החזירו אותם הביתה עכשיו
חזרה לעמוד הקודם

נתוני הליקויים שזיהה מבקר המדינה בתחום הסייבר ומערכות מידע של ישראל (2023)

תחום הסייבר הוגדר ע"י מבקר המדינה ונציב תלונות הציבור כאחד מהנושאים המרכזיים עליהם יושם דגש מטעם ביקורת המדינה, על מנת לבחון את מידת ההיערכות והמוכנות של גופים שונים העומדים לביקורת להתמודד עם הסיכונים, האיומים האסטרטגיים ואתגרי הסייבר שמאפיינים את המרחב הקיברנטי בעת האחרונה.

סקירה זו מציגה את עיקרי הנתונים והממצאים הרלוונטיים מדו"ח מיוחד של מבקר המדינה מחודש מאי 2023, שהתמקד בשישה מישורים שונים: (א) שימוש במסמכי זיהוי ביומטריים, (ב) טכנולוגיות דיגיטליות ואבטחת המידע והסייבר בשירות בתי הסוהר, (ג) הגנת הפרטיות ואבטחת המידע במערכות המרכז לגביית קנסות, (ד) אגרות והוצאות ברשות האכיפה והגבייה, (ה) ביקורת סייבר במרכז הרפואי א' – מבדק חדירה לתשתית ולרשת התקשורת, (ו) אסדרת הגנת הסייבר במוסד לביטוח לאומי ו- (ז) והתקשרויות בפטור ממכרז בתחום התקשוב.

א. שימוש במסמכי זיהוי ביומטריים – תעודות זהות ודרכונים

בשנת 2008 החליטה ממשלת ישראל על החלפת מסמכי הזיהוי הקיימים (ת.ז ודרכונים), הנחשבים קלים לזיוף, באמצעי זיהוי חכמים הכוללים אמצעי זיהוי ביומטרי, לצד שמירת המידע הביומטרי במאגר לאומי. מטרות היוזמה בין היתר היו לשפר את היכולת הביטחונית והפלילית של גופי האכיפה, לשפר את השירות לציבור, ובכלל זה לפקח באופן יעיל יותר על כניסה ויציאה מהארץ של גורמים בלתי מורשים ועל נסיונות לגניבת זהות והתחזות.

נתונים עיקריים מתוך דוח המבקר:

  • בחציון הראשון של שנת 2022 לבדו, נרשמו 400 נסיונות כניסה לארץ במעברים היבשתיים תוך שימוש באמצעי זיהוי מזוייפים.
  • המעבר לאמצעי זיהוי ביומטריים החל להתבצע ע"י הממשלה ביוני 2013, ובאופן מחייב לכלל התושבים החל מיולי 2017. עם זאת, נכון ליולי 2022:
    • כ-3.2 מליון תושבים (45%) מחזיקים עדיין בת.ז מהסוג הישן.
    • כ-2.9 מליון תושבים (37%) מחזיקים עדיין בדרכון מהסוג הישן.
  • מאגרי תמונות הפנים ברשות האוכלוסין:
    לצד המאגר הביומטרי הלאומי, מחזיקה רשות האוכלוסין מאגרי תמונות פנים של מליוני תושבים. החזקת מאגרי התמונות באיכות ביומטרית אינה עולה בקנה אחד עם הוראות החוק, וההגנה על מאגרים אלו הינה ברמה פחותה מרמת ההגנה על המאגר הביומטרי הלאומי. טרם גובש פתרון לנושא.
  • שמירת טביעות אצבע לצד תמונות פנים:
    בשנת 2017 נקבע כי המאגר הביומטרי הלאומי יתבסס על תמונות פנים בלבד, וכי יש למחוק את טביעות האצבע השמורות בו. מבדיקה עלה כי מערכת ההשוואה הביומטרית הקיימת אינה ערוכה לכך. על אף שכבר ב-2020 ניתנה הוראה מטעם מערך הסייבר להיערך לרכישת האמצעים הטכנולוגיים המתאימים לביצוע המעבר, רק בחודש דצמבר 2022 פרסמה רשות המאגר הביומטרי הלאומי את השלב הראשון במכרז לרכישת מערכת מסוג זה. ע"פ משרד הפנים, מערכת זו צפויה להיות מוטמעת ברבעון הראשון של 2024. כמו כן, בעניין השימוש בטביעות האצבע – בשנת 2020 נבחן הצורך לשמור את טביעות האצבע לצורך זיהוי קורבנות באירוע רב נפגעים, אך נכון לנובמבר 2022, לא נתקבלה החלטה בנושא, וטביעות האצבע עודן שמורות במאגר.

