לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור
הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
אבטחת מידע; סייבר; ניהול סיכונים

רקע

המוסד לביטוח לאומי (בט"ל) מחזיק במאגר גדול, המכיל מידע מארגונים וגופי ממשל רבים וגודלו טרה-בייט TB)) רבים. המאגר גדל בכ-10% בכל שנה. המאגר כולל מידע על כל תושבי מדינת ישראל מיום הלידה ועד יום הפטירה. המאגרים של בט"ל נדרשים לרמת אבטחה גבוהה לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017.

ביולי 2023 החליטה ועדת היגוי עליונה להגנה על מערכות ממוחשבות במדינת ישראל כי בט"ל עונה על התבחינים הנדרשים, וכי יש מקום להנחותו כגוף תשתית מדינה קריטית (גוף תמ"ק). לפיכך המליצה הוועדה על הוספת בט"ל לתוספת החמישית לחוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח-1998, כדי שבט"ל יהיה מונחה לפי חוק זה על ידי מערך הסייבר הלאומי (מס"ל). נכון לאפריל 2024, מועד סיום הביקורת, טרם התקבל אישור להוספת בט"ל לתוספת החמישית לחוק להסדרת הביטחון. במסגרת הפיכתו לגוף תמ"ק החל בט"ל לבצע פעילות יזומה לשיפור רמת ההגנה שלו, בהתאם למתודולוגיה הייעודית של גופי תמ"ק.

נכון לפברואר 2024, מתבצעים בכל יום עשרות אלפי ניסיונות לתקיפת סייבר נגד בט"ל. אירוע סייבר בבט"ל עלול לגרום לפגיעה חמורה בפרטיות של מיליוני אזרחים ותושבים המקבלים שירות מבט"ל, וכן עלול לגרום לפגיעה בעבודת בט"ל ואף לשיתוק של העבודה, ובעקבות כך לפגיעה ביכולת לשלם קצבאות (זקנה, נכות, קיום, אבטלה תגמולי מילואים). להלן דוגמה לאירוע אבטחת מידע חמור בבט"ל כהגרתו בתקנות: בפברואר 2022 דווח על אירוע גניבת זהות שבעקבותיו מידע אישי על 2,000 אזרחים היה חשוף ונגיש למי שאינו מורשה לכך. 


נתוני מפתח

  • 10 שנים

    לא עודכנה מדיניות הגנת הסייבר של בט"ל, אף שחלו שינויים משמעותיים מאז. 50% מהנהלים שלפי תקנות אבטחת מידע נדרש לכלול בנוהל אבטחת מידע של כל ארגון, אי...

  • עשרות אלפים

    מספר ההתרעות להתקפות סייבר על בט"ל ביממה הדורשות תחקור על ידי אנליסט בודד שמאייש את מרכז שליטה ובקרה לטיפול באירועי סייבר (SOC) של בט"ל

  • יותר משנתיים

    פרק הזמן שבו לא התכנסה ועדת היגוי סייבר בראשות מנכ"ל - מראשית שנת 2022 עד לינואר 2024

  • 0

    מבדקי חדירה התבצעו לגבי המערכת המרכזית של בט"ל

  • 87%

    מתקנות אבטחת מידע מקוימות בבט"ל באופן חלקי בלבד. לא מתבצעת כלל ביקורת תקופתית על עמידה בתקנות

  • גופים רבים

    מקבלים מידע מבט"ל באמצעות מערכות שיתוף מידע שהתגלו בהן פערי אבטחת מידע

פעולות הביקורת

בחודשים יולי 2023 עד אפריל 2024 בדק משרד מבקר המדינה את נושא אבטחת המידע והגנת הסייבר בבט"ל ואת העמידה שלו בתקנות אבטחת מידע. בביקורת נבדקו בין היתר הנושאים האלו: המדיניות והנהלים בתחום הגנת הסייבר; ניהול הסיכונים; העברת מידע מבט"ל לגופים חיצוניים; הגנה לוגית; הגנה פיזית; המשכיות עסקית; התמודדות עם אירועי סייבר; ושרשרת האספקה. הביקורת נעשתה בבט"ל, במשרד ראש הממשלה - במערך הסייבר ובמשרד המשפטים  - ברשות להגנת הפרטיות.

ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח על שולחן הכנסת ולא לפרסם חלקים מפרק זה לשם שמירה על ביטחון המדינה, בהתאם לסעיף 17(א) לחוק מבקר המדינה, התשי"ח - 1958 (נוסח משולב). 


