לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור
facebook linkedin telegram instagram tiktok threads

אסדרת הגנת הסייבר במוסד לביטוח לאומי

לדו"ח המלא:
/sites/DigitalLibrary/Documents/2023/2023.5-Cyber/2023.5-Cyber-106-Bituach-Leumi.docx /sites/DigitalLibrary/Documents/2023/2023.5-Cyber/2023.5-Cyber-105-Achifa-Gviya.pdf
 
לתקציר
/sites/DigitalLibrary/Documents/2023/2023.5-Cyber/2023.5-Cyber-106-Bituach-Leumi-Taktzir.docx /sites/DigitalLibrary/Documents/2023/2023.5-Cyber/2023.5-Cyber-106-Bituach-Leumi-Taktzir.pdf
הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
דוח שהוטל עליו חיסיון; סייבר; אבטחת מידע

רקע

בשנת 2021 הודלפו בעולם יותר מ-22 מיליארד רשומות עקב תקיפות סייבר. שמות של אנשים ומספר ביטוח לאומי (ובהם SSN) היו שני סוגי הנתונים שדלפו יותר מכל נתון אחר. נכון לנובמבר 2022, במוסד לביטוח לאומי (בט"ל) מתבצעות בכל יום כ-2.9 מיליון תקיפות סייבר בממוצע, ומהן כ-66,000 תקיפות עם פוטנציאל נזק. 

בט"ל מעניק מגוון שירותים רחב למבוטחיו - תושבי מדינת ישראל - מהלידה עד הפטירה, ולפיכך למאגרי המידע של בט"ל רגישות מיוחדת הן בשל היקפם העצום והן מפני שהמאגרים מתממשקים לגורמים שמחוץ לבט"ל. להלן האסדרה הנורמטיבית העיקרית בנוגע להגנת הסייבר ואבטחת מידע: חוק הגנת הפרטיות, התשמ"א-1981, אשר מגדיר את החובות של בעל מאגר מידע, מחזיק מאגר מידע או מנהל מאגר מידע כהגדרתו בחוק, לאבטחת המידע שבו; תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017; וחוק להסדרת הבטחון בגופים ציבוריים, התשנ"ח-1998 (החוק להסדרת הביטחון), אשר קובע סמכויות ואחריות לאבטחה פיזית, אבטחת מידע ואבטחת מערכות מחשוב חיוניות של גופים ציבוריים שונים בתוכם, הן גופי ממשלה והן גופים בבעלות פרטית. 


נתוני מפתח

  • 22 מיליארד רשומות

    דלפו בעולם בשנת 2021 עקב תקיפות סייבר

  • כ-2.9 מיליון

    הממוצע היומי של תקיפות הסייבר על בט"ל

  • מאות טרה בייט (TB)

    גודל בסיס הנתונים של בט"ל הכולל שדות על הנתונים האישיים של כ-9.5 מיליון מבוטחים בישראל

  • 20 עובדים

    בבט"ל (מהם 6 סטודנטים) מבצעים את הפיקוח על אבטחת המידע במערכות הממוחשבות שלו. לשם ההשוואה, לצה"ל המבצע גם הוא פיקוח עצמי יש אגף תקשוב וההגנה בסב"ר...

פעולות הביקורת

​בחודשים אוקטובר - דצמבר 2022 בדק משרד מבקר המדינה את נושא אסדרת הגנת הסייבר בבט"ל. הבדיקה כללה מיפוי של הגופים המאסדרים את בט"ל כיום, בחינת הנזק האפשרי מהיעדר גורם מאסדר קבוע ובחינת הצורך בשינוי גורמי האסדרה. הביקורת נערכה בבט"ל, במערך הסייבר הלאומי, בשירות הביטחון הכללי וברשות להגנת הפרטיות במשרד המשפטים. ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח דוח זה במלואו על שולחן הכנסת אלא לפרסם רק חלקים ממנו, לשם שמירה על ביטחון המדינה, בהתאם לסעיף 17 לחוק מבקר המדינה, התשי"ח-1958 [נוסח משולב]. 


