דו"ח המבקרליקויים בהגנת הסייבר על חברת החשמל ועל הליך הבחירות
דו"ח המבקר
ליקויים בהגנת הסייבר על חברת החשמל ועל הליך הבחירות
דו"ח מבקר המדינה קובע כי המדינה אינה מוכנה לאיומי הסייבר שעשויים לשבש את הליך הבחירות וכי הליקויים בתחום זה עלולים "לפגוע באמון הציבור בתהליך הבחירות"; עוד הצביע המבקר על הליקויים בפיקוח של מערך הסייבר הלאומי על חברת החשמל שעלולים לגרום לפגיעה כלכלית ואף לפגיעות בגוף ובנפש
דו"ח מבקר המדינה שהתפרסם היום (ד') מצביע על ליקויים בהגנת הסייבר בכמה תחומים מרכזיים, ביניהם ההגנה על חברת החשמל ועל הליך הבחירות לכנסת.
דו"ח המבקר מעלה מגוון ליקויים בהגנת הסייבר על מערכות הבחירות. אלו מתחילים כבר ברמה הבסיסית ביותר, של הכרה באיום הסייבר. "עד אמצע שנת 2017 לא זיהתה ועדת הבחירות המרכזית את הזיקה הפוטנציאלית שבין תקיפת סייבר לבין מערכת הבחירות, וועדת הבחירות לא הוגדרה בחוק להסדרת הביטחון כגוף בעל תשתיות מדינה קריטיות", נכתב בדו"ח. בנוסף, על אף שוועדת היגוי להגנת סייבר הוקמה בנובמבר 2018, עד מועד סיום הביקורת היא לא התכנסה כלל.
בדיקת המבקר ביחס להגנת הסייבר ומערכות המידע בבחירות לכנסת התבצעה לסירוגין בין ינואר 2019 לאוגוסט 2020, והתמקדה בהיערכות ועדת הבחירות המרכזית לבחירות לכנסות ה-21, ה-22 וה-23. בליל הבחירות עצמו, 30 עובדים של מבקר המדינה ערכו ביקורת בוועדת הבחירות המרכזית ובמרבית הוועדות האזוריות.
עוד מתריע הדו"ח כי לוועדת הבחירות אין תמונה מלאה ומעודכנת של מערכות המידע והתשתיות המחשוביות שברשותה, או מידע מספק על יחסי הגומלין בין המערכות. בנוסף, הוועדה פעלה ללא מסמך לניהול ההמשכיות התפקודית במקרה של קריסת מערכות. עוד מציין המבקר: "ועדת הבחירות לא הגדירה את רמת ההגנה המתאימה להגנה על המידע המצוי במערכות שלה ובפרט על מידע רגיש".
המבקר גם מתייחס לממצאים שפרסמה לפני שנתיים הרשות להגנת הפרטיות בעקבות הליך פיקוח על השימוש שעושות המפלגות בפנקס הבוחרים. הממצאים, שכבר דווחו בעבר, העלו שמפלגות מחזיקות במאגרי מידע רגישים שכוללים מידע על דעות פוליטיות של אזרחים. בנוסף, מרבית המאגרים לא עומדים בתקני אבטחת מידע ומרבית המפלגות רוכשות מידע לצורכי טיוב נתונים מבלי שווידאו שהושג כחוק.
דו"ח המבקר מוסיף שבעיות אבטחת מידע סביב פנקס הבוחרים מעסיקות את הרשויות מ-2011 לפחות, ושבדיון שנערך במאי 2020 בהשתתפות נציגים מהרשות להגנת הפרטיות ומנהל האוכלוסין, "הייתה הסכמה של כלל הנוכחים לגבי הצורך בשינוי שיטת הנגשת המידע כדי לאפשר רמת אבטחה גבוהה יותר של המידע, ניטור ותיעוד של אופן השימוש במידע".
לאור כך, המבקר ממליץ לבחון את האפשרות למחשב את פנקס הבוחרים ותהליך הזדהות הבוחר בקלפי ולשפר את הזדהות הבוחר באמצעות שימוש בתעודת הזהות החכמה: "מחשוב התהליך צפוי לייתר את מבצע המעטפות הכפולות וצפוי בעקיפין לתרום לטוהר הבחירות בישראל".
