לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור

פתח דבר

דוח זה, המונח על שולחן הכנסת, מציג את תוצאות הביקורת בתחומי הגנת הסייבר וטכנולוגיות המידע. במקבץ זה כלול גם דוח מיוחד בנושא ההיערכות הלאומית בתחום הבינה המלאכותית.

מאוקטובר 2023 נמצאת מדינת ישראל במלחמת חרבות ברזל, בצפון ובדרום, בעקבות מתקפת הפתע הרצחנית של ארגון הטרור חמאס על יישובי עוטף עזה והסביבה בשמחת תורה התשע"ד, שבעה באוקטובר 2023. כפי שהודעתי בעבר, משרדנו מקיים ביקורת מקיפה בנושאים הנוגעים לטבח בשבעה באוקטובר ולמלחמת חרבות ברזל. לדידי, קיימת חובה ציבורית וערכית לקיום ביקורת על אופן תפקודם של כלל הדרגים ביום הטבח, בתקופה שלפניו ובתקופה שלאחריו. בד בבד עם הביקורת בנושא המלחמה משרדנו ממשיך לעשות ביקורת גם בתחומים אחרים. 

בשנים האחרונות, ובפרט במהלך המלחמה, אנו עדים לעלייה בתקיפות הסייבר שמבצעות מדינות ומעצמות נגד מדינת ישראל במטרה לגרום נזק ולהשבית ארגונים. עלויות הטיפול בתקיפות סייבר בישראל בשנת 2024 מוערכות על ידי מערך הסייבר הלאומי בכ-12 מיליארד ש"ח. 

עם תחילת כהונתי כמבקר המדינה ונציב תלונות הציבור הגדרתי את תחום הסייבר כאחד מנושאי הליבה שבהם תעסוק ביקורת המדינה. זאת במטרה לבחון את היערכותם ומוכנותם של הגופים המבוקרים להתמודדות עם הסיכונים המשמעותיים במרחב הקיברנטי, עם האיומים האסטרטגיים ועם אתגרי הסייבר העתידיים המונחים לפתחם. מהביקורות של משרדי בתחומי הסייבר ומערכות המידע עולה כי חסרה אסדרה בתחום הסייבר המחייבת את הארגונים להגן על עצמם; הגופים החיוניים במשק נדרשים להיות ערוכים להתמודד עם תקיפות ברמה של מדינה או של מעצמה; ומקבלי ההחלטות בממשלה צריכים להיות מודעים לרמת ההגנה במשק ולליקויים בה. דוח זה עוסק כולו בתוצאות ביקורת המדינה בתחום הגנת הסייבר ומערכות המידע. ואלה פרקי הדוח:

  • ניהול סיכונים ממשלתי בתחום התקשוב 

  • אבטחת המידע והגנת הסייבר במוסד לביטוח לאומי

  • מערכות המידע בחברת דואר ישראל ובבנק הדואר

  • הגנה בתחום הסייבר: היבטי אסדרה והגנה על המידע ומערכות המחשוב ברפאל מערכות לחימה מתקדמות בע"מ

  • פרויקט תבל לשדרוג מערך המחשוב במוסד לביטוח לאומי - ביקורת מעקב

  • מדיניות פעם אחת - ביקורת מעקב

יובהר כי הפרק בנושא אבטחת המידע והגנת הסייבר במוסד לביטוח לאומי והפרק בנושא הגנה בתחום הסייבר: היבטי אסדרה והגנה על המידע ומערכות המחשוב ברפאל מערכות לחימה מתקדמות בע"מ עברו תהליך חיסיון, וכי ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניחם במלואם על שולחן הכנסת אלא לפרסם רק חלקים מהם, בהתאם לסעיף 17 לחוק מבקר המדינה, התשי"ח-1958 [נוסח משולב]. 

להלן סקירה של חלק מפרקי הדוח: 

