מבקר המדינה מתניהו אנגלמן פרסם היום (ג') דוח חדש הבנוי משישה חלקים וסוקר את המוכנות של מערכים שונים לאפשרות של מתקפת סייבר. המבקר בדק את המוכנות במגזר התחבורה, בצה"ל, ברשות המסים, במערכת המים ובמערכות בחינות וציוני הבגרות.
● פרויקט 40 הצעירים המבטיחים של גלובס: ההרשמה נפתחת
● ביקשנו מהבינה המלאכותית לכתוב טקסט על יכולות הצ'אט שלה: כך זה נראה
צה"ל: מידע של חיילים עלול להיפרץ
המבקר בדק שלוש מערכות מידע שצה"ל מנהל ומטרתן זיהוי חללים. במערכות מנוהלים מאגרי מידע ביומטריים שכוללים מידע רפואי, אישי ורגיש של מאות אלפי חיילים, כולל טביעות אצבע ותצלומי שיניים.
ממצאי הדוח משקפים פערים משמעותיים באבטחת המידע במערכות אלה. חלק מהפערים מעידים על אי-קיום חלק מתקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר. בין היתר עלה כי בניגוד לתקנות, שדורשות ברמת אבטחה גבוהות, המערכות הצה"ליות הן בעלות חסינות בינונית בלבד.
עוד עלה כי אין גורם אחד שנושא באחריות לכל היבטי אבטחת המידע של מערכות אמצעי הזיהוי, זאת בניגוד למדיניות ההגנה של צה"ל. בנוסף, לאגף כוח-האדם אין תוכנית לבקרה על העמידה של המאגרים בתקנות, ולא בוצעה אף לא ביקורת אחת בנושא.
בנוסף, צה"ל לא בחן אחת לשנה - כנדרש בתקנות - אם שמור מידע עודף במאגרי אמצעי הזיהוי. בבדיקה עלה כי במאגרי אמצעי הזיהוי קיים מידע עודף, כמו מידע ביומטרי על חיילים אשר הלכו לעולמם ושלא בוצע לגביהם תהליך זיהוי. "מידע ביומטרי על נפטרים עלול לשמש ביתר קלות למטרת התחזות וגניבת זהות, שכן אין מי שיתלונן על השימוש שנעשה בו", ציין המבקר בדוח.
"ממצאי הדוח משקפים פערים משמעותיים באבטחת המידע המצוי במערכות רגישות אלה", סיכם המבקר. "הם מעידים על אי-קיום חלק מתקנות אבטחת מידע ועל אי-יישום דרישות שנכללו במסמכי מדיניות הגנת סייבר. מצב זה יוצר סיכון לפגיעה באמינות, בזמינות ובסודיות של המידע שבמאגרים".
מתניהו אנגלמן, מבקר המדינה / צילום: יוסי זמיר
מדובר צה"ל נמסר בתגובה: "צה"ל מודה למבקר המדינה על ביקורת זו ומתייחס בכובד-ראש לממצאיה. מרבית ההמלצות בנושא ניהול ואבטחת המידע הביומטרי התקבלו ונבחנו בצה"ל, והגופים הרלוונטיים החלו ביישומן.
"מאגר המידע הצבאי והמערכות המצוינות בדוח נמצאים בתוך הרשת הצה"לית המסווגת ואינם נגישים לגורמים חיצוניים או חשופים לגורמי שאינם מורשים לכך בתוך צה"ל.
"עם קבלת ממצאי הדוח, הותנעו מספר תהליכים לשיפור אבטחת מאגר המידע הביומטרי והשימוש בו. כחלק מהתהליכים, הסתיים פיתוח תשתית התוכנה לחיבור מצלמות חדשות אשר נרכשו לטובת שיפור איכות הרכשת הזיהוי בשרשרת החיול. בחלק ממחזורי הגיוס הקודמים השנה פעלה תחנה ניידת ובה עמדות הרכשה שהושאלו משרשרת החיול; זאת תמשיך לפעול בהתאם לצורך.
