמנוע את היכולת להשתמש בהן - בשנה זו זוהו 18 ניסיונות למתקפה בדקה בממוצע; במחצית הראשונה של שנת 2020 נגנבו או זלגו למרשתת (אינטרנט) לפחות 36 מיליארד נתונים אישיים בעקבות מתקפות סייבר.
עם תחילת כהונתי כמבקר המדינה ונציב תלונות הציבור הגדרתי את תחום הסייבר כאחד מנושאי הליבה שבהם תעסוק ביקורת המדינה. זאת במטרה לבחון את היערכותם ומוכנותם של הגופים המבוקרים להתמודדות עם הסיכונים המשמעותיים במרחב הקיברנטי, עם האיומים האסטרטגיים ועם אתגרי הסייבר העתידיים המונחים לפתחם. דוח זה עוסק כולו בתוצאות ביקורת המדינה בתחום הגנת הסייבר ומערכות המידע. ואלה פרקי הדוח:
- א. שימוש במסמכי זיהוי ביומטריים - תעודות זהות ודרכונים
- ב. טכנולוגיות דיגיטליות ואבטחת המידע והסייבר בשירות בתי הסוהר
- ג. הגנת הפרטיות ואבטחת המידע במערכות המרכז לגביית קנסות, אגרות והוצאות ברשות האכיפה והגבייה
- ד. ביקורת סייבר במרכז הרפואי א' - מבדק חדירה לתשתית ולרשת התקשורת
- ה. אסדרת הגנת הסייבר במוסד לביטוח לאומי
- ו. הנגשת שירותי ממשל בעידן הדיגיטלי לאנשים עם מוגבלות ולציבור שאינו משתמש במדיה הדיגיטלית
- ז. התקשרויות בפטור ממכרז בתחום התקשוב
יובהר כי חמשת הפרקים הראשונים עברו תהליך חיסיון, וועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניחם במלואם על שולחן הכנסת אלא לפרסם רק חלקים מהם, בהתאם לסעיף 17 לחוק מבקר המדינה, התשי"ח-1958 [נוסח משולב]. להלן סקירה של חלק מפרקי הדוח:
מסמכי זיהוי אמינים משמשים מפתח למגוון רחב של פעולות במגזר הממשלתי והעסקי. כעשור לפני מועד סיום הביקורת, בשנת 2013, החל בישראל מעבר למסמכי זיהוי ביומטריים - תעודות זהות חכמות ודרכונים ביומטריים - שצפויים להחליף את מסמכי הזיהוי מהסוג הישן, אשר נחשבים קלים לזיוף, ועלולים לשמש גורמי טרור או פשיעה ואף לשמש לצורכי הגירה בלתי חוקית. בפרק בנושא שימוש במסמכי זיהוי ביומטריים - תעודות זהות ודרכונים נמצא כי אף שהמעבר לתעודות זהות חכמות החל כבר לפני עשור בקרב תושבים שהביעו רצון בכך, ובאופן מחייב לכלל התושבים ביולי 2017, והושקעו עד כה 430 מיליון ש"ח בהנפקתן, נכון ליולי 2022, מיליוני תושבים מחזיקים בתעודה מהסוג הישן, הקלה לזיוף. עוד העלתה הביקורת ליקויים מהותיים בכמה תחומים עיקריים: עיכוב משמעותי במעבר לתיעוד לאומי ביומטרי והיעדר שימוש בו; ליקויים בשמירה על נתונים ביומטריים במערכות הממוחשבות של רשות האוכלוסין וההגירה; וקושי בהתמודדות עם הגידול בביקוש להנפקת מסמכי זיהוי ביומטריים. נוכח חומרת ממצאי הביקורת, מומלץ כי רשות האוכלוסין וההגירה תפעל לתיקון הליקויים, וכי שר הפנים יוודא שנעשות פעולות לתיקון הליקויים בתחומים האמורים, ובכלל זאת יוודא כי ליקויים בתחום הביטחון וההגנה על המידע יתוקנו בתיאום עם הגורמים המקצועיים האמונים על כך: השב"כ, המשטרה ומערך הסייבר הלאומי. בשנים האחרונות חלו שינויים מרחיקי לכת בהיבטים הנוגעים לפרויקט הלאומי הביומטרי, בכלל זה חל שיפור ניכר ביכולות הטכנולוגיות בתחום הביומטרייה, וגדל במידה רבה היקף השימוש בשירותים מקוונים הדורשים הזדהות בטוחה. השלמת המעבר לתיעוד לאומי ביומטרי, תוך הסרת החסמים המשפטיים והטכנולוגיים המקשים את השימוש בו והתאמת הפרויקט לשינויים שחלו בשנים האחרונות, עשויה למנף את השימוש במסמכי הזיהוי הביומטריים וצפויה להביא לתועלות ניכרות בהיבטי הביטחון, הכלכלה והשירות לציבור.
