דלג אל: תוכן העמוד | תפריט ראשי | טור צד | תפריט תחתון
טקסט קטן טקסט בינוני טקסט גדול English العربية
facebook

Skip Navigation Linksמבקר המדינה > דף הבית > פרסומים > הודעות וחדשות > פרסום דוח שנתי של מבקר המדינה בנושא סייבר ומערכות מידע – דצמבר 2022 (6.12.22)

פרסום דוח שנתי של מבקר המדינה בנושא סייבר ומערכות מידע – דצמבר 2022 (6.12.22)

מבקר המדינה פרסם לציבור (6.12.22) את דוח הסייבר. בדוח שישה פרקים העוסקים בהיבטי סייבר במגזר התחבורה, בצה"ל, ברשות המיסים, מערכת המים ומערכות בחינות וציוני הבגרות

יודגש: פרסום דוחות סייבר מייצג מתח בין הערך של זכות הציבור לדעת לבין חיסיון שיש להטיל על חלקים מהדוחות כחלק מאבטחת המידע. מתוקף הסמכות הנתונה למבקר המדינה, משלא התכנסה ועדת המשנה לוועדה לביקורת המדינה, החליט המבקר אנגלמן, לאחר בחינת הגורמים הרלוונטיים, לפרסם דוחות אלו תוך הטלת חיסיון על חלקים ממנו. במקביל הדוחות המלאים עם פרוט כלל הליקויים הומצאו לגופים הרלוונטיים, על מנת שיתקנו את הליקויים שעלו.

המבקר אנגלמן: 

על הגנות סייבר בצה"ל: "פערים משמעותיים באבטחת סייבר במערכות מידע ביומטרי בצה"ל; פקודת המטכ"ל על הגנת הפרטיות לא עודכנו מ- 1996; בצה"ל יש מידע ביומטרי של חיילים שנפטרו - חשש שהאקרים ישתמשו בכך להתחזות ולגניבת זהות".

על מערכות המידע במשרד החינוך: "הליקויים שעולים מהדוח עלולים לסכן את אמינותם של ציוני הבגרות ואת השמירה הנדרשת מפני פגיעה בטוהר הבחינות".

על פרויקט ניהול הסחר העולמי של רשות המסים: "התארכות פרויקטים ביותר מעשור; חריגות תקציב של מאות מיליוני ש"ח - ולמרות זאת ביצועי המערכת דורגו בפחות מהממוצע"

"רשות המיסים שבויה בידי ספק המערכת - עקב היעדר התחרות במכרז מ-2004 והעיכובים בפרויקט, ההתקשרות המצטברת של רשות המיסים עם הספק בנוגע לשתי המערכות (מערכת שער עולמי והמערכת הישנה) תימשך 48 שנה (מ-1991 עד 2039) והיקפה הכספי יעלה על מיליארד ש"ח, כשרוב הסכום אושר בפטור ממכרז".

על הגנת סייבר והמשכיות עסקית ביחידת שרות עיבודים ממוכנים ברשות המיסים: "הועלו ממצאים אשר מסכנים מהבחינה העסקית את המידע ואת מוניטין רשות המיסים"

על מגזר התחבורה: "ישראל לא מספיק ערוכה לאיומי סייבר במגזר התחבורה".

על תאגידי המים: "חלק מהתאגידים קיבלו ציון נמוך על מוכנותם להגנת סייבר".


ניהול מידע ביומטרי בצה"ל והגנת הסייבר עליו

 


צה"ל מנהל מערכות מידע של אמצעי זיהוי שמטרתן לזהות חללים. מדובר במערכות שבאמצעותן מנוהלים מאגרי מידע ביומטריים הכוללים מידע רפואי, אישי ורגיש של מאות אלפי חיילים שהתגייסו לצה"ל, ולכן נדרש כי רמת האבטחה של המאגרים תהיה גבוהה לפי תקנות הגנת הפרטיות בתחום אבטחת המידע. 

הסיכונים הנשקפים למאגר מידע ביומטרי הם משמעותיים, היות שלהבדיל מאמצעי זיהוי אחרים כמו תעודה, סיסמה או אמצעי פיזי - מידע ביומטרי אי אפשר לבטל או להחליף בעקבות גניבה או דליפת מידע

מבקר המדינה אנגלמן בדק את מידת ההגנה של מאגרים רגישים אלו הכוללים מידע על כל אחד ואחד מאתנו ששירת בצה"ל (טביעות אצבע, תצלומי שיניים).  ממצאי  הדוח משקפים פערים משמעותיים באבטחת המידע המצוי במערכות רגישות אלו, ומעידים על אי-קיום חלק מתקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר. מצב זה יוצר סיכון לפגיעה באמינות, בזמינות ובסודיות של המידע. 

הדוח כולל ממצאים נוספים הנוגעים להליכי תפעול וניהול של מערכות המידע של אמצעי הזיהוי. נמצא כי מערכות המידע אינן מנוהלות ביעילות ולפי מתודולוגיה סדורה לניהול פרויקטי מערכות מידע, ועקב כך יש חשש שמערכות אמצעי הזיהוי לא יוכלו למלא את ייעודן. כמו כן נמצא כי מנהל הפרויקט לא הכין תכניות עבודה למערכות אמצעי הזיהוי ולא וידא שהקמתן וניהולן של המערכות עומדים ביעדים המקובלים של תכולה, לוחות זמנים, עלויות ושביעות רצון הלקוח. 

על ראש אכ"א לפעול לתיקון הליקויים ולבחון את ההמלצות שבדוח זה.  

להלן פירוט הממצאים העיקריים שעלו בדוח: 

המידע הביומטרי בצה"ל נאסף ממתגייסים, משמש לזיהוי חללים ונשמר בשלושה מאגרים של אמצעי זיהוי (מאגר טביעות אצבע וכף היד, מאגר תצלומי שיניים ואוסף כתמי דם). בתהליך ההרכשה שבשרשרת החיול (שר"ח) נוטלים מכל חייל המתגייס לצה"ל טביעת אצבעות ותצלומי שיניים. בהסכמת המתגייס, ניטלים ממנו גם כתמי דם המשמשים להפקת דגימת דנ"א בעת הצורך. תהליך זיהוי החלל מתבצע באמצעות השוואת הנתונים הביומטריים שניטלו מהמתגייס לאלו שניטלו מהחלל.

בצה"ל קיימות שלוש מערכות מידע מרכזיות לניהול תהליך הזיהוי: מערכת א' ומערכת ב' המנהלות את מאגרי אמצעי הזיהוי הוגדרו על ידי צה"ל בסיווג סודי ונדרשות לעמוד ברמת אבטחה גבוהה בהתאם לתקנות אבטחת מידע. מערכת מידע נוספת בשם מערכת ג' מנהלת ומתעדת את הטיפול בחלל ובכלל זה את תהליך זיהוי החלל. 

בנוגע למדיניות ההגנה בתחום הסייבר נמצא כי מסמך מדיניות ההגנה לא עודכן מאפריל 2015, במשך שבע שנים, שבמהלכן חלו שינויים טכנולוגיים ובחובות החלות על צה"ל בנושא אבטחת מידע בעקבות פרסום תקנות הגנת הפרטיות (אבטחת מידע) משנת 2017.כמו כן מסמך מדיניות ההגנה של צה"ל כולל התייחסות לחלק מהנושאים שהיחידה להגנת הסייבר בממשלה (יה"ב) הגדירה שיש לכלול במסמך מדיניות להגנת הסייבר, כגון: הגנת רשומות, הגנה לוגית ופיזית והמבנה הארגוני, אך אינו כולל התייחסות לנושאים כגון ניהול וסיווג של נכסים, שרשרת האספקה, משאבי אנוש והתאמה לדרישות החוק (כמו תקנות אבטחת מידע). 