הטרנספורמציה הדיגיטלית, שהשתלבה ברוב תהליכי העבודה בממשלה, מביאה עימה הזדמנויות לשיפור ולייעול של עבודת הממשלה ולמתן שירותים מתקדמים לציבור, לצד אתגרים וסיכונים חדשים. היקף הפעילות הכספית בתחום התקשוב הממשלתי עמד בשנת 2022 על 4.8 מיליארד ש"ח. חשוב אפוא מאוד לנהל את הסיכונים בתחום זה בצורה סדורה ומתודולוגית. הביקורת בנושא ניהול הסיכונים הממשלתי בתחום התקשוב מלמדת על פערים ניכרים בתחום ניהול סיכוני התקשוב בממשלה, ובהם היעדר ריכוז תמונת המצב הממשלתית בדבר סיכוני התקשוב; אי-נקיטת פעולות של מערך הדיגיטל להפחתת סיכונים רוחביים; דיווח חסר של משרדי הממשלה בנוגע לסיכוני התקשוב העיקריים שהם צריכים להידרש להם; והיעדר פעולה מרכזית, סדורה ושיטתית לניהול סיכוני התקשוב במשרדי הממשלה, הכוללת הן נדבך של ניהול סיכונים בפרויקטי תקשוב והן נדבך של ניהול סיכוני תקשוב משרדיים-רוחביים - כמו מחסור בכוח אדם וקושי בגיוסו ושימורו, שבגללם 80% מהעובדים בתחום התקשוב בממשלה הם נותני שירותים (3,993 מתוך 5,308 עובדים בשנת 2022). 

על מערך הדיגיטל הלאומי להידרש לממצאי ביקורת זו ולמפת החום הממשלתית של תחומי הסיכון בתחום התקשוב המוצגת בדוח הביקורת, כדי למקד את הפעילות הממשלתית בתחום ולהבטיח כי ניהול הסיכונים בתחום מאתגר ודינמי זה ייעשה באופן מתודולוגי ומיטבי ויאפשר להיערך לאתגרים מבעוד מועד ולתת מענה לשינויים החלים בסביבת הפעילות הממשלתית.

חברת דואר ישראל הייתה חברה ממשלתית בבעלות מלאה של מדינת ישראל (עד להפרטתה במאי 2024), המספקת שירותי דואר וכן נותנת שירותים בנקאיים באמצעות חברת הבת שלה - בנק הדואר. נכון לסוף שנת 2023, לחברת הדואר ולבנק הדואר 400 יחידות דואר, 650 מרכזי מסירה וכ-60 מרכזי דוורים אזוריים. כ-11.9 מיליון לקוחות החברה והבנק קיבלו שירות ביחידות הדואר בשנת 2023. בחברת הדואר 55 מערכות מידע, שחלקן נחלקות לתתי-מערכות, ובבנק הדואר יש 16 מערכות נוספות, שחלקן נחלקות לתתי-מערכות, והממוצע השנתי של הוצאות התפעול וההשקעות של אגף מערכות מידע הוא 124 מיליוני ש"ח. מערכות אלו מבוססות על טכנולוגיות שונות ונתמכות על ידי יותר מ-20 ספקים. הביקורת בנושא מערכות המידע בחברת דואר ישראל ובבנק הדואר העלתה ליקויים בתחומי מערכות המידע ואבטחת המידע בחברת הדואר ובבנק הדואר, ובהם ניהול לקוי של תהליך ביטול ההרשאות לעובדים וליקויים בבקרה על תהליך זה - כך, 85 (3%) מבעלי ההרשאות למערכת מסוימת אינם מוגדרים במערכת משאבי אנוש כ"פעילים" ואף 79 מתוכם לא אותרו בבקרות הממוחשבות בחברה, ו-780 (כ-13%) מבעלי ההרשאות הפעילות במערכת הניהול המרכזי של הרשת הם עובדים שאינם נכללים ברשימת העובדים הפעילים במערכת משאבי אנוש בחברה; שימוש בציוד ממוחשב מיושן הפוגע הן בשירות ללקוחות החברה והבנק והן באבטחת המידע - כך, אף שפרויקט החלפת הציוד הממוחשב הוגדר פרויקט אסטרטגי כבר בשנת 2019, רק בתחילת שנת 2022 החלו בחברת הדואר להחליפו. עד מרץ 2024 רק 683 מ-1,850 מחשבים הוחלפו או שודרגו; היעדר תוכנית עבודה רב-שנתית לאגף מערכות מידע; היעדר מעקב אחר ביצוע תוכניות העבודה; ריבוי מערכות שמקשה את העברת המידע ביניהן ומצריך ביצוע הליכים ידניים והשקעת משאבים כדי לפצות על כך.

על אגף מערכות המידע בחברת הדואר לקבוע תוכנית פעולה סדורה הכוללת פיתוח של מערכות המידע בראייה עתידית, שדרוג מערכות ישנות ומיטוב של המערכות הקיימות ושל האינטגרציה ביניהן; כל זאת תוך הקפדה על הגנת הסייבר וצמצום החשיפה לסיכונים שמקורם בהיבטים שונים של שימוש שאינו מורשה. על חברת הדואר לפעול, במסגרת שיפור אבטחת המידע - ובייחוד לנוכח אירוע סייבר שהתרחש בה באפריל 2023 - לשיפור הבקרה על ניהול ההרשאות בחברה. על החברה לבחון את הליקויים שהועלו בביקורת בנושא זה ולגבש דרכים לתיקונם המיידי.

