facebook

מבקר המדינה פרסם לציבור דוח בנושא סייבר ומערכות מידע (16.5.23)

מבקר המדינה אנגלמן: "סיכוני הסייבר חמורים - קיימים ליקויי אבטחה רבים ונדרש לתקנם"

בדוח שבעה פרקים: שימוש בתעודות זהות ודרכונים ביומטריים, אבטחת הסייבר בשירות בתי הסוהר, הגנת הסייבר בביטוח לאומי, מבדק חדירה לתשתית ולרשת התקשורת במרכז רפואי, מערכות המרכז לגביית קנסות, אגרות ברשות האכיפה והגבייה, הנגשה דיגיטלית לאנשים עם מוגבלות, התקשרויות בפטור ממכרז בתחום התקשוב

על ת.ז. ודרכונים ביומטריים -  "עלו פרצות של ממש בביקורת הגבולות בנתב"ג - חשש שהדבר ידוע לגורמים המבקשים לנצל זאת לרעה; ללא תוכנית פעילות אפקטיבית לקיצור התורים לקבלת דרכונים - התורים יתארכו הרבה יותר: רשות האוכלוסין לא נערכה לכך שבשנתיים הקרובות יפוג תוקפן של 3.6 מיליוני תעודות זהות ולכך ש- 2.9 מיליון אזרחים עדיין מחזיקים בדרכון ישן; עלו ליקויים בשמירת נתונים ביומטריים; אין שימוש בת.ז. חכמות שהושקעו בהן 430 מיליון ש"ח"

הביטוח הלאומי: "המוסד לביטוח לאומי, המחזיק מידע על אזרחי ישראל, חווה 2.9 מיליון תקיפות סייבר מידי יום. אין גוף מאסדר לביטוח הלאומי על כלל פעולותיו בהגנת הסייבר".

המרכז לגביית קנסות: "נמצאו חולשות אבטחה במרכז - הרשאות של עובדים לא הוסרו למרות סיום עבודתם; 52% מההרשאות שנפתחו נעשו ללא אישור מתאים; מתוך כ- 1,400 אירועים חריגים - רק 7% נבדקו. זאת למרות המידע הרב על אזרחי ישראל שנמצא בידי המרכז".

על מבדק החדירה במרכז הרפואי: "במבדק חדירה שביצע משרד מבקר המדינה זוהו 13 ממצאים משמעותיים - רובם בדרגת חומרה גבוהה".

על השב"ס: "הדוח חושף הזנחה רבת שנים של מערכות המידע. ישנם פערים עמוקים וליקויים משמעותיים במערכות המידע היוצרים סיכון של ממש".

הנגשת שירותי ממשל: "ב- 100% מ- 15 אתרי אינטרנט ששייכים ל-14 גופי ממשל שנבדקו, נמצאו פריטים שלא היו מונגשים כדין לאנשים עם מוגבלות".

האזינו לפודקאסט "דוח מצב":


להלן הודעה לכל אחד מהנושאים:

שימוש במסמכי זיהוי ביומטריים - תעודות זהות ודרכונים

 


בשנתיים הקרובות צפוי לפוג תוקף תעודות הזהות של 3.6 מיליון תושבים, מה שיגדיל את העומס על לשכות האוכלוסין. הדו"ח חושף פרצות ממשיות בכניסה של זרים דרך נתב"ג.  45% מבעלי תעודות הזהות עדיין מחזיקים בתעודות זהות מהסוג הישן. 2.9 מיליוני תושבים - 37% מבעלי הדרכונים עדיין מחזיקים בדרכונים מהסוג הישן הקלים לזיוף. פחות מ- 1% מהתושבים שנכנסו למערכת ההזדהות הלאומית השתמשו בתעודת הזהות החכמה כדי לקבל שירותים דיגיטליים. בחציון שנת 2022, אירעו 400 ניסיונות כניסה לארץ באמצעות מסמכי זיהוי מזויפים.

בשנתיים הקרובות (2024-2023) צפוי לפוג תוקף תעודות הזהות של 3.6 מיליון תושבים (תעודות זהות מהסוג הישן ותעודות זהות ביומטריות שתוקפן צפוי לפוג). המחזיקים בתעודות אלו צפויים להגיע ללשכות רשות האוכלוסין על מנת להנפיק מסמכי זיהוי חדשים. זאת נוסף על הפניות השוטפות ללשכות הרשות.

מסמכי זיהוי אמינים משמשים מפתח למגוון רחב של פעולות במגזר הממשלתי והעסקי. בשנת 2013, החל בישראל מעבר לתעודות זהות חכמות ודרכונים ביומטריים - שצפויים להחליף את מסמכי הזיהוי מהסוג הישן, אשר נחשבים קלים לזיוף, ועלולים לשמש גורמי טרור או פשיעה ואף לשמש לצורכי הגירה בלתי חוקית.