בהיבטי מענה הגנה בתחום הסייבר, עלה כי מערכת א' ומערכת ב' הוגדרו בסיווג סודי עם חסינות בינונית למרות שמערכות אלו נדרשות לעמוד ברמת אבטחה גבוהה לפי תקנות אבטחת מידע, ולמרות הנזק הרב שעלול להיגרם מדליפת מידע ביומטרי רגיש שמוחזק במערכות אלו. כמו כן למערכות אמצעי הזיהוי של צה"ל אין מענה הגנה מפורט במסמך הכולל את דרישות ההגנה הייעודיות למערכות אלו בהתאם לסיווג שלהן. 

בצה"ל יש כמה גורמים העוסקים בהיבטים שונים בתחום אבטחת המידע של מערכות מידע, ובהם: יחידת הגנת הסייבר במרכז המחשבים ומערכות המידע (ממר"ם), מחלקת ביטחון מידע (מחב"ם), קצין האמל"ח וגורמי מדיניות ההגנה באגף התקשוב. אולם אין גורם אחד שנושא באחריות לכל היבטי אבטחת המידע של מערכות אמצעי הזיהוי ותפקידו ותחומי אחריותו הוגדרו בהתאם לתקנה 3 בתקנות אבטחת מידע ובהתאם למדיניות ההגנה של צה"ל.

עוד עלה כי אין בידי אכ"א תוכנית לבקרה שוטפת על מידת העמידה של מאגרי אמצעי הזיהוי בדרישות תקנות אבטחת מידע, וכן לא בוצעו ביקורות בנושאים אלו. דוח זה משקף פערים בעמידה של המאגרים בדרישות תקנות אבטחת המידע. עוד נמצא כי פקודות המטכ"ל בנושא הגנת הפרטיות לא עודכנו ממועד כתיבתן בשנת 1996 (פרק זמן של 26 שנים), לכן הן אינן מתייחסות לתקנות אבטחת מידע שפורסמו בשנת 2017. כמו כן הרשות להגנת הפרטיות לא ביצעה ביקורות ופעולות פיקוח רוחביות על מאגרי המידע בצה"ל בכלל ועל המאגרים הביומטריים לזיהוי חללים בפרט, כדי לוודא שהמאגרים עומדים בתקנות אבטחת המידע. זאת אף שצה"ל מחזיק במאגרי מידע שבהם שמור מידע רגיש ואישי על אזרחים רבים. 

צה"ל לא גיבש מסמך הגדרות למאגרי אמצעי הזיהוי כנדרש בתקנות אבטחת מידע, הכולל מידע חיוני הקשור למאגרים ולאופן השימוש בהם, כמו פירוט הסיכונים העיקריים של פגיעה באבטחת המידע ואופן ההתמודדות עימם. 

בנוסף, צה"ל לא בחן אחת לשנה כנדרש בתקנות אם שמור מידע עודף במאגרי אמצעי הזיהוי. במאגרי אמצעי הזיהוי קיים מידע עודף, למשל: מידע ביומטרי על חיילים אשר הלכו לעולמם (נפטרו) ואשר לא בוצע לגביהם תהליך זיהוי. מידע ביומטרי על נפטרים עלול לשמש ביתר קלות למטרת התחזות וגנבת זהות, שכן אין מי שיתלונן על השימוש שנעשה בו.

עוד נמצא כי צה"ל לא גיבש נוהל אבטחה פיזית ייעודי למערכות אמצעי הזיהוי כנדרש בתקנה 4 לתקנות אבטחת מידע, זאת אף ששמור בהן מידע ביומטרי, אישי ורגיש החייב ברמת אבטחה גבוהה. כמו כן נמצאו פערים ברמת האבטחה הפיזית של המערכות ביחידה א' בנושאים: הגנה פיזית ובקרה על הכניסות והיציאות, הגנת סביבת העבודה והגנה סביבתית.

כמו כן, נמצאו פערים ברמת ההגנה הלוגית בנושאים שלהלן: הזדהות; הרשאות גישה; סקר בקרת גישה; בקרה על ביצוע פעולות לא מורשות; מנגנוני הצפנה; בקרה שוטפת לצורך תהליכי הגנה על יישומים.

בביקורת נמצא כי צה"ל לא פיתח לתהליך אמצעי הזיהוי תוכנית המשכיות עסקית שמכסה את כל התהליכים הקשורים לאמצעי הזיהוי ואת כל היחידות המעורבות בתהליכים אלו ולא הגדיר מהם החלקים בתהליך שהם קריטיים לאירוע חירום. כמו כן הוא לא ביצע תרגול הפעלה במתכונת חירום של כל המערך הנדרש לזיהוי חלל. זאת ועוד נמצאו הפערים האלה: צה"ל לא וידא כי המערכות נגישות באופן קבוע מאתרים חלופיים שנקבעו מראש; ביחידת ממר"ם לא נעשו תרגולים עיתיים של אחזור מגיבויים כדי לבדוק את תקינותם ואת העמידה ביעד אחזור הנתונים; האוסף הפיזי של כתמי הדם נשמר במקום יחיד ואין יתירות למידע שבו על ידי שמירתו במקום נוסף. 

עוד נמצא כי מאגר הנתונים הביומטריים של צה"ל המכיל מאות אלפי רשומות אינו שלם. במאגר קיימות כמה עשרות אלפי רשומות של משרתי חובה וקבע שנכון למועד סיום הביקורת באפריל 2022, חסרים בהן אמצעי הזיהוי האלו: 0.5% מטביעות האצבע, 6.6% מתצלומי הרנטגן, 32.8% מתצלומי חלל הפה ו-3.8% מדגימות הדנ"א. כמו כן יש חוסרים של מאות טביעות אצבע של חיילים שהתגייסו בשנים 2016 ו-2017 ושל כמה אלפי תצלומי שיניים עבור אנשי קבע שהתגייסו בשנים 1994 - 2004. נוסף על כך, מצא מדור זיהוי רפואי בביקורות שביצע בשנים 2018 - 2019 כי כ-95% מתצלומי השיניים של חלל הפה הם באיכות שאינה מספקת. איכות ההרכשה הירודה של תצלומי השיניים לא טופלה עד מועד סיום הביקורת באפריל 2022.

בנוסף, במערכות אמצעי הזיהוי אין מסמכי יסוד כמו מסמכי דרישות מפורטים או תוצרי ביניים הנדרשים בתהליכי עבודה לפי מתודולוגיות מקובלות לניהול פרויקטי מערכות מידע ולפי הק"א 10/1, ללא מסמכי יסוד ותוצרי ביניים אלו נשקף סיכון שהמערכות המפותחות אינן תואמות לדרישות המשתמשים.

בנוגע לזיהוי חללים בהתרחש אסון רב נפגעים (אר"ן) מעורב של אזרחים וחיילים, עלה כי לא הוסדר השימוש במרכז איסוף נתוני חללים ("מרכז הצבי") של הרבנות הצבאית בהתרחש אר"ן מעורב של אזרחים וחיילים; כמו כן, אף שצה"ל מחזיק במאגר ובו מאות אלפי רשומות של אזרחים וחיילים הכולל אמצעי זיהוי ייחודיים כדוגמת טביעות עשר אצבעות וכן כפות ידיים, לא הושלמה הבחינה של אפשרות השימוש במאגרי אמצעי הזיהוי המוחזקים בצה"ל לצורך זיהוי חללים בהתרחש אר"ן.