שירות בתי הסוהר (השב"ס) הוא ארגון הכליאה הלאומי, גוף ביטחוני הנכלל במערכת אכיפת החוק ואמון על החזקת אסירים פליליים וביטחוניים במשמורת במטרה להגן על שלום הציבור וביטחונו. היקף האחריות של השב"ס לאלפי אסירים וכן ניהול פריסה רחבה של מתקני כליאה בכל רחבי הארץ מציבים את השב"ס כארגון גדול ומורכב המצריך משאבי אבטחה, ניהול ושליטה טכנולוגיים יעילים. הדבר מקבל משנה תוקף עקב אופיו ורגישותו הביטחונית של הארגון והסיכונים הביטחוניים והפליליים התלויים בתפקודו התקין. משנת 2021 השקיע השב"ס בקידום תוכנית "קברניט" להתאמת הטכנולוגיה בארגון לאתגריו המבצעיים והניהוליים. הפרק בנושא טכנולוגיות דיגיטליות ואבטחת המידע והסייבר בשירות בתי הסוהר חושף פערים עמוקים וליקויים משמעותיים של מערך ביטחוני רגיש, היוצרים סיכון של ממש. נמצא פער יסודי בין מהותו של הארגון, אופיו, המידע המוחזק בו והסיכונים הנוגעים לפעילותו לבין התרבות התפקודית הרווחת בו בכל הנוגע לאבטחת מידע וניהול המידע המסווג. הפרק חושף מציאות רבת שנים שלפיה תחומי האחריות והסמכות של השב"ס ושל המאסדרים בתחום אבטחת המידע המסווג והסייבר ובתחום הטכנולוגיות הדיגיטליות ומערכות המידע אינם מיושמים, הלכה למעשה, באופן תקין וכנדרש. נמצאו פערים יסודיים בתוכנית התאוששות מאסון של המערכות הטכנולוגיות בשב"ס. תמונת המצב העולה מפרק זה היא תוצאה של הזנחה רבת שנים, שבמהלכן לא הייתה משילות טכנולוגית שהניחה יעדים, קבעה תהליכים, הקצתה משאבים, וניהלה כראוי את הסיכונים והמתודולוגיות הארגוניות בתחום הטכנולוגי. קיימת אי-ודאות תקציבית מהותית בנוגע למימוש המענה המתוכנן בתוכנית "קברניט" למכלול הפערים הטכנולוגיים והאבטחתיים. מומלץ כי ראש הממשלה, בהתייעצות עם השר לביטחון לאומי, יבחן את סוגיית אבטחת המידע והסייבר בשב"ס בכללותה ובפרט את סוגיית אבטחת המידע המסווג. על השב"ס והמשרד לביטחון לאומי לוודא שהרציפות התפקודית לא תיפגע בקרות אירועי אסון העלולים לסכן את יציבותו ותפקודו של מערך הכליאה הלאומי. המשרד לביטחון לאומי והשר העומד בראשו נושאים באחריות לתפקוד מערך הכליאה בישראל, ובמסגרת זו עליהם להבטיח כי השב"ס ממלא את תפקידו באמצעות תשתית טכנולוגית מתאימה, וכי בניין הכוח בתחום זה מנוהל בראייה ארוכת טווח ובמתווה תקציבי המבטיח את מימושו.
נכון לנובמבר 2022, במוסד לביטוח לאומי מתבצעות בכל יום כ-2.9 מיליון תקיפות סייבר בממוצע, ומהן כ-66,000 תקיפות שיש בהן פוטנציאל לנזק. בדומה למדינות אחרות, ישראל חשופה לתקיפות סייבר לצורכי כופר וגניבת מידע. מלבד זאת, נוכח האקלים הגיאו-פוליטי המורכב ביטחונית, ישראל משמשת כר מטרות נרחב לתוקף הקיברנטי הפוטנציאלי, המעוניין לפגוע בחוסנה ובביטחון הלאומי שלה. הדוח כולל פרק בנושא אסדרת הגנת הסייבר במוסד לביטוח לאומי. גוף כדוגמת בט"ל, מחייב שיגובש עבורו מענה אסדרתי מספק הכולל הנחיה של מערך הסייבר הלאומי, הנחיה של הרשות להגנת הפרטיות ותיאום בין שניהם כדי להבטיח את ההגנה המיטבית. נוכח היקפי המידע השמורים בבט"ל והסיכונים לדליפתו מומלץ כי ועדת ההיגוי העליונה, שתפקידה לבחון אילו גופים מוגדרים חיוניים ולכן זקוקים להגנה קיברנטית, תקדם את הבחינה של בט"ל כגוף תמ"ק (תשתיות מחשוב קריטיות). מומלץ כי עד סיום הבחינה יוסדר ממשק מקצועי בין מערך הסייבר הלאומי לבט"ל לצורך מתן מענה ישיר, העברת דיווחים, בקרה על תיקון הליקויים וכיו"ב. כמו כן מומלץ כי ועדת ההיגוי תבחן אם יש עוד גופים בעלי מאגרי מידע בהיקפים הדומים לבט"ל שיש לבחון את הגדרתם כגופי תמ"ק, ובכך לשפר את ההגנה על התשתיות החיוניות של מדינת ישראל.