"בצה"ל קיימים מנגנונים למניעת כניסת גורמים בלתי מורשים בצה"ל למערכות אלה. לצד זאת, נבחן שדרוג תשתיות אלה לטובת שיפור נוסף באבטחת המידע.
"מסמך מדיניות ההגנה בסייבר נמצא בימים אלה בתהליך תיקוף ועדכון. המלצת המבקר לעדכנו באופן עתי כל מספר שנים התקבלה, והפקודה תתוקף אחת למספר שנים.
"תוכנית העבודה לשנת 2023 עתידה לכלול אלמנטים לשיפור עמידת מערכות המידע ומאגר המידע בדרישות אבטחת המידע והגנת הפרטיות העדכניות".
חינוך: כשלים באבטחת מערכות ציוני הבגרות
המבקר בדק מספר מערכות שמפעיל משרד החינוך ותומכות בניהול ובתפעול של ציוני הבגרות של כלל תלמידי ישראל. מהבדיקה עלה כי משרד החינוך לא ביצע סקר סיכונים מקיף ומבדקי חדירות בנוגע למערכות הליבה שלו בתדירות הנדרשת. בנוסף, המשרד השלים 3שלוש משימות קריטיות מתוכנית העבודה שלו עוד ב-2019 בנושא.
מתוך שבע המשימות שהוגדרו ברמת סיכון "קריטית" או "גבוהה" בתוכנית העבודה לשנת 2019 של משרד החינוך, ושהמשרד קבע שיש ליישמן בשנת 2019, נכון לאוקטובר 2021 המשרד השלים את הטיפול בשלוש משימות, ובארבע המשימות הנותרות הוא טיפל חלקית. עוד נמצא כי אחת המערכות מוגנת באמצעות גרסה מיושנת של מערכת הגנה, שכבר לפני שלוש שנים היצרן הפסיק את התמיכה בה. על-פי המבקר, ברשת זו נמצאו פערים בנוגע לאבטחת המידע.
מערכת נוספת שנבדקה היא זו שאליה נטענים קבצי מחברות בחינות הבגרות. הגישה למערכת ניתנת לכ-4,000 מעריכים חיצוניים שבודקים את המחברות ומזינים את הציונים. בבדיקה עלה כי המעריכים מתחברים למערכת באמצעות מחשבים אישיים שאינם מנוהלים או מוקשחים על-ידי משרד החינוך, שהחיבור שלהם מאובטח חלקית. עוד עלה כי משתמשים רבים קיבלו הרשאות שחורגות מתפקידם. "הדבר מגביר את הסיכון לדלף מידע רגיש ולפגיעה", קבע המבקר.
לבסוף, המבקר ציין כי בין השנים 2018-2020 הגיש משרד החינוך למשטרת ישראל ארבע תלונות בלבד בעקבות הפצה לא מורשית של שאלוני בחינות הבגרות או של התשובות.
"ממצאי הדוח והבעיות שבשורש ממצאים אלה עלולים לסכן את שלמותם, זמינותם, סודיותם ואמינותם של ציוני בחינות הבגרות, וכן עולה מהם חשש לפגיעה בעקרונות טוהר הבחינות", סיכם המבקר. "משרד מבקר המדינה ממליץ למשרד החינוך לפעול לתיקון הליקויים שהועלו בדוח, ובכלל זה לעמוד בלוחות הזמנים שנקבעו בתוכניות העבודה בתחום אבטחת המידע והגנת הסייבר, לשפר ולהעלות את רמת אבטחת המידע והגנת הסייבר בכלל מערכותיו ותשתיותיו".
רשות המסים: עיכובים בפרויקט "שער עולמי"
במסגרת ביקורת שביצע המבקר ברשות המסים, הוא בדק את מערכת "שער עולמי" לניהול סחר החוץ של מדינת ישראל. מבדיקת המבקר עלה כי במשך השנים חלו בפרויקט עיכובים רבים שגרמו לדחייה במימושו. בשל עיכובים אלה, קבע המבקר, נדרשה רשות המסים להאריך שוב ושוב את תקופת ההתקשרות עם הספק החיצוני שמבצע את הפרויקט וכן להגדיל את סכומי ההתקשרות במאות אחוזים.