הביקורת העלתה ליקויים מהותיים בכמה תחומים עיקריים: עיכוב משמעותי במעבר לתיעוד לאומי ביומטרי, היעדר שימוש בתעודות הזהות החכמות בשל חסמים משפטיים וטכנולוגיים, פרצות ממשיות בביקורת הגבולות בנתב"ג העלולות לאפשר לגורמי פשיעה וטרור זרים וישראלים להיכנס לארץ ולצאת ממנה, ליקויים בשמירה על נתונים ביומטריים במערכות הממוחשבות של רשות האוכלוסין וההגירה, וקושי בהתמודדות עם הגידול בביקוש להנפקת מסמכי זיהוי ביומטריים, דבר שגרם להיווצרות עומסים כבדים ברשות האוכלוסין ולקשיים בקביעת תורים.

בעניין תעודות הזהות החכמות, מצא המבקר כי אף שהמעבר לתעודות זהות חכמות החל כבר לפני עשור בקרב תושבים שהביעו רצון בכך, ובאופן מחייב לכלל התושבים ביולי 2017, והושקעו עד כה 430 מיליון ש"ח בהנפקתן, נכון ליולי 2022, 3.2 מיליוני תושבים מחזיקים בתעודה מהסוג הישן, הקלה לזיוף. להמשך השימוש בתעודות אלה השלכות בהיבטים פליליים וביטחוניים. בכלל זה, בחציון הראשון של שנת 2022 נרשמו במעברים שעליהם אמונה רשות המעברים היבשתיים כ-400 ניסיונות כניסה לארץ באמצעות מסמכי זיהוי מזויפים.

בשל חסמים, ובהם הצורך בקורא כרטיסים וזכירת הסיסמה, השימוש בתעודת הזהות החכמה לצורך אימות זהות וקבלת שירותים ממשלתיים דיגיטליים מצומצם ביותר עד אפסי - פחות מאחוז מהתושבים השתמשו בה לצורך קבלת שירותים במערכת ההזדהות הלאומית. זאת אף שההזדהות באמצעותה בטוחה יותר. משום כך גם לא הושגה אחת מהתכליות של המעבר לתעודת זהות חכמה - מתן שירותים מתקדמים לציבור תוך שימוש בה. בנוסף, הועלה כי ב-580,000 תעודות זהות חכמות הוטבע שבב בעל נפח זיכרון קטן, ובעליהן כלל לא יוכלו להשתמש בתעודת הזהות שברשותם לשם קבלת שירותים הדורשים אימות זהות ביומטרי.

בעניין הדרכונים החכמים - בתקופת מגפת הקורונה הצטבר פער בהנפקת כמיליון דרכונים יחסית להיקף ההנפקה בשנת 2019: בסוף שנת 2019, לפני פרוץ מגפת הקורונה, שיעור הישראלים שהחזיקו בדרכון תקף היה יותר מ-75%, ואילו בסוף מאי 2022 הסתכם שיעור זה בכ-63% בלבד. דהיינו - כ- 3.2 מבעלי הדרכונים עדיין מחזיקים בדרכונים מהסוג הישן, הקלים לזיוף, נכון ליולי 2022.

ממסמכי רשות האוכלוסין, כמו גם מסיורים, תצפיות וניסיון מעבר בביקורת הגבולות שערכו נציגי משרד מבקר המדינה עלו פערים בהתנהלות רשות האוכלוסין במימוש נוהל שקבעה במטרה לחסום פרצה העלולה לאפשר לגורמי פשיעה וטרור זרים וישראלים להיכנס לארץ ולצאת ממנה. מדובר בפרצה של ממש בביקורת הגבולות. 

כמו גם שורה של מקרים שבהם זרים נכנסו לארץ מבלי שנבדקו כנדרש, העלו כי שיטת העבודה בביקורת הגבולות של זרים בנתב"ג  אינה עולה בקנה אחד עם הנחיות מינהל ביקורת גבולות ופותחת פתח לכניסתם של זרים, ללא וידוא שיש מקום לאשר את כניסתם לארץ. דוח זה חושף אפוא פרצות ממשיות בכניסה של זרים דרך נתב"ג.