המבקר אנגלמן ציין כי ממצאיו של דוח זה משקפים פערים משמעותיים באבטחת המידע המצוי במערכות רגישות אלו, וכן הם מעידים על אי-קיום חלק מתקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר. מצב זה יוצר סיכון לפגיעה באמינות, בזמינות ובסודיות של המידע שבמאגרים. על ראש אכ"א לפעול לתיקון הליקויים ולבחון את ההמלצות שבדוח זה.

דוח ביקורת מיוחד - הגנת הסייבר על מערכות מידע במשרד החינוך ועל בחינות הבגרות וציוני הבגרות

רוב המידע שמשרד החינוך אוסף, שומר ומנהל בעניין בחינות הבגרות וציוני הבגרות הוא מידע רגיש על תלמידים ועובדים, שכולל יותר מ-100,000 רשומות, ובהיותו כזה אבטחתו נדרשת להיות ברמה הגבוהה ביותר.  

מבקר המדינה בדק היבטים באבטחת המידע במשרד החינוך ואת אבטחת המידע של מערכות המידע המרכזיות שתומכות בניהול ובתפעול של ציוני בחינות הבגרות ובסביבות התקשוב שבהן הן פועלות. 

בביקורת עלה כי נכון לאוקטובר 2021, יותר משלוש שנים לאחר שביצע משרד החינוך סקר סיכונים מקיף של מערכות ליבה נבחרות שלו ומבדק חדירה בנוגע למערכת א', משרד החינוך לא ביצע סקר סיכונים מקיף ומבדקי חדירות בנוגע למערכות הליבה שלו בתדירות הנדרשת בתקנות הגנת הפרטיות אבטחת מידע - אחת ל-18 חודשים. מתוך שבע המשימות שהוגדרו ברמת סיכון "קריטית" או "גבוהה" בתוכנית העבודה לשנת 2019 של המשרד ושהמשרד קבע שיש ליישמן בשנת 2019, נכון לאוקטובר 2021, המשרד השלים את הטיפול בשלוש משימות, ובארבע המשימות הנותרות הוא טיפל חלקית.

עוד נמצא כי משרד החינוך לא ביצע תרגילים מסוימים לשחזור מידע ולהתאוששות מאסון כנדרש בהנחיית יה"ב "גיבוי ושחזור מידע"; הוא גם לא ביצע תרגיל לשחזור מלא של מערכת מחשב מסוימת שלו. 

בנוסף עלה כי שלוש שנים לאחר כניסת תקנות הגנת הפרטיות אבטחת מידע לתוקף (במאי 2018) משרד החינוך גיבש את מסמכי מבנה המאגר, את הגדרות המאגר ואת רשימת המצאי רק עבור חמישה (10%) מ-50 מאגרי המידע שרשומים בפנקס רשם מאגרי מידע. במסמך הגדרות המאגר "תלמידים" לא עודכן מיהו הממונה על אבטחת המידע, ורשימת המצאי אינה מלאה.

בנוגע למינוי של ממונה הגנת סייבר, כינוס ועדת היגוי סייבר והקצאת תקציב להגנת הסייבר עלה בביקורת כי מסוף שנת 2020 ועד לאוקטובר 2021 משרד החינוך לא אייש את תפקיד ממונה הגנת סייבר. ועדת היגוי סייבר לא התכנסה בתדירות הנדרשת - לכל הפחות פעם בחציון. המשרד גם לא עמד בהנחיה ולפיה יש להקצות לכל הפחות 8% מתקציב תחום טכנולוגיית המידע עבור הגנת הסייבר. בפועל שיעור התקציב הייעודי שהוקצה לכך בשנת 2019 היה כ-5.66%, ובשנת 2020 הוא פחת לכ-5.06%. יצוין כי משרד החינוך מסר בתגובתו כי בחודש יוני 2022 מונתה ממונה הגנת סייבר וכי במהלך שנת 2022 (לאחר סיום הביקורת) הוא כינס פעמיים את ועדות ההיגוי לאבטחת מידע וסייבר. 

בנוגע לאבטחת המידע ברשת א' - רשת א' משרתת את כל המשתמשים שאינם עובדי משרד החינוך, ובהם בתי הספר, עובדי ההוראה, התלמידים, ההורים והספקים, והיא נגישה גם לעובדי המשרד על פי צורכיהם. חברה א' מספקת למשרד את שירותי התשתיות המרכזיות של הרשת. להלן יפורטו עיקרי הממצאים שעלו בנוגע לרשת א': 

  • עלה שרכיב מסוים וגם ציוד הרשת ואבטחת המידע, הנמצא על פי חוזה ההתקשרות בטיפולה של חברה א', אינו נגיש באופן ישיר למשרד. המשרד גם אינו מבקש לקבל מהחברה דוח עיתי המפרט את ההגדרות והכללים שנקבעו לשאר ציוד הרשת ואבטחת המידע שבשליטתה, אף שהדבר נדרש כדי לוודא שההגדרות והכללים בנוגע לאבטחת המידע עומדים בדרישות המתחייבות מחוזה ההתקשרות, מצרכיו של משרד החינוך ומהנחיות יה"ב שחלות עליו.

  • משרד החינוך לא ביקש אסמכתאות המתעדות את אופן הטיפול של חברה א' בקריאותיו; הוא גם אינו דורש ממנה לשלוח לו קובץ של רשומות תיעוד הפעולות (קובץ ה-log) שיאפשר לו לבצע בקרה על רשומות המתעדות את הפעולות שבוצעו במערכות. 

  • מערכת ה', שאמורה לאפשר ניטור של שינויים בכללי רכיבי הגנה מסוימים ובקרה עליהם, לא הוטמעה על רכיבים שבשליטת חברה א'.

  • המשרד לא חיבר את רשת א' ל-SOC הממשלתי. 

אבטחת המידע ברשת ג' - ברשת ג' מנוהל התהליך הנוגע לבדיקתן ולהערכתן של מחברות הבחינה ששימשו את הנבחנים למענה על שאלוני הבחינה. בנוגע לרשת ג' העלתה הביקורת כלהלן: 

  • הרשת מוגנת על ידי גרסה מיושנת של מערכת הגנה מסוימת, שבספטמבר 2019 היצרן הפסיק לתמוך בה. נכון לנובמבר 2021 מערכת הגנה מסוימת עדכנית עדיין לא הוטמעה באופן מלא ברשת ג'.
     
  • ברשת זו עלו פערים בנוגע לרכיבים מסוימים לאבטחת מידע. 

  • בינואר 2020 היצרן הפסיק לתמוך במערכת ההפעלה של שרתים מסוג מסוים שמשמשים, בין היתר, את רשת ג'.

  • לרשת ג' אין רכיב שמבצע פעולת בקרה מסוימת ברמת התשתית כפי שהומלץ בהנחיות. 

  • שרת א' ושרתי ב' של רשת ג' אינם מופרדים; הדבר מקנה לעובדים מסוימים גישה לשרתי ב' אף שלא אמורה להיות להם גישה כזאת. בשרת א' נשמר עותק של מסד נתונים (DB) מסוים, והוא מונגש למשתמשים מורשים שניתנה להם גישה לשרת זה. יוצא כי לאותם משתמשים יש גישה גם למאגר נתונים מסוים אף שאינם מורשים לכך.


"מערכת ד'" -מחברות הבחינה של הבגרויות

אבטחת המידע במערכת ד' - למערכת ד' נטענים קובצי מחברות הבחינה הסרוקות וקובצי מחברות הבחינה המתוקשבות. הגישה למערכת מוקנית, באמצעות המרשתת, לכ-4,000 מעריכים חיצוניים אשר בודקים את מחברות הבחינות ומזינים עבורן ציונים. בנוגע למערכת זו העלתה הביקורת כלהלן:

  • עלה כי המעריכים מתחברים למערכת באמצעות מחשבים אישיים שאינם מנוהלים או מוקשחים על ידי משרד החינוך וכי החיבור שלהם מאובטח חלקית. 

