דו"ח מבקר המדינה 2023 על סיכוני סייבר חמורים וליקויי אבטחה רבים הדורשים תיקון
מאת:
מערכת Telecom News, 16.5.23, 16:00
בדו"ח 7 פרקים: שימוש בתעודות זהות ובדרכונים ביומטריים ואבטחתם, אבטחת הסייבר בשירות בתי הסוהר, הגנת הסייבר בביטוח לאומי, מבדק חדירה לתשתית ולרשת התקשורת במרכז רפואי, הגנת הפרטיות במערכות המרכז לגביית קנסות ואגרות ברשות האכיפה והגבייה, התקשרויות בפטור ממכרז בתחום התקשוב, הנגשה דיגיטלית לאנשים עם מוגבלות.
להלן עיקרי הדברים:
שימוש במסמכי זיהוי ביומטריים - תעודות זהות ודרכונים
בשנתיים הקרובות צפוי לפוג תוקף תעודות הזהות של 3.6 מיליון תושבים, מה שיגדיל את העומס על לשכות האוכלוסין. 45% מבעלי תעודות הזהות עדיין מחזיקים בתעודות זהות מהסוג הישן. 2.9 מיליוני תושבים - 37% מבעלי הדרכונים עדיין מחזיקים בדרכונים מהסוג הישן הקלים לזיוף. לשימוש בתעודות אלה השלכות בהיבטים פליליים וביטחוניים. פחות מ- 1% מהתושבים, שנכנסו למערכת ההזדהות הלאומית, השתמשו בתעודת הזהות החכמה כדי לקבל שירותים דיגיטליים זאת אף שההזדהות באמצעותה בטוחה יותר. בחציון 2022 אירעו 400 ניסיונות כניסה לארץ באמצעות מסמכי זיהוי מזויפים. הדו"ח חושף פרצות ממשיות בביקורת הגבולות בנתב"ג העלולות לאפשר לגורמי פשיעה וטרור במיוחד זרים להיכנס לארץ ולצאת ממנה.
הביקורת העלתה ליקויים בכמה תחומים עיקריים: עיכוב משמעותי במעבר לתיעוד לאומי ביומטרי, היעדר שימוש בתעודות הזהות החכמות בשל חסמים משפטיים וטכנולוגיים, ליקויים בשמירה על נתונים ביומטריים במערכות הממוחשבות של רשות האוכלוסין וההגירה, וקושי בהתמודדות עם הגידול בביקוש להנפקת מסמכי זיהוי ביומטריים.
ב-580,000 תעודות זהות חכמות הוטבע שבב בעל נפח זיכרון קטן, ובעליהן כלל לא יוכלו להשתמש בתעודת הזהות שברשותם לשם קבלת שירותים הדורשים אימות זהות ביומטרי.
מפעל הדרכונים של רשות האוכלוסין מצויד במדפסות מיושנות להנפקת דרכונים ביומטריים, והייצור התלוי בהן אינו נותן מענה על הביקוש לדרכונים ביומטריים. נכון לספטמבר 2022 רשות האוכלוסין עדיין לא סיימה את תהליך החלפת המדפסות למדפסות מתקדמות. בנוסף, לרשות אין מדפסות באתר הגיבוי להדפסת דרכונים ביומטריים במקרה של השבתת מפעל ההנפקה.
בשנתיים הקרובות (2024-2023) צפוי לפוג תוקף תעודות הזהות של 3.6 מיליון תושבים (תעודות זהות מהסוג הישן ותעודות זהות ביומטריות שתוקפן צפוי לפוג). המחזיקים בתעודות אלו צפויים להגיע ללשכות רשות האוכלוסין כדי להנפיק מסמכי זיהוי חדשים. זאת נוסף על הפניות השוטפות ללשכות הרשות. המענה שגיבשה הרשות בעניין עומס הפניות הצפויות בלשכותיה בשנים הבאות - הצבת עמדות שירות עצמי - ייתן מענה חלקי: העמדות לא תיתנה מענה ל-3.9 מיליון תושבים, שנכון לספטמבר 2022 אין בידם מסמכי זיהוי ביומטריים.
מומלץ שרשות האוכלוסין תפעל לאחד את מועדי החידוש של 2 מסמכי הזיהוי הביומטריים - תעודת זהות ודרכון, כדי להקל את העומסים העתידיים ולשפר את השירות לציבור באופן שיידרש להגיע פעם אחת בלבד לחידוש מסמכי הזיהוי.
בעניין אבטחת המידע, נמצא, שכדי שרשות המאגר הביומטרי הלאומי תוכל לממש את תפקידה - מניעה של זיוף זהות והרכשה כפולה - עליה להיות מצוידת במערכת השוואה ביומטרית. רק בדצמבר 2022 רשות המאגר הביומטרי הלאומי פרסמה את השלב הראשון במכרז לרכישת מערכת השוואה ביומטרית המתאימה. לדברי משרד הפנים, המערכת צפויה להיות מוטמעת לקראת הרבעון הרביעי ב-2024.