הועלה כי לנוכח העלייה בביקוש לדרכונים בתקופה שלאחר הקורונה, פרק הזמן שבו התחייבה רשות האוכלוסין לשלוח את הדרכון הוארך משלושה שבועות לשישה שבועות. עוד הועלה כי מפעל הדרכונים של רשות האוכלוסין מצויד במדפסות מיושנות להנפקת דרכונים ביומטריים, והייצור התלוי בהן אינו נותן מענה על הביקוש לדרכונים ביומטריים בתקופות שבהן יש גידול בביקוש. בנובמבר 2018 החלה רשות האוכלוסין בהליכים לבחינת רכש של מדפסות מתקדמות, כדי להגדיל את מספר הדרכונים המיוצר ולעמוד בביקוש של האוכלוסייה לאספקתם. נמצא כי כעבור ארבע שנים (נכון לספטמבר 2022) רשות האוכלוסין עדיין לא סיימה את תהליך החלפת המדפסות שבמפעל הנפקת הדרכונים למדפסות מתקדמות. בנוסף, לרשות אין מדפסות באתר הגיבוי להדפסת דרכונים ביומטריים במקרה של השבתת מפעל ההנפקה. משמעות הדבר כי לא תהיה יכולת להנפיק דרכונים ביומטריים אם יושבת מפעל ההנפקה.

בשנתיים הקרובות (2024-2023) צפוי לפוג תוקף תעודות הזהות של 3.6 מיליון תושבים (תעודות זהות מהסוג הישן ותעודות זהות ביומטריות שתוקפן צפוי לפוג). המחזיקים בתעודות אלו צפויים להגיע ללשכות רשות האוכלוסין על מנת להנפיק מסמכי זיהוי חדשים. זאת נוסף על הפניות השוטפות ללשכות הרשות. דהיינו מדובר בתוספת חודשית ממוצעת של כ-150,000 פניות על כ-200,000 הפניות שהיו בממוצע בחודש בשנת 2019 (גידול חודשי ממוצע בשיעור של כ-75%). עלה כי המענה שגיבשה הרשות בעניין עומס הפניות הצפויות בלשכותיה בשנים הבאות - הצבת עמדות שירות עצמי - ייתן מענה חלקי: העמדות לא ייתנו מענה ל-3.9 מיליון מהתושבים אשר נכון לספטמבר 2022 אין בידם מסמכי זיהוי ביומטריים (דרכון ביומטרי או תעודת זהות חכמה); כמו כן, בשלב זה העמדות אינן מתוכננות לתת שירות לקטינים בעלי מסמכי זיהוי ביומטריים.

בעניין אבטחת המידע, נמצא כי על מנת שרשות המאגר הביומטרי הלאומי תוכל לממש את תפקידה - מניעה של זיוף זהות והרכשה כפולה - עליה להיות מצוידת במערכת השוואה ביומטרית. בשנת 2017 נקבע בחוק כי בתום הוראת השעה, המאגר הביומטרי יבוסס על תמונות פנים בלבד וטביעות האצבע שבו יימחקו, אולם התברר כי מערכת ההשוואה הביומטרית הקיימת אינה מתאימה לשם כך. חרף העובדה שבשנת 2020 קבע ראש מערך הסייבר כי קיימים אמצעים טכנולוגיים המתאימים לשם ביסוס המאגר על תמונות פנים בלבד, רק בדצמבר 2022 רשות המאגר הביומטרי הלאומי פרסמה את השלב הראשון במכרז לרכישת מערכת השוואה ביומטרית המתאימה לשם כך. לדברי משרד הפנים, המערכת צפויה להיות מוטמעת לקראת הרבעון הרביעי בשנת 2024.

כמו כן, לצד המאגר הביומטרי הלאומי, רשות האוכלוסין מחזיקה במערכות המידע שלה מאגרי תמונות פנים של מיליוני תושבים. בשל ההתפתחות הטכנולוגית, תמונות הפנים הן באיכות ביומטרית, ועל כן החזקת המאגרים אינה עולה בקנה אחד עם הוראות החוק. כמו כן, רמת ההגנה על מאגרים אלו פחותה מזו של המאגר הביומטרי הלאומי. נמצא כי נכון לאוקטובר 2022, כשלוש שנים לאחר שהממונה על היישומים הביומטריים התריע לראשונה על סוגיה זו, הרשות לא גיבשה פתרון לנושא.

נוכח חומרת ממצאי הביקורת, המבקר אנגלמן ממליץ כי רשות האוכלוסין תפעל לתיקון הליקויים, וכי שר הפנים יוודא שנעשות פעולות לתיקון הליקויים בתחומים האמורים, ובכלל זאת יוודא כי ליקויים בתחום הביטחון וההגנה על המידע יתוקנו בתיאום עם הגורמים המקצועיים האמונים על כך: השב"כ, המשטרה ומערך הסייבר הלאומי.