  • הפעולות הנעשות במערכת ד' נרשמות ומתועדות בקובצי ה-log, אך הן אינן מבוקרות ואינן מנוטרות. 

  • שישה משמונה משתמשים שתפקידם הוגדר במערכת ד' בהגדרה מסוימת, קיבלו הרשאות החורגות מתפקידם שלא על פי עקרון "הצורך לדעת "; לעיתים אין זיהוי חד-ערכי של משתמשים או פירוט של הפעילות שבוצעה. 

  • קבצים מועברים בין מערכת ד' לבין משרד החינוך (או ספקים אחרים שלו) בלא שנבדק אם יש בהם סיכון מסוים לפגיעה אף שהתקנות מחייבות ביצוע פעולה מסוימת בעת העברת מידע ברשת הציבורית או במרשתת, יש קבצים שיש בהם מידע רגיש שמועברים ממערכת ד' למשרד בממשקים לא מאובטחים דיים, והדבר מגביר את הסיכון לדלף מידע רגיש ולפגיעה. 

  • במסגרת בדיקה מיוחדת שביצע משרד מבקר המדינה במערכת ד' עלה שההתקנה של צד המשתמש (לקוח - Client) וצד השרת (Server) ושבדיקת ההרשאות אינן כנדרש בהנחיות יה"ב.


"מערכת ב'" - רישום תלמידים לבחינות בגרות והזנת ציוני המגן לבגרות

מערכת ב' משמשת לרישום התלמידים הניגשים לבחינות הבגרות, כ-250 מבתי הספר מזינים באמצעותה גם את הציונים השנתיים הבית-ספריים של התלמידים (ציוני המגן). בנוגע למערכת זו עלה כלהלן: 

  • 64% מהמשתמשים לא נכנסו למערכת במשך קרוב לחמש שנים - בין מרץ 2017 לינואר 2022; 19% מהמשתמשים נכנסו למערכת לכל המאוחר לפני כשלוש השנים עד חמש שנים (בשנים 2017 - 2019), ורק 12% מהמשתמשים נכנסו למערכת בשנה האחרונה - ינואר 2021 עד ינואר 2022. הדבר מעורר חשש למתן הרשאות גישה למערכת לגורמים שאין להם צורך בכך.

  • נכון לספטמבר 2021 משרד החינוך לא סרק במערכת הלבנה קבצים לפני העברתם לסביבה ב'. נכון לנובמבר 2021 גם החברה החיצונית לא סרקה את אותם קבצים לפני שייבאה אותם לסביבה א' או לפני שקלטה אותם במערכת ד'. 


עוד עלה בביקורת כי משרד החינוך לא הסדיר נוהל המגדיר את שלבי תהליך עדכון ציוני הבגרות במערכת ז', את הגורמים המעורבים בו, את האחראים לכל שלב ואת הבקרה על התהליך. בפועל, עלו פערים במנגנוני הניטור והבקרה של משרד החינוך. 

בנוגע להפצה לא מורשית של בחינות הבגרות - בביקורת נמצאו שבע קבוצות ביישומונים להעברת מסרים מיידים הפעילות במגזר היהודי ובמגזר הערבי, שבהן התבצעה פעילות הפצה לא מורשית של שאלונים ושל הפתרונות לשאלונים. בשנים 2018 - 2020 הגיש משרד החינוך ארבע תלונות בלבד במשטרת ישראל בגין עבירת "קבלת דבר במרמה" בעקבות הפצה לא מורשית של שאלונים או של תשובות של בחינות הבגרות. ובעניין זה יצוין כי בשנת 2020 פסל המשרד יותר מ- 16,000 מחברות בחינה בשל חשד לפגיעה בטוהר הבחינות.

המבקר אנגלמן ציין כי ממצאי הדוח והבעיות שבשורש ממצאים אלה עלולים לסכן את שלמותם, זמינותם, סודיותם ואמינותם של ציוני בחינות הבגרות וכן עולה מהם חשש לפגיעה בעקרונות טוהר הבחינות. משרד מבקר המדינה ממליץ למשרד החינוך לפעול לתיקון הליקויים שהועלו בדוח, ובכלל זה לעמוד בלוחות הזמנים שנקבעו בתוכניות העבודה בתחום אבטחת המידע והגנת הסייבר, לשפר ולהעלות את רמת אבטחת המידע והגנת הסייבר בכלל מערכותיו ותשתיותיו. מומלץ גם שבמערכת החדשה לניהול ציוני הבגרות שלדברי המשרד הוא מפתח, יינתן מענה על הממצאים שהועלו בדוח זה בנוגע לאבטחת המידע של בחינות הבגרות וציוני הבגרות.

הקמת מערכת סחר חוץ חדשה ברשות המיסים - פרויקט "שער עולמי"

תהליך הגלובליזציה מתבטא בעלייה בהיקף הסחר הבין-לאומי (יבוא ויצוא) בסחורות ובשירותים. "שער עולמי" הוא פרויקט להקמת מערכת מחשוב חדשה במינהל המכס ברשות המיסים בישראל לניהול סחר החוץ של מדינת ישראל. במשך השנים חלו בפרויקט עיכובים רבים שגרמו לדחייה במימוש התועלות המשקיות שהיו אמורות להיות מופקות מן המערכת ובהן: הקטנת עלויות הסחר, מעבר מהיר של סחורות אל המדינה וממנה ושיפור השירות לאזרח. בגלל עיכובים אלו נדרשה רשות המיסים להאריך שוב ושוב את תקופת ההתקשרות עם הספק החיצוני שמבצע את הפרויקט (חברה א') וכן להגדיל את סכומי ההתקשרות במאות אחוזים, וכל זאת במסלול של פטור ממכרז, שניתן במציאות של סטייה ניכרת מתקציב הפרויקט ועיכוב של למעלה מעשור בהשלמתו.

חברה א'

מבקר המדינה מצא כי על פי ההסכם המקורי עם חברה א' מ-2008, הפרויקט תוכנן להסתיים כעבור שלוש שנים - ב-2011. לאורך הדרך חלו קשיים רבים בקידומו, ובעקבותיהם הפרויקט צפוי להסתיים בעיכוב ניכר ולהימשך 15 שנים (פי 5 מהמתוכנן). שלב ב' עלה לאוויר ב-2018 ואילו שלב ד' מתוכנן להסתיים ב-2023. כמה מהסיבות לעיכובים: חוסר מוכנות של המערכת בהיבטי תכולה; תקלות במערכת; בקשות מרובות לשינויים; עיצומים ברשות המיסים; ומידת שיתוף הפעולה של קהילת סחר החוץ.

בנוגע לגידול בעלות הפיתוח של המערכת, עלה כי בשל העיכובים שחלו עד למועד העלייה לאוויר של שלב ב' - ינואר 2018, גדלה עלות הפיתוח של המערכת מ-140 מיליון ש"ח (העלות בהסכם המקורי) ל-234 מיליון ש"ח - חריגה של 67%. כמו כן, העיכובים בפרויקט הותירו את המערכת עם הליכי טיפול בלתי יעילים וגרמו לדחייה במימוש התועלות המשקיות של המערכת ועמדו בבסיס הפרויקט. 

נוסף על הגידול בעלות הפיתוח של המערכת, העיכובים בפרויקט חייבו הארכות חוזרות של ההתקשרות לתחזוקת המערכת הישנה. עקב כך, סכום ההתקשרות הכולל עם חברה א' בקשר לפרויקט גדל מ-384 מיליוני ש"ח (הסכום בהסכם המקורי) לכ-1 מיליארד ש"ח - גידול של 627 מיליוני ש"ח (163%); ותקופת ההתקשרות עם חברה א' גדלה ב-15 שנים: מ-16 שנים בהסכם המקורי ל-31 שנים.

