
"פערים היוצרים סיכון ממשי" | דו"ח המבקר בנושאי סייבר
מבקר המדינה מתניהו אנגלמן פרסם היום (רביעי) דו"ח בנושאי סייבר ומערכות מידע. בנושא השימוש במסמכי זיהוי ביומטריים - תעודות זהות ודרכונים, ממצאי הדו"ח העלו ליקויים מהותיים בכמה תחומים עיקריים: האחד, עיכוב משמעותי במעבר למסמכי זיהוי ביומטריים והיעדר שימוש בהם. השני, קיומן של פרצות ממשיות בכניסה וביציאה של ישראלים וזרים דרך נתב"ג. השלישי, פערים בשמירה על נתונים ביומטריים. הרביעי, קשיים בהתמודדות עם העלייה בביקוש להנפקת מסמכי זיהוי ביומטריים.
נוכח חומרת ממצאי הביקורת, מומלץ כי "רשות האוכלוסין תפעל לתיקון הליקויים שהועלו בדוח, וכי שר הפנים יוודא שנעשות פעולות לתיקון הליקויים בתחומים האמורים, ובכלל זאת יוודא כי ליקויים בתחום הביטחון וההגנה על המידע יתוקנו בתיאום עם הגורמים המקצועיים האמונים על כך: השב"כ, המשטרה ומערך הסייבר הלאומי".
בנושא טכנולוגיות דיגיטליות ואבטחת המידע והסייבר בשירות בתי הסוהר, הדו"ח חשף פערים היוצרים סיכון ממשי, ולהלן עיקריו: נמצא פער יסודי בין מהותו של הארגון, אופיו, המידע המוחזק בו והסיכונים הנוגעים לפעילותו לבין התרבות התפקודית הרווחת בו, בכל הנוגע לאבטחת מידע וניהול המידע המסווג. קיימת אי-ודאות תקציבית ממשית באשר למימוש המענה המתוכנן בתוכנית "קברניט" למכלול הפערים הטכנולוגיים והאבטחתיים. תמונת המצב העולה מדוח זה היא תוצאה של הזנחה רבת שנים שבמהלכן לא הייתה משילות טכנולוגית שהניחה יעדים, תהליכים, משאבים, ניהול סיכונים ומתודולוגיות ארגוניות בתחום הטכנולוגי.
הדו"ח חושף מציאות רבת שנים לפיה תחומי האחריות והסמכות של השב"ס ושל הרגולטורים בתחום אבטחת המידע המסווג והסייבר, ובתחום טכנולוגיות דיגיטליות ומערכות מידע אינם מיושמים, הלכה למעשה, באופן תקין וכנדרש. נמצאו פערים יסודיים בתכנית התאוששות מאסון של המערכות הטכנולוגיות בשב"ס. בדו"ח זה העוסק בשב"ס, "המשרד לביטחון לאומי והשר העומד בראשו נושאים באחריות לתפקוד מערך הכליאה בישראל ובמסגרת זו עליהם להבטיח כי השב"ס ממלא תפקידו".
בנושא אסדרת הגנת הסייבר במוסד לביטוח לאומי, נוכח היקפי המידע השמורים בבט"ל והסיכונים לדליפתו מומלץ כי "ועדת ההיגוי תקדם את הבחינה של בט"ל כגוף תמ"ק" וכי "עד סיום הבחינה יוסדר ממשק מקצועי בין מס"ל לבט"ל לצורך מתן מענה ישיר, העברת דיווחים, בקרה על תיקון הליקויים וכיו"ב. כמו כן מומלץ כי ועדת ההיגוי תבחן אם יש עוד גופים בעלי מאגרי מידע בהיקפים הדומים לבט"ל שיש לבחון את הגדרתם כגופי תמ"ק, ובכך תשפר את ההגנה על התשתיות החיוניות של מדינת ישראל".
בנושא ביקורת סייבר במרכז הרפואי א' - מבדק חדירה על התשתית ורשות התקשורת, בדו"ח זוהו בו 13 ממצאים הנוגעים לפגיעויות באבטחה של תשתיות הרשת הפנימית של המכשור הרפואי, שעשרה מהם היו בדרגת חומרה גבוהה.