בפרט, על רשות האוכלוסין לפעול בהתאם לנוהל שקבעה, שמטרתו לתת מענה לחולשה בביקורת הגבולות המוצגת בדוח ביחס למעבר באמצעות דרכונים ישראלים. ולפעול בשיתוף שב"כ לפעול ללא דיחוי לתיקון המצב המתואר בדוח, המאפשר כניסת זרים בלתי מורשים לישראל בנתב"ג, ולהבטיח כי תהליך ביקורת הגבולות ישיג את מטרותיו.

עוד מומלץ שרשות האוכלוסין תגבש תוכנית עבודה מפורטת להתמודדות עם עומסים על לשכות הרשות, על בסיס נתונים בדבר הבקשות הצפויות (בהן 3.6 מיליון בקשות לתעודות זהות חכמות במקום תעודות שתוקפן צפוי לפוג בשנתיים הקרובות) לעומת יכולות הטיפול של הלשכות ותוודא שהפתרונות המתוכננים צפויים לתת מענה לבקשות מן הציבור, ברמת שירות מספקת. בכלל זה מומלץ כי תפעל לאחד את מועדי החידוש של שני מסמכי הזיהוי הביומטריים - תעודת זהות ודרכון. זאת על מנת להקל את העומסים העתידיים ולשפר את השירות לציבור באופן שיידרש להגיע פעם אחת בלבד לחידוש מסמכי הזיהוי.

טכנולוגיות דיגיטליות ואבטחת המידע והסייבר בשירות בתי הסוהר

המבקר מצא פערים משמעותיים בניהולו של מידע ביטחוני מסווג ואבטחתו במערכות המחשוב של השב"ס, וחושף הזנחה רבת שנים לפיה תחומי האחריות והסמכות של השב"ס ושל הרגולטורים בתחום אבטחת המידע המסווג והסייבר, אינם מיושמים.

שירות בתי הסוהר הוא ארגון הכליאה הלאומי, גוף ביטחוני הנכלל במערכת אכיפת החוק ואמון על החזקת אסירים פליליים וביטחוניים במשמורת במטרה להגן על שלום הציבור וביטחונו. היקף האחריות של השב"ס לאלפי אסירים וכן ניהול פריסה רחבה של מתקני כליאה בכל רחבי הארץ מציבים את השב"ס כארגון גדול ומורכב המצריך משאבי אבטחה, ניהול ושליטה טכנולוגיים יעילים. הדבר מקבל משנה תוקף עקב אופיו ורגישותו הביטחונית של הארגון והסיכונים הביטחוניים והפליליים התלויים בתפקודו התקין.

מבקר המדינה בדק ומצא פערים עמוקים וליקויים משמעותיים של מערך ביטחוני רגיש זה (- שב"ס), היוצרים סיכון של ממש. נמצא פער יסודי בין מהותו של הארגון, אופיו, המידע המוחזק בו והסיכונים הנוגעים לפעילותו לבין התרבות התפקודית הרווחת בו בכל הנוגע לאבטחת מידע וניהול המידע המסווג. נמצא כי במהלך שמונה השנים מאז כישלון פרויקט קידמה, פרויקט תקשוב ארגוני שכשל לאחר שהושקעו בו 144 מיליון ש"ח, נציבות השב"ס והמשרד לבט"פ לא ביצעו תחקור בנושא נסיבות הכישלון ולא הפיקו לקחים.

השב"ס החל ביישום תר"ש "קברניט" בשנת 2021 בלא שאושר תקציבה הכולל המסתכם בכחצי מיליארד ש"ח, ובלא שניתן אישור של המשרד לבט"פ והשר לבט"פ דאז למימושה המלא. עולה אפוא כי השב"ס החל ביישום תוכנית תקשובית מקיפה, שעה שניתן לה אישור תקציבי של כ-20% מהעלות התקציבית הכוללת של התוכנית המסתכמת ב-532 מיליון ש"ח, וללא אישור הדרג הממונה לתכנית בכללותה. מצב זה מציב סיכון להשלמת התוכנית בשנים הבאות.

עוד נמצא כי נכון למועד הביקורת, מתוך תקציב של 104 מיליון ש"ח מומשו בפועל כ- 39 מיליון ש"ח המהווים 38% בלבד מהתקציב. בגין 62% מהתקציב הוצאו הזמנות רכש שביצוען טרם הושלם. כמו כן, שיעור הירידה בהיקף התקציב הטכנולוגי בשב"ס ב- 2018-2021 עמד על  13% -, בזמן תקציב השב"ס עלה ב- 12% והתקציב הטכנולוגי של יתר משרדי הממשלה עלה ב- 25%.