עוד נמצא כי 62% מסכום ההתקשרות עם חברה א' בנוגע לפרויקט (627 מיליון ש"ח) ומחצית מתקופת ההתקשרות עימה (15 שנים) אושרו במסלול של פטור ממכרז (התקשרות המשך) - מסלול שאינו מסלול המועדף על פי תקנות חובת המכרזים, התשנ"ג-1993. השינויים שאושרו במסלול זה מהווים סטייה ניכרת מהמתווה המתוכנן של הפרויקט, נוכח הצורך להאריך בשנים רבות את תוקף הסכם התחזוקה המקורי. 

בנוגע להתקשרות עם חברה א' בקשר לפרויקט - סוגיה מערכתית שהועלתה בדוח הביקורת הקודם היא שחברה א' אחראית הן לתחזוקת המערכת הישנה והן לפיתוח המערכת החדשה ותחזוקתה, ובכך נוצר מצב של "יחסי ספק-לקוח שבויים" ו"ספק בעל אישיות כפולה". סוגיה זו המשיכה להתקיים בפרויקט וצפויה להמשיך להתקיים עד לסיומו. 

עוד עלה בביקורת כי עקב היעדר התחרות במכרז מ-2004 והעיכובים בפרויקט, ההתקשרות המצטברת של רשות המיסים עם חברה א' בנוגע לשתי המערכות (מערכת שער עולמי והמערכת הישנה) תימשך 48 שנה (מ-1991 עד 2039 ) והיקפה הכספי יעלה על מיליארד ש"ח.

אף שתקופת ההתקשרות בין הצדדים על פי הסכם ההרחבה הסתיימה בינואר 2020, במאי 2022 טרם חתמו הצדדים על הסכם הארכה. מכאן שבמשך יותר משנתיים המשיכה רשות המיסים לרכוש שירותים מחברה א', בהיקף כספי של כ-74 מיליון ש"ח, ללא הסכם התקשרות חתום בתוקף.

הגם שבשנים 2019 - 2021 חלו עיכובים ניכרים בפרויקט, מועד סיומו נדחה בשלוש שנים ותקציב ההתקשרות גדל ב-106 מיליון ש"ח, רשות המיסים כינסה את ועדת ההיגוי פעם בשנה (בשנת 2020) או פעמיים בשנה (בשנים 2019 ו-2021). זאת שלא בהתאם להחלטתה להתכנס בכל רבעון.

עוד נמצא כי ארבע שנים לאחר ששלב ב' (השלב העיקרי) עלה לאוויר לא הושלם הליך קביעת מדדי רמת השירות שלפיהם תימדד המערכת, ובמועד סיום הביקורת טרם נחתם הסכם רמת שירות מעודכן בין הצדדים. כמו כן, לא נבדקה מידת שביעות הרצון של משתמשי המערכת מרמת השירות הניתן להם באמצעות מוקד התמיכה שמפעילה חברה א'. 

סקר שביעות רצון כלפי מערכת חברה א'

רשות המיסים ערכה סקר שביעות רצון ראשון בקרב המשתמשים הפנימיים בינואר 2021 - שלוש שנים לאחר העלייה לאוויר של שלב ב'. שליש מהמשיבים (16 מתוך 52) ציינו כי הם מרוצים במידה מועטה או אינם מרוצים כלל מאופן התצוגה של המסכים במערכת, ורבע מהם (13 מתוך 52) ציינו זאת לגבי מסכי החיפוש במערכת. בסקר נוסף שערכה הרשות במהלך הביקורת, בנובמבר 2021, ציינו 37% מהמשיבים (21 מתוך 57) כי לדעתם יש חוסר במידה רבה ובמידה רבה מאוד בהדרכות על המערכת.

סקר שביעות רצון למשתמשים החיצוניים נערך גם הוא שלוש שנים לאחר העלייה לאוויר של שלב ב', בפברואר 2021. בסקר השתתפו משתמשי שער עולמי במרשתת בלבד, והוא לא כלל את המשתמשים החיצוניים העובדים במערכת. רוב המשיבים לסקר דירגו את ביצועי המערכת ברמה ממוצעת ומטה בתחום מהירות התגובה (51%) ובתחום חוויית המשתמש (57%). 

בנוגע לאבטחת המידע שבמערכת, עלה כי הפרויקט נוהל במשך יותר מעשור בלא שהושלם המענה הדרוש לצורכי אבטחת המידע, בדגש על עדכון הדרישות שהוגדרו בעבר: בזמן הרב שחלף (14 שנים) ממועד האפיון של דרישות אבטחת המידע במכרז מ-2004 ועד למועד היישום של המערכת ב-2018, נוצרו פערים בתחום אבטחת המידע במערכת. בעקבות הפקת לקחים מאירועי אבטחת מידע שהתרחשו במשק הישראלי ב-2019 והשפעתם האפשרית על המכס נבנתה תוכנית עבודה רב-שנתית. בעת עריכת הביקורת נמצא כי רשות המיסים פועלת להשלמת יישום התוכנית.

חברה א' היא גורם מרכזי בכל הקשור למערכת שער עולמי ולתפעולה, ולכן פגיעת סייבר בחברה עלולה לגרום נזק למערכת. למרות זאת, במועד סיום הביקורת לא ידע המכס אם חברה א' סיימה את הליך הבדיקה המתוכננת של רמת הגנת הסייבר במערכת יוב"ל, ולא היה בידיו מסמך תוצאות הבדיקה האמורה. כמו כן, המכס לא השלים את בדיקת רמת הגנת הסייבר במערכת יוב"ל של ספקים הנותנים לו שירותי מחשוב ותקשורת שהגדיר "ספקים מהותיים", הקשורים זה זמן למערכת שער עולמי. יצוין כי לאחר סיום הביקורת מערך הסייבר פרסם הנחייה מעודכנת ובה דחייה של לוחות הזמנים לבדיקה זו.

המבקר אנגלמן ציין כי פרויקט שער עולמי להקמת מערכת סחר חוץ חדשה הוא פרויקט מורכב ובעל חשיבות לאומית. מומלץ כי רשות המיסים תפעל להשלמת המערכת על פי לוחות הזמנים שקבעה, תשפר את התחומים שבהם עלה חוסר שביעות רצון בקרב משתמשי המערכת, ותוודא כי הספק עומד ברמת השירות על פי המדדים שנבחנו. עקב העיכובים בפרויקט והיעדר התחרות במכרז מ-2004, ההתקשרות המצטברת של רשות המיסים עם חברה א' בנוגע לשתי המערכות תימשך 48 שנה והיקפה הכספי יעלה על מיליארד ש"ח. מומלץ כי רשות המיסים ומערך הדיגיטל יבחנו את המשמעות של חיבור רב-שנים לספק אחד. בכלל זה מוצע לבחון צעדים לעידוד התחרות במכרזי תקשוב גדולים בממשלה ולשימור הידע בגוף הממשלתי. כמו כן, לנוכח התגברות האיומים בתחום הגנת הסייבר על מערכות קריטיות בממשלה וביצוע הפרויקט במיקור חוץ, על הרשות לפעול באופן שיבטיח הובלה ותכנון של נושא הגנת הסייבר על המערכת ומציאת פתרונות לכל צורכי אבטחת המידע העדכניים שלה.

