דוח המבקר
פרצת אבטחה מאפשרת השתלטות על עמדות שירות ממשלתיות
דוח מבקר המדינה חושף פרצת אבטחת מידע חמורה ב-284 עמדות שירות עצמי של מערך הדיגיטל, המאפשרת לגורמים זרים להשתלט על העמדות ולהנפיק אישורים. הפרצה התגלתה ביולי, אך נכון לנובמבר היא טרם תוקנה. עוד חשפה הבדיקה כי עובדי סופר פארם מחזיקים במפתחות גישה לעמדות המכילות מידע רגיש
פרצת אבטח מידע בעמדות השירות העצמי לשירותי ממשלה שמפעיל מערך הדיגיטל אפשרה השתלטות על העמדות וביצוע פעולות הנפקת אישורים – כך חושף דוח מבקר המדינה שמתפרסם היום (ג'). לפי הדוח, אף שביולי הודיע מערך הדיגיטל שהוא פועל לתיקון הפרצה, נכון לנובמבר היא טרם תוקנה.
מערך הדיגיטל מפעיל 284 עמדות שמוצבות במשרדי ממשלה, מבני ציבור ו-120 סניפים של רשת סופר פארם, ומאפשרות ביצוע פעולות כמו שינוי כתובת, חידוש רישיונות שונים והנפקת תעודות ומסמכים. העמדות מתופעלות ומתוחזקות על ידי חברה אזרחית, בעבור מערך הדיגיטל. בבדיקת המבקר, שנערכה בין יוני 2024 למרץ 2025, נבדקה פעילותן של 28 מהעמדות.
הבדיקה העלתה שלל ממצאים בעייתיים. בין השאר, מבין העמדות שנבדקו, 10 היו תקולות ולא ניתן היה לקבל מהן שירותי הדפסת אישורים. מבין העמדות התקינות, בשליש הונפקו האישורים על גבי נייר לבן, ללא סמל המדינה או סימני הביטחון שאמורים למנוע זיוף. בסניפי סופר פארם, מחזיקים עובדים במפתחות גישה לעמדות, לצורך טיפול בתקלות מדפסת ומילוי דפים. "מציאות זו, המאפשרת לעובדים רבים, שונים ובלתי מסוימים גישה בפועל לעמדות המכילות מחשב ממשלתי רגיש וכן ניירות רשמיים ריקים, הכוללים סימני ביטחון מובנים, אשר עליהם ניתן להדפיס מגוון אישורים רשמיים המהווים כאמור ראיה לכאורה לנכונותם, מהווה סיכון ממשי לניצול לרעה, למעילות ולהונאות", מזהיר דוח המבקר.
בנוסף, במקרה אחד העמדה לא היתה נעולה, ובאחר המפתח הושאר בחור המנעול. "בעמדות אלו נציגי הביקורת פתחו את העמדות וניגשו לתכולתן הרגישה באין מפריע", נכתב. "כמו כן, בבדיקת עמדות השירות העצמי בסניפים שונים עובדי סניף הפארם פתחו עבור עובדי משרד מבקר המדינה את העמדות והציגו את תכולתן ואת הניירות הרגישים שבהן בלי שעובדי המבקר נדרשו להציג את זהותם או תפקידם. בחלק מהסניפים מסרו נציגי רשת הפארם כי הם פותחים את העמדות להטענת נייר לבן במקרים שבהם קיים חוסר נייר במדפסת של העמדה, גם כאשר קיים חוסר במגשי המדפסת המיועדים לנייר ממשלתי רשמי".
חמורה יותר היא כנראה פרצת האבטחה שזיהתה ביקורת המבקר. "קיימת פרצת אבטחת מידע משמעותית המאפשרת לגורמים בעלי אינטרסים זרים להשתלט על עמדות השירות העצמי ולבצע פעולות", נכתב בדוח, שלא הרחיב על פרטי הפרצה. לפי המבקר, ביולי שעבר הודיע מערך הדיגיטל ש"מתקיימת בחינה לביצוע פעולות ולחסימת הפרצה", אך בדיקות נוספות שנערכו באוקטובר ובנובמבר העלו שהיא טרם תוקנה.
באוקטובר נמסר ממערך הדיגיטל שבוצעה פעילות מקיפה, אך שככל הנראה "לא הכול נחסם באופן תקני במערכות". "עם גילוי הפרצה נבחנו העמדות ומונה אינטגרטור מטעם המערך לסגירה הרמטית של כלל הפעולות העשויות להתבצע על-ידי גורמים בעלי אינטרסים זרים", נכתב בדוח.
ממערך הדיגיטל נמסר בתגובה: "עם קבלת ממצאי הביקורת בוצעו פעולות מיידיות לתיקון הליקויים שנמצאו במספר מצומצם של עמדות לשירות העצמי, ובהן הקשחת העמדות, החמרת נהלי התפעול והתחזוקה והידוק הבקרה על ההדפסות והניירות הרשמיים. בעמדות השירות העצמי מתבצעות בדיקות שגרתיות, במסגרתן לא אותרו הליקויים שעלו בדוח מבקר המדינה. בשל כך, עם קבלת הדוח, הופקו לקחים גם באשר לאופן ביצוע הבקרה והבדיקות למניעת הישנות הדבר. מערך הדיגיטל הלאומי ממשיך לפעול בשיתוף הגופים הרלוונטיים להשלמת הטיפול, במטרה להבטיח כי השירות בעמדות לשירות עצמי יהיה אמין, בטוח ונגיש לציבור".