מומלץ כי "משרד הבריאות, כמאסדר בתחום הבריאות, ישלים את ביצוע מבדקי החדירה שהחל לבצע בכלל המוסדות הרפואיים בארץ, ובמסגרת התוכנית שיגבש הוא יקבע מתכונת עיתית להמשך ביצוע מבדקי חדירה בכלל המוסדות".
בנושא הגנת הפרטיות ואבטחת המידע במערכות המרכז לגביית קנסות, אגרות והוצאות ברשות האכיפה והגבייה, הדו"ח העלה ליקויים בתחום הגנת הפרטיות ואבטחת המידע במערכות המידע במרכז לגביית קנסות שברשות האכיפה והגבייה, וביניהם: היעדר תיעוד של הגישה של משתמשי המערכת התפעולית של המג"ק למידע המצוי במערכת וכפועל יוצא מכך היעדר בקרה על אותה גישה; אי-ביצוע מעקב הולם אחר אירועים חריגים המתרחשים במערכת; ניהול לקוי של תהליך מתן ההרשאות למערכת התפעולית של המג"ק ושל הפיקוח והבקרה עליהן; היקף גישה בלתי-מוגבל של משתמשי המערכת למידע המצוי במערכת; ניהול לקוי של הרשאות עובדי מוקד המידע הטלפוני למערכת; וכן סיכון לחדירת תוקפים חיצוניים למערכות המג"ק.
ליקויים אלה "אינם עולים בקנה אחד עם הוראות הדין". על רשות האכיפה והגבייה והמג"ק "לפעול בהקדם על פי הנחיות הגופים הרלוונטיים למניעת דליפת מידע מהארגון ולשמירה על שלמותו".
בנושא הנגשת שירותי ממשל בעידן הדיגיטלי לאנשים עם מוגבלות ולציבור שאינו משתמש במדיה הדיגיטלית, ממצאי הסקר הטלפוני העלו כי החסמים העיקריים לשימוש בערוצים הדיגיטליים הם קושי טכנולוגי ואי-החזקת אמצעי חיבור למרשתת. בביקורת עלה כי גם במסגרת פנייה לערוצי שירות מסורתיים מתבקשים האזרחים להציג אמצעי דיגיטלי או כרטיס אשראי; חוסר באמצעי כגון חיבור למרשתת, כתובת דואר אלקטרוני, טלפון חכם לקבלת סיסמה וכן כרטיס אשראי, מנע במקרים מסוימים, מ-31% מהמשיבים לסקר לקבל שירות ממשלתי בערוצים המסורתיים.
בנושא התקשרויות בפטור ממכרז בתחום התקשוב, ממצאי הדו"ח מצביעים על שורה של ליקויים בתחום הרכש בדגש על התקשרויות בפטור ממכרז בתחום התקשוב, העיקריים שבהם: המידע שמפורסם לציבור על ידי מינהל הרכש ומערך הדיגיטל בתחום הרכש אינו תואם את המידע במערכת מרכב"ה (בהפרש של 1.2 - 4.2 מיליארדי ש"ח) ובכך נפגעת השקיפות לציבור ויכולות הבקרה על פעילות הרכש הממשלתי; שימוש של הגופים הממשלתיים בפטור ממכרז בעילת ספק יחיד בהיקף של 1.1 מיליארד ש"ח בשנים 2019 - 2021 (כ-2,300 הזמנות רכש) ובעילת התקשרות עד 50,000 ש"ח ברכש התקשובי בהיקף של 161 מיליון ש"ח בשנים אלו (כ-16,000 הזמנות רכש), היקפים הגבוהים בלמעלה מפי 6 ומפי 3 בהתאמה מהשיעור המקביל בביצוע הרכש הכללי (שאינו תקשובי); ואי עמידה בהוראות הדין הנוגעות לפרסום התקשרויות: אי-פרסום מידע מהותי לציבור; טעויות במידע המפורסם; וסיווג התקשרויות כרגישות שלא לצורך.
נא שימרו על שפה נקייה אשר מכבדת אתכם
