דו"ח המבקר
דליפת מידע והיעדר מדיניות בעבודה מרחוק: כשלים קריטיים בהגנת הסייבר של משרדי ממשלה
מדיניות הסייבר של משרד החוץ לא עודכנה מאז 2018, המשטרה לא ביצעה מבדק חדירה שמונה שנים, ושני שלישים מהמשרדים השתמשו בכלי עבודה מרחוק עם חולשות ידועות. הממצאים החמורים ביותר נאסרו לפרסום מטעמי ביטחון
קיימים ליקויים חמורים במערכות הגנת הסייבר של משרדי החוץ והבינוי ובמערכי ההגנה על עבודה מרחוק במשטרה ובשירותי כיבוי האש, כאשר החמורים ביותר נאסרו לפרסום מחשש לפגיעה בביטחון המדינה – אלו הממצאים הבולטים שעולים מדו"ח מבקר המדינה שפורסם היום (ג'), ושבחן היבטים בהגנת הסייבר, היערכות דיגיטלית והנגשת שירותים מקוונים לאזרח במשרדי ממשלה וגופי ציבור.
בנוסף חושף הדו"ח שאף שעבר עשור מאז החלטת ממשלה בנושא, שמונה משרדי ממשלה, מרבית יחידות הסמך וכמעט כל הרשויות המקומיות בישראל לא מאפשרים לאזרחים להתחבר לשירותיהם באמצעות מערכת ההזדהות הלאומית.
"ממצאי הביקורת מצביעים על פערים בהיערכות, בניהול הסיכונים, בפיקוח וביישום המדיניות הממשלתית בתחום, לצד התקדמות חלקית בלבד בהנגשת שירותים דיגיטליים ובהטמעת מנגנוני הגנה ובקרה מתקדמים", מתריע המבקר. "התקדמותה של מדינת ישראל לעבר ממשל דיגיטלי מתקדם מחייבת השקעה מתמשכת בתשתיות סייבר, בניהול סיכונים, בפיקוח ובאכיפה, לצד שיתוף פעולה הדוק בין כלל הגופים הציבוריים. הגנה נאותה על מערכות מידע ושירותים דיגיטליים אינה רק צורך טכנולוגי - אלא תנאי הכרחי לשמירה על אמון הציבור, להגנה על פרטיות האזרחים ולהבטחת תפקודו התקין והרציף של השירות הציבורי".
ביקורת במשרד החוץ, שבוצעה בעיצומה של מלחמת ה-7 באוקטובר, בין מרץ 2024 לאפריל 2025, העלתה ממצאים בעייתיים רבים. בין השאר, התברר שנכון לינואר 2025 מדיניות הגנת הסייבר של המשרד לא עודכנה מאז 2018, חרף השינויים המשמעותיים שהתרחשו בתחום ובמבנה מערך התקשוב של המשרד עצמו. "בהיעדר מדיניות הגנת סייבר מקיפה ועדכנית גוברת החשיפה של משרד החוץ לתקיפות סייבר ולדליפת מידע רגיש", התריע המבקר.
בנוסף, ועדת ההיגוי להגנת הסייבר של המשרד לא עקבה באופן רציף ושיטתי אחר יישום החלטות שקיבלה בסוגיות דוגמת סיווג מידע רגיש ושימוש העובדים ביישום מסוים (חלק מדו"ח זה צונזר מטעמי ביטחון מידע). כן נמצאו ליקויים שמשקפים תרבות ארגונית לקויה בשמירה על מידע רגיש ופרטי: "היעדר נוהל המסדיר את סיווג נכסי המידע ואת מעטפת ההגנה הנדרשת בהתאם לסיווגם של הנכסים; ניתנה גישה לכונן שהיה פתוח לכלל משתמשי רשת מסוימת ושהכיל עשרות אלפי מסמכים, חלקם כוללים מידע רגיש, כגון מידע אישי-פרטי. רמת ההגנה על המידע ברשתות מסוימות נמוכה מרמת ההגנה הנדרשת; עלו פערים בנוגע להגנה על רשת מסוימת; נמצאו ליקויים בהזדהות משתמשים לרשתות המחשב".
מבדק חוסן שביצע משרד המבקר עצמו באחת מרשתות המשרד העלה 15 ממצאים בעיתיים, בהם ברמה הגבוהה ביותר וברמה גבוהה. "משרד החוץ הוא יעד מרכזי לתקיפות סייבר של מגוון יריבים, החל מפצחנים (האקרים) וכלה בגורמים מדינתיים. ממצאי הביקורת מדגישים את הצורך בחיזוק מנגנוני הפיקוח והבקרה של הנהלת משרד החוץ בכל הנוגע למערכות המידע ואבטחת המידע במשרד, במטרה להבטיח פעילות תקינה של מערך התקשוב שלו ולשפר את רמת ההגנה על המשרד ונכסיו", סיכם המבקר.