עוד נבדקו שורה של היבטים הנוגעים לניהולו ואבטחתו של מידע ביטחוני מסווג. בבדיקה זו הועלו פערים משמעותיים, העומדים בניגוד לפרקטיקה המחייבת בגופים מקבילים בכל אחד מהתחומים הבאים: טיפול במידע דיגיטלי מסווג ובמסמכים מסווגים, הסדרת הטיפול במידע ביטחוני מסווג באמצעות נוהלי אבטחה, שמירה וסיווג מסמכים, טיפול במידע מסווג המתקבל מגורמים חיצוניים, הסדרת הסיווג הביטחוני של עובדים בשב"ס, שימוש באמצעי תקשורת.

כמו כן, ביצע משרד מבקר המדינה מבדקי חדירה בשילוב סקר הערכת פגיעויות בנוגע לרשתות בשב"ס. בבדיקה שבוצעה הועלו פערים משמעותיים, העומדים בניגוד לפרקטיקה המחייבת בגופים מקבילים, בכל אחד מהנושאים הללו: הגנת הסייבר על חלק מהמערכות, ביצוע סקרי סיכונים באבטחת מידע וסייבר וביצוע מבדקי חדירה, היערכות לניהול אירועי סייבר, ניהול משתמשים והרשאות, תהליכי הפיתוח של רשת מחשב מסווגת.

הביקורת חושפת מציאות רבת שנים שלפיה תחומי האחריות והסמכות של השב"ס ושל המאסדרים בתחום אבטחת המידע המסווג והסייבר ובתחום הטכנולוגיות הדיגיטליות ומערכות המידע אינם מיושמים, הלכה למעשה, באופן תקין וכנדרש. נמצאו פערים יסודיים בתוכנית התאוששות מאסון של המערכות הטכנולוגיות בשב"ס. תמונת המצב העולה מהביקורת היא תוצאה של הזנחה רבת שנים, שבמהלכן לא הייתה משילות טכנולוגית שהניחה יעדים, קבעה תהליכים, הקצתה משאבים, וניהלה כראוי את הסיכונים והמתודולוגיות הארגוניות בתחום הטכנולוגי. קיימת אי-ודאות תקציבית מהותית בנוגע למימוש המענה המתוכנן בתוכנית "קברניט" למכלול הפערים הטכנולוגיים והאבטחתיים.

המבקר אנגלמן ממליץ כי ראש הממשלה, בהתייעצות עם השר לביטחון לאומי, יבחן את סוגיית אבטחת המידע והסייבר בשב"ס בכללותה ובפרט את סוגיית אבטחת המידע המסווג. על השב"ס והמשרד לביטחון לאומי לוודא שהרציפות התפקודית לא תיפגע בקרות אירועי אסון העלולים לסכן את יציבותו ותפקודו של מערך הכליאה הלאומי.

המשרד לביטחון לאומי והשר העומד בראשו נושאים באחריות לתפקוד מערך הכליאה בישראל, ובמסגרת זו עליהם להבטיח כי השב"ס ממלא את תפקידו באמצעות תשתית טכנולוגית מתאימה, וכי בניין הכוח בתחום זה מנוהל בראייה ארוכת טווח ובמתווה תקציבי המבטיח את מימושו.

אסדרת הגנת הסייבר במוסד לביטוח לאומי

הממוצע היומי של תקיפות סייבר על הביטוח הלאומי עומד על כ- 2.9 מיליון. 20 עובדים, כאשר 6 מהם סטודנטים, מבצעים את הפיקוח על אבטחת המידע בביטוח הלאומי. לשם השוואה על תחום התקשוב וההגנה בצה"ל מופקד  קצין בדרגת אלוף.

נכון לנובמבר 2022, במוסד לביטוח לאומי (בט"ל) מתבצעות בכל יום כ-2.9 מיליון תקיפות סייבר בממוצע, ומהן כ-66,000 תקיפות שיש בהן פוטנציאל לנזק. בדומה למדינות אחרות, ישראל חשופה לתקיפות סייבר לצורכי כופר וגניבת מידע. מלבד זאת, נוכח האקלים הגיאו-פוליטי המורכב ביטחונית, ישראל משמשת כר מטרות נרחב לתוקף הקיברנטי הפוטנציאלי, המעוניין לפגוע בחוסנה ובביטחון הלאומי שלה. עם זאת 20 עובדים, כאשר 6 מהם סטודנטים, מבצעים את הפיקוח על אבטחת המידע בביטוח הלאומי. לשם השוואה, על תחום התקשוב וההגנה בצה"ל מופקד קצין בדרגת אלוף.

גוף כדוגמת בט"ל, מחייב שיגובש עבורו מענה אסדרתי מספק הכולל הנחיה של מערך הסייבר הלאומי, הנחיה של הרשות להגנת הפרטיות ותיאום בין שניהם כדי להבטיח את ההגנה המיטבית. בביקורת עלה כי אין גוף מאסדר לבט"ל בתחום הגנת הסייבר המנחה אותו והמפקח עליו בתחום זה.

