המידע הרגיש והאיום המתגבר מאיראן – אלה הממצאים המדאיגים שחשף המבקר

מבקר המדינה ונציב תלונות הציבור, מתניהו אנגלמן, פרסם אתמול (שלישי) דוח רחב היקף בנושא סייבר ומערכות מידע, שמציב תמונת מצב מדאיגה על רמת ההיערכות של משרדי ממשלה, גופי חירום ומערכות שירות דיגיטליות בישראל. הדוח מתפרסם בתקופה שבה מתקפות הסייבר נגד ישראל מתגברות, ובצל האיומים מצד איראן וגורמים עוינים נוספים, וממנו עולה כי המדינה עדיין סובלת מפערים עמוקים בהגנה על מערכות מידע, בעבודה מרחוק, בניהול מאגרי מידע ובמתן שירותים מקוונים לציבור.

אנגלמן קבע כי נוכח האיומים מאיראן, ממשלת ישראל חייבת להיות ערוכה היטב גם למתקפות סייבר. לדבריו, הביקורת העלתה ליקויים משמעותיים שיש לתקנם באופן מיידי, ובהם פערים בהיערכות גופי חירום, שימוש ממושך בכלי עבודה מרחוק שהיה חשוף לפגיעויות, כשלים באבטחת מידע במשרדי ממשלה רגישים, והתקדמות איטית מאוד בפריסת שירותים דיגיטליים ממשלתיים.

הדוח מורכב מארבעה פרקים מרכזיים: אבטחת מערכות המידע והסייבר במשרד החוץ, הגנת הסייבר בעבודה מרחוק בעיתות שגרה וחירום, אבטחת מערכות המידע במשרד הבינוי והשיכון, ושירותים מקוונים לציבור באמצעות מערכת ההזדהות הלאומית והאזור האישי הממשלתי. שלושת הפרקים הראשונים עברו הליך חיסיון, ורק חלקים מהם פורסמו לציבור מטעמי ביטחון המדינה.

אחד הממצאים המרכזיים נוגע לעבודה מרחוק במשרדי הממשלה. לפי הדוח, כ-65% ממשרדי הממשלה, 31 מתוך 48, המשיכו להשתמש במשך חודשים בכלי טכנולוגי לעבודה מרחוק שבו נמצאו חולשות רבות. מערך הסייבר הלאומי הנחה עוד במרץ 2024 שלא להשתמש בכלי, אך נכון לאוקטובר 2024 עדיין נעשה בו שימוש במערך הדיגיטל ובמשרדי ממשלה רבים. השימוש בכלי הופסק רק בינואר 2025.

המשמעות של ממצא זה חמורה במיוחד משום שעבודה מרחוק הפכה לחלק בלתי נפרד מפעילות הממשלה, הן בשגרה והן בחירום. עובדים מתחברים למערכות מדינה מרחוק, לעיתים דרך תשתיות רגישות, ובמצב כזה כל חולשה במנגנון ההתחברות עלולה להפוך לשער כניסה לתוקפים. המבקר מצא כי מערך הדיגיטל נערך להחלפת הכלי, אך לא הנחה בזמן את המשרדים להפסיק את השימוש בו ולעבור לפתרון חלופי שהיה זמין לרכישה.

הביקורת חשפה גם בעיה מערכתית בהעברת הנחיות לגופי חירום. לאחר 7 באוקטובר גיבש מערך הסייבר הלאומי הנחיות ייעודיות לחיבור משתמשים מרחוק לרשתות ארגוניות, אך לפי הדוח, ההנחיות לא הועברו לחלק מהגורמים שאמורים היו לפקח על יישומן. במקרה של הרשות הארצית לכבאות והצלה, ההנחיה לא הועברה ליחידה המגזרית במשרד לביטחון לאומי שאחראית להנחיית כבאות והצלה, ולכן גם לא בוצע פיקוח מספק על יישום ההנחיה.

בכבאות והצלה מצא המבקר כי מסמך מדיניות אבטחת המידע אינו עוסק בנושא העבודה מרחוק, ובנוהלי העבודה מרחוק חסרות בקרות הנכללות בהנחיות מערך הסייבר. בנוסף, עד אפריל 2025 לא בוצעו בכבאות מבדקי חדירה למערכת העבודה מרחוק, ורק במסגרת הביקורת ביצע משרד מבקר המדינה מבדק חוסן במערכות הארגון. מטרת המבדק הייתה לזהות חולשות שעלולות לפגוע בזמינות, במהימנות ובסודיות של התשתיות הנגישות לעובדים מרחוק.

