טכנולוגיות דיגיטליות ואבטחת המידע והסייבר בשירות בתי הסוהר

שירות בתי הסוהר (השב"ס) הוא ארגון הכליאה הלאומי, גוף ביטחוני הנכלל במערכת אכיפת החוק וכפוף למשרד לביטחון לאומי. השב"ס הוקם בשנת 1949 ובשנת 2006 הוכר כארגון הכליאה הלאומי של מדינת ישראל. השב"ס מחזיק במשמורתו כ-14,000 אסירים ועצורים פליליים, ביטחוניים ומינהליים (ועוד כ-5,200 אסירים ועצורים בחלופות מאסר ופיקוח באחריות השב"ס) לשם הגנה על שלום הציבור וביטחונו. נכון לתחילת שנת 2022 השב"ס מנהל 30 מתקני כליאה בפריסה ארצית (22 בתי סוהר ושמונה בתי מעצר), בחלוקה לשלושה מחוזות פיקוד - צפון, מרכז ודרום, ומעסיק 9,200 עובדים. תקציבו השנתי ל-2022 עמד על 4.6 מיליארד ש"ח.

במסגרת פעילותו של השב"ס למימוש יעדיו ניצבים לפניו אתגרים טכנולוגיים רבים וכדי להתמודד עם אתגרים אלה הוא מפעיל באמצעות החטיבה הטכנולוגית עשרות מערכות ארגוניות ממוחשבות: מערכות ליבה מבצעיות לניהול האסירים ולמודיעין; תחומי רפואה ושיקום; מערכות לניהול תחומי כוח האדם, ההדרכה והלוגיסטיקה; מערכות אבטחה מגוונות המותקנות במתקני הכליאה ומשמשות להגנה עליהם; מערכות אבטחת מידע והגנת הסייבר; ומערכות ממוחשבות בתחום התשתיות, לרבות חוות שרתים ואתר גיבוי. בשנים 2006 - 2014 קידם השב"ס פרויקט לפיתוח מערכת תקשוב ארגוני (פרויקט "קידמה") אשר נכשל והופסק לאחר שהושקעו בו 144 מיליון ש"ח. החל משנת 2021, בהובלת נציבת השב"ס וראש החטיבה הטכנולוגית, החל השב"ס בביצועו של מהלך אסטרטגי שנועד להוביל לקפיצת מדרגה טכנולוגית בשב"ס. מהלך אסטרטגי זה התבטא בגיבוש התוכנית הרב-שנתית "קברניט" (תר"ש "קברניט"), אשר יישומה החל בראשית שנת 2022. תוכנית זו היא תוכנית פעולה פנימית אשר נועדה, לדברי השב"ס, לעצב ולהוביל את דרכו החדשה של השב"ס כארגון ביטחוני מרכזי, חדשני ומתוחכם, ובין היתר, לבסס סביבת עבודה מתקדמת וחדשנית עבור הסגל תוך הגברת השימוש בטכנולוגיה, בדיגיטציה ובחדשנות. 

בחודשים מרץ-דצמבר 2022 בדק משרד מבקר המדינה את נושא טכנולוגיות דיגיטליות והגנת הסייבר בשב"ס. הביקורת כוללת שלושה נדבכים כלהלן: 

1. 1. טכנולוגיות דיגיטליות ומערכות המידע בשב"ס. במסגרת חלק זה נבדקו בין היתר תקציב תחום הטכנולוגיה והמשילות הטכנולוגית בשב"ס.
   
   
2. 2. ביטחון מידע, אבטחת המידע והגנת הסייבר בשב"ס.
   
   
3. 3. הרציפות התפקודית של המערכות הטכנולוגיות בשב"ס והשפעותיה על תפקוד בתי הסוהר בהתרחש אסון.