נוכח היקפי המידע השמורים בבט"ל והסיכונים לדליפתו המבקר אנגלמן ממליץ כי ועדת ההיגוי העליונה, שתפקידה לבחון אילו גופים מוגדרים חיוניים ולכן זקוקים להגנה קיברנטית, תקדם את הבחינה של בט"ל כגוף תמ"ק (תשתיות מחשוב קריטיות). מומלץ כי עד סיום הבחינה יוסדר ממשק מקצועי בין מערך הסייבר הלאומי לבט"ל לצורך מתן מענה ישיר, העברת דיווחים, בקרה על תיקון הליקויים וכיו"ב. כמו כן מומלץ כי ועדת ההיגוי תבחן אם יש עוד גופים בעלי מאגרי מידע בהיקפים הדומים לבט"ל שיש לבחון את הגדרתם כגופי תמ"ק, ובכך לשפר את ההגנה על התשתיות החיוניות של מדינת ישראל.

ביקורת סייבר במרכז הרפואי א' - מבדק חדירה על התשתית ורשת התקשורת

מגזר הבריאות היה אחד מעשרת המגזרים המותקפים ביותר בישראל ב-2021. מתוך 13 הממצאים שעלו במבדק החדירה שביצע משרד מבקר המדינה - עשרה היו בדרגת חומרה גבוהה. עלות שיקום המרכז הרפואי הלל יפה אחרי מתקפת הסייבר שאירעה באוקטובר 2021 עמדה על כ- 36 מיליון ש"ח.

בשנים האחרונות גברו גם איומי הסייבר על מערכת הבריאות, ובכלל זה על מרכזים רפואיים. כן דווח כי מגזר הבריאות היה אחד מעשרת המגזרים המותקפים ביותר בישראל בשנת 2021. אחת הדרכים להיערכות לאיומי סייבר היא לבצע מבדקי חדירה לארגון, כדי לזהות חולשות במעטפת ההגנה שלו ולפעול למזער אותן, ובמקרים שבהם לא ניתן לטפל בחולשות שעלו - להביא לידיעת הנהלת הארגון את הסיכונים האפשריים ולנהל אותם באופן שוטף.

במבדק חדירה שביצע משרד מבקר המדינה זוהו 13 ממצאים משמעותיים בחמישה תחומים: סגמנטציה ובקרת זרימה, בקרת גישה לרשת, הגנת עמדות ושרתים, תוכנה לא עדכנית וגישה לא מאובטחת.

עשרה מהממצאים היו בדרגת חומרה גבוהה ושלושה בדרגת חומרה בינונית. בעקבות מבדק החדירה תיקנה הנהלת המרכז הרפואי א' כמה ליקויים, ובפרט עדכנה את רמת האבטחה של מערכות מסוימות. להערכת הנהלת המרכז הרפואי, העלות הכוללת לתיקון הליקויים יכולה להסתכם ביותר מ-10 מיליון ש"ח לשנה באופן שוטף.

המבקר אנגלמן ממליץ כי ההנהלה תגבש תוכנית עבודה רוחבית למיגור הסיכונים או למזעורם במקרים שבהם לא ניתן לתקן את הליקויים שעלו. כמו כן מומלץ לבצע מבדקי חדירה בהתאם לתוכנית סדורה. מומלץ כי משרד הבריאות, כמאסדר בתחום הבריאות, יבחן את ממצאי מבדק החדירה שבוצע במרכז הרפואי א' ויפעל להטמיע בכלל המוסדות הרפואיים את ההמלצות המתבססות על ממצאי המבדק.

הגנת הפרטיות ואבטחת המידע במערכות המרכז לגביית קנסות, אגרות והוצאות ברשות האכיפה והגבייה

מספר החייבים שפרטיהם נכללים במאגרי המידע של המרכז לגביית קנסות עומד על 3 מיליון. 7% בלבד מהאירועים החריגים שהתרחשו בספטמבר 2022 נבדקו על ידי גורמי הבקרה במרכז לגביית קנסות. 14 הרשאות של עובדי מוקד המידע הטלפוני של המרכז לא הוסרו למרות שכבר סיימו את עבודתם במוקד.

מאגר המידע של המרכז לגביית קנסות (מג"ק) הוא רחב היקף וכולל מידע רגיש בנוגע לכ-3 מיליון חייבים. סכומי החוב שבטיפול המג"ק מסתכמים נכון למועד הביקורת בכ-6.8 מיליארד ש"ח. אף שהמערכת התפעולית של המרכז לגביית קנסות מוגדרת כמאגר שמחייב רמת אבטחה גבוהה, מבקר המדינה בדק ומצא ליקויים בתחום הגנת הפרטיות ואבטחת המידע במערכות המידע במרכז לגביית קנסות שברשות האכיפה והגבייה.