בדומה למשרד החוץ, גם הביקורת במשרד הבינוי והשיכון העלתה שמדיניות הסייבר של המשרד לא עודכנה, אם כי במקרה זה "רק" מאז 2020. "כמו כן, בשנים שנבדקו לא היה לוועדת ההיגוי סייבר מידע בדבר שיעור התקציב המיועד לאבטחת מידע מכלל התקציב המיועד לטכנולוגיות המידע, כדי לוודא שמשרד הבינוי עומד בהוראות החלטת הממשלה ומקצה די משאבים להתמודדות עם סיכוני האבטחה הנשקפים לו", הוסיף המבקר.
כן העלתה הביקורת שלא בוצע מיפוי וסיווג של נכסי המידע של המשרד, ולא בוצע דיון בשישה מתוך שמונת סקרי הסיכונים שהתקיימו בין 2022 ל-2024. בנוסף, בין 2021 ל-2024 בוצעו במשרד שלושה מבדקי חדירה בלבד, וגם ממצאים אלו לא הוצגו לוועדת ההיגוי של המשרד. "יתרה מכך, לא נמצאו מסמכים המעידים על טיפול כלשהו של משרד הבינוי בסיכונים שהתגלו במבדקים, ובכלל זה פעולות לתיקון הליקויים ומבדקים חוזרים במטרה לוודא שהליקויים תוקנו ואינם חוזרים על עצמם", נכתב בדו"ח.
עוד עולה מהדו"ח שהמשרד לא מבצע סריקה של הרשאות משתמשים כנדרש, לא ביצע בשלוש השנים האחרונות סקירה תקופתית חצי-שנתית של הרשאות משתמשי על, לא הסדיר את רישום כל תשעת מאגרי המידע שלו, ולא השלים את היערכותו להתמודדות עם אירוע כופרה. "הביקורת העלתה ליקויים מהותיים בניהול אבטחת המידע והסייבר במשרד, ובהם פערים בבקרת הרשאות גישה, אי-מיצוי תהליכי ניהול סיכונים, היעדר מנגנוני התרעה מספקים ואי-השלמת רישום של מאגרי מידע כנדרש בדין", נכתב. "ממצאים אלה בולטים במיוחד נוכח העלייה הניכרת (כ-130%) בהיקף התרעות הסייבר שהתקבלו בעניינו של המשרד בשנת 2024, וממחישים את החשיבות שבהבטחת הגנה אפקטיבית על נכסי המידע של המדינה".
חלק נוסף בדו"ח בחן את הגנת הסייבר בעבודה מרחוק, סוגייה שהפכה קריטית בישראל מאז פריצת מגיפת הקורונה ונוכח המציאות הביטחונית המתמשכת מאז ה-7 באוקטובר. הביקורת, שנערכה בין יולי 2024 לאוגוסט 2025, התמקדה בגופים, כולל גופי ביטחון, שנוהגים לשלב עבודה מרחוק בפעילותם השוטפת.
אחד הממצאים הבולטים הוא ששני שלישים ממשרדי הממשלה השתמשו במוצר טכנולוגי לעבודה מרחוק שכולל חולשות רבות. "אף שמערך הסייבר הלאומי הנחה את מערך הדיגיטל עוד במרץ 2024 שלא להשתמש בכלי י"ג, המשמש לעבודה מרחוק, עקב הפגיעויות הרבות שהיו בו בשנים האחרונות, נכון לאוקטובר 2024 עדיין השתמשו בו מערך הדיגיטל ו-31 (65%) מ-48 משרדי הממשלה", נכתב בדו"ח. "מערך הדיגיטל נערך להחלפת כלי י"ג באמצעות התקשרות רכש, אולם לא הנחה את המשרדים להפסיק את השימוש במוצר זה ולעבור למוצר חליפי שהיה זמין לרכישה באמצעות אחד מן המכרזים המרכזיים הקיימים. רק בינואר 2025 נפסק השימוש במוצר".
בדיקת הגנת הסייבר על עבודה מרחוק במכבי האש העלתה שאין לארגון תוכנית המשכיות עסקית, שלא בוצעו תרגילים להתמודדות עם אירועי חירום, ושלא בוצעו מבדקי חדירה למערכת העבודה מרחוק טרם בדיקה שביצע המבקר עצמו באפריל 2025. "קיים חשש כי הארגון לא יהיה ערוך לאירוע סייבר ולא ידע לקבל החלטות בזמן אמת וכי העבודה מרחוק תינזק", נכתב.