תמונת מצב העולה מן הביקורת

dislike
  • dislike
    מדיניות אבטחת מידע והגנת הסייבר - בט"ל לא עדכן את מדיניות אבטחת המידע והגנת הסייבר שלו במשך כעשר שנים, משנת 2014, זאת אף שמאז הסיכונים בתחום השתנו במידה ניכרת, ואף שהדבר מנוגד למדיניות בט"ל, ולפיה מדיניות אבטחת מידע תידון ותתוקף מדי שנה בשנה. בעת ביצוע...
  • dislike
    נוהלי אבטחת מידע - בט"ל לא התייחס בנוהל אבטחת מידע של הארגון ל-6 (50%) מ-12 הנושאים שנקבע בתקנות אבטחת מידע כי נדרש להסדיר אותם במסגרת נוהל אבטחת מידע. לגבי ארבעה (33%) מ-12 הנושאים, הנהלים הקיימים בעניינם לא עודכנו עשר שנים; ולגבי שניים (17%) מ-12 הנ...
  • dislike
    ועדת היגוי להגנת סייבר - ועדת היגוי סייבר בראשות המנכ"ל לא התכנסה מתחילת שנת 2022 ועד ינואר 2024, וזאת בניגוד למדיניות בט"ל המחייבת כינוס של הוועדה בכל חצי שנה. מכיוון שהוועדה לא התכנסה בפרק הזמן האמור, לא היה בפרק זמן זה בבט"ל גורם שיאשר את מדיניות הג...
  • dislike
    ניהול סיכונים - בט"ל אינו מנהל רשימת מצאי של כלל הנכסים והתהליכים העסקיים שלו ואינו מסווג אותם לפי רמת הקריטיות שלהם לארגון כנדרש בתקנות אבטחת מידע ובנורמות מקובלות בתחום הסייבר, ובהן הנורמות הכלולות בתורת ההגנה . בט"ל בחר חלק מהמערכות החשובות והקריטיו...
  • dislike
    מבדקי חדירה - בט"ל אינו מבצע מבדקי חדירה לגבי מאגרי המידע שברשותו, כמתחייב מתקנות אבטחת מידע וכן ממסמך המדיניות שלו. כך, רק כ-7% מהמבדקים שבוצעו היו על מערכות שמקושרות למערכת המרכזית, אשר בה נמצאים כל מאגרי המידע של בט"ל. כמו כן, בט"ל אינו עוקב אחר תיק...
  • dislike
    הגנה לוגית - נמצאו פערים בהגנה הלוגית בבט"ל במספר נושאים.
  • dislike
    זיהוי אירועי סייבר וטיפול בהם - נמצאו פערים ביכולת של בט"ל לזהות אירועי סייבר ולטפל בהם: אין בבט"ל צוותים ייעודיים לניהול משבר - צוות ניהול אירוע (IR) וצוות לביצוע חקירה פורנזית (DFIR) ; צוות הנהלה לניהול אירוע סייבר שהוקם בסוף ינואר 2024 לא התכנס, לא ...
  • dislike
    המשכיות עסקית - נמצאו פערים ביכולת ההמשכיות העסקית של בט"ל בנושאים שלהלן: טיוטת נוהל התאוששות עסקית שקיימת בבט"ל איננה כוללת נושאים הנדרשים כחלק מתוכנית המשכיות עסקית, ובהם מיפוי עדכני של התהליכים החיוניים והסיכונים הכרוכים בהם, הגדרת יעדי התאוששות מדי...
  • dislike
    ניהול הסיכונים מצד שרשרת האספקה - לבט"ל אין נוהל בנושא שרשרת אספקה, ואין לו מיפוי של כלל ספקי התקשוב שלו והסיווג שלהם לפי רמת הסיכון הנשקף מהם. כמו כן, במכרזים של בט"ל אין נספח אבטחת מידע שמחייב עמידה של הספק בבקרות התואמות את הנדרש במתודולוגיית שרשרת...
  • dislike
    העברת מידע מבט"ל לגופים חיצוניים - בט"ל מעביר לגופים חיצוניים רבים מידע באמצעות מערכות לשיתוף מידע שהתגלו בהן פערי אבטחת מידע. כמו כן, בט"ל אינו מבצע בקרה על התאמת המידע שמועבר לגופים ציבוריים למידע שאישרה הוועדה להעברת מידע למסור. זאת ועוד בט"ל אינו...