בין הליקויים שעלו: היעדר תיעוד של הגישה של משתמשי המערכת התפעולית של המג"ק למידע המצוי במערכת וכפועל יוצא מכך היעדר בקרה על אותה גישה, אי-ביצוע מעקב הולם אחר אירועים חריגים המתרחשים במערכת, ניהול לקוי של תהליך מתן ההרשאות למערכת התפעולית של המג"ק ושל הפיקוח והבקרה עליהן, היקף גישה בלתי מוגבל של משתמשי המערכת למידע המצוי בה, ניהול לקוי של הרשאות עובדי מוקד המידע הטלפוני למערכת, וכן סיכון לחדירת תוקפים חיצוניים למערכות המג"ק.

נמצא כי 7% בלבד מהאירועים החריגים שהתרחשו בספטמבר 2022 נבדקו על ידי גורמי הבקרה במג"ק. 14 הרשאות של עובדי מוקד המידע הטלפוני של מג"ק לא הוסרו למרות שכבר סיימו את עבודתם במוקד.

המבקר אנגלמן ממליץ כי רשות אכיפה והגבייה והמג"ק יפעלו בהקדם על פי הנחיות הגופים הרלוונטיים למניעת דליפת מידע מהארגון ולשמירה על שלמותו, במטרה למנוע פגיעה בשלמות המידע וברציפות התפקודית של המג"ק במתן שירותים, למנוע דליפה של נתונים ומידע ממאגר המידע ולמנוע את חשיפתם לגורמים שאינם מורשים לכך.

התקשרויות בפטור ממכרז בתחום התקשוב

היקף הרכש התקשובי שבוצע בפטור ממכרז בשנים 2019 - 2021 היה כ-1.79 מיליארד ש"ח. 61% מההתקשרויות בפטור ממכרז בתחום התקשוב בוצעו בעילת ספק יחיד. 40% מהפרסומים של התקשרויות פטורות ממכרז חסרו מידע מהותי הנדרש על פי דין. 25% מהגופים הממשלתיים לא הגישו את הדיווחים הנדרשים לשנת 2021 ליחידה הממשלתית לחופש המידע.

הרכש הממשלתי הוא נדבך מרכזי בפעילותם של הגופים הממשלתיים, שכן מרבית הפעילות הממשלתית תלויה ברכש של טובין או של שירותים.

מבקר המדינה בדק ומצא כי היקף הרכש התקשובי בשנים 2019 - 2021 היה כ-14.4 מיליארד ש"ח, והוא היה כ-15.6% מסך הרכש הממשלתי בשנים אלו. היקף הרכש התקשובי שבוצע בפטור ממכרז בשנים 2019 - 2021 היה כ-1.79 מיליארד ש"ח, והוא היה כ-14.2% מסך הרכש התקשובי באותן שנים. המבקר מצא שורה של ליקויים בתחום הרכש, בדגש על התקשרויות בפטור ממכרז בתחום התקשוב.

להלן הליקויים העיקריים: המידע שמפרסמים לציבור מינהל הרכש ומערך הדיגיטל בתחום הרכש אינו תואם את המידע במערכת מרכב"ה, ובכך נפגעת השקיפות לציבור ויכולות הבקרה על פעילות הרכש הממשלתי, השימוש שעושים הגופים הממשלתיים בפטור ממכרז בעילת ספק יחיד ובעילת התקשרות של עד 50,000 ש"ח ברכש התקשובי גדול במאות אחוזים מהשימוש בהם ברכש הכללי. כן נמצא אי-עמידה בהוראות הדין הנוגעות לפרסום התקשרויות. ההתפתחות המהירה של תחום התקשוב גורמת לכך שגופים ממשלתיים נדרשים ליישם חדשנות בתחום זה במהירות וביעילות, כדי למנוע את התיישנות הטכנולוגיה הרלוונטית עד להשלמת הליך הרכש. לצד זאת, יש לנהל את הליכי הרכש באופן הוגן, שוויוני ושקוף ובאופן העולה בקנה אחד עם הוראות הדין כדי להביא לתוצאות עסקיות וליעילות כלכלית.

המבקר אנגלמן ממליץ כי על הגופים המבוקרים מוטלת החובה לפעול בדרך מהירה ויעילה לתיקון הליקויים שהועלו בדוח זה, כדי להעלות את רמת ההגנה של הארגון ולהיערך להתמודדות מיטבית עם תקיפות סייבר. על הגופים להתאים את פעילותם לעולם רווי טכנולוגיות מתקדמות ולאתגרים שבפניהם הם יעמדו בשנים הקרובות. מתקפות הסייבר שאירעו לאחרונה מחדדות את הצורך בכך.

