מדיניות אבטחת מידע והגנת הסייבר - בט"ל לא עדכן את מדיניות אבטחת המידע והגנת הסייבר שלו במשך כעשר שנים, משנת 2014, זאת אף שמאז הסיכונים בתחום השתנו במידה ניכרת, ואף שהדבר מנוגד למדיניות בט"ל, ולפיה מדיניות אבטחת מידע תידון ותתוקף מדי שנה בשנה. בעת ביצוע...
נוהלי אבטחת מידע - בט"ל לא התייחס בנוהל אבטחת מידע של הארגון ל-6 (50%) מ-12 הנושאים שנקבע בתקנות אבטחת מידע כי נדרש להסדיר אותם במסגרת נוהל אבטחת מידע. לגבי ארבעה (33%) מ-12 הנושאים, הנהלים הקיימים בעניינם לא עודכנו עשר שנים; ולגבי שניים (17%) מ-12 הנ...
ועדת היגוי להגנת סייבר - ועדת היגוי סייבר בראשות המנכ"ל לא התכנסה מתחילת שנת 2022 ועד ינואר 2024, וזאת בניגוד למדיניות בט"ל המחייבת כינוס של הוועדה בכל חצי שנה. מכיוון שהוועדה לא התכנסה בפרק הזמן האמור, לא היה בפרק זמן זה בבט"ל גורם שיאשר את מדיניות הג...
ניהול סיכונים - בט"ל אינו מנהל רשימת מצאי של כלל הנכסים והתהליכים העסקיים שלו ואינו מסווג אותם לפי רמת הקריטיות שלהם לארגון כנדרש בתקנות אבטחת מידע ובנורמות מקובלות בתחום הסייבר, ובהן הנורמות הכלולות בתורת ההגנה . בט"ל בחר חלק מהמערכות החשובות והקריטיו...
מבדקי חדירה - בט"ל אינו מבצע מבדקי חדירה לגבי מאגרי המידע שברשותו, כמתחייב מתקנות אבטחת מידע וכן ממסמך המדיניות שלו. כך, רק כ-7% מהמבדקים שבוצעו היו על מערכות שמקושרות למערכת המרכזית, אשר בה נמצאים כל מאגרי המידע של בט"ל. כמו כן, בט"ל אינו עוקב אחר תיק...
הגנה לוגית - נמצאו פערים בהגנה הלוגית בבט"ל במספר נושאים.
זיהוי אירועי סייבר וטיפול בהם - נמצאו פערים ביכולת של בט"ל לזהות אירועי סייבר ולטפל בהם: אין בבט"ל צוותים ייעודיים לניהול משבר - צוות ניהול אירוע (IR) וצוות לביצוע חקירה פורנזית (DFIR) ; צוות הנהלה לניהול אירוע סייבר שהוקם בסוף ינואר 2024 לא התכנס, לא ...
המשכיות עסקית - נמצאו פערים ביכולת ההמשכיות העסקית של בט"ל בנושאים שלהלן: טיוטת נוהל התאוששות עסקית שקיימת בבט"ל איננה כוללת נושאים הנדרשים כחלק מתוכנית המשכיות עסקית, ובהם מיפוי עדכני של התהליכים החיוניים והסיכונים הכרוכים בהם, הגדרת יעדי התאוששות מדי...
ניהול הסיכונים מצד שרשרת האספקה - לבט"ל אין נוהל בנושא שרשרת אספקה, ואין לו מיפוי של כלל ספקי התקשוב שלו והסיווג שלהם לפי רמת הסיכון הנשקף מהם. כמו כן, במכרזים של בט"ל אין נספח אבטחת מידע שמחייב עמידה של הספק בבקרות התואמות את הנדרש במתודולוגיית שרשרת...
העברת מידע מבט"ל לגופים חיצוניים - בט"ל מעביר לגופים חיצוניים רבים מידע באמצעות מערכות לשיתוף מידע שהתגלו בהן פערי אבטחת מידע. כמו כן, בט"ל אינו מבצע בקרה על התאמת המידע שמועבר לגופים ציבוריים למידע שאישרה הוועדה להעברת מידע למסור. זאת ועוד בט"ל אינו...