    ככלל, ממליץ הדוח להסדיר בדחיפות את המגבלות המשפטיות והטכנולוגיות ולתקן את הליקויים שעלו בכל הנוגע לאחזקת מאגרים אלו, להגנה עליהם ועל השימוש בנתונים השמורים בהם, וכן להקפיד על שיקוף השיקולים המשפטיים והמקצועיים לציבור.

ב. טכנולוגיות דיגיטליות ואבטחת המידע והסייבר בשירות בתי הסוהר

הממצאים בנושא ביטחון מידע, אבטחת מידע והגנת הסייבר בשב"ס אינם מתפרסמים לציבור מטעמים של שמירה על ביטחון המדינה. מתוקף היותו ארגון הכליאה הלאומי, מחזיק שב"ס במערכות המידע שלו מידע בטחוני מסווג ומידע אישי ורגיש בתחומים הרפואי, הביומטרי והמודיעיני, וכן מידע נוסף (שיטות פעולה, מבצעים, מידע מהמשטרה ומידע מגופים נוספים). בשנת 2015, חייבה הממשלה את השב"ס לפרסם מדיניות הגנת סייבר. בדצמבר 2022 אושרה המדיניות לפרסום על ידי סגן הנציבה, אך טרם אושרה ע"י היחידה המגזרית במשרד לבטחון לאומי. עולה כמו כן, כי מסמך המדיניות המגזרית המאושרת שפורסם ע"י המשרד לבטחון פנים, אינו מכיל הנחיות מפורטות ומותאמות דיין לנורמות המקובלות בתחום הגנת הסייבר עבור גופים שתחת אחריותו.

  • משרד מבקר המדינה בחן ומצא ליקויים בהיבטים של ניהולו ואבטחתו של המידע הבטחוני המסווג על ידי שב"ס (טיפול במידע דיגיטלי, הסדרת נהלי אבטחה שמירה וסיווג של מסמכים, הסדרת סיווג בטחוני של עובדים ושימוש באמצעי תקשורת).
  • פערים נוספים זוהו גם בתחום ההגנה על מערכות ותשתיות התקשוב, הגנת הסייבר עליהן וההיערכות לניהול אירועי סייבר, נהלי ניהול משתמשים והרשאות ותהליכי הפיתוח של רשת מחשב מסווגות.
  • תכנית תר"ש קברניט – התוכנית לפיתוח מערכת תקשוב ארגונית על מנת להוביל לקפיצה טכנולוגית, אשר יישומה החל בשנת 2022, טרם הושלמה ברמת התקציבים שכבר אושרו (75% מהתקציב הטכנולוגי הדרוש למימושה טרם תוקצב – 300 מליון ש"ח מתוך 400 מליון ש"ח), וכמו כן רק -38% שיעור מימוש בפועל של תקציב הפרוייקטים שתוכננו ב-2022 (39 מליון ש"ח מתוך 100 מליון ש"ח).

ג. הגנת הפרטיות ואבטחת המידע במערכות המרכז לגביית קנסות, אגרות והוצאות ברשות האכיפה והגבייה

לצורך גביית חובות הוענקו למרכז לגביית קנסות סמכויות גבייה ובינהן דרישת מידע על החייב מגוף ציבורי. במערכות המידע של המרכז לגביית קנסות קיימים פרטיהם של כ-3 מליון חייבים, החייבים סה"כ כ-6.8 מילארד ש"ח, ונתונים המשמשים את המרכז לגביית קנסות כגון שמות, מספרי זהות, כתובות מגורים, מספרי טלפון, פרטים על נכסים, מידע מהביטוח הלאומי, מאגף הרישוי מרכז לגביית קנסות שבמשרד התחבורה ומרשויות נוספות.

  • ליקויים בתיעוד ובקרה על הגישה למידע במערכות המידע במרכז לגביית קנסות ובמתן הרשאות
    • לא מקיימת בקרה על גישת משתמשי המערכת במרכז לגביית קנסות. כמו כן, לא התקיימה בחינת היקף הגישה למידע הנחוץ לבעלי ההרשאות ע"פ הגדרת תפקידם.
    • 14 הרשאות של עובדי מוקד המידע הטלפוני של מאגר המידע לא הוסרו על אף שסיימו את עבודתם בטווח של 13 חודשים ממועד הביקורת.
    • בשנת 20021, 52% (23 מתוך 44) מההרשאות שנפתחו במערכת התפעולית – לא אושרו על ידי מינהלן ההרשאות ברשות האכיפה והגבייה.
    • 21% מבין עובדי מוקד המידע הטלפוני (20 מתוך 94) השתמשו במערכות ללא כרטיס חכם המשויך להם.
  • במסגרת בחינת התמודדות רשות האכיפה והגבייה עם סכנת חדירה למערכת התפעולית של המרכז לגביית קנסות– חשפה יחידת יה"ב ליקויים ברמת התשתית – לא הוטמע ע"י הרשות פתרון טכנולוגי ייעודי לנסיונות לחדירה.

