מחדל חמור בעת מלחמה: "מערכות קריטיות הושארו ללא הגנה"

שירותי הגנת הסייבר, מערכי הטכנולוגיה והשירות הדיגיטלי לאזרחי ישראל סובלים מפגיעות דרמטית, רשלנות מתמשכת וגרירת רגליים תפעולית ותקציבית. שורת דוחות חמורה שמפרסם היום (שלישי) מבקר המדינה, מתניהו אנגלמן, מציירת תמונה מדאיגה של הפקרות דיגיטלית במערכות הציבוריות והביטחוניות הרגישות ביותר במדינה. בזמן שהאיומים הביטחוניים על ישראל שוברים שיאים, המערך הממשלתי מותיר מערכות קריטיות ומידע אסטרטגי חשופים לחלוטין.

מערכת ההזדהות הלאומית והאזור האישי הממשלתי, שעלו לאוויר כבר בשנת 2019, היו אמורים להוות את חזית המהפכה הדיגיטלית של ישראל ולאפשר לאזרחים גישה אחודה, מאובטחת ונגישה לשירותי הממשל. אולם, דוח מיוחד חושף תמונה עגומה של יישום איטי וחלקי ביותר, שמותיר את ישראל הרחק מאחור. נכון לסוף שנת 2024, אף שרשומים במערכת כ-4.6 מיליון אזרחים, רובם הגדול אינו יכול ליהנות מקבלת מרבית השירותים הציבוריים באופן מקוון ומרוכז.

Highlights

• זינוק מבהיל של 500% באירועי סייבר בנציגויות משרד החוץ בעולם בזמן המלחמה.
• 65% ממשרדי הממשלה המשיכו לעבוד על תשתית פרוצה בניגוד להנחיה מפורשת.
• אפס מבדקי חדירה בוצעו במערך העבודה מרחוק של הרשות המקומית לכבאות והצלה.
• רק 16% מהשירותים הממשלתיים שמופו חוברו בפועל למערכת ההזדהות הלאומית.
• 15 רשויות מקומיות בלבד מתוך 258 מחוברות למערך הדיגיטל הממשלתי האחוד.

הכישלון הדיגיטלי מול האזרח

הממצאים בדוח מראים כי רק 16% מהשירותים הממשלתיים שמופו עד כה חוברו בפועל למערכת ההזדהות הלאומית. מתוך כ-1,800 טפסים ממשלתיים מקוונים מזוהים, רק כ-400 (כ-23% בלבד) מנוהלים דרך המערכת, בעוד מאות טפסים אחרים המיועדים לציבור עדיין אינם מקוונים כלל ומוצעים להדפסה ולמילוי ידני בלבד.

המצב חמור במיוחד בגופים הציבוריים. מתוך 11 בתי חולים ממשלתיים כלליים בארץ, רק בית חולים אחד מחובר למערכת ההזדהות. בזירת השלטון המקומי התמונה קשה לא פחות - רק 15 רשויות מקומיות מתוך 258 (כ-6% בלבד) ניצלו את אפשרות החיבור למערכת הלאומית.

האזור האישי הממשלתי, שנועד לרכז מידע, התראות וביצוע פעולות, מציע כיום שירות דל ביותר. מתוך אלפי שירותים שהממשלה מציעה, רק 233 הונגשו באזור האישי והעסקי. נקודת האור היחידה שנרשמה היא השימוש להפקת רישיונות רכב, שבוצע 3.2 מיליון פעמים בשנת 2024. המבקר מצביע על פערים משמעותיים בחוויית המשתמש ועל היעדר תמונת מצב ממשלתית כוללת, ומדגיש כי חוסר ההיענות של משרדי הממשלה והגופים הציבוריים פוגע באופן ישיר ביכולת של אזרחי המדינה לקבל שירותים יעילים ונגישים.

מחדל הדיפלומטים

משרד החוץ, האחראי על ניהול המידע המדיני והדיפלומטי הרגיש של מדינת ישראל, מהווה יעד אסטרטגי קבוע ומרכזי למתקפות סייבר מצד גורמים עוינים, בהם האקרים עצמאיים ומדינות אויב דוגמת איראן, וכן ארגוני טרור כמו חיזבאללה וחמאס. אולם דוח המבקר חושף כי רמת ההגנה על המידע ברשתות מסוימות במשרד אינה עומדת בדרישות הגורמים המנחים, ומערכות התקשוב סובלות מפערים תקציביים וטכנולוגיים קשים.