כ"כ, לצד המאגר הביומטרי הלאומי, רשות האוכלוסין מחזיקה במערכות המידע שלה מאגרי תמונות פנים של מיליוני תושבים. בשל ההתפתחות הטכנולוגית, תמונות הפנים הן באיכות ביומטרית, ועל כן החזקת המאגרים אינה עולה בקנה אחד עם הוראות החוק. כ"כ, רמת ההגנה על מאגרים אלה פחותה מזו של המאגר הביומטרי הלאומי. נמצא נכון לאוקטובר 2022, שהרשות עדיין לא גיבשה פתרון לנושא.
טכנולוגיות דיגיטליות ואבטחת המידע והסייבר בשירות בתי הסוהר
נמצא פער בין מהותו של הארגון, אופיו, המידע המוחזק בו והסיכונים הנוגעים לפעילותו לבין התרבות התפקודית הרווחת בו בכל הנוגע לניהול המידע המסווג ואבטחתו במערכות המחשוב שלו. נחשפה הזנחה רבת שנים לפיה תחומי האחריות והסמכות של השב"ס ושל הרגולטורים בתחום אבטחת המידע המסווג והסייבר, אינם מיושמים.
בבדיקה הועלו פערים משמעותיים, שעומדים בניגוד לפרקטיקה המחייבת בגופים מקבילים בכל אחד מהתחומים הבאים: טיפול במידע דיגיטלי מסווג ובמסמכים מסווגים, הסדרת הטיפול במידע ביטחוני מסווג באמצעות נוהלי אבטחה, שמירה וסיווג מסמכים, טיפול במידע מסווג המתקבל מגורמים חיצוניים, הסדרת הסיווג הביטחוני של עובדים בשב"ס, שימוש באמצעי תקשורת.
בבדיקה הועלו פערים משמעותיים, שעומדים בניגוד לפרקטיקה המחייבת בגופים מקבילים, בכל אחד מהנושאים הללו: הגנת הסייבר על חלק מהמערכות, ביצוע סקרי סיכונים באבטחת מידע וסייבר וביצוע מבדקי חדירה, היערכות לניהול אירועי סייבר, ניהול משתמשים והרשאות, תהליכי הפיתוח של רשת מחשב מסווגת.
הביקורת חושפת מציאות רבת שנים שלפיה תחומי האחריות והסמכות של השב"ס ושל המאסדרים בתחום אבטחת המידע המסווג והסייבר ובתחום הטכנולוגיות הדיגיטליות ומערכות המידע אינם מיושמים, הלכה למעשה, באופן תקין וכנדרש. נמצאו פערים יסודיים בתוכנית התאוששות מאסון של המערכות הטכנולוגיות בשב"ס.
תמונת המצב, שעולה מהביקורת, היא תוצאה של הזנחה רבת שנים, שבמהלכן לא הייתה משילות טכנולוגית שהניחה יעדים, קבעה תהליכים, הקצתה משאבים, וניהלה כראוי את הסיכונים והמתודולוגיות הארגוניות בתחום הטכנולוגי.
אסדרת הגנת הסייבר במוסד לביטוח לאומי
נכון לנובמבר 2022, במוסד לביטוח לאומי (בט"ל) מתבצעות בכל יום כ-2.9 מיליון תקיפות סייבר בממוצע, ומהן כ-66,000 תקיפות, שיש בהן פוטנציאל לנזק. עם זאת, 20 עובדים, כאשר 6 מהם סטודנטים, מבצעים את הפיקוח על אבטחת המידע בביטוח הלאומי. לשם השוואה, על תחום התקשוב וההגנה בצה"ל מופקד קצין בדרגת אלוף. בביקורת עלה, שאין גוף מאסדר לבט"ל בתחום הגנת הסייבר המנחה אותו והמפקח עליו בתחום זה.
ביקורת סייבר במרכז הרפואי א' - מבדק חדירה על התשתית ורשת התקשורת
מגזר הבריאות היה אחד מעשרת המגזרים המותקפים ביותר בישראל ב-2021. עלות שיקום המרכז הרפואי הלל יפה אחרי מתקפת הסייבר, שאירעה באוקטובר 2021, עמדה על כ-36 מיליון ₪.
במבדק חדירה שביצע משרד מבקר המדינה זוהו 13 ממצאים משמעותיים ב-5 תחומים: סגמנטציה ובקרת זרימה, בקרת גישה לרשת, הגנת עמדות ושרתים, תוכנה לא עדכנית וגישה לא מאובטחת. 10 מהממצאים היו בדרגת חומרה גבוהה ו-3 בדרגת חומרה בינונית. באופן שוטף.