מהבדיקה עלה כי התוכנית, שהייתה אמורה להתבצע על פני שלוש שנים, התארכה לכדי 15 שנים. בתוך כך, העיכובים בפרויקט חייבו הארכות חוזרות ונשנות של חוזי התקשרות, כך שהעלות ששולמה לחברה המבצעת עלה מ-384 מיליון שקל ליותר ממיליארד שקל.
עוד עלה בביקורת כי עקב היעדר התחרות והעיכובים בפרויקט, ההתקשרות המצטברת של רשות המסים עם החברה המבצעת תימשך 48 שנה - מ-1991 עד 2039.
על-פי המבקר, הפרויקט נוהל יותר מעשרות שנים מבלי שהושלמו צורכי אבטחת המידע. בנוסף, מועד האפיון של דרישות אבטחת המידע נוסח ב-2004, ובזמן שחלף מאז לא עודכנו.
עם זאת, המבקר מציין כי בעקבות הפקת לקחים מאירועי אבטחת מידע שהתרחשו במשק הישראלי ב-2019 והשפעתם האפשרית על המכס, נבנתה תוכנית עבודה רב-שנתית. בעת עריכת הביקורת נמצא כי רשות המסים פועלת להשלמת יישום התוכנית.
"מומלץ כי רשות המסים תפעל להשלמת המערכת על-פי לוחות הזמנים שקבעה, תשפר את התחומים שבהם עלה חוסר שביעות-רצון בקרב משתמשי המערכת, ותוודא כי הספק עומד ברמת השירות על-פי המדדים שנבחנו", סיכם המבקר אנגלמן. "לנוכח התגברות האיומים בתחום הגנת הסייבר על מערכות קריטיות בממשלה וביצוע הפרויקט במיקור חוץ, על הרשות לפעול באופן שיבטיח הובלה ותכנון של נושא הגנת הסייבר על המערכת ומציאת פתרונות לכל צורכי אבטחת המידע העדכניים שלה".
בבדיקה נוספת ברשות המסים, המבקר בחן את אבטחת המידע בשע"מ - מערך המחשוב של רשות המסים, שמחזיק במאגריו מידע על כ-1.3 מיליון אזרחים, נישומים, עוסקים וגופים נוספים. בביקורת עלו פערים בדבר המידע שנאסף על-ידי אגף אבטחת מידע בשע"מ בנוגע לשרשרת האספקה, ובנוסף עלה כי קיימים פערים בין רמת הסיווג הנדרשת בהתאם לתפקידיהם של חלק מהעובדים בשע"מ לבין רמת הסיווג שלהם בפועל.
"ממצאי הביקורת מעלים כי על שע"מ לפעול לשיפור הגנת הסייבר על מערכותיו", סיכם המבקר. "המבקר ממליץ לפעול בהקדם לתיקון הליקויים שהועלו בדוח זה תוך בחינת יישום המלצות הדוח".
מרשות המסים נמסר בתגובה לדוח המבקר בעניין מערכת "שער עולמי": "כפי שמציין המבקר במסגרת הדוח, מאז עלייתה לאוויר תרמה מערכת שער עולמי רבות לייעול תהליכי היבוא ולשיפור היכולת של המכס לבצע הערכת סיכונים ואכיפה של חוקי הסחר. זאת, באמצעות ניהול תהליכי עבודה באופן ממוחשב, מעבר לעבודה ללא נייר ושימוש בכלים אנליטיים מתקדמים.
"כפי שמסרה הרשות למבקר, המטרה המרכזית של פרסום המכרז להקמת המערכת החדשה ב-2004 הייתה יציאה ממצב של 'לקוח שבוי', אך בסופו של דבר חברה א' זכתה במכרז על-פי חוק. מאז עליית המערכת לאוויר, התשלום לחברה א' של דמי תחזוקה על המערכת הישנה נעשה רק על החלקים שטרם עלו לאוויר, וגם תשלום זה יסתיים בינואר 2023 עם עלייתה הצפויה של מערכת היצוא. כמו כן, כל הגדלה של ההתקשרות מול החברה נעשתה באישור ועדת הפטור של החשב הכללי, שמצאה הצדקה למתן הפטור ואישרה את הארכת ההתקשרות".