ד. ביקורת סייבר במרכז הרפואי א' – מבדק חדירה לתשתית ולרשת התקשורת 

  • מגזר הבריאות היה אחד מתוך עשרת המגזרים המותקפים ביותר במתקפות סייבר בישראל בשנת 2021.
  • הגנת סייבר במכשור רפואי לצורך אבטחת מידע (למשל במכשירי MRI ,CT ומכשירי רנטגן), מטרתה להגן מפני נסיונות של גורם בלתי מורשה לגשת למידע שנאגר במכשירים, להשתמש בהם לרעה או לבצע בהם שינויים גם עד כדי פגיעה בתפקודם.
  • במאי 2022, פרסם משרד מבקר המדינה דוח ביקורת בנושא "הגנת סייבר על מכשירים רפואיים ואבטחת המידע הנאגר בהם".
    לדוח המלא
    בהמשך לדוח הביקורת, ביצע המשרד מבדק חדירה לתשתית ולרשת התקשורת שמנהלת את המכשור הרפואי במרכז רפואי מסויים בארץ. (בדוח "מרכז רפואי א'"/"המרכז הרפואי").
  • 10 מתוך 13 ממצאים שעלו במבדק החדירה דורגו בדרגת חומרה "גבוהה". 3 ממצאים דורגו בדרגת חומרה "בינונית". התחומים בהם זוהו הליקויים: "סגמנטציה ובקרת זרימה", "בקרת גישה לרשת", "הגנת עמדות ושרתים", "תוכנה לא עדכנית" ו – "גישה לא מאובטחת".
  • מבקר המדינה ממליץ כי משרד הבריאות יפעל להסדרת מבצעי חדירה תקופתיים ע"י המוסדות הרפואיים בישראל, יעקוב אחר הטיפול בליקויים ויפרסם בהתאם המלצות לכלל המוסדות הרפואיים, תוך שימשיך לפעול לסיוע במישור הלאומי להתמודדותם עם אתגרי אבטחת המידע.
  • הדוח מציין לחיוב את שיתוף הפעולה של הנהלת המרכז הרפואי ואת התחלת הטיפול בתיקון הליקויים.

ה. אסדרת הגנת הסייבר במוסד לביטוח לאומי

  • פרטיהם האישיים של 9.5 מליון אזרחים נמצאים במאגרי המידע של הביטוח הלאומי ומשוערים במאות טרה-בייטים (TB) של מידע.
  • המידע במאגרים של בט"ל מוגדר כמידע רגיש ע"פ הקבוע בחוק הגנת הפרטיות התשמ"א-1981, וכן מתוקף התממשקותו לגורמים נוספים מקרב גופי הממשלה, רשויות מקומיות ואף גורמים פרטיים (מעסיקים).
  • לשירות האישי באתר הביטוח הלאומי רשומים כ-3.5 מליון מבוטחים.
  • נכון לחודש נובמבר 2022, מידי יום מתבצעים 2.9 מליון נסיונות תקיפה על המוסד לביטוח לאומי, כשמתוכן מוערכות כ-66,000 כפגיעות בעלות פוטנציאל לגרימת נזק.
  • מהדוח עולה כי מידת הביקורת של הגופים השונים האמונים על אסדרת אבטחת המידע בביטוח לאומי – הרשות להגנת הפרטיות, שירות הביטחון הכללי והממשק של מערך הסייבר, אינה עומדת בדרישות שהוגדרו לה במלואן ו/או בהיקף מספק. (להמחשה, ברשות להגנה לפרטיות בוצעו בין השנים 2006-2022 שישה הליכים מנהליים בנושא אבטחת מידע בבט"ל, ורק ב-2022 החלה הרשות לבצע פיקוח רוחב בבט"ל).
  • החל משנת 2016 החל מערך הסייבר הלאומי תהליך של "הנחיה מרצון" לבט"ל (הנחיה באופן דומה לזו שניתנת לגופי תשתית מדינה קריטית, אך אינה מחייבת). בין השנים 2019-2020 התקיימה הנחייה שנרשמה כרציפה, אך מסוף 2020 נרשמה ירידה בתקשורת בין הגופים ולבט"ל כעת אין מענה שוטף ומערכתי לטיפול בכל אירועי אבטחת המידע.