מומלץ, שמשרד הבריאות יבחן את ממצאי מבדק החדירה שבוצע ויפעל להטמיע בכלל המוסדות הרפואיים את ההמלצות המתבססות על ממצאי המבדק.
הגנת הפרטיות ואבטחת המידע במערכות המרכז לגביית קנסות, אגרות והוצאות ברשות האכיפה והגבייה
מאגר המידע של המרכז לגביית קנסות (מג"ק) כולל מידע רגיש בנוגע לכ-3 מיליון חייבים. אף שהמערכת התפעולית של המרכז לגביית קנסות מוגדרת כמאגר המחייב רמת אבטחה גבוהה, נמצאו ליקויים בתחום הגנת הפרטיות ואבטחת המידע במערכות המידע במרכז לגביית קנסות שברשות האכיפה והגבייה.
בין הליקויים שעלו: היעדר תיעוד של הגישה של משתמשי המערכת התפעולית של המג"ק למידע המצוי במערכת וכפועל יוצא מכך היעדר בקרה על אותה גישה, אי-ביצוע מעקב הולם אחר אירועים חריגים המתרחשים במערכת, ניהול לקוי של תהליך מתן ההרשאות למערכת התפעולית של המג"ק ושל הפיקוח והבקרה עליהן, היקף גישה בלתי מוגבל של משתמשי המערכת למידע המצוי בה, ניהול לקוי של הרשאות עובדי מוקד המידע הטלפוני למערכת, סיכון לחדירת תוקפים חיצוניים למערכות המג"ק.
נמצא, ש-7% בלבד מהאירועים החריגים, שהתרחשו בספטמבר ,2022 נבדקו ע"י גורמי הבקרה במג"ק. 14 הרשאות של עובדי מוקד המידע הטלפוני של מג"ק לא הוסרו למרות שכבר סיימו את עבודתם במוקד.
התקשרויות בפטור ממכרז בתחום התקשוב
נמצא, שהיקף הרכש התקשובי, שבוצע בפטור ממכרז בשנים 2019-2021, היה כ-1.79 מיליארד ש"ח, והוא היה כ-14.2% מסך הרכש התקשובי באותן שנים. נמצאה שורה של ליקויים בתחום הרכש, בדגש על התקשרויות בפטור ממכרז בתחום התקשוב. 61% מההתקשרויות בפטור ממכרז בתחום התקשוב בוצעו בעילת ספק יחיד, והשימוש, שעושים הגופים הממשלתיים בפטור ממכרז בעילת ספק יחיד ובעילת התקשרות של עד 50,000 ש"ח ברכש התקשובי גדול במאות אחוזים מהשימוש בהם ברכש הכללי. 40% מהפרסומים של התקשרויות פטורות ממכרז חסרו מידע מהותי הנדרש על פי דין. 25% מהגופים הממשלתיים לא הגישו את הדיווחים הנדרשים ל-2021 ליחידה הממשלתית לחופש המידע.
הנגשת שירותי ממשל בעידן הדיגיטלי לאנשים עם מוגבלות ולציבור שאינו משתמש במדיה דיגיטלית
נבדקו ב-2022 הנגישות של השירותים הדיגיטליים של גופי הממשל לאנשים עם מוגבלויות, שמהווים 17% מן האוכלוסייה והמענה הממשלתי לציבור שממעט להשתמש במדיה הדיגיטלית או אינו משתמש בה כלל. ציבור זה מונה 3 קבוצות עיקריות הכוללות בני 60 ומעלה וכן בני 20 ומעלה מן החברה החרדית ומן החברה הערבית. מדובר ביותר מ-3 מיליון אזרחים, כשליש מאוכלוסיית ישראל וכמחצית מהאוכלוסייה הבוגרת במדינה.
נמצא לגבי ההנגשה לאנשים עם מוגבלות, ש-57% מ-23 גופי ממשל, שהשתתפו בסקר, שערך משרד מבקר המדינה (13 גופים) דיווחו, שלא הנגישו את כל התכנים והשירותים, שנדרש להנגיש, באתר האינטרנט הראשי שלהם, שמספק מידע ושירות לציבור. כ-50% מהגופים, שהשתתפו בסקר, הנגישו לכל היותר רק חלק מהמסמכים, שנדרש להנגיש על פי הוראות הדין באתרי האינטרנט הציבוריים שלהם. הסקר העלה עוד, ש-43% מהגופים הממשלתיים עדיין לא עשו בדיקת נגישות של אתר האינטרנט שלהם, בדיקה שנדרש לבצע אחת ל-5 שנים.
הדו"ח התמציתי עם סרטון ופודקאסט -
כאן.
קבצי הדוחות המפורטים -
כאן.