בנוגע לדוח המבקר בנושא שע"מ, נמסר מהרשות: "רשות המסים מקבלת את המלצות המבקר בנושא בדיקת החוסן האפליקטיבית, והיא פועלת לתיקון הליקויים שנמצאו בה".
תחבורה: אין מענה לחלק מאיומי הסייבר
המבקר אנגלמן בדק את הגנת הסייבר במגזר התחבורה, הכולל גופים רבים בתחומי פעילות שונים וכן שיתוף-פעולה עם אחת העיריות במבדק חדירה במערכות בתחום התחבורה שלה כדי לבחון היבטים בהגנת הסייבר.
המבקר ציין כי בשנת 2021 ביצע משרד התחבורה ביקורות כדי לבחון את מידת עמידת חלק מהגופים עמם הוא מתקשר בדרישות הסייבר שפרסם במסגרת המדיניות להגנת הסייבר במגזר. בביקורות נמצאו שורה של ליקויים רוחביים המחייבים טיפול מערכתי, אך המשרד לא ביצע מעקב אחר תיקון הליקויים שמצא בביקורות אלה.
עוד עלה בביקורת כי משאבי כוח-האדם והתקציב הדרושים לטובת מימוש אחריות של משרד התחבורה בתחום הסייבר אינם מספיקים, כך שהוא אינו יכול לתת מענה לחלק מהאיומים הניצבים בפניו.
במסגרת מבדק החדירה שביצע המשרד באחת העיריות כחלק מהביקורת, נבדקו נמצאו ליקויים בניהול משתמשים והרשאות, תיעוד וניטור, בקרת גישה לרשת, הגנת עמדות ושרתים ונושאים נוספים.
"ממצאי הדוח משקפים בעיה מבנית ותפקודית יסודית בכל הנוגע להערכות של מדינת ישראל לאיומי הסייבר במגזר התחבורה", סיכם המבקר. "במהלך הביקורת חל שיפור בכמה תחומים שבהם פועל אגף הסייבר במשרד התחבורה, ובהם: הקמת SOC מגזרי, פרסום מדיניות וביצוע ביקורות בחלק מהגופים המונחים לבחינת עמידת הגופים בה; קידום אסדרת תחום הרכב האוטונומי, לרבות תיקון החוק, פרסום נוהל והקמת מרכז הניסויים בבאר שבע".
ממשרד התחבורה נמסר בתגובה: "המשרד עשה קפיצת מדרגה משמעותית בתחום הגנת הסייבר. לראשונה, הוקם מרכז לניטור אירועי אבטחת מידע בענף התחבורה (SOC מגזרי), לקבלת תמונת מצב ענפית. המרכז כולל חיבור של כל הגורמים המרכזיים הפועלים בענף, לרבות המשרד, חברות התשתית הממשלתיות, נמלים, רכבת, מפעילי התחבורה הציבורית, חברות זכייניות, ספקים ועוד. רוב הגופים כבר בשלבי התחברות ומזרימים מידע ל-SOC. כך מתאפשר לזהות ניסיונות תקיפה פוטנציאליים ולהתריע מפני חשיפה אפשרית לגופים דומים, שתסייע להם להיערך ולהתגונן.
"בנוסף, המשרד הוביל בשנה החולפת חקיקה מהפכנית לרכב האוטונומי, המאפשרת לבצע ניסויים ברכב ללא נהג והסעת נוסעים. בחוק שולבו דרישות סייבר מחמירות וסמכויות אכיפה ובקרה משרד. יתר על כן, הוקם בבאר שבע מרכז סייבר לאומי לתחבורה חכמה, בשיתוף מערך הסייבר הלאומי וחברות מובילות במשק. המרכז יאפשר למשרד לבצע בדיקות ולבחון את רמת הגנת הסייבר ברכבים, ברכבות, ברמזורים חכמים ועוד.