הביקורת נעשתה בנציבות השב"ס ובבתי סוהר שונים. ביקורות השלמה נעשו במשרד לביטחון לאומי, במערך הדיגיטל הלאומי במשרד הכלכלה והתעשייה, במערך הסייבר הלאומי (מס"ל) במשרד ראש הממשלה, באגף התקציבים במשרד האוצר ובשירות הביטחון הכללי (שב"כ). משרד מבקר המדינה ערך מבדקי חוסן במערכות השב"ס וממצאיו הועברו לגופים. משרד מבקר המדינה ערך בעבר ביקורות על היבטים שונים בפעילות השב"ס: "הקמת מערכת מידע בשירות בתי הסוהר - פרויקט קידמה"; "המערך הרפואי לטיפול בכלואים בשירות בתי הסוהר"; "מעצרים פליליים בישראל"; ו"שיקום אסירים בישראל". ממצאי הביקורות והמלצות המבקר פורסמו בכמה דוחות שנתיים.

ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח דוח זה במלואו על שולחן הכנסת אלא לפרסם רק חלקים ממנו, זאת לשם שמירה על ביטחון המדינה, בהתאם לסעיף 17 לחוק מבקר המדינה, התשי"ח- 1958 [נוסח משולב].

חלק א' - טכנולוגיות דיגיטליות ומערכות מידע בשב"ס

חלק ב' - ביטחון מידע, אבטחת המידע והגנת הסייבר בשב"ס 

הממצאים בפרק ביקורת זה אינם מתפרסמים לציבור מטעמים של שמירה על ביטחון המדינה.

השב"ס, ארגון הכליאה הלאומי האמון על 30 מתקני כליאה, הוא גוף ביטחוני המחזיק במשמורת אלפי אסירים פלילים וביטחוניים. המידע על אסירים אלו, לרבות מידע ביטחוני מסווג ומידע אישי ורגיש בתחום הרפואי, הביומטרי והמודיעיני, מנוהל במערכות המידע של הארגון. נוסף על כך במחשבי השב"ס שמור מידע רב על שיטות פעולה, מבצעים, חקירות ומידע על מערכות ההגנה והביטחון בשב"ס. נוסף על המידע שמקורו בארגון, השב"ס מקבל מידע מסווג, מבצעי ומודיעיני מהמשטרה ומגורמים נוספים. חשיפתו של מידע זה לגורם שאינו מוסמך עלולה לגרום, בין היתר: לנזק למדינה; לסיכון חיי אדם; לחשיפת ידיעות, שיטות פעולה וחקירות חשאיות; ולהכשלת מבצעים.

בשנים האחרונות מסתמן גידול ניכר במספרם של אירועי סייבר המשבשים את פעילותם התקינה של ארגונים בארץ ובעולם. כמו כן מסתמנת עלייה ניכרת בחומרתם של אירועים אלה. 

תפקידו של השב"ס לספק משמורת בטוחה של אסירים ועצורים פליליים וביטחוניים, וזאת בתנאים נאותים תוך שמירה על כבודם ולצד שיקומם לקראת ההשתלבות בחברה לאחר שחרורם. מערכות טכנולוגיות מתקדמות תומכות במערכי כליאה הפועלים בעולם למימוש ייעודם של ארגונים אלו. תפקידו של השב"ס, מימוש ייעודו ואופיו הביטחוני מחייבים אותו, בדומה לגופי כליאה בעולם, לעשות שימוש במערכות טכנולוגיות מתקדמות.