הממצא המדאיג ביותר בדוח נוגע לתקופת מלחמת "חרבות ברזל": במהלך המלחמה נרשם זינוק דרמטי של כ-500% באירועי הגנת מידע וסייבר ב-109 נציגויות ישראל ברחבי העולם. בשנת 2023 לבדה התרחשו מאות אירועי הגנת מידע בנציגויות, שכללו בין היתר ניסיונות פריצה ישירים לחשבונות הדואר האלקטרוני של עובדי השגרירויות. בין השנים 2020 ל-2024 אירעו אירועי סייבר חריגים ומתמשכים ברשתות המחשוב של המשרד. במבדק חוסן מיוחד שביצע משרד מבקר המדינה, זוהו 15 ממצאים שונים ברמות סיכון משתנות, חלקן ברמת סיכון גבוהה ביותר.

הביקורת מעלה כי מסמך מדיניות הגנת הסייבר ואבטחת המידע של משרד החוץ לא עודכן מאז שנת 2018, למרות השינויים המהותיים במפת האיומים העולמית. בנוסף, נמצאו ברשתות המשרד ספריות משותפות שהיו פתוחות לחלוטין לכלל משתמשי הרשת, ותשתיות ומערכות מידע רבות הוגדרו כפגות תוקף (EOL) או ככאלו הדורשות שדרוג מיידי.

כל זאת מתרחש כאשר תקציב הסייבר של המשרד לשנת 2024 עמד על כ-13 מיליון שקלים בלבד, מתוך תקציב תקשוב כולל של כ-85.3 מיליון ש'לים (המהווה 4.5% בלבד מסך תקציב המשרד). המבקר מתריע כי מדובר באיום ביטחוני ואסטרטגי לאומי המחייב התערבות דחופה של המנכ"לים והגורמים המנחים.

רשלנות מודעת

המעבר המתרחב של מאות אלפי עובדי המגזר הציבורי לעבודה מרחוק - יום בשבוע בשגרה, ובהיקפים נרחבים בעיתות משבר כמו מלחמת חרבות ברזל - יצר גמישות תפעולית אך גם חשף את רשתות המדינה לסיכוני סייבר חסרי תקדים. דוח מבקר המדינה בדק את המוכנות של גופי החירום המרכזיים - משטרת ישראל והרשות הארצית לכבאות והצלה (כב"ה) - וכן של מערך הדיגיטל הלאומי ומשרדי הממשלה, ומצא פערים ביטחוניים חמורים ורשלנות יישומית.

הממצא המדהים והחריג ביותר בדוח נוגע להתנהלות מערך הדיגיטל ומשרדי הממשלה: מערך הסייבר הלאומי זיהה חולשות קריטיות בתשתית העבודה מרחוק של הממשלה, חולשות אשר נוצלו לרעה בפועל על ידי תוקפים, והנחה להפסיק את השימוש בה לאלתר. למרות ההנחיה החד-משמעית, מערך הדיגיטל ו-65% ממשרדי הממשלה המשיכו להשתמש בתשתית הפרוצה הזו במשך עשרה חודשים ארוכים, ורק בינואר 2025 הופסק השירות סופית.

בגופי החירום התמונה מדאיגה לא פחות. ללוחמי האש של כב"ה ישנה גישה לעבודה מרחוק ישירות מהשטח והכבאיות, אך הביקורת חשפה כי עד לביצוע הבדיקה של מבקר המדינה, לא בוצעו כלל מבדקי חדירה במערכת זו. במשטרה, שבה אלפי מחשבים ניידים וטאבלטים משמשים את השוטרים לעבודה מרחוק ולחיבור למערכות הארגון, נמצאו פערים במוכנות וביישום ההנחיות האסדרתיות של הגופים המדינתיים.

המבקר מדגיש כי מערכות העבודה מרחוק הפכו לרכיב קריטי בתפקודו של מערך הביטחון הלאומי ולשמירה על הרציפות התפקודית, וכי הפערים שנחשפו מהווים נקודת תורפה מסוכנת שחובה לתקן באופן מיידי כדי למנוע שיבוש של שירותי חירום חיוניים.

בשורה התחתונה, דוחות המבקר מציגים תמונה מדאיגה. מדינת ישראל נכשלת הן בהגנה על נכסיה הדיגיטליים הרגישים ביותר מפני פצחני אויב, והן באספקת שירות מודרני, יעיל ומאובטח לאזרחיה. המבקר קורא למנכ"לי משרדי הממשלה, למערך הסייבר ולמערך הדיגיטל הלאומי להתעורר, להדק את הפיקוח ולבצע שינוי תפיסתי ומבני דחוף - לפני שהפרצה הבאה תעלה במחיר אסטרטגי כבד.