מבקר המדינה ונציב תלונות הציבור, מתניהו אנגלמן, מפרסם היום (ג') דוח ביקורת חריף ומדאיג המציג שורה של ליקויים משמעותיים בהגנת הסייבר ובשירות הדיגיטלי לאזרח. תמונת המצב העולה מהדוח חושפת כי בעוד איומי הסייבר מצד איראן וארגוני הטרור הולכים ומסלימים, גופי החירום ומשרדי הממשלה בישראל פועלים עם פערים טכנולוגיים עמוקים ותרבות ארגונית רשלנית.
מבקר המדינה מתניהו אנגלמן על דוח הסייבר
(מבקר המדינה)
רשלנות והפקרות במשרדי הממשלה
נוכח האיומים מאיראן, ממשלת ישראל חייבת להיות ערוכה היטב למתקפות סייבר, אך בפועל גופי החירום, בהם משטרת ישראל והרשות הארצית לכבאות והצלה, לא נערכו כנדרש למצבי חירום. סיכוני החשיפה למתקפות לא נבדקו דיו, וגרוע מכך: הנחיות הערכות מפורשות שכתב מרכז הסייבר הלאומי לאחר ה-7 באוקטובר כלל לא הועברו לחלק מגופי החירום.
ההפקרות הזו מתורגמת ישירות לנתונים בשטח: במהלך מלחמת "חרבות ברזל", חל זינוק מבהיל של כ-500% באירועי הגנת מידע בנציגויות ישראל בחו"ל, כאשר משרד החוץ, המהווה יעד מרכזי למתקפות מצד גורמים איראניים, חיזבאללה וחמאס, סובל מפער טכנולוגי מתמשך שנמשך שנים רבות.
בנוסף, טוען המבקר כי המשרד פועל תחת תרבות ארגונית שאינה הולמת. הביקורת מצאה במשרד ליקויים חמורים בשמירה על מידע רגיש, כולל כונן פתוח לכל עובדי הרשת שהכיל עשרות אלפי מסמכים אישיים ורגישים.
"רוב גדול של משרדי הממשלה השתמשו במשך חודשים בכלי דיגיטלי חשוף למתקפות סייבר. תמונת המצב העולם הביקורת על משרד החוץ מלמדת על פער טכנולוגי מתמשך במערכות המחשוב במשרד החוץ אשר נמשך שנים רבות ועל תרבות ארגונית שאינה הולמת את איום הייחוס שהוגדר למשרד החוץ.
בהעדר מדיניות הגנת סייבר מקיפה ועדכנית גוברת החשיפה של המשרד לתקיפות סייבר ולדליפת מידע רגיש. נמצאו ליקויים חמורים במשרד החוץ בכל הנוגע לשמירה על מידע רגיש ופרטי", כך לדברי המבקר.
במקביל, במשרד הבינוי והשיכון זינקו ההתרעות על פעילות חשודה כאיום סייבר ב-130% בשנת 2024, אך המשרד לא הסדיר במשך שמונה שנים (!) את רישומם של תשעה מאגרי מידע המכילים מיליוני רשומות רגישות של אזרחים.
"במשרד הבינוי מצאנו כי למרות שבידיו מאגרי מידע עם מיליוני רשומות הנוגעות לדיירי הדיור הציבורי ומקבלי סיוע לדיור, משתתפים בתוכנית דיור בהנחה וקבלנים רשומים, המשרד לא הסדיר במשך שמונה שנים את רישום כל תשעת מאגרי המידע באופן הנדרש בתקנות הגנת הפרטיות", ממשיך אנגלמן.
מערך הסייבר הזהיר, וזכה להתעלמות
אחד הממצאים המדהימים ביותר בדוח נוגע להתנהלות מערך הדיגיטל הלאומי ומשרדי הממשלה בכל הקשור לעבודה מרחוק. מערך הסייבר הלאומי הנחה את מערך הדיגיטל עוד במרץ 2024 להפסיק לאלתר את השימוש בתשתית טכנולוגית מסוימת לעבודה מרחוק (כלי י"ג), לאחר שנתגלו בה חולשות קריטיות שנוצלו לרעה.
למרות האזהרה המפורשת, מערך הדיגיטל וכ-65% ממשרדי הממשלה (31 משרדים) המשיכו להשתמש בכלי החשוף במשך עשרה חודשים נוספים, ורק בינואר 2025 הופסק השימוש בו. המשמעות היא שבמשך חודשים ארוכים של מלחמה, רוב משרדי הממשלה היו חשופים לחלוטין למתקפות סייבר הרסניות.
כישלון המדיניות הדיגיטלית
פרק נרחב בדוח מוקדש ליישום המדיניות הממשלתית להענקת שירותים מקוונים - מערכת ההזדהות הלאומית והאזור האישי הממשלתי. המערכת, שעלתה לאוויר בשנת 2019 ומטרתה לאפשר גישה מאובטחת, אחודה ורציפה לשירותים ממשלתיים, מציגה נתוני שימוש עגומים במיוחד. אמנם בסוף שנת 2024 היו רשומים אליה כ-4.6 מיליון אזרחים, אך הנגשת השירותים בפועל שואפת לאפס.
רק 16% מהשירותים הממשלתיים שמופו עד כה מחוברים למערכת ההזדהות (650 מתוך כ-4,000 שירותים). רק 3% מהשירותים המוצעים לציבור הונגשו בפועל באזור האישי והעסקי הממשלתי (233 שירותים מתוך אלפים). יתרה מכך, מאות טפסים ממשלתיים עדיין מוצעים להדפסה ולמילוי ידני בלבד - ביניהם 89% מהטפסים של משרד החוץ ו-79% מבתי הדין הרבניים.
גופים קריטיים המעניקים שירותים משמעותיים לציבור, כמו רשות המיסים, המוסד לביטוח לאומי, משרד הביטחון ושירות התעסוקה, אינם מחוברים למערכת ומנהלים מערכות הזדהות עצמאיות.
הדבר מאלץ את האזרח להתנהל בנפרד מול כל גוף, מייצר חוסר יעילות ומגביר את החשיפה לליקויי אבטחה ולדלף מידע. גם בשלטון המקומי המצב בכי רע: רק כ-6% מהרשויות המקומיות ניצלו את אפשרות החיבור למערכת ההזדהות הלאומית. "שירות דיגיטלי לאזרח אינו מותרות", הדגיש המבקר אנגלמן, "לא ניתן לקבל מציאות בה רק אחוזים בודדים משירותי הממשלה מונגשים באזור האישי".
3 צפייה בגלריה
הביטוח הלאומי. אחד הגופים הגדולים והחשובים במדינה בכלל לא מחובר למערכת הממשלתית
(צילום: נחום סגל)
הטכנולוגיה שעומדת בבסיס מערכת ההזדהות הלאומית ואסטרטגיית ה"אזור האישי" מבוססת על תפיסת ה-Single Sign-On (SSO) ועל עקרון "פעם אחת" (Once-Only Principle). מדובר במודל ארכיטקטוני שהתפתח בעולם המערבי כבר בתחילת שנות האלפיים. יעילותו הוכחה במדינות רבות בעולם, ובראשן אסטוניה, שנחשבת לחלוצה העולמית בממשל זמין, שבה כמעט 100% מהשירותים הציבוריים והמוניציפליים מונגשים דיגיטלית תחת זהות מאובטחת אחת ופרוטוקול הזדהות ממלכתי אחיד.
בישראל, החלטות הממשלה הראשונות לקידום השירותים הדיגיטליים וביסוס מערכת ההזדהות התקבלו כבר בשנת 2014, והמערכות עצמן עלו לאוויר ב-2019. אולם, כפי שמוכיח דוח המבקר, פוליטיקה ארגונית, ביזור סמכויות, פערים בתקצוב אגפי התקשוב ותרבות ניהולית לקויה מונעים מישראל ליישם בהצלחה טכנולוגיות בסיסיות המקובלות מזה שני עשורים ברחבי העולם.
המבקר קורא למערך הדיגיטל הלאומי ולממשלה לקבוע לוחות זמנים נוקשים, לקדם אסדרה שתחייב את כלל הגופים הציבוריים והסטטוטוריים להתחבר למערכת האחודה, ולטפל באופן מיידי בפרצות הסייבר הבוערות שמסכנות את ביטחון המדינה ואת פרטיות אזרחיה.