    עיקרי המלצות הביקורת

    • [alt]
      על בט"ל לעדכן את מסמך מדיניות אבטחת המידע והגנת הסייבר שלו בנושאים שנדרשת להן התייחסות לפי תקנים מקובלים ולהציגו בוועדת ההיגוי לאבטחת מידע, וכן עליו לוודא כי המסמך יעודכן באופן עיתי ובהתאם לסיכונ...
    • [alt]
      נוכח החשש כי נושאים עיקריים באבטחת המידע של בט"ל אינם מטופלים בהתאם לשינויים בסביבה הארגונית, לאיומי הסייבר החדשים ולסיכונים, על בט"ל לעדכן את נוהל אבטחת המידע שלו כך שיכלול את הנושאים שנדרשים לפי תקנות אבטחת מידע. אשר לנהלים הקיימים, יש לעדכן את הנושא...
    • [alt]
      נוכח חילופי ממלא מקום המנכ"ל בבט"ל לאחר כינוס ועדת היגוי סייבר בראשונה ונוכח העובדה שבדיון הוועדה לא הוצגו נושאים משמעותיים כמו רמת ההגנה בסייבר של בט"ל, מומלץ כי בט"ל יכנס בהקדם את ועדת היגוי סייבר, כדי להציג לפניה את נושא רמת ההגנה בסייבר ונושאים מרכ...
    • [alt]
      על בט"ל לערוך מיפוי של כלל הנכסים והתהליכים העסקיים שלו ולסווג אותם לפי רמת הקריטיות שלהם לארגון וזאת בהתאם לנדרש בתקנות אבטחת מידע.
    • [alt]
      מומלץ כי בט"ל, בהנחיית מס"ל, יבצע תהליך סדור של סקרי סיכוני אבטחת מידע בהתאם למתודולוגיות מקובלות, כמו תורת ההגנה, ויוודא כי בסקרי הסיכונים יובאו בחשבון סיכונים הנשקפים לגופי תמ"ק ברמה הלאומית. עוד מומלץ...

    סיכום

    בט"ל מחזיק במאגר גדול, בנפח של טרה-בייט (TB) רבים, הכולל מידע על כל תושבי מדינת ישראל מיום הלידה ועד יום הפטירה. מאגר זה נדרש לרמת אבטחה גבוהה בהתאם לחוק הגנת הפרטיות ולתקנות אבטחת מידע, וכן משום שהוא יעד מרכזי לניסיונות תקיפה (עשרות אלפי חשדות לאירועים ביממה), ופגיעה בו עלולה להיות קריטית בייחוד בתקופה זו של מלחמת חרבות ברזל, שבה ממלא בט"ל תפקיד חיוני בטיפול בנפגעים, במפונים ובאנשי המילואים. 

    ביוני 2023 הוגדר בט"ל כתשתית מדינה קריטית (גוף תמ"ק) והחל בתהליכי אסדרה של הגנת הסייבר בהתאם לתו"ל ייעודי לגופי תמ"ק, בהנחיית מערך הסייבר. במהלך מלחמת חרבות ברזל נדרש בט"ל לבצע פעולות דחופות לטיפול בנפגעי פעולות האיבה, במשפחות החטופים, במשפחות המפונים ובמשרתי המילואים. פעולות אלו כללו בין היתר פיתוח שירותים חדשים לטיפול באוכלוסיות אלו; פיתוח ממשקים להעברת מידע לגופים אחרים; ומציאת פתרונות חדשים המאפשרים עבודה מהבית של עובדי בט"ל, כדי שהשירות לא ייפגע.

    ממצאיו של דוח זה משקפים פערים ניכרים בכל הנוגע לניהול אבטחת המידע בבט"ל ולהיערכותו לאיומי סייבר. פערים רבים עלו בנוגע למכלול תחומי הפעילות הרלוונטיים לאבטחת המידע וביניהם: פערים בגילוי אירועי סייבר ובטיפול בהם; ליקויים ברמת האבטחה הלוגית; תוכנית המשכיות עסקית שאינה עדכנית; ויכולת התאוששות נמוכה במקרה של אסון. הממצאים שהועלו בדוח זה, כמכלול, וכל ממצא בפני עצמו מהווים סיכון לפגיעה בסודיות, באמינות ובזמינות של המידע שבמאגרי בט"ל.

    הדוח כולל ממצאים נוספים הנוגעים לקיום חלקי ביותר של תקנות אבטחת מידע ולחוסר יכולת של חטיבת אבטחת מידע בארגון למלא חלק מתפקידיה.

    על ממלא מקום מנכ"ל בט"ל, הנהלת בט"ל וועדת היגוי סייבר, בשיתוף מס"ל, כמנחה מקצועי, לפעול בהקדם למיפוי סיכוני הסייבר המהותיים הניצבים בפני הארגון ולגבש תוכנית עבודה לטיפול בפערי אבטחת המידע, ובהם הפערים שצוינו בדוח זה.