"המשרד מקצה משאבים חסרי תקדים בפיתוח יכולות הגנת סייבר, הכוללות תשתיות טכנולוגיות, ביצוע בדיקות ובקרות, הון אנושי (עובדי משרד ומומחים חיצוניים) ופיתוח תהליכים ותו"ל במקרי מתקפות סייבר. בנוגע לביקורת על מרכזי ניהול ובקרת תנועה המופעלים ומתוקצבים על-ידי הרשויות המקומיות - נבקש להדגיש כי למשרד אין סמכות הנחייה בנושא סייבר על המרכזים הללו, מאחר שסמכות רשות התמרור המקומית הואצלה לרשויות המקומיות".
מים: פערים בתחום בדיקות חדירה
המבקר בדק כמה היבטים באסדרה ובפיקוח בנוגע לספקי המים המקומיים בתחום הגנת הסייבר. במסגרת הבדיקה עלה כי נכון לדצמבר 2021, מועצת רשות המים לא אסדרה בכללים בהתאם לסמכותה את חובת ספקי המים להפעיל מערך ניטור ובקרה ומערך הגנה מפני אירועי סייבר, כמו גם את חובותיהם להגיש תוכנית לאבטחת מידע לאישור רשות המים ואת חובתם לחבר את מערכות המחשב שלהם למרכז הקיברנטי.
בביקורת עלו פערים גם בתחום בדיקות חדירה. בשנים האחרונות ועד מועד סיום הביקורת ערכה רשות המים ביקורות סייבר בחלק מכלל התאגידים. חלק מתאגידי המים שנבדקו בידי רשות המים בשנת 2021, קיבלו ציון נמוך על מוכנותם להגנת סייבר.
"המבקר אנגלמן המליץ כי מועצת הרשות ורשות המים יפעלו לקידום של הליכי אסדרת חובת ספקי המים להפעיל מערך ניטור ובקרה ומערך הגנה מאירועי סייבר, להכין תוכניות לאבטחת מידע ולעגן בכללי ביטחון מים את סמכות רשות המים לתת לספקי המים הנחיות בתחום הסייבר", נמסר ממשרד המבקר. "כמו כן, מומלץ כי הרשות תפעל לחיבורם של כל ספקי המים הנדרשים למק"ם. עוד מומלץ כי רשות המים תשלים את ביקורות הסייבר בתאגידים ובספקי מים אחרים שטרם נבדקו בשנתיים האחרונות, ותפעל להגברת מוכנותם של התאגידים למתקפות סייבר".
מרשות המים נמסר בתגובה: "משק המים הישראלי הוא משק בטוח, הערוך היטב לשעת חירום, כולל התמודדות עם נושא הסייבר על היבטיו השונים. מזה מספר שנים, רשות המים נערכת להרחבת מערך ההגנה מפני מתקפות סייבר עתידיות על תשתיות המים בישראל, ובתוך כך מנחה ומתרגלת את ספקי המים לעמידה באתגרים אלה. כחלק מההיערכות, מתקיימת פעילות נרחבת בהובלת הרשות ובשיתוף עם רח"ל ופיקוד העורף, להבטחת הגנה מרבית על מתקני המים ומערכות התפעול, לרבות שדרוג מערכות הבקרה הטכנולוגיות וכן הקמה ותפעול שולחן מים ייעודי במרכז הסייבר הלאומי בבאר שבע.
"חשוב לדעת כי השילוב בין חיזוק מערך ההגנה מפני התקפות סייבר, גיבוי המערכות והעובדה שמשק המים בישראל בנוי בצורה מבוזרת וריבוי מקורות מים, מצמצמים את האפשרות להפרעה באספקת המים, וזאת גם במקרה של פגיעות נקודתיות. עד היום, למרות מספר ניסיונות לפגוע במשק המים, לא הייתה הפרעה באספקת המים, איכות המים או סילוק הביוב. רשות המים תמשיך להיערך ולפתח את תחום הסייבר במטרה להבטיח לתושבי ישראל אספקת מים רציפה ובטוחה".