פוליטיקה ארגונית, ביזור סמכויות, פערים בתקצוב ותרבות ניהולית לקויה מונעים מישראל ליישם טכנולוגיות המקובלות מזה עשורים ברחבי העולם
ממערך הסייבר נמסר בתגובה לפרסום הדוח: הממצאים מדגימים בצורה ברורה את מה שמערך הסייבר הלאומי מקדם בחוק הגנת הסייבר: בתקופה שבה איומי הסייבר הפכו לאיום יומיומי על רציפות תפקודית, שירותים ציבוריים ומידע רגיש, לא ניתן להסתמך על גישה שבה כל גוף קובע לעצמו מהי רמת ההגנה הנדרשת, אילו סיכונים לנהל ובאילו תחומים להשקיע.
המציאות הזו יוצרת פערים משמעותיים ברמת ההגנה בין גופים שונים ומובילה לחולשות מערכתיות שעלולות להשפיע על המשק כולו. זו בדיוק מטרתו של חוק הגנת הסייבר, שאושר אמש בממשלה כהכנה לקריאה ראשונה - לקבוע מסגרת לאומית אחידה, ברורה ומחייבת, המבוססת על סטנדרטים מקובלים בעולם המערבי, בדומה לרגולציות מתקדמות הנהוגות במדינות מערביות.
החוק נועד לייצר שפה מקצועית אחידה, לקבוע רף בסיסי מחייב לניהול סיכוני סייבר, לחזק מוכנות ודיווח על אירועים, ולהבטיח שרמת ההגנה על שירותים ותשתיות חיוניות לא תהיה תלויה רק בשיקול דעת מקומי או בפערי משאבים וידע בין ארגונים.
תגובת מערך הדיגיטל הלאומי: מערך הדיגיטל הלאומי פועל בשיתוף פעולה מלא עם משרד מבקר המדינה וכבר יישם את מרבית המלצותיו. יחידת ההגנה בסייבר (יה"ב) במערך פיתחה מערך בקרות לבחינת עמידות משרדי הממשלה בהיבטי סייבר, ומקיימת קשר רציף עם המשרדים, הנדרשים לבצע בדיקות תקופתיות לצורך בחינת עמידה במדד ובהנחיות ההגנה.
בסוף שנת 2024 עשה המערך שימוש בכלי עבודה מרחוק ("כלי י"ג"), שבו התגלו פגיעויות מסוימות. עם פרסום הפגיעויות פעל המערך באופן מיידי לטיפול בהן. בינואר 2025, בעקבות גילוי חולשת אבטחה קריטית וניסיונות תקיפה שנצפו, התקבלה החלטה יזומה להשבית באופן גורף את המערכת, במטרה להגן על רשתות הממשלה ולמנוע פגיעה רחבה בתשתיות הממשלתיות.
במקביל, הוביל מינהל הרכש הממשלתי רכש מרכזי של תשתית חלופית במסגרת מכרז ה-SSE, המבוססת על תפיסת Zero Trust ("אפס אמון"). מדובר בטכנולוגיה מתקדמת המספקת מעטפת הגנה רחבה ומתקדמת, מעבר לחיבור מאובטח בלבד.
מערך הדיגיטל הלאומי מתמודד בשנים האחרונות עם איומי סייבר דינמיים וחסרי תקדים. הצעדים המניעתיים שננקטים, לצד הטמעת טכנולוגיות מתקדמות, מבטיחים את המשך ההגנה על מערכות הממשלה באופן רציף ואפקטיבי.
מערך הדיגיטל הלאומי הקים תשתית ממשלתית רוחבית לביצוע שירותים מזוהים, המיועדת לכלל אזרחי ישראל תוך הזדהות פשוטה ונוחה באופן מאובטח התואם להנחיות הרגולטוריות הנדרשות. בתוך כך, המערך פועל ליישום מדיניות "פעם אחת" שתאפשר ביצוע שירותים מממשלתיים תוך ביצוע זיהוי אחיד וחיבור שירותים ממשלתיים של כלל משרדי הממשלה לאזור האישי הממשלתי. המערך פועל כל העת אל מול המשרדים לחיבור לתשתיות חשובות אלה, על מנת לשפר את השירות לאזרחי ישראל.