הדוח כולל פרק בנושא הגנה בתחום הסייבר: היבטי אסדרה והגנה על המידע ומערכות המחשוב ברפאל מערכות לחימה מתקדמות בע"מ. בשנת 2022 התקציב של מחלקת אבטחת טכנולוגיות והגנה בסייבר ברפאל היה 10% מתקציב המחשוב של מינהל טכנולוגיות מידע ותהליכים ברפאל; ושיעור אירועי הסייבר מסוג דיוג שדווחו למערך הסייבר הלאומי (מס"ל) בשנת 2022 היה 31% מ-9,108 אירועי הסייבר שדווחו לו. בביקורת עלו ליקויים הנוגעים בין היתר לאי-הסדרת יחסי העבודה בין מס"ל לממונה על הביטחון במערכת הביטחון (מלמ"ב) וליקויים הנוגעים להגנה על המידע ומערכות המחשוב ברפאל. על הנהלת רפאל ודירקטוריון רפאל לפעול לתיקון הליקויים ולוודא בשיתוף מלמ"ב כי רפאל מיישמת את הנחיות מלמ"ב כנדרש, שכן פעילות רפאל היא מרכיב משמעותי בבניית עוצמתה הצבאית וחוסנה של המדינה.

משרדי מקפיד לבצע ביקורת מעקב כדי לבדוק אם הליקויים שעליהם הצבענו בדוחות הביקורת תוקנו. דוח זה כולל תוצאות של ביקורות מעקב בשני נושאים: פרויקט תבל לשדרוג מערך המחשוב במוסד לביטוח לאומי - בביקורת המעקב עלה כי מרבית הליקויים הליבתיים שעלו בביקורת הקודמת לא תוקנו או תוקנו במידה מועטה. זאת אף שעד מועד סיום הביקורת הושקעו בפרויקט תבל כספי ציבור בסך של יותר ממיליארד ש"ח (יותר מפי שניים מהתקציב הכולל הראשוני של הפרויקט). עוד עלה שהמטרה של שיפור השירות לציבור וסיוע לציבור במיצוי זכויותיו מושגת באופן חלקי בין היתר עקב צמצום בתכולות הפרויקט; מדיניות פעם אחת - בביקורת המעקב, עלה כי אף שממועד הביקורת הקודמת חלה התקדמות ניכרת בפעולה מקדמית שנחוצה לצורך יישום מדיניות פעם אחת - לא תוקנו מרבית הליקויים שהועלו בביקורת הקודמת בדבר היקף מיפוי השירותים הממשלתיים הניתנים לציבור וניתוח מאפייניהם. התוכנית הממשלתית שעליה החליטה הממשלה עוד בשנת 2016 עדיין לא עלתה, גם בחלוף שמונה שנים, על מסילת יישום ממשית, והשלמת התהליך בכללותו אינה נראית באופק של השנים הקרובות. נראה כי בעיית השורש בעניין זה היא מגבלת יכולתו של מערך הדיגיטל לנקוט פעולות ליישום התוכנית, שכן עיקר פעילותו מול הגופים הממשלתיים אינה נשענת על סמכויות שיש בהן כדי לחייב את משרדי הממשלה לבצוע את הנחיותיו. חולשה זו בד בבד עם היעדר הירתמות של הגופים הממשלתיים והציבוריים ליישום ההחלטה והנחיות מערך הדיגיטל בנושא מובילים למימוש מצומצם של מדיניות פעם אחת.

נוסף על פרקי הדוח שפורטו לעיל, במקבץ זה כלול גם דוח מיוחד בנושא ההיערכות הלאומית בתחום הבינה המלאכותית. שימור עליונותה של מדינה ישראל בתחומי המדע והטכנולוגיה הוא אחד מעמודי התווך של ביטחונה הלאומי, חוסנה הכלכלי ורווחת אזרחיה. זוהי דרך אסטרטגית לפצות על היעדר משאבי טבע ועל משאבי אנוש מצומצמים ביחס למדינות אחרות בעולם. מהפכת הבינה המלאכותית כבר איננה טכנולוגיה עתידנית - היא טכנולוגיית ליבה חדשנית המשפיעה בהדרגה על מרבית היבטי החיים בהווה ואף תופסת מקום מרכזי ומשמשת מוקד לתחרות בזירה הבין-לאומית במגוון תחומים: מדע, כלכלה, תעשייה, ביטחון, בריאות, חינוך ותעסוקה.