ו. התקשרויות בפטור ממכרז בתחום התקשוב

  • ע"פ נתוני מרכב"ה – בין השנים 2019-2021 פעילות הרכש התקשובי הממשלתי עמדה על כ-5 מיליארד ש"ח בשנה (כ-15.6% מסך הרכש הממשלתי בשנים אלו).
  • היקף הרכש הממשלתי התקשובי הפטור ממכרז בשנים 2021-2019 נע בין 497 מיליון ש"ח ל- 691 מיליון ש"ח, ושיעורו היה בממוצע כ14.2%- מסך הרכש בתחום התקשוב.
  • הדוח מצא כי השימוש שעשו הגופים הממשלתיים בפטור בעילת ספק יחיד ברכישות בתחום התקשוב (61%) היה גדול פי שישה מהשימוש שנעשה בעילת פטור זו ברכש ממשלתי שאינו תקשובי (9.72%).
  • צויינה לחיוב פעילות מינהל הרכש לחיזוק השקיפות של היבטים שונים ברכש הממשלתי, ובכללם ההתקשרויות שמבוצעות בפטור ממכרז. ניתן לראות למשל את דאשבורד הנתונים באתר המינהל.
  • עם זאת, הדוח מציין נתונים ראויים לבחינה בדבר דיווח לקוי, מעוכב או חלקי:
      • ההפרש בין היקף הרכש לשנת 2020 במערכת מרכב"ה לבין הנתונים שפרסם מינהל הרכש הממשלתי עומד על 4.2 מילארד ש"ח.[1]
    • 25% מהגופים הממשלתיים לא הגישו דיווחים כראוי ליחידה הממשלתית לחופש המידע בשנת 2021. יותר משליש מהגופים (37.5%) לא הגישו דיווחים או הגישו אותם באיחור בין השנים 2019-2021.
    • מידע חלקי בפרסומים ציבוריים נמצא בכ-40% (כ-7000) מהפרסומים הנוגעים להתקשרויות שבוצעו בפטור ממכרז שבוצעו על ידי גופי ממשל בין השנים 2019-2021.
    • ע"פ הדוח בבדיקה שביצע מבקר המדינה אותרו מאות מקרים של סיווג ההתקשרות כפטורה ממכרז שלא בהתאם להנחיות.
    • בארבעה גופים (משרד התחבורה, משרד החקלאות, זרוע העבודה במשרד הכלכלה והתעשייה ורשות המיסים) – שיעור הרכש המקצועי הממוצע שבוצע בפטור ממרכז בעילת ספק יחיד הוא כמעט כפול ביחס לשיעור הרכש מסוג זה בשאר משרדי הממשלה (סה"כ 727.7 מליון ש"ח).
    • הדוח זיהה מגמה של התקשרויות בתחום התקשוב שסכומן קרוב לתקרת הסכום המאושר לפטור ממרכז (50,000), וכן מקרים בהם אותרו מספר הזמנות רצופות מאותו הספק בסכומים מתחת לתקרת הפטור, המעידות על חשד לפיצול התקשרויות מלאכותי, אשר חוטא באם בוצע, לעיקרון השוויון שבבסיס דיני המרכזים, הנהוג בישראל וכן במדינות שונות בעולם. (ראו השוואה בין מדינויות הרכש של מדינות שונות בעולם בדוח המלא בעמודים 31-32, בקישור מטה).

הערות שוליים:

[1] "מינהל הרכש מציג בדוח השנתי שהוא מפרסם לציבור את נתוני ההשוואה של השנה הקודמת על בסיס הנתונים שפורסמו בשנה הקודמת, ולא על בסיס שליפה חדשה לקבלת נתונים עדכניים. עקב כך עדכונים שבוצעו על ידי הגופים הממשלתיים בהזמנות רכש שנוצרו בשנים עוקבות אינם מופיעים בנתוני מינהל הרכש. נמצא כי קיימים פערים של 1.2 – 4.2 מיליארד ש"ח בין היקף הרכש המוצג בדוח של מינהל הרכש לשנים 2019 – 2020 (27.3 מיליארד ש"ח ו30.5- מיליארד ש"ח בהתאמה) להיקף הרכש לשנים אלו כפי שעולה מנתוני מערכת מרכב"ה נכון ליוני 2022 (28.5 מיליארד ש"ח ו34.7- מיליארד ש"ח בהתאמה)."