לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור
הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
אבטחת מידע; תכניות עבודה; SOC; הרשאות; השירות לציבור; תקלות מחשוב; ריבוי מערכות; סייבר

רקע

חברת דואר ישראל היא חברה ממשלתית בבעלות מלאה של מדינת ישראל, המספקת שירותי דואר וכן מפעילה שירותים בנקאיים באמצעות חברת הבת שלה - בנק הדואר. נכון לסוף שנת 2023, לחברת הדואר ולבנק הדואר 400 יחידות דואר, 650 מרכזי מסירה וכ-60 מרכזי דוורים אזוריים. כ-11.9 מיליון לקוחות החברה והבנק קיבלו שירות ביחידות הדואר בשנת 2023. 

חברת הדואר מספקת ללקוחותיה מגוון שירותים, כגון שירותי דואר בישראל, משלוח מסמכים וסחורות בין ישראל לחו"ל והפעלת רשת מוקדי שליחים המספקת שירותי הפצה ללקוחות עסקיים ופרטיים בכל רחבי הארץ. 

בנק הדואר מספק שירותים פיננסיים ללקוחות עסקיים, לגופי ממשלה ולכלל הציבור. בנק הדואר הוא בבעלות ממשלתית ונתון לפיקוח משרד התקשורת, כמו חברת דואר ישראל. שירותי בנק הדואר ניתנים באמצעות כ-400 סניפים של חברת הדואר והם כוללים שירותי אשנב בנקאיים. בבנק הדואר כ-510,000 חשבונות בנק, שיעור הפיקדונות הכולל בבנק זה הוא כ-4.7 מיליארד ש"ח, מתבצעות בו כ-22 מיליון פעולות של לקוחות מזדמנים בשנה ומספר לקוחותיו הכולל הוא כמיליון. 

בחברת הדואר ובבנק הדואר יש מגוון רחב מאוד של מערכות מידע, ובכלל זה מערכות תפעוליות המשמשות לצרכים אלה: יצוא ומכס, שירותי דיגיטל, שירותי שליחים, בנק וקמעונאות, מטה, תשתיות ואבטחת מידע, הפעלה וטלפוניה. 

באפריל 2023 התגלתה תקיפת סייבר במערכות המידע של הדואר. בבדיקה שביצעו צוותי אבטחת מידע וסייבר של אגף מערכות מידע בדואר ישראל ב-2.4.23 התגלתה פעילות חשודה במערכות המידע של הדואר. ב-5.4.23 הופעל צוות IR של חברה חיצונית שנותנת שירותי הגנת סייבר לדואר ישראל. בחברה הוחלט כצעד מניעתי לנתק את מערכות הדואר מרשת האינטרנט. החברה החיצונית זיהתה עדות לפעילות התוקף במערכות החברה החל מיולי 2022. החברה החיצונית לא הצליחה לזהות את התוקף, והתוקף הצליח להוציא מהארגון את מאגר המשתמשים והסיסמאות. כתוצאה מכך הושבתו שירותים רבים של החברה. בין היתר, לא ניתן היה לבצע תשלומים מקוונים, העברת בעלות רכב, תשלומים להוצאה לפועל והעברות לקופות חולים. כמו כן, חלו עיכובים בשחרור פריטים המגיעים מחו"ל. עם התקדמות עבודת צוות החברה החיצונית הופעלו השירותים בהדרגה.


נתוני מפתח

  • 124 מיליוני ש"ח

    ממוצע שנתי של הוצאות התפעול וההשקעות של אגף מערכות מידע בשנים 2019 - 2022

  • 55

    מספר מערכות המידע בחברת דואר ישראל. בבנק הדואר יש 16 מערכות מידע נוספות

  • 48.75%

    שיעור הירידה של תקציב ההשקעות המתוכנן באגף מערכות מידע מ-64.2 מיליוני ש"ח בשנת 2019 ל-32.9 מיליוני ש"ח בשנת 2022

  • 64%

    שיעור הפניות בנושא תקלות חומרה מסך הפניות הקשורות לתקלות שגרמו להשבתת תחנות קצה ביחידות הדואר

  • 683

    מחשבים בלבד הוחלפו או שודרגו מסך של 1,850 אשר נדרש להחליפם או לשדרגם ל-WIN 10

  • 85

    בעלי ההרשאות למערכת ג' (ששיעורם 3% מכלל בעלי ההרשאות במערכת זו) אינם מוגדרים במערכת משאבי אנוש כעובדים פעילים בחברה, נכון לינואר 2024

  • 780

    מבעלי ההרשאות הפעילות במערכת הניהול המרכזי של הרשת (המהווים כ-13% מכלל בעלי ההרשאות במערכת זו) הם עובדים שאינם נכללים ברשימת העובדים הפעילים במערכ...