הפרק בנושא הגנת הפרטיות ואבטחת המידע במערכות המרכז לגביית קנסות, אגרות והוצאות ברשות האכיפה והגבייה מעלה ליקויים בתחום הגנת הפרטיות ואבטחת המידע במערכות המידע במרכז לגביית קנסות (המג"ק) שברשות האכיפה והגבייה, אף שהמערכת התפעולית של המג"ק מוגדרת כמאגר שמחייב רמת אבטחה גבוהה. בין הליקויים שעלו: היעדר תיעוד של הגישה של משתמשי המערכת התפעולית של המג"ק למידע המצוי במערכת וכפועל יוצא מכך היעדר בקרה על אותה גישה; אי-ביצוע מעקב הולם אחר אירועים חריגים המתרחשים במערכת; ניהול לקוי של תהליך מתן ההרשאות למערכת התפעולית של המג"ק ושל הפיקוח והבקרה עליהן; היקף גישה בלתי מוגבל של משתמשי המערכת למידע המצוי בה; ניהול לקוי של הרשאות עובדי מוקד המידע הטלפוני למערכת; וכן סיכון לחדירת תוקפים חיצוניים למערכות המג"ק. על רשות האכיפה והגבייה והמג"ק לפעול בהקדם על פי הנחיות הגופים הרלוונטיים למניעת דליפת מידע מהארגון ולשמירה על שלמותו. מאגר המידע של המג"ק הוא רחב היקף וכולל מידע רגיש בנוגע לכ-3 מיליון חייבים. סכומי החוב שבטיפול המג"ק מסתכמים נכון למועד הביקורת בכ-6.8 מיליארד ש"ח. מכאן נובע הצורך בשמירה על מערכות המידע, שנועדה למנוע פגיעה בשלמות המידע וברציפות התפקודית של המג"ק במתן שירותים, למנוע דליפה של נתונים ומידע ממאגר המידע ולמנוע את חשיפתם לגורמים שאינם מורשים לכך.
בשנים האחרונות גברו גם איומי הסייבר על מערכת הבריאות, ובכלל זה על מרכזים רפואיים. כן דווח כי מגזר הבריאות היה אחד מעשרת המגזרים המותקפים ביותר בישראל בשנת 2021. אחת הדרכים להיערכות לאיומי סייבר היא לבצע מבדקי חדירה לארגון, כדי לזהות חולשות במעטפת ההגנה שלו ולפעול למזער אותן, ובמקרים שבהם לא ניתן לטפל בחולשות שעלו - להביא לידיעת הנהלת הארגון את הסיכונים האפשריים ולנהל אותם באופן שוטף. דוח זה כולל פרק בנושא ביקורת סייבר במרכז הרפואי א' - מבדק חדירה לתשתית ולרשת התקשורת. במבדק החדירה זוהו 13 ממצאים משמעותיים בחמישה תחומים: סגמנטציה ובקרת זרימה; בקרת גישה לרשת; הגנת עמדות ושרתים; תוכנה לא עדכנית; וגישה לא מאובטחת. עשרה מהממצאים היו בדרגת חומרה גבוהה ושלושה בדרגת חומרה בינונית. בעקבות מבדק החדירה תיקנה הנהלת המרכז הרפואי א' כמה ליקויים, ובפרט עדכנה את רמת האבטחה של מערכות מסוימות. להערכת הנהלת המרכז הרפואי, העלות הכוללת לתיקון הליקויים יכולה להסתכם ביותר מ-10 מיליון ש"ח לשנה באופן שוטף. מומלץ כי ההנהלה תגבש תוכנית עבודה רוחבית למיגור הסיכונים או למזעורם במקרים שבהם לא ניתן לתקן את הליקויים שעלו. כמו כן מומלץ לבצע מבדקי חדירה בהתאם לתוכנית סדורה. משרד הבריאות פועל כמאסדר של המוסדות הרפואיים, ובכלל זה בתחום אבטחת המידע. מומלץ כי משרד הבריאות, כמאסדר בתחום הבריאות, ישלים את ביצוע מבדקי החדירה שהחל לבצע בכלל המוסדות הרפואיים בארץ ויקבע מתכונת עיתית להמשך ביצוע מבדקי חדירה במוסדות. עוד מומלץ כי משרד הבריאות יבחן את ממצאי מבדק החדירה שבוצע במרכז הרפואי א' ויפעל להטמיע בכלל המוסדות הרפואיים את ההמלצות המתבססות על ממצאי המבדק. כמו כן מומלץ שמשרד הבריאות יוודא כי כלל המוסדות הרפואיים מבצעים בעצמם מבדקי חדירה תקופתיים, יבחן את ממצאי המבדקים האלה, יעקוב אחר תיקון הליקויים שיעלו בהם ובהתאם לכך יפרסם המלצות לכלל המוסדות הרפואיים. נוסף על כך מומלץ שמשרד הבריאות ימשיך לפעול כדי לסייע במישור הלאומי לכל המוסדות הרפואיים להתמודד עם אתגרי אבטחת המידע הנוגעים למכשור הרפואי.