דוח זה מצביע על כך שמדינת ישראל זיהתה כבר בשנת 2018 כי התחום הטכנולוגי מצוי בפתחה של מהפכה של ממש, ושראש הממשלה הבין כבר אז את ההכרח שבהכנה וביישום של תוכנית לאומית מקיפה וכוללת בנושא. ולמרות זאת לא השכילה הממשלה להוביל וליישם מהלכים לאישור תוכנית לאומית רחבה, כוללת וארוכת טווח ולהעלותה לנתיב של יישום ממשי, ובפועל מיצובה של ישראל במדדים הבין-לאומיים המצביעים על מוכנותה בתחום הבינה המלאכותית נשחק. ניתן לקבוע כי המדינה איתרה את הצורך במועד וניתחה אותו, ואולם זה כמה שנים היא אינה צולחת את שלבי קבלת ההחלטות ההכרחיות ואת שלבי יישומן.

כדי לשמר את עליונותה הטכנולוגית והמדעית של ישראל בתחום הבינה המלאכותית, שהוגדרה בעלת עדיפות לאומית, על משרד החדשנות להוביל את מדיניות הממשלה בתחום ולפעול בהתאם להחלטת הממשלה ולסיכום של שרת החדשנות, המדע והטכנולוגיה דאז עם המועצה לביטחון לאומי (המל"ל). במסגרת זו עליו להשלים את גיבוש התוכנית האסטרטגית הלאומית שהחל בהכנתה כבר בשנת 2022. כמו כן על המשרד לקבוע מתווה הן לבחינה עיתית של מידת העמידה ביעדים שנקבעו בתוכנית והן לבחינה פרטנית של כיווני הפעולה שהוגדרו בה ולעדכונם במידת הצורך. עוד עליו לבחון את הדרך שבה מנוהל כיום מימוש הפעימות שאושרו בהחלטות הממשלה - בידי גורמים המבצעים זאת באופן וולונטרי ובלא שניתנה להם סמכות תקציבית. בעת  הזו נדרש  ממשרד  החדשנות, המדע והטכנולוגיה לממש את אחריותו ובאופן זה תקוים החלטת הממשלה כלשונה. הובלה ברורה של תוכנית לאומית משמעותית הכרחית לשמירה על יכולותיה הטכנולוגיות ועל יתרונה היחסי אל מול יתר מדינות העולם. כל סטייה מנתיב היישום האמור של ההחלטה יחייב עדכון של הממשלה בנושא לצורך בחינת מצב הדברים ולצורך מתן מענה שיבטיח את מימוש היעד של קידום תחום הבינה המלאכותית על ידי הממשלה. מוצע כי ראש הממשלה - אשר כבר בשנת 2018 יזם מהלך לקידום התוכנית הלאומית בתחום הבינה המלאכותית כבסיס להחלטת הממשלה בנושא - יעקוב באמצעות מל"ל אחר התקדמות הטיפול הממשלתי בנושא ויבטיח כי תוכנית לאומית משמעותית מיושמת הלכה למעשה.

לסיום, חובה נעימה היא לי להודות לעובדי משרד מבקר המדינה, הפועלים במסירות לביצוע ביקורת באופן מקצועי, מעמיק, יסודי והוגן ולפרסום דוחות ביקורת אובייקטיביים, אפקטיביים ורלוונטיים.

משרד מבקר המדינה מתחייב להמשיך ולבקר את עמידת הגופים המבוקרים בפני סיכונים עכשוויים ועתידיים ולעסוק בתחומי הגנת הסייבר, טכנולוגיות המידע והגנת הפרטיות, לטובת אזרחי ישראל.

נמשיך להתפלל ולייחל לניצחון צה"ל ומערכת הביטחון במלחמה קשה זו שנכפתה עלינו על ידי המרים שבשונאינו, המבקשים להשמידנו כעם וכמדינה, לחזרת החטופים לבתיהם, לחזרת תושבי הדרום והצפון לבתיהם, להחלמת הפצועים ולימים שקטים ושלווים.

מתניהו אנגלמן

מבקר המדינה

ונציב תלונות הציבור


ירושלים, חשוון התשפ"ה, נובמבר 2024


תוכן העניינים