הנגשת שירותי ממשל בעידן הדיגיטלי לאנשים עם מוגבלות ולציבור שאינו משתמש במדיה הדיגיטלית

ב- 100% מ- 15 אתרי אינטרנט ששייכים ל-14 גופי ממשל שנבדקו, נמצאו פריטים שלא היו מונגשים כדין לאנשים עם מוגבלות. 39% מכ-520 אנשים עם מוגבלות שמשתמשים בחיי היום יום שלהם באינטרנט ציינו כי נתקלו בפריטים לא נגישים.

מבקר המדינה בדק ב-2022 את הנגישות של השירותים הדיגיטליים של גופי הממשל לאנשים עם מוגבלויות, שמהווים 17% מן האוכלוסייה בישראל - וכן את המענה הממשלתי לציבור שממעט להשתמש במדיה הדיגיטלית או אינו משתמש בה כלל. ציבור זה מונה שלוש קבוצות עיקריות הכוללות בני 60 ומעלה וכן בני 20 ומעלה מן החברה החרדית ומן החברה הערבית. מדובר ביותר משלושה מיליון אזרחים, כשליש מאוכלוסיית ישראל וכמחצית מהאוכלוסייה הבוגרת במדינה.

לגבי ההנגשה לאנשים עם מוגבלות, נמצא כי 57% מ-23 גופי ממשל שהשתתפו בסקר שערך משרד מבקר המדינה (13 גופים) דיווחו כי לא הנגישו את כל התכנים והשירותים שנדרש להנגיש באתר המרשתת הראשי שלהם, המספק מידע ושירות לציבור. בין הגופים שלא הנגישו את אתריהם: רשות הטבע והגנים, משרד הפנים, משרד התחבורה והבטיחות בדרכים, רכבת ישראל, רשות האכיפה והגבייה, משרד הבריאות, משרד החינוך, הנהלת בתי המשפט, ועדת הבחירות המרכזית, רשות מקרקעי ישראל, המשרד לשירותי דת, משרד החוץ ומשרד התיירות.

כ-50% מהגופים שהשתתפו בסקר הנגישו לכל היותר רק חלק מהמסמכים שנדרש להנגיש על פי הוראות הדין באתרי המרשתת הציבוריים שלהם. הסקר העלה עוד כי 43% מהגופים הממשלתיים עדיין לא עשו בדיקת נגישות של אתר המרשתת שלהם - בדיקה שנדרש לבצע אחת לחמש שנים.

במהלך הביקורת בנושא המענה הממשלתי לציבור שאינו משתמש במדיה הדיגיטלית, ערך משרד מבקר המדינה הליך שיתוף ציבור בקרב 300 בני אדם הנמנים עם שלוש הקבוצות שממעטות להשתמש במרשתת ככלל ולצריכת שירותים ממשלתיים בפרט: בני 60 ומעלה, ובני 20 ומעלה מהחברה החרדית ומהחברה הערבית.

המשתתפים הצביעו על חסמים המקשים עליהם להשתמש בערוצים הדיגיטליים של הגופים הממשלתיים, ובראשם אוריינטציה דיגיטלית נמוכה ואי-החזקת אמצעי חיבור למרשתת. חסמים נוספים שעלו קשורים גם להימנעות מהחזקת טלפון חכם או מחשב המחובר למרשתת (50% מהחרדים ציינו את החסם הזה) ושימוש מועט יחסית בכרטיס אשראי בקרב החברה הערבית (10% מהמשתתפים הערבים ציינו את החסם הזה).

המבקר אנגלמן ממליץ לכלל גופי הממשל לפעול על מנת לבצע בדיקות נגישות בשירותיהם הדיגיטליים ולתקן ליקויים שימצאו בהם. כמו כן, מומלץ לנציבות שוויון זכויות לאנשים עם מוגבלות במשרד המשפטים ולמערך הדיגיטל הלאומי לפעול לקדם את ההנגשה הדיגיטלית של שירותי הממשל.

המבקר ממליץ עוד לגופי הממשל לטפל גם בחסמים שמונעים מקבוצות מסוימות באוכלוסייה לצמצם את הפער לעידן הדיגיטלי. למשל, הצבת עמדות שירות דיגיטליות בלשכות לקבלת קהל של גופים ממשלתיים, ובהן דיילים שיסייעו למשתמשים בהן, יכולות לסייע לאנשים עם אוריינטציה דיגיטלית נמוכה לצורך בכל זאת שירותי ממשל בדרך זו.