תמונת מצב העולה מן הביקורת

  • dislike
    האסדרה של הרשות להגנת הפרטיות מול המוסד לביטוח לאומי - בביקורת עלה כי מאז הקמת הרשות להגנת הפרטיות בשנת 2006 ועד מועד סיום הביקורת (יותר מ-16 שנה) ביצעה הרשות להגנת הפרטיות שישה הליכים מינהליים בנושא אבטחת מידע בבט"ל. אשר לפיקוח רוחב, רק באוגוסט 2022 ה...
  • dislike
    האסדרה של שירות הביטחון הכללי והממשק של מערך הסייבר הלאומי מול המוסד לביטוח לאומי - בתוספת השנייה לחוק להסדרת הביטחון מופיעים הגופים הנדרשים להנחיה בנוגע לנושאים שסיווגם שמור עד סודי ביותר. גופים אלו מבצעים פיקוח עצמי, ויש בהם יחידות ייעודיות שמטרתן הג...
  • dislike
    תהליך ה"הנחיה מרצון" של מערך הסייבר הלאומי - החל בשנת 2016 החל מס"ל להנחות את בט"ל "הנחיה מרצון". משמעות הדבר היא שמס"ל מנחה את בט"ל כפי שהוא מנחה את גופי התמ"ק אולם לבט"ל אין חובה ליישם את ההנחיות. משיחות של צוות הביקורת עם בט"ל התברר כי רמת המעורבות...
  • dislike
    הניסיון להגדיר את בט"ל כגוף תשתיות קריטי (תמ"ק) - בהחלטת הממשלה 84/ב משנת 2002 נקבע כי יש להקים ועדת היגוי עליונה שתפקידה לבחון אילו גופים מוגדרים חיוניים ולכן זקוקים להגנה קיברנטית. נמצא כי נכון למועד סיום הביקורת - כשנתיים לאחר דיון בוועדת ההיגוי להג...

    עיקרי המלצות הביקורת

    • [alt]
      מומלץ כי ועדת ההיגוי להגנה על מערכות ממוחשבות חיוניות תקדם את הבחינה של בט"ל כגוף תמ"ק נוכח היקפי המידע השמורים בו והסיכונים לדליפתו.
    • [alt]
      מומלץ כי עד סיום הבחינה של ועדת ההיגוי להגנה על מערכות ממוחשבות יוסדר ממשק מקצועי בין מס"ל לבט"ל לצורך מתן מענה ישיר, העברת דיווחים, בקרה על תיקון הליקויים וכיו"ב.
    • [alt]
      מומלץ כי ועדת ההיגוי להגנה על מערכות ממוחשבות תבחן אם יש עוד גופים בעלי מאגרי מידע בהיקפים הדומים לבט"ל שיש לבחון את הגדרתם כגופי תמ"ק, ובכך תשפר את ההגנה על התשתיות החיוניות של מדינת ישראל.

    סיכום

    ​בדומה למדינות אחרות, ישראל חשופה לתקיפות סייבר לצורכי כופר וגניבת מידע. מלבד זאת, נוכח האקלים הגיאו-פוליטי המורכב ביטחונית, ישראל משמשת כר מטרות נרחב לתוקף הקיברנטי הפוטנציאלי, המעוניין לפגוע בחוסנה ובביטחון הלאומי שלה. גוף כדוגמת בט"ל, מחייב שיגובש עבורו מענה אסדרתי מספק הכולל הנחיה של מערך הסייבר הלאומי, הנחיה של הרשות להגנת הפרטיות ותיאום בין שניהם כדי להבטיח את ההגנה המיטבית. נוכח היקפי המידע השמורים בבט"ל והסיכונים לדליפתו מומלץ כי ועדת ההיגוי תקדם את הבחינה של בט"ל כגוף תמ"ק. מומלץ כי עד סיום הבחינה יוסדר ממשק מקצועי בין מס"ל לבט"ל לצורך מתן מענה ישיר, העברת דיווחים, בקרה על תיקון הליקויים וכיו"ב. כמו כן מומלץ כי ועדת ההיגוי תבחן אם יש עוד גופים בעלי מאגרי מידע בהיקפים הדומים לבט"ל שיש לבחון את הגדרתם כגופי תמ"ק, ובכך תשפר את ההגנה על התשתיות החיוניות של מדינת ישראל.


    /sites/DigitalLibrary/Documents/2023/2023.5-Cyber/2023.5-Cyber-105-Achifa-Gviya.pdf
    בחזרה לתחילת העמוד
    התקציר הקודם תפריט ראשי התקציר הבא
    © משרד מבקר המדינה