היבטים באסדרה ובפיקוח בנוגע לספקי המים המקומיים בתחום הגנת הסייבר

איומי הסייבר הולכים ומתעצמים עם צמיחתו של מרחב הסייבר, ועלולים להוביל לפגיעה הן בתוך המרחב והן בעולם הפיזי, כגון במתקני התפלה, בספקי מים ובתשתיות. לפי מסמכי רשות המים, בשנים האחרונות חלה החמרה באיומי הסייבר על מערכות המחשוב של משק המים והביוב בישראל. 

מבקר המדינה בדק כמה היבטים באסדרה ופיקוח בנוגע לספקי המים המקומיים בתחום הגנת הסייבר.

הגדרת גופי תשתיות מדינה קריטיות (תמ"ק) במשק המים - נמצא כי חברת מקורות היא גוף התמ"ק היחיד במשק המים, והיא מונחה ישירות על ידי מס"ל. יתר הגופים במשק המים מונחים בהנחיה מגזרית. בביקורת עלה כי סוגיית הגדרת גופי תשתית גדולים נוספים במשק המים טרם נבחנה ונידונה בוועדת ההיגוי הייעודית לכך.

עוד עלה כי במועד סיום הביקורת, דצמבר 2021, מועצת רשות המים לא אסדרה בכללים בהתאם לסמכותה על פי סעיף 18א לחוק המים את חובת ספקי המים להפעיל מערך ניטור ובקרה ומערך הגנה מפני אירועי סייבר; את חובותיהם להגיש תוכנית לאבטחת מידע לאישור רשות המים; ואת חובתם לחבר את מערכות המחשב שלהם למרכז הקיברנטי. כמו כן לא אוסדרה סמכות מנהל היחידה המגזרית ברשות המים לתת הנחיות לספקי המים, ולא אוסדרה סמכותם של הספקים לפעול על פיהן. הצעת אסדרה כאמור נקבעה בטיוטת כללי המים (אירוע פגיעה במים), התשפ"ב-2022, אשר נידונה במועצת הרשות בינואר 2022. 

בנוסף, עד מועד סיום הביקורת, דצמבר 2021, מערך הסייבר לא קבע תקן של יחידה מגזרית ברשות המים. נמצא פער בתקן כוח האדם ביחידה המגזרית ברשות המים לעומת תקן המשרות על פי טיוטת התקן ליחידת המגזרית שגיבש מס"ל. כמו כן עד מועד סיום הביקורת כל המשרות שאינן מתוקננות ביחידה המגזרית ברשות המים מאוישות על ידי עובדי מיקור חוץ.

בביקורת עלו פערים גם בתחום בדיקות חדירה. 

עוד נמצא בביקורת כי רק חלק מכלל ספקי המים שלדעת רשות המים יש לחברם, חוברו למק"ם משרד האנרגייה עד מאי 2022. 

בשנים האחרונות ועד מועד סיום הביקורת עשתה רשות המים ביקורות סייבר בחלק מכלל התאגידים. חלק מתאגידי המים שנבדקו בידי רשות המים בשנת 2021, קיבלו ציון נמוך על מוכנותם להגנת סייבר.

המבקר אנגלמן המליץ שמועצת הרשות ורשות המים יפעלו לקידום של הליכי אסדרת חובת ספקי המים להפעיל מערך ניטור ובקרה ומערך הגנה מאירועי סייבר, להכין תוכניות לאבטחת מידע ולעגן בכללי ביטחון מים את סמכות רשות המים לתת לספקי המים הנחיות בתחום הסייבר. כמו כן מומלץ כי הרשות תפעל לחיבורם של כל ספקי המים הנדרשים למק"ם. עוד מומלץ כי רשות המים תשלים את ביקורות הסייבר בתאגידים ובספקי מים אחרים שטרם נבדקו בשנתיים האחרונות, ותפעל להגברת מוכנותם של התאגידים למתקפות סייבר.

הגנת סייבר והמשכיות עסקית ביחידת שירות עיבודים ממוכנים ברשות המיסים

שירות עיבודים ממוכנים (שע"ם) הוא גוף המשמש מערך המחשוב של רשות המיסים בישראל ונותן לה שירותי מחשוב לצורך גבייה ואכיפה, ליצירת הרתעה ראויה ולמיצוי זכויותיהם של הנישומים. שע"ם משרת כ-1.3 מיליון "לקוחות": חברות, תאגידים מסוגים אחרים, עצמאים, בעלי שליטה, שכירים, מקבלי מענקי עבודה, שכירים המבצעים תיאומי מס והחזרי מס, 6,000 העובדים של רשות המיסים, 13,000 משרדי מייצגים ו-7,000 עורכי דין. שע"ם מחזיק במערכותיו מידע על אזרחים, נישומים, עוסקים וגופים נוספים.

מבקר המדינה בדק את אבטחת המידע והגנת הסייבר בשע"ם. הביקורת נעשתה בשע"ם ובמערך הסייבר הלאומי.

במסגרת הביקורת נבדקו היבטים מסוימים בהגנת סייבר, נעשתה בדיקת חוסן למערכת התומכת בתהליך עסקי ברשות המיסים (להלן - מערכת א'), ונבדקה היערכות שע"ם להמשכיות הפעילות העסקית ולהתאוששות מאסון.

בביקורת עלה כי תפקידי ועדת היגוי לנושא תמ"ק (תשתית מחשוב קריטית) הוגדרו בכתב המינוי באופן כללי, והם לא פורטו כנדרש בהנחיות הרגולטוריות. עלה כי דיוני הוועדה אינם עוסקים בפעולות שתנקוט הוועדה בהתאם לתפקידיה, כפי שנדרש בהנחיות.

על פי ההנחיות הרגולטוריות, על הגוף למפות את נכסי המידע והגישות אליהם, כדי להתאים תוכנית אבטחה. בביקורת עלו פערים במיפוי התהליכים ונכסי המידע שבוצע בשע"ם והוא אינו עונה במלואו על דרישות ההנחיות הרגולטוריות. 

עוד עלה כי במספר נהלים בשע"ם נמצאו אי התאמות להנחיות הרגולטוריות, בין היתר, בנושא ממשק העבודה מול מערך הסייבר הלאומי.

בנוגע לניהול שינויים, נמצא כי לא נמצאה בנוהל הרלוונטי התייחסות לצורך לעדכן את הגורם הרלוונטי ולשתפו בניתוח הסיכונים וההשפעות הצפויות של השינויים כנדרש בהנחיות.

בעניין נוהל טיפול באירועי אבטחת מידע נמצא כי בשע"ם קיים נוהל אך הוא אינו עוסק בחובה לדווח לגורם הרלוונטי ולצורך לשלבו בתחקור האירוע. בנוסף חסרה התייחסות רלוונטית לתחום מסוים הנדרש בהנחיות.

בביקורת עלו פערים בדבר המידע שנאסף על ידי אגף אבטחת מידע בשע"ם בנוגע לשרשרת האספקה. כמו כן, לא נעשה שימוש במודול שרשרת אספקה במערכת הייעודית שפיתח מערך הסייבר הלאומי. בנוסף, עלו פערים בבקרה על שרת מסוים.

עוד העלתה הביקורת כי קיימים פערים בין רמת הסיווג הנדרשת בהתאם לתפקידיהם של חלק מהעובדים בשע"ם לבין רמת הסיווג שלהם בפועל.

בנוגע לבדיקת חוסן מטעם משרד מבקר המדינה על מערכת א' - מערכת זו תומכת בתהליך עסקי ברשות המיסים. במהלך הבדיקה הועלו ממצאים אשר מסכנים מהבחינה העסקית את המידע ואת מוניטין הארגון.

