גלובס - עיתון העסקים של ישראלאתר נגיש

מתקפת סייבר / אילוסטרציה: Shutterstock

במשרד מבקר המדינה הוחלט לפרסם מספר דוחות המצביעים על ליקויים משמעותיים בעולמות הסייבר ואבטחת המידע במשרדי הממשלה השונים. הגנת הסייבר על תשתיות המדינה ונכסיה הדיגיטליים מהווה את אחת הסוגיות המרכזיות שהמבקר מתניהו אנגלמן שם עליהן דגש מיוחד וסימן כראשונות במעלה עוד מכניסתו לתפקיד.

החלטה זו לשים את מוכנות הסייבר הממשלתית במוקד פעילותו של משרד המבקר נובעת מתוך תפיסה אסטרטגית הרואה באיומי הרשת סיכון ממשי לביטחון המדינה, לפרטיות האזרחים ולרציפות התפקודית של השירותים הציבוריים, ומתוך הבנה כי נדרשת ביקורת נוקבת ומתמדת כדי להבטיח את חוסנה הדיגיטלי של ישראל.

● ישראל היא המדינה המותקפת ביותר בסייבר, לפני אוקראינה וארה"ב
● מתקיפות אקראיות למבצע מתוזמן: כך השתנתה זירת הסייבר בצל ההסלמה מול איראן

עבודה מהבית: ההנחיה שהתעלמו ממנה ואפס מבדקי חדירה

במשרד מבקר המדינה בדקו את נושא העבודה מרחוק בעת שגרה וחירום. על-פי המשרד, מאות אלפי עובדי המגזר הציבורי רשאים לעבוד יום בשבוע מהבית, והם עושים זאת באמצעות התחברות מרחוק לרשת המשרדית.

לפי המבקר, 10 חודשים לאחר שמערך הסייבר הלאומי הנחה את מערך הדיגיטל להפסיק את השימוש בתשתית העבודה מרחוק שלו, משום שיש בה חולשות קריטיות שנוצלו לרעה, נמצא כי מערך הדיגיטל ו-65% ממשרד הממשלה עדיין השתמשו בתשתית הזו. השימוש בתשתית הופסק בינואר 2025.

יתרה מכך, לא נערכו מבדקי חדירה במערכת העבודה מרחוק ברשות הכבאות וההצלה. במשרד המבקר אמרו כי הרשות להגנת הפרטיות לא עדכנה את מסמך הדגשים לעבודה מרחוק של המגזר הציבורי.

בנוסף, אין תאימות בין הנחיות מערך הסייבר הלאומי לאלה של היחידה להגנת הסייבר בממשלה (יה"ב), למרות שיה"ב מונחית על-ידי מערך הסייבר. בנוסף, ממרץ 2020, מועד פרסום ההנחיה לגישה מרחוק, יה"ב לא ביצעה בקרה על אופן יישום ההנחיה במשרדי הממשלה המונחים על-ידה.

בכל הגופים שהוזכרו בדוח הזה - רשות הכבאות וההצלה, משטרת ישראל והנהלת בתי המשפט - נמצאו פערים בנושאים הללו, אם כי חלק מהליקויים תוקנו תוך כדי תהליך הביקורת.

מה ממליצים במשרד מבקר המדינה? על הרשות להגנת הפרטיות, מס"ל ויה"ב לעדכן, לבחון ולהתאים את הנחיות העבודה מרחוק שלהן, כך שיהיו מסונכרנות ביניהן ויכללו את כלל הבקרות הנדרשות. בנוסף, על מערך הסייבר הלאומי לפקח באופן קבוע על עמידת מערך הדיגיטל בהנחיות, ועל יה"ב לבצע בקרות שוטפות.

ממערך הסייבר הלאומי נמסר בתגובה: "הממצאים העולים מדוח מבקר המדינה מדגימים בצורה ברורה את מה שמערך הסייבר הלאומי מקדם בחוק הגנת הסייבר: בתקופה שבה איומי הסייבר הפכו לאיום יומיומי על רציפות תפקודית, על שירותים ציבוריים ועל מידע רגיש, לא ניתן להסתמך על גישה שבה כל גוף קובע לעצמו מהי רמת ההגנה הנדרשת, אילו סיכונים לנהל ובאילו תחומים להשקיע. המציאות הזו יוצרת פערים משמעותיים ברמת ההגנה בין גופים שונים ומובילה לחולשות מערכתיות שעלולות להשפיע על המשק כולו.

"חוק הגנת הסייבר נועד לייצר שפה מקצועית אחידה, לקבוע רף בסיסי מחייב לניהול סיכוני סייבר, לחזק מוכנות ודיווח על אירועים ולהבטיח שרמת ההגנה על שירותים ותשתיות חיוניות לא תהיה תלויה רק בשיקול-דעת מקומי או בפערי משאבים וידע בין ארגונים".