  • 449

    בעלי הרשאות פעילות מתוך 780 בעלי ההרשאות הפעילות אשר אינם מופיעים כ"פעילים" במערכת משאבי אנוש לא התחברו למערכת הניהול המרכזי של הרשת מתחילת שנת 2024

פעולות הביקורת

​בחודשים יוני 2023 עד מרץ 2024 בדק משרד מבקר המדינה את פעולותיה של חברת דואר ישראל ובנק הדואר בתחום מערכות המידע. הביקורת בוצעה בחברת הדואר ובבנק הדואר. בין יתר הבדיקות משרד מבקר המדינה ביצע בדיקה על אופן ניהול הרשאות המשתמשים בדואר והבקרה עליו. בדיקות השלמה נעשו במשרד התקשורת. 


תמונת מצב העולה מן הביקורת

dislike
  • dislike
    חיבור ה-SOC של חברת הדואר ל-SOC המגזרי של משרד התקשורת - כלי חשוב הנכלל במערך ההגנה על נתונים ומשאבים ארגוניים הוא SOC (SECURITY OPERATION CENTER). זהו מרכז פעולות אבטחה המדווח על פעולות חריגות, איומים פוטנציאליים, תובנות על בסיס ממצאי החקר שבוצע בעקב...
  • dislike
    תוכניות עבודה שנתיות ורב-שנתיות בתחום מערכות המידע - אף שהיקף תקציב אגף מערכות מידע בחברת הדואר הוא מהותי ונע בין כ-102 מיליוני ש"ח לכ-136 מיליוני ש"ח ושיעור תקציב האגף מסך תקציב החברה נע בין 17.2% עד 19.6% (כ-102 מיליוני ש"ח מסך תקציב של כ-592 מיליוני...
  • dislike
    תקלות במערכות מידע בדואר ובבנק הדואר - בשנת 2018 הציג אגף מערכות מידע במצגת את הצורך בהחלפת ציוד מחשוב מיושן ביחידות הקצה, וזאת בשל תקלות חומרה רבות. על פי נתוני החברה, מ-1.4.22 עד 21.7.23 הגישו משתמשי המערכות 46,349 פניות אשר סווגו כתקלות חומרה. מספר...
  • dislike
    פרויקט החלפת ציוד ממוחשב מיושן בחברת הדואר ובבנק הדואר - פרויקט החלפת הציוד אושר בתוכניות העבודה לשנים 2019 - 2023. בד בבד עם החלפת המחשבים החל גם שדרוג מערכות ההפעלה למערכות הפעלה WIN-10. פרויקט החלפת הציוד הממוחשב הוגדר כפרויקט אסטרטגי כבר בשנת 2019...
  • dislike
    מערכת ניהול תורים ממוחשבת - בשנת 2007 החלו חברת הדואר ובנק הדואר להפעיל מערכות לניהול תורים בחלק מיחידות הדואר על ידי שימוש ב"תוכנת מדף". בביקורת נמצא כי המערכת הקיימת אינה מאפשרת ללקוחות החברה להזין מידע על השירות שלשם קבלתו קבעו את התור, ואינה מקצה...
  • dislike
    ריבוי מערכות והיעדר ממשק ביניהן - במועד סיום הביקורת מופעלות בחברת הדואר 55 מערכות מידע, שחלקן נחלקות לתתי-מערכות, ובבנק הדואר יש 16 מערכות נוספות שחלקן נחלקות לתתי-מערכות. למערכות אלו יש יותר מ-20 ספקים שונים, והן מבוססות על טכנולוגיות שונות. ריבוי המ...
  • dislike
    סקירת הרשאות תקופתית בחברת הדואר - פעמיים בשנה, בינואר ובאוגוסט, החברה מבצעת סקירת הרשאות ידנית של 17 מערכות ליבה. עם זאת, ביתר המערכות בחברת הדואר לא מתבצעת סקירת הרשאות, כנדרש בנוהל משתמשים והרשאות. כמו כן, לא מתבצע תהליך המציג את החריגות שנמצאו במהל...
  • dislike
    בדיקת הרשאות במערכת ג' בחברת הדואר - בבדיקת צוות הביקורת נמצא כי נכון לינואר 2024, 85 מבעלי ההרשאות למערכת ג' (ששיעורם 3% מכלל בעלי ההרשאות במערכת זו) אינם מוגדרים במערכת משאבי אנוש כ"פעילים". כלומר, הרשאתם של עובדים שעזבו או פרשו מהחברה לא נותקה, ולחל...
  • dislike
    הרשאות במערכת הניהול המרכזי של הרשת בחברת הדואר - ממצאי הביקורת העלו כי נכון לדצמבר 2023, 780 (כ-13%) מבעלי ההרשאות הפעילות במערכת הניהול המרכזי של הרשת הם עובדים שאינם נכללים ברשימת העובדים הפעילים במערכת משאבי אנוש בחברה. 449 (כ-58%) מתוך 780 עובדים...
  • dislike
    בדיקת ההרשאות במחשב המרכזי בבנק הדואר - נמצא כי 35 (כ-2%) מתוך 1,794 ההרשאות הפעילות במחשב המרכזי של בנק הדואר שייכות לעובדים שאינם מוגדרים כפעילים במערכות כוח האדם. אומנם לרוב המשתמשים נדרשים תחילה להיכנס למערכת הניהול המרכזי של רשת הבנק כדי להתחבר למ...