בדיקה במערכות המשטרה העלתה העדר מדיניות בנושא אבטחת מידע בעבודה מרחוק, וכן העדר תוכנית המשכיות עסקית. גם כאן לא בוצעו תרגולים להתמודדות עם אירועי חירום, ולא בוצעו מבדקי חדירה במשך שמונה שנים, עד תחילת הביקורת ב-2025. הבדיקה בהנהלת בתי המשפט העלתה שבנוהלי העבודה מרחוק חסרות בקרות מסוימות.
ממצאים נוספים של ביקורת זו הם בדרגת חומרה גבוהה, ולא פורסמו מטעמי ביטחון מדינה. "במסגרת הביקורת נבחנו מוכנותם של גופים חיוניים, ובהם משטרת ישראל והרשות הארצית לכבאות והצלה, להתמודד עם איומי הסייבר הנלווים לעבודה מרחוק. הביקורת העלתה פערים מסוימים במידת ההתאמה של מנגנוני ההגנה והבקרה לסיכונים הקיימים, והועלו ליקויים גם במבדק חדירה שביצע משרד מבקר המדינה במערכת העבודה מרחוק של כב"ה. ממצאים אלה מדגישים את הצורך בהשלמת ההכנה של תוכניות עבודה ובחיזוק ההיערכות להגנת סייבר בגופים החיוניים במדינה", סיכם המבקר.
לבסוף, בדק המבקר את יישום המדיניות הממשלתית להענקת שירותים דיגיטליים לציבור. הממצאים האלו שאף שחלף עשור מאז קבלת החלטה בנושא, שמונה מ-31 משרדי הממשלה לא מחוברים למערכת ההזדהות הלאומית, ובהם משרדים מרכזיים כמו החוץ והביטחון. שלושה משרדים נוספים – חקלאות, בינוי ומדע – מחוברים למערכת אך מאפשרים לקבל באמצעותה רק חלק מהשירותים שלהם. בנוסף, רק 11 יחידות מתוך 36 יחידות סמך ממשלתיות מחוברות למערכת. אף שרשויות מקומיות יכולות גם הן להתחבר אליה, רק 6% מהן עשו זאת כחלופה להזדהות באתר הרשות עצמה.
בעיה נוספת היא העדר מיפוי של השירותים שניתן לחבר למערכת ההזדהות הלאומית. "למערך הדיגיטל אין יכולת להעריך את פוטנציאל החיבור של מערכת ההזדהות הלאומית לכלל השירותים הדיגיטליים, מאחר שהוא עדיין לא השלים את מיפוי השירותים הללו", נכתב בדו"ח. "מערך הדיגיטל מיפה עד למועד הביקורת כ-4,000 שירותים שהממשלה נותנת לציבור. מלבד השירותים שכבר מופו, יש עוד מאות או אלפי שירותים שטרם מופו ותוקפו".
לפני חמש שנים החליטה הממשלה על פיתוח האזור האישי הממשלתי כהאב לביצוע פעולות מול גופים ציבוריים. חרף זאת, "רק 34 מתוך יותר מ-67 משרדי ממשלה ויחידות סמך הציעו שירותים במסגרת האזור האישי והעסקי, ואף זאת באופן חלקי", כותב המבקר. "מאות רשויות מקומיות ועשרות גופים ציבוריים נוספים המציעים שירותים מקוונים לאזרחים ולעסקים בתחומי חיים רבים ומגוונים אינם מנגישים אותם באזור האישי הממשלתי".
המבקר מסכם: "אף שמאז שנת 2014 התקבלו החלטות ממשלה רבות בדבר קידום שירותים מקוונים, וחרף העובדה שכ-4.6 מיליון אזרחים כבר רשומים למערכת ההזדהות הלאומית, יישום המדיניות עדיין חלקי ואיטי. רק 16% מהשירותים שמופו מחוברים למערכת ההזדהות, רק כ-23% מהטפסים המקוונים המזוהים מנוהלים באמצעותה, ורק 233 מתוך אלפי השירותים הממשלתיים הונגשו באזור האישי. היקף החיבור של משרדי הממשלה וגופים ציבוריים נוספים למערכות אלה מצומצם, באופן הפוגע ביכולת הציבור לקבל שירות ממשלתי דיגיטלי מלא, פשוט ונגיש".