יעד מרכזי לתקיפות סייבר: מה קורה במשרד החוץ?

לפי משרד מבקר המדינה, משרד החוץ הוא יעד מרכזי לתקיפות סייבר של מגוון יריבים. בהודעה נכתב כי "פעילויות סייבר שזוהו במשך השנים יוחסו לגורמים איראניים, לגורמים מחיזבאללה, מחמאס ואחרים". עוד נכתב כי במהלך מלחמת "חרבות ברזל" חל גידול של כ-500% באירועי הגנת מידע בנציגויות ישראל בחו"ל, ואירעו מאות אירועים בשנת 2023, בהם למשל ניסיון פריצה לדואר אלקטרוני של עובד הנציגות.

במשרד החוץ הקצו 13 מיליון שקל להשקעה בתחום הסייבר, מתוך תקציב של 85 מיליון שקל לתחום התקשוב (וסך של 1.9 מיליארד שקל לשנת 2024). בבדיקת המבקר נמצאו במשרד החוץ מספר מערכות שהוגדרו כפגות-תוקף או ככאלה הדורשות שדרוג. לצד זאת, משנת 2018 לא עודכן מסמך מדיניות הגנת הסייבר ואבטחת המידע במשרד.

נקבע כי בניגוד להנחיות מערך הדיגיטל, לפיהן יש להקים ועדות היגוי לכל פרויקט פיתוח מערכת מידע המוגדר מורכב או בגודל בינוני ומעלה - משרד החוץ לא מינה ועדות היגוי לארבעה מתוך שישה פרויקטים משמעותיים שנבדקו.

יתרה מכך, נקבע כי משרד החוץ אינו מקיים תהליכים של ניהול סיכונים בפרויקטים לכל אורך מחזור חיי הפרויקט, זאת אף על-פי שמדובר בפרויקטים משמעותיים שמטבעם הם בעלי סיכונים טכנולוגיים.

במשרד מבקר המדינה הצביעו על כמה פערים בפרויקט מסוים, כמו עיכוב של כ-10 שנים בפיתוח הפרויקט, צורך נוסף בתקציב וכן שימוש במערכת ישנה על כל הסיכונים הכרוכים בכך. משרד המבקר מזהיר שנכון לספטמבר 2024 ישנם פערים ביכולת של משרד החוץ להתאושש מאסון, כלומר לחזור ממתקפה משמעותית.

לפי משרד מבקר המדינה, נמצאו ליקויים בהזדהות משתמשים לרשתות המחשב במשרד החוץ ופערים בכל הנוגע לניהול הרשאות. יתרה מכך, עלה כי משרד החוץ לא מיישם באופן מלא את דרישות חוק הגנת הפרטיות ואת התקנות שלו ביחס למאגרי המידע ברשותו, השמטרתן למזער את הסיכון לפגיעה בזכות לפרטיות.

עוד נכתב כי "נמצא כי בשנים 2020-2024 אירעו אירועי סייבר חריגים, אולם רק בספטמבר 2024 הובא דיווח תמציתי לוועדת ההיגוי על התרחשותם, ודיווח זה נגע רק לחלק מהאירועים. העברת מידע על חלק מאירועי הסייבר, באיחור ניכר לאחר מועד התרחשותם, אינה מאפשרת לחברי הוועדה להעריך במועד את הנזק שנגרם לרמת הגנת הסייבר במשרד, ולגבש המלצות לצורך תיקון הפערים שהועלו".

ההמלצות המבקר הן לוודא כי ועדת ההיגוי לתקשוב מתכנסת באופן סדיר וממלאת את תפקידיה, תקצוב מסודר של מחלקת ה-IT, ניהול סיכונים בפרויקטים לפי הנחיות מערך הדיגיטל והקמת מנגנון זיהוי לכל שלבי הפרויקט, גיבוש תוכנית התאוששות מאסון, עדכון מדיניות ואיומים שיהיו עדכנים וביצוע סקר סיכונים מקיף לצד דיווח על אירועים קריטיים.

ממשרד החוץ נמסר בתגובה: "משרד החוץ מודה למבקר המדינה ולצוות הביקורת על הדוח המפורט, ומשתמש בו ככלי משמעותי לאיתור פערים ולשיפור בתחום הסייבר ומערכות המידע. חלק מהליקויים שעלו בדוח כבר טופלו, ולצידם גובשה תוכנית עבודה רב-שנתית לשנים 2026-2028 לטיפול בשאר הליקויים, הכוללת צעדים אופרטיביים והקצאת משאבים לחיזוק מערך התקשוב וההגנה בסייבר במטה משרד החוץ וב-109 נציגויות ישראל בעולם".