תמונת המצב של תחום טכנולוגיות המידע בשב"ס התאפיינה בעיסוק מצומצם של הנהלת הארגון בנושא, בתקצוב טכנולוגי בשיעור נמוך, באיוש חלקי של תפקידי ליבה ובפער טכנולוגי מהותי. מצב זה פגע בתפקודו של השב"ס וביכולתו לעמוד ביעדיו. בשלהי שנת 2021, נמצא השב"ס בפיגור טכנולוגי מהותי וזאת בניגוד לתמורות הגלומות באמצעים טכנולוגיים ככלי לשיפור תפקודו השוטף הן בפן המינהלי והן בפן המבצעי. בשנת 2022 חלו שינויים אשר מטרתם לאפשר לארגון לצמצם את הפערים ולבצע קפיצת מדרגה טכנולוגית. השב"ס בראשות הנציבה אימץ תוכנית מקיפה רב-שנתית לשיפור המערך הטכנולוגי ואף החל ביישומה בשנת 2022 תוך קבלת גיבוי תקציבי חלקי מהמשרד לבט"פ וממשרד האוצר. אולם, התוכנית המוגדרת כתוכנית רב-שנתית לא קיבלה את אישור השר לבט"פ דאז, ותוקצבה רק לשנתה הראשונה מבלי שניתנה התחייבות של משרד האוצר והמשרד לבט"פ להמשך תקצובה בשנים הבאות ולהבטחת מימושה המלא. 

המשרד לביטחון לאומי והשר העומד בראשו נושאים באחריות לתפקוד מערך הכליאה בישראל ובמסגרת זו עליהם להבטיח כי השב"ס ממלא תפקידו באמצעות תשתית טכנולוגית מתאימה וכי בניין הכוח בתחום זה מנוהל בראייה ארוכת טווח ובמתווה תקציבי המבטיח את מימושו. על השב"ס בשיתוף המשרד לביטחון לאומי ומשרד האוצר להמשיך לפעול יחד לצמצום הפערים הטכנולוגיים הקיימים ולהציב את השב"ס ברמה טכנולוגית מתקדמת התואמת את אחריותו וייעודו כארגון ביטחוני. על השב"ס לבצע תהליך סדור להפקת לקחים מכישלונות העבר בתחום זה, לנהל את סיכוני התקשוב בכלל ובתר"ש "קברניט" בפרט, ולהעמיד סביבה ניהולית מקצועית תומכת למימושו.

דוח זה גם מעלה פערים חמורים בניהולו של מידע ביטחוני מסווג ואבטחתו במערכות המחשוב של השב"ס. על אף היות השב"ס גוף ביטחוני, התשתית המיחשובית אינה תואמת את הסטנדרטים המחויבים בגופי ביטחון. הדוח חושף מציאות רבת שנים ולפיה תחומי האחריות והסמכות של השב"ס ושל הרגולטורים בתחום אבטחת המידע המסווג והסייבר, ובתחום טכנולוגיות דיגיטליות ומערכות מידע אינם מיושמים, הלכה למעשה, באופן תקין וכנדרש. דוח זה מהווה תמרור אזהרה לכלל הגופים המעורבים בתחום אבטחת סודות מדינה, אבטחת מידע והגנת הסייבר, ומחייב פעולות מהירות לתיקון הפערים שעלו בדוח זה. מומלץ כי ראש הממשלה בהתייעצות עם השר לביטחון לאומי יבחנו את סוגיית אבטחת המידע והסייבר בשב"ס בכללותה ובפרט את סוגיית אבטחת המידע המסווג. עד להכרעת ראש הממשלה נדרש כי השב"ס יפעל בהתאם לכללי השב"כ.

לרציפות התפקודית של השב"ס יש חשיבות אסטרטגית הן בהיבט חיי אדם של האסירים המוחזקים במשמורתו והסוהרים האמונים על שמירתם והן בהיבט הביטחוני והחברתי. על השב"ס והמשרד לביטחון לאומי לוודא שרציפות זו לא תיפגע בקרות אירועי אסון העלולים לסכן את יציבותו ותפקודו של מערך הכליאה הלאומי.

דוח זה העוסק בשב"ס, מומלץ שיילמד ושיופקו ממנו לקחים לגופים נוספים במערכת הממשלתית הנושאים אופי דומה בכל הקשור לביטחון מידע, אבטחת מידע וסייבר וכן בהביטי רציפות תפקודית של המערכות הטכנולוגיות ומוכנות לאסון.