הרכש הממשלתי הוא נדבך מרכזי בפעילותם של הגופים הממשלתיים, שכן מרבית הפעילות הממשלתית תלויה ברכש של טובין או של שירותים. בפרק בנושא התקשרויות בפטור ממכרז בתחום התקשוב עלה כי היקף הרכש התקשובי בשנים 2019 - 2021 היה כ-14.4 מיליארד ש"ח, והוא היה כ-15.6% מסך הרכש הממשלתי בשנים אלו. היקף הרכש התקשובי שבוצע בפטור ממכרז בשנים 2019 - 2021 היה כ-1.79 מיליארד ש"ח, והוא היה כ-14.2% מסך הרכש התקשובי באותן שנים. ממצאי דוח זה מצביעים על שורה של ליקויים בתחום הרכש, בדגש על התקשרויות בפטור ממכרז בתחום התקשוב. להלן הליקויים העיקריים: המידע שמפרסמים לציבור מינהל הרכש ומערך הדיגיטל בתחום הרכש אינו תואם את המידע במערכת מרכב"ה, ובכך נפגעת השקיפות לציבור ויכולות הבקרה על פעילות הרכש הממשלתי; השימוש שעושים הגופים הממשלתיים בפטור ממכרז בעילת ספק יחיד ובעילת התקשרות של עד 50,000 ש"ח ברכש התקשובי גדול במאות אחוזים מהשימוש בהם ברכש הכללי; ואי-עמידה בהוראות הדין הנוגעות לפרסום התקשרויות. ההתפתחות המהירה של תחום התקשוב גורמת לכך שגופים ממשלתיים נדרשים ליישם חדשנות בתחום זה במהירות וביעילות, כדי למנוע את התיישנות הטכנולוגיה הרלוונטית עד להשלמת הליך הרכש. לצד זאת, יש לנהל את הליכי הרכש באופן הוגן, שוויוני ושקוף ובאופן העולה בקנה אחד עם הוראות הדין כדי להביא לתוצאות עסקיות וליעילות כלכלית. על הגופים הממשלתיים להקפיד על הוראות הדין והוראות התכ"ם הנוגעות לרכש הממשלתי. מומלץ כי מינהל הרכש יפעל לשיפור תהליך הרכש במערכת מרכב"ה, לרבות יישום בקרות ממוחשבות ובקרות מפצות, כדי לוודא את השלֵמות והמהימנות של המידע ולשפר את הפיקוח והבקרה השוטפים ואת תהליכי קבלת ההחלטות. על החשכ"ל והיחידה לחופש המידע לפעול לאכיפת פרסום ההתקשרויות של כלל הגופים בהתאם להוראות הדין ותוך הקפדה על מהימנות המידע המתפרסם לציבור.
על הגופים המבוקרים מוטלת החובה לפעול בדרך מהירה ויעילה לתיקון הליקויים שהועלו בדוח זה, כדי להעלות את רמת ההגנה של הארגון ולהיערך להתמודדות מיטבית עם תקיפות סייבר. על הגופים להתאים את פעילותם לעולם רווי טכנולוגיות מתקדמות ולאתגרים שבפניהם הם יעמדו בשנים הקרובות. מתקפות הסייבר שאירעו לאחרונה מחדדות את הצורך בכך.
לסיום, חובה נעימה היא לי להודות לעובדי משרד מבקר המדינה, הפועלים במסירות לביצוע ביקורת באופן מקצועי, מעמיק, יסודי והוגן ולפרסום דוחות ביקורת אובייקטיביים, אפקטיביים ורלוונטיים.
משרד מבקר המדינה מתחייב להמשיך ולבקר את עמידת הגופים המבוקרים בפני סיכונים עכשוויים ועתידיים ולעסוק בתחומי הגנת הסייבר, טכנולוגיות המידע והגנת הפרטיות, לטובת אזרחי ישראל.
מתניהו אנגלמן
מבקר המדינה
ונציב תלונות הציבור
ירושלים, אייר התשפ"ג, מאי 2023