מדיניות הסייבר לא עודכנה כבר שנים: הליקויים במשרד הבינוי והשיכון

בדוח המבקר הוזכרו מספר משרדי ממשלה בהם התגלו הליקויים המשמעותיים. בשורה התחתונה, משרד הבינוי והשיכון לא עומד בהנחיות היחידה להגנת הסייבר בממשלה (יה"ב) ובתקנות הגנת הפרטיות. במובן הזה, הסכנות הללו יוצרות סיכון ממשי לחשיפת מידע רגיש של מיליוני אזרחים. במשרד הבינוי השקיעו תקציב של 6.5 מיליון שקל לאבטחת המידע וסייבר. בנוסף, חלק מנותני השירות החיצוניים המשתמשים במערכות המידע לא עברו סקירה תקופתית לשם בדיקת התאמה בין תפקידם להרשאות הקיימות.

לפי המבקר, מדיניות הסייבר של המשרד אושרה בשנת 2020 ולא עודכנה מאז, ואף ועדת ההיגוי לא אישרה או בחנה את מיפוי נכסי המידע במשרד, ובחנה באופן חלקי את מדדי העמידה של המשרד ביעדי סייבר. במשרד בוצעו 8 סקרי סיכונים בין 2022-2024, אבל ועדת ההיגוי דנה בממצאים של שניים בלבד ובלי קבלת תוכניות להפחתת הסיכונים.

בנוסף, משרד הבינוי והשיכון טרם השלים את היערכותו לאירוע כופרה, למרות התרעות מערך הסייבר הלאומי ותקיפות בפועל על מוסדות ממשלה אחרים. בנוסף, המשרד לא הסדיר את רישומם של 9 מאגרי מידע, למרות שחלפו 8 שנים מאז נכנסו התקנות לתוקף.

ההמלצות של משרד מבקר המדינה למשרד הבינוי והשיכון הן לדון בכל סקרי הסיכונים, להרחיב את מבדקי החדירות, לפקח באופן הדוק יותר על ספקים, להדק את ניהול ההרשאות והניטור ולפקח בצורה טובה יותר על מהערכות לצד הגדרות מהן "פעולות חריגות" במערכות המידע.

ממשרד הבינוי והשיכון נמסר בתגובה: "משרד הבינוי והשיכון רואה חשיבות רבה בהגנה על מערכות המידע, על פרטיות המידע ועל חיזוק מערכי הסייבר במשרד, ופועל באופן שוטף בהתאם להנחיות הגורמים המקצועיים המנחים בתחום הסייבר הממשלתי. עוד טרם הביקורת, מנכ"ל המשרד הנחה על חיזוק תחום הסייבר ואבטחת המידע במשרד, לרבות חיזוק מנגנוני הבקרה, ניהול הסיכונים, הרחבת סקרי הסיכונים ומבדקי החדירה והעמקת הפיקוח על ספקי השירות. הדוח נלמד ביסודיות על-ידי הנהלת המשרד, וחלק מהנושאים שעלו בו כבר טופלו במהלך התקופה האחרונה, לצד קידום תוכניות עבודה סדורות להמשך חיזוק ההיערכות בתחום. המשרד ימשיך לפעול לתיקון הליקויים שעלו בדוח, לחיזוק מערכי ההגנה והבקרה ולהגנה מיטבית על המידע המצוי ברשותו".

ליקויים בהטמעת מערכת ההזדהות הלאומית

לצד הדוחות העוסקים במוכנות למתקפות סייבר, המבקר פרסם גם נתונים על מערכת ההזדהות הלאומית. בסוף שנת 2024 כ-4.6 מיליון אזרחים היו רשומים למערכת ההזדהות הלאומית. עם זאת, רק 16% מהשירותים הממשלתיים שמופו מחוברים למערכת זו, ו-8 משרדי ממשלה מתוך 31 משרדים לא מחוברים למערכת.

לפי דוח המבקר, רק 233 שירותים מתוך אלפים הונגשו באזור האישי הממשלתי, ורק 400 מבין 1,800 הטפסים הממשלתיים המקוונים מנוהלים במערכת ההזדהות הלאומית. יתרה מכך, רק בית חולים ממשלתי אחד מתוך 11 מחובר למערכת ההזדהות, ורק 6% מהרשויות המקומיות (15 מתוך 258) ניצלו את האפשרות של חיבור למערכת ההזדהות.

במשרד המבקר אומרים כי על משרדי הממשלה ויחידות הסמך, לרבות בתי החולים, להתחבר למערכת ההזדהות הלאומית. עוד הם ממליצים כי מערך הדיגיטל יקבע מדיניות ויכין תוכניות להמרת טפסים פיזיים, לצד קידום ממוקד כדי להנגיש את הטפסים באתרים.