בנושא היערכות להמשכיות עסקית והתאוששות מאסון: 

הסדרת פעילות האגף - בנובמבר 2016 החליט מנהל שע"ם כי לצורך הקמת אגף איכות והמשכיות עסקית יתוכנן מבנה ארגוני לאגף בסיוע יועצים. נציבות שירות המדינה התנתה את אישור האגף באישור נחיצותו מטעם רשות התקשוב. עלה כי האגף פועל מסוף שנת 2016, אף שהנציבות לא אישרה את שינוי המבנה הארגוני. הגדרות התפקיד של עובדי האגף הן הגדרות תפקידיהם הקודמות, והם מועסקים בהתאם לתקנים שהוקצו לאגפים אחרים. בעקבות זאת סמכות האגף ותפקידיו אינם מוסדרים.

בעניין תוכנית התאוששות מאסון - תוכנית התאוששות מאסון כוללת תוכנית להתאוששות המערך הטכנולוגי, תהליך הפעלת מצב החירום, תהליך החזרה ממצב החירום לשיגרה, תרגילי החירום ומדדים עיקריים להתאוששות:

Return Point Objective (RPO) - כמות המידע שאבד בהתרחש אסון.

Return Time Objective (RTO) - משך הזמן המרבי מרגע קבלת ההחלטה עד להפעלת אתר החירום. נמצאו פערים בנוגע להשלמת תוכנית התאוששות מאסון. 

בנוסף, נמצאו פערים בתהליך גיבוש תוכנית להמשכיות עסקית ובהשלמתה.

המבקר אנגלמן ציין כי שע"ם הוא גוף ה-IT של רשות המיסים, וככזה הוא מפתח מערכות מידע עבורה, מתחזק מערכות קיימות ומחזיק במידע. יש חשיבות גדולה לרמה גבוהה של הגנת סייבר בשע"ם וכן לתפקוד מלא של שע"ם בעתות משבר והתאוששות מהירה מאסון.

ממצאי הביקורת מעלים כי על שע"ם לפעול לשיפור הגנת הסייבר על מערכותיו. המבקר ממליץ כי יפעל בהקדם לתיקון הליקויים שהועלו בדוח זה תוך בחינת יישום המלצות הדוח.

הגנת הסייבר במגזר התחבורה

תשתיות התחבורה נועדו להבטיח את הבטיחות והיעילות של התחבורה הימית, התחבורה האווירית והתחבורה היבשתית עבור כל משתמשי הדרך. ככל שתשתית מסוימת חיונית יותר לחיי היום-יום של התושבים, כך היא מושכת יותר את התוקפים וככל שהיא תלויה יותר בממד הסייבר, כך היא פגיעה יותר לתקיפות שעשויות לגרום לשיבושים בתפקודה התקין ואף להשבתתה המלאה, לפגיעה כלכלית ניכרת ולפגיעה בחיי אדם.

בשנים האחרונות קיימת עלייה חדה במספרם ובחומרתם של אירועי סייבר המשבשים את פעילותם התקינה של ארגונים בארץ ובעולם. בתחום התחבורה קיימים סיכונים רבים שעלולים להתממש כתוצאה מפגיעות במרחב הסייבר: פגיעה בתשתיות התחבורה ובאמצעי תחבורה המוניים שעשויה לגרום לפגיעה בחיי אדם, להפסקת תהליכי ייצור, לנזק כלכלי כבד, לדליפת מידע אישי, לפגיעה במוניטין של הארגון הנפגע ובמקרים מסוימים אף להשלכות פוטנציאליות במישור הביטחוני.

המבקר אנגלמן בדק את הגנת הסייבר במגזר התחבורה הכולל גופים רבים בתחומי פעילות שונים (ספנות, מרכזי ניהול תנועה, אוטובוסים, רכבות, תובלה, תעופה ועוד). 

במסגרת הביקורת, משרד מבקר המדינה ביצע בשיתוף אחת העיריות בישראל מהלך חדשני - מבדק חדירה במערכות בתחום התחבורה שלה כדי לבחון היבטים בהגנת הסייבר. חשיבותה של פעולה חדשנית זו, שיושמה לראשונה בדוח ביקורת של משרד מבקר המדינה, הינה בכך שהיא מאפשרת להעריך את מוכנותו האמיתית של הגוף לעמוד בפני התקפות סייבר, באמצעות שימוש בכלים החושפים חולשות אבטחה בסביבת העבודה התפעולית של הגוף ולסייע בכך באופן מעשי וממשי לשיפור רמת ההגנה של הגופים המבוקרים

להלן פירוט על הממצאים העיקריים שמובאים בדוח: 

במסגרת החלטת ממשלה מ- 2015, הוקם אגף הסייבר במשרד התחבורה שמנחה את אלפי הגופים במגזר, למעט גופים שמוגדרים כתשתיות מדינה קריטיות (תמ"ק) שמונחים ישירות על ידי מערך הסייבר. 

מבקר המדינה מצא כי נכון למועד סיום הביקורת באפריל 2022, לא הושלמה חקיקת חוק הסייבר, וזאת יותר משבע שנים ממועד החלטת הממשלה 2444, וכן אסדרת תחום הסייבר לא הושלמה במסגרת עבודת הצוות הבין-משרדי שהוקם באוגוסט 2021. נוכח זאת כל מאסדר, נדרש לפעול באופן עצמאי ולבצע תיקונים בחוקים ובתקנות שלו כדי ליישם את דרישות הסייבר במגזר שלו, בכלל זה משרד התחבורה.

עוד עלה כי במשך יותר משבע שנים לא השלים משרד התחבורה את עבודת המטה לבחינת התיקונים והשינויים הנדרשים לאסדרה בתחומי פעילותו למימוש אפקטיבי של האחריות להגנת הסייבר במגזר. משרד התחבורה בחר להמתין לאסדרה במסגרת חוק הסייבר, למעט בתחום הרכב האוטונומי שהוא נושא אחד מיני רבים, זאת שעה שעלו עיכובים בחקיקתו. במצב זה חסרים למשרד התחבורה כלים לאכוף על הגופים במגזר (בהם מפעילי תחבורה ציבורית, נמלי ים וחברות תעופה) את דרישות הסייבר שקבע במסגרת המדיניות להגנת הסייבר במגזר. 

משרד התחבורה החל בספטמבר 2021 בהכנסת נספחי סייבר מחייבים בהתקשרויות חדשות בתחומי התשתיות היבשתיות, אולם עדיין ישנם תחומים בהם המשרד אינו מחייב לכלול דרישות סייבר בהתקשרויות חדשות. יודגש כי בתחומי פעילותו של המשרד חלק מההסכמים נחתמים לתקופה ארוכה, כאשר בהסכמים שנחתמו בעבר אין דרישות סייבר. למשל: נמלים - זיכיון ל-25 שנים; הפעלת אשכולות תחבורה ציבורית - 10 שנים. עוד עלה כי למשרד אין מיפוי מרוכז של ההתקשרויות הקיימות לרבות מועד סיומן, וממילא אין בידו רישום אם קיימות בחוזים אלה דרישות סייבר. נוכח זאת קיים סיכון שגם ההתקשרויות שצפויות להסתיים בשנים הקרובות יוארכו, מבלי שיתווספו להן דרישות סייבר במסגרת הארכתן וחידושן.

בשנת 2021 ביצע משרד התחבורה ביקורות כדי לבחון את מידת עמידת חלק מהגופים בדרישות הסייבר שפרסם במסגרת המדיניות להגנת הסייבר במגזר. הביקורות בוצעו על חברות בתחומים שונים ובהן חברות תחבורה ציבורית, חברות תשתיות כבישים, ונמלי ים. בביקורות נמצאו שורה של ליקויים רוחביים המחייבים טיפול מערכתי, אך המשרד לא ביצע מעקב אחר תיקון הליקויים שמצא בביקורות אלו. 