"הבחירות לכנסת עומדות בבסיס אופיו הדמוקרטי של המשטר בישראל, ולפיכך קיימת חשיבות רבה שתהליך הבחירות יהיה שקוף ושתוצאות הבחירות ייצגו את רצון הבוחר", מסכם המבקר. "פגיעה באמינות, בזמינות ובסודיות של המידע המצוי במערכות המידע המשמשות את תהליך הבחירות עלול לפגוע באמון הציבור בתהליך הבחירות".
מוועדת הבחירות המרכזית נמסר בתגובה: "חלק ניכר מן הממצאים מתייחס למערכת הבחירות שהתקיימה באפריל 2019, והוועדה פעלה לתיקונם כבר במהלך מערכות הבחירות שהתקיימו לאחר מכן. לפיכך, דוח הביקורת כולל ממצאים רבים שכבר תוקנו, והדבר אף צויין על ידי מבקר המדינה.
"הוועדה פעלה במלוא העוצמה למניעת פגיעה בטוהר הבחירות, בהגינות ההליך ובניהול התקין של יום הבחירות. הוועדה פעלה בשיתוף מערך הסייבר וגופי הביטחון, תוך שימוש בטכניקות ייחודיות ליצירת יכולות הגנה על מערכות הוועדה. תוצאות הבחירות בכל ארבע מערכות הבחירות משקפות את רצון הבוחר במדויק, ללא כל התערבות סייבר או פגיעה במידע המצוי במערכות המשמשות את הוועדה או בתיפקודן".
ליקויים בהגנת הסייבר על חברת החשמל
דו"ח מבקר המדינה מציג תמונת מצב לקויה גם בנושא הגנת הסייבר בחברת החשמל, ובעיקר בפיקוח של מערך הסייבר הלאומי על חברת החשמל.
בביקורת נמצאו ליקויים בפיקוח והמעקב של מערך הסייבר הלאומי על ביצוע ההנחיות הניתנות לחברת החשמל. נמצא כי מערך הסייבר לא הסדיר את אופן הדיווח של חברת החשמל כך שיוכל לעקוב אחר ביצוע הנחיותיו ואחר תיקון הליקויים שמצא.
כמו כן, במועד סיום הביקורת חברת החשמל טרם הגישה תוכנית רב שנתית להתמודדות עם איומי הסייבר, והתוכניות השנתיות שהוצגו לשנים 2019-2021 לא כוללות את מלוא הפירוט לגבי אופן יישומן.
במסגרת ההתמודדות של חברת החשמל עם סיכוניה היא נוהגת לבטח את עצמה מפני נזקים ובשנים האחרונות רכשה פוליסת ביטוח כוללת שהתקרה של היא מיליארד דולר. באפריל 2021 החברה מסרה למשרד המבקר כי בפוליסת הרכוש שנרכשה לאותה שנה קיים חריג סייבר שהתווסף בשנה האחרונה לכל פוליסות הביטוח בשוק, ולכן היא רכשה כיסוי נזקי רכוש הנובעים מסייבר שלא במסגרת ביטוח הרכוש הכולל. גבול כיסוי ביטוח זה הוא עד 100 מיליון דולר, והשתתפות עצמית היא בסך של מיליוני דולרים. משרד המבקר ממליץ לחברת החשמל להמשיך ולבחון את היקף הכיסוי הביטוחי למקרי סייבר בהתאם להיקף ניסיונות התקיפה ולפוטנציאל הנזק מהם.
המבקר מציין כי פגיעות סייבר בחברת החשמל, אשר מופקדת על כמה מהתשתיות הקריטיות ביותר במדינה, עלולות לגרום לפגיעה כלכלית ואף לפגיעות בגוף ובנפש. פגיעה במערך התקשוב התומך בתהליכי הייצור, ההשנאה, ההולכה והחלוקה עלולה להשבית תהליכים אלה ולמנוע אספקת חשמל סדירה לפרקי זמן העלולים להיות קריטיים למשק, בייחוד בעיתות חירום.
מחברת החשמל נמסר כי היא "מייחסת חשיבות עליונה לתחום הסייבר ובהתאם משקיעה משאבים עצומים, בשיתוף ותיאום עם מערך הסייבר הלאומי. הערות המבקר נלמדו ונמצאות בטיפול מתקדם".
