מבקר המדינה ונציב תלונות הציבור, מתניהו אנגלמן, פרסם היום את הדו"ח השנתי בנושא סייבר ומערכות מידע. במסגרת הדו"ח, בדק משרד המבקר את מערכות מידע ואבטחת מידע וסייבר במשרד החוץ, אבטחת מערכות המידע במשרד הבינוי והשיכון, הגנת הסייבר בעבודה מרחוק בעיתות שגרה וחירום ואת שילוב מערכת ההזדהות הלאומית והאזור האישי הממשלתי. המבקר קבע כי כלל משרדי הממשלה חייבים בבדיקה מעמיקה של מספר סוגיות יסוד לגבי הסיכונים בתחום הסייבר, פוטנציאל הנזק, חיזוקי מנגנוני הפיקוח והרגולציה, שיפור תקצוב תחום התקשוב ואבטחת המידע ושיפור התרבות הארגונית הלקויה. הנושאים המרכזיים בהם הדו"ח קובע כי קיימים פערים כוללים:

ליקויים של משרד החוץ בניהול ופיתוח מערכות מידע, תחום אבטחת המידע והגנת הסייבר – העדר תוכנית עדכנית להתאוששות מאסון, העדר ביצוע של תהליכי תחקור והפקת לקחים, ניהול לקוי של סיכוי התקשוב, נהלים חסרים ולא מעודכנים, פערים ברמת ההגנה הנדרשת, אי עמידה בדרישות חוק הגנת הפרטיות ותקנותיו, בעיות הרשאות גישה רחבות מדי ועוד.

המבקר הדגיש כי קיים פער טכנולוגי מתמשך במערכות המחשוב של משרד החוץ של שנים רבות ועל תרבות ארגונית שאינה הולמת את איום הייחוס שהוגדר למשרד החוץ, למרות שבמהלך מלחמת "חרבות ברזל", חל גידול של כ500% באירועי הגנת מידע בנציגויות ישראל בחו"ל, ואירעו מאות אירועים בשנת ,2023. המבקר הפציר במנכ"ל משרד החוץ להכין תוכנית עבודה סדורה ומפורטת, כדי לתעדף את הטיפול בכלל הפערים שהועלו ולצמצם את הסיכונים הקיימים, במעקב השב"כ.

ליקויים באבטחת מערכות המידע של משרד הבינוי והשיכון - פערים בבקרת הרשאות גישה, אי-מיצוי תהליכי ניהול סיכונים, היעדר מנגנוני התרעה מספקים ואי-השלמת רישום של מאגרי מידע כנדרש בדין, למרות עליה ניכרת בהיקף התרעות הסייבר (כ-130% בשנת 2024) והחזקה במיליוני רשומות ובהן מידע אישי ורגיש על אזרחים, זכאים לדיור וקבלנים.

המבקר מצא, כי ועדת היגוי הסייבר של משרד הבינוי והשיכון לא בחנה ולא אישרה את מיפוי וסיווג נכסי המידע של המשרד, מיעטה לדון בממצאי סקרים ומבדקים, ולא קבעה תכנית להפחתת הסיכונים שנמצאו. בנוסף, מצא המבקר כי אין למשרד רשימה עדכנית של עובדי מיקור-החוץ שבאמצעותה ניתן לבדוק באופן שוטף אם עובדים שכבר אינם מועסקים בו עדיין מוגדרים כמשתמשים במערכת. משרד הבינוי גם לא הגדיר לגבי גישה למערכות המידע מה הן פעולות חריגות שמצריכות בדיקה, לא הסדיר מנגנונים אוטומטיים להתרעה מפניהן, ולא ווידא כי ספקי השירות שלו יבצעו סקרי סיכונים ומבדקי חדירה כנדרש.

הגנת הסייבר בעבודה מרחוק לא מספקת – נמצאו פערים במידת ההתאמה של מנגנוני ההגנה והבקרה לסיכונים הקיימים וליקויים במבדק חדירה שביצע משרד מבקר המדינה במערכת העבודה מרחוק של הרשות הארצית לכבאות והצלה.

בין היתר, מצא המבקר כי: הרשות להגנת הפרטיות צריכה לעדכן את מסמך הדגשים לעבודה מרחוק מ-2020; כ-65% ממשרדי הממשלה ממשיכים להשתמש במוצר טכנולוגי לעבודה מרחוק שהיו בו חולשות רבות, ובניגוד להנחיית מערך הסייבר הלאומי; מסמך מדיניות אבטחת המידע של הרשות הארצית לכבאות והצלה ושל המשטרה לא מתייחס כלל בנושא עבודה מרחוק, כאשר אין להן אפילו תוכנית המשכיות עסקית; הרשות הארצית לכבאות והצלה לא ביצעה מבדקי חדירה למערכות עבודה מרחוק כלל, והמשטרה ביצעה מבדק אחד ב-2025, 8 שנים אחרי המבדק האחרון.

המדיניות הממשלתית לקידום שירותים ציבוריים דיגיטליים באמצעות מערכת ההזדהות הלאומית והאזור האישי הממשלתי זכתה ליישום מוגבל בלבד – יישום המדיניות היה חלקי ואיטי, כאשר רק 16% מהשירותים שמופו מחוברים למערכת ההזדהות.

המבקר מצא כי אחרי עשור, ועל אף שורה של החלטות ממשלה נוספות שהתקבלו במהלך עשור זה בעניין מערכת ההזדהות והאזור האישי, אזרחי המדינה עדיין אינם יכולים ליהנות מקבלת מרבית השירותים הציבוריים באופן מקוון, מרוכז וידידותי. הפערים המרכזיים נמצאו בארבעה תחומים מרכזיים: היעדר תמונת מצב בדבר פוטנציאל השירותים לחיבור למערכת ההזדהות ממשלתית; חיבור חלקי בלבד של גופים ציבוריים למערכת ההזדהות הלאומית; חיבור חלקי בלבד של גופים ציבוריים ומיעוט שירותים ממשלתיים המונגשים לאזרח באזור האישי הממשלתי; ופערים בחוויית המשתמש בתהליך ההזדהות ובאזור האישי הממשלתי. המבקר קרא למערך הדיגיטל להכין תכנית עבודה מפורטת ולוחות זמנים להבטחת מימוש המדיניות.