בביקורת עלה כי משאבי כוח האדם והתקציב הדרושים לטובת מימוש אחריות של משרד התחבורה בתחום הסייבר במגזר אינם מספיקים (למשל: באגף מועסקים שלושה עובדים במקום חמישה, ואושרו לו 6.3 מיליון ש"ח (21%) מהתקציב שהאגף ביקש לצורך מימוש תפקידו), כך שהוא אינו יכול לתת מענה לחלק מהאיומים הניצבים בפניו. בשל היעדר המשאבים נמצאו משימות של אגף הסייבר שלא בוצעו, ובהן: בניית יכולת התערבות באירועי סייבר; פעילויות להעלאת החוסן במגזר; הרחבת הביקורות בגופי המגזר; וליווי הגופים בתיקון ליקויים חמורים. 

משרד התחבורה אחראי לקדם את הטיפול בהיערכות לאיומי הסייבר של כל המגזר, אולם הוא מתקשה במילוי תפקידו מהסיבות האלו: המשרד אינו רואה את התמונה המגזרית כולה על תתי-המגזרים שבה (למשל תחום התחבורה האווירית וגופי התמ"ק שמנחה מערך הסייבר); הוא אינו רואה את מפת הסיכונים ואת הפערים הקיימים בכל גוף; והוא אינו מקבל מידע חיוני מהגופים על פעילויות שהם עצמם ביצעו, כמו מבדקי חדירות, תוכניות עבודה לתיקון הליקויים, דיווח על אירועי סייבר ותחקירים עליהם שביצע הגוף. כמו כן נמצאו פערים במספר אירועי הסייבר שדווחו למאסדרים השונים.

בנוגע למרכז לניטור אירועי אבטחת מידע SOC)) מגזרי נמצא כי 21 מתוך 35 מהגופים שמתוכננים להיות מחוברים ל-SOC המגזרי שהקים משרד התחבורה לא חוברו אליו עד מועד סיום הביקורת ולא נקבעה תוכנית עבודה מפורטת לחיבור ולמבצוע של כלל הגופים. כן עלה כי ההתקשרות הנוכחית של משרד התחבורה עם רשות שדות התעופה בנוגע להפעלת ה-SOC נחתמה לשנה אחת בלבד ואינה נותנת מענה מלא לארגונים גדולים.

נמצא כי שיתוף המידע בתחום הסייבר בין גופים דומים (כמו למשל נמלי הים ומערכות בתחום התחבורה) הוא חלקי. כן נמצא כי לא קיימת תבנית לצורך פרסום מכרזים בתחום הסייבר לשימוש הגופים במגזר.

מערכת תחבורה עירונית אחראית על התחבורה בתחום השיפוט של העיר שבה היא פועלת. בסקר שערך משרד מבקר המדינה בעשר עיריות ובשתי חברות עלו פערים מהותיים בין מצב הגנת הסייבר של המערכות לבין דרישות הסייבר של משרד התחבורה. כן עלה כי כל המערכות בתחום התחבורה (למעט המערכות המופעלות על ידי חברות התשתית ועירייה א') אינן מונחות על ידי משרד הפנים או משרד התחבורה, אף שיש כאלו שפגיעה בהן עשויה לגרום לפגיעה כלכלית ניכרת ואף לפגיעה בחיי אדם. 

בנוגע למבדקי חדירה וסקרי סיכונים על מערכות בתחום התחבורה, עלה מתוצאות שאלון בנושא הגנת הסייבר, שהועבר לגופים המחזיקים מערכות בתחום התחבורה העירונית והבין עירונית, כי בשנים 2019 - 2021 אף אחד מהגופים שנבדקו לא ביצע מבדקי חדירה, וכי 75% מהגופים שנבדקו לא ביצעו סקרי סיכונים.

מתוצאות שאלון בנושא הגנת הסייבר על מערכות בתחום התחבורה עלה כי בשנים 2019 - 2021 בחלק מהגופים שנבדקו לא קיימת תוכנית להתאוששות עסקית להתמודדות עם אירועי אסון ובהם אירועי סייבר. כן נמצא כי בחלק גדול מהגופים שנבדקו אין סביבת בדיקות שבה נבדקים עדכוני תוכנה ואבטחה קודם התקנתם. כן נמצא כי בחלק גדול מהגופים שנבדקו אין חיבור למערכת בקרה מסוימת. 

במסגרת מבדק החדירה שביצע משרד מבקר המדינה באחת העיריות  כחלק מהביקורת, נבדקו כל הנושאים האלה ובחלקם נמצאו ליקויים: ניהול משתמשים והרשאות; תיעוד וניטור; בקרת גישה לרשת; הגנת עמדות ושרתים; סגמנטציה ובקרת זרימה; עדכניות התוכנה ואבטחת הגישה לרשת התקשורת.

המבקר אנגלמן מציין כי ממצאי דוח זה משקפים בעיה מבנית ותפקודית יסודית בכל הנוגע להערכות של מדינת ישראל לאיומי הסייבר במגזר התחבורה. במהלך הביקורת חל שיפור בכמה תחומים שבהם פועל אגף הסייבר במשרד התחבורה, ובהם: הקמת SOC מגזרי, פרסום מדיניות וביצוע ביקורות בחלק מהגופים המונחים לבחינת עמידת הגופים בה; קידום אסדרת תחום הרכב האוטונומי, לרבות תיקון החוק, פרסום נוהל והקמת מרכז הניסויים בבאר שבע. 

עם זאת עדיין קיימות כמה בעיות יסודיות:

חסרה הסדרת תחומי האחריות והסמכות של מערך הסייבר ומשרד התחבורה בכל הנוגע לגופים שאינם תמ"ק; משרד התחבורה אחראי לפעילויות המגזר אולם אין בידיו תמונה מלאה של מצב ההגנה של הגופים בו; היעדר הלימה בין האיומים והמענים להם במגזר כולו לבין המשאבים של משרד התחבורה; היעדר דרישות סייבר בהתקשרויות בחלק ניכר מהפעילויות במגזר והיעדר הקצאת המשאבים הנדרשים לכך על ידי הגופים.

הבעיה התפקודית והמבנית שהועלתה בדוח זה אפשר כי היא רלוונטית למגזרים גדולים נוספים, ולכן טיפול מערכתי בנושאים אלו עשוי לשפר את מוכנות המשק והמגזרים הגדולים הפועלים בו להתמודד עם אירועי סייבר.

על משרד התחבורה ועל מערך הסייבר לוודא כי תשתיות התחבורה ובפרט התשתיות הקריטיות, מבצעות הערכת סיכונים באופן שוטף ומשפרות את מידת עמידתן בפני מתקפות סייבר אפשריות. כמו כן על מערך הסייבר להשלים את התהליך הנדרש לצורך חקיקת חוק הסייבר. נושא זה רלוונטי לכל המגזרים, לכן מוצע כי מערך הסייבר יפעל יחד עם הצוות הבין-משרדי להשלמת בחינת אסדרת תחום הסייבר וידון גם בצורך הכנסת אסדרה רוחבית שתיתן מענה לכלל המגזרים בתחום הסייבר. 

נוכח הממצאים שעלו מהשאלון וממבדק החדירה בנושא הגנת הסייבר במערכות בתחום התחבורה, מומלץ כי משרד הפנים ומשרד התחבורה בשיתוף מערך הסייבר יפעלו יחד להסדרת תחומי האחריות ביניהם ולקביעת נהלים מתאימים כך שנושא הגנת הסייבר במערכות בתחום התחבורה ברשויות המקומיות יקבל את המענה האסדרתי ההולם.