    עיקרי המלצות הביקורת

    • [alt]
      על החברה לגבש נוהל להסדרת נושא תוכניות העבודה השנתיות והרב-שנתיות ולוודא את יישום הנוהל תוך הקפדה על בחינת חלופות, מעקב אחר יישום תוכנית העבודה וניהול תוכנית העבודה בצורה המאפשרת להנהלת אגף מערכות מידע ראייה כוללת בכל רגע נתון על המשימות המתבצעות, עלות...
    • [alt]
      על החברה לפעול להשלמה של פרויקט החלפת הציוד המיושן ביחידות החברה בהקדם, וזאת כדי לצמצם סיכונים ולשפר את השירות הניתן ללקוחות.
    • [alt]
      על החברה לפעול למימוש ההמלצה שבתוכנית האב משנת 2021 למניעת כפילויות ופעילויות מיותרות באמצעות תכלול, גיבוש והבניה של פעולות ותהליכי עבודה לפיתוח מסגרות משותפות ואחודות באמצעות טכנולוגיות דיגיטליות ומידע.
    • [alt]
      על החברה לבצע בדיקת הרשאות שגרתית במערכת הניהול המרכזי של הרשת כדי למזער את הסיכון הכרוך במתן הרשאות לעובדים שאינם זכאים לכך וכדי שיתאפשר ניהול ההרשאות של מערכות רבות. כמו כן, על החברה לבחון את תהליך בדיקת ההרשאות במערכת ג' ובכלל המערכות הנבדקות כדי לא...
    • [alt]
      על החברה לעבות את הבקרות הנערכות בבנק הדואר ולהשוות באופן שוטף את נתוני בעלי ההרשאות התקפות אל מול נתוני אגף משאבי אנוש. כמו כן, עליה לפתח תהליכים אוטומטיים לניתוק הרשאות ממערכות הבנק ולבצע בקרות על הרשאות אלה.

    סיכום

    בחברת הדואר 55 מערכות מידע שחלקן נחלקות לתתי-מערכות, ובבנק הדואר יש 16 מערכות נוספות שחלקן נחלקות לתתי-מערכות. למערכות אלו יש יותר מ-20 ספקים שונים, והן מבוססות על טכנולוגיות שונות.

    דוח זה מעלה ליקויים בתחומי מערכות המידע ואבטחת המידע בחברת הדואר ובבנק הדואר, ובהם ניהול לקוי של תהליך ביטול הרשאות לעובדים וליקויים בבקרה על תהליך זה; שימוש בציוד ממוחשב מיושן הפוגע הן בשירות ללקוחות החברה והבנק והן באבטחת המידע; היעדר תוכנית עבודה רב-שנתית לאגף מערכות מידע; היעדר מעקב אחר ביצוע תוכניות העבודה; ריבוי מערכות שמקשה את העברת המידע בין המערכות ועקב כך מעורר צורך בביצוע הליכים ידניים ובהשקעת משאבים בחברה כדי לפצות על כך.

    על אגף מערכות המידע בחברת הדואר לקבוע תוכנית פעולה מוסדרת הכוללת פיתוח מערכות מידע בראייה עתידנית, שדרוג מערכות ישנות ומיטוב של המערכות הקיימות ושל האינטגרציה ביניהן, כל זאת תוך הקפדה על הגנת הסייבר וצמצום החשיפה לסיכונים שמקורם בהיבטים שונים של שימוש שאינו מורשה.

    על החברה לפעול, במסגרת שיפור אבטחת המידע, ובייחוד - לנוכח אירוע סייבר שהתרחש בה באפריל 2023 - לשיפור הבקרה על ניהול ההרשאות בחברה. על החברה לבחון את הליקויים שהועלו בביקורת בנושא זה ולגבש דרכים לתיקונם המיידי.