גם במשטרת ישראל נמצאו פערים משמעותיים. מסמך מדיניות אבטחת המידע של המשטרה אינו עוסק בנושא העבודה מרחוק, ולמשטרה אין תוכנית המשכיות עסקית טכנולוגית הכוללת התייחסות להתאוששות המערך הטכנולוגי ולעבודה מרחוק בעיתות חירום. עוד נמצא כי לא בוצעו תרגולים להתמודדות עם אירועי חירום בתחום זה, בניגוד להנחיות. המשטרה ביצעה מבדק חדירה במערכת העבודה מרחוק רק בתחילת 2025, כשמונה שנים לאחר המבדק הקודם, ובמבדק נמצאו פערים.

המבקר הזהיר כי היעדר תרגולים ומבדקי חדירה תקופתיים עלול לגרום לכך שארגון לא יהיה ערוך לאירוע סייבר בזמן אמת, לא ידע לקבל החלטות במהירות, ולא יוכל להבטיח רציפות תפקודית במצב חירום. בהנהלת בתי המשפט נמצאו ליקויים נוספים: בנוהלי העבודה מרחוק חסרות בקרות מסוימות הנדרשות על ידי היחידה להגנת הסייבר בממשלה, וגם שם אותרו פערים טכנולוגיים בחלק מהנושאים שנבדקו.

פרק נוסף בדוח מתמקד במשרד החוץ, אחד הגופים הרגישים ביותר מבחינת מידע מדיני, דיפלומטי וביטחוני. לפי הממצאים, במהלך מלחמת חרבות ברזל נרשם זינוק של כ-500% באירועי הגנת מידע בנציגויות ישראל ברחבי העולם. משרד החוץ הוא יעד קבוע למתקפות מצד גורמים עוינים, ובהם האקרים, מדינות אויב וארגוני טרור, אך הדוח מצביע על פערים מתמשכים בניהול מערכות המידע, בפיקוח ובאבטחת הסייבר.

במשרד החוץ נמצאו ליקויים חמורים בשמירה על מידע רגיש ופרטי. לפי חלקי הדוח שפורסמו, נמצאו ספריות וכונני רשת שהיו פתוחים לגישה רחבה מדי, ובהם עשרות אלפי מסמכים, חלקם כוללים מידע אישי ורגיש. בין היתר דווח על קובץ דרגות שכר של 728 עובדים, חוות דעת תעסוקתיות ובקשות הסרה שהיו נגישים באופן שאינו תואם את רגישות המידע.

המבקר קבע כי בהיעדר מדיניות הגנת סייבר מקיפה ועדכנית, גוברת החשיפה של משרד החוץ לתקיפות סייבר ולדליפת מידע רגיש. עוד עלה כי מסמך מדיניות הגנת הסייבר ואבטחת המידע של המשרד לא עודכן מאז 2018, אף שמפת האיומים השתנתה באופן משמעותי. מבקר המדינה העיר גם לשב״כ להידרש לממצאי הדוח ולעקוב אחר הטיפול בפערים, כדי לוודא שרמת ההגנה על המידע במשרד החוץ תהיה בהלימה לאיום הייחוס של המשרד.

ממשרד החוץ נמסר כי הוא מודה למבקר המדינה ולצוות הביקורת על הדוח המפורט, וכי הוא משתמש בו ככלי לאיתור פערים ולשיפור תחום הסייבר ומערכות המידע. עוד נמסר כי חלק מהליקויים כבר טופלו, ולצידם גובשה תוכנית עבודה רב-שנתית לשנים 2026 עד 2028, הכוללת צעדים אופרטיביים והקצאת משאבים לחיזוק מערך התקשוב וההגנה בסייבר במטה משרד החוץ וב-109 נציגויות ישראל בעולם.

גם משרד הבינוי והשיכון נמצא במוקד ביקורת קשה. המשרד מחזיק מידע רגיש במיוחד על אזרחים, ובהם דיירי הדיור הציבורי, מקבלי סיוע בדיור, משתתפים בתוכניות דיור בהנחה וקבלנים רשומים. מדובר במיליוני רשומות, ולכן רמת ההגנה על המערכות שלו אמורה להיות גבוהה במיוחד. למרות זאת, המבקר מצא שורה ארוכה של ליקויים בניהול סיכוני הסייבר, בבקרת ההרשאות, ברישום מאגרי המידע ובמוכנות לאירועי כופרה.

לפי הדוח, בשנת 2024 חל זינוק של כ-130% בהתרעות על פעילות חשודה כאיום סייבר בעניינו של משרד הבינוי והשיכון, בהשוואה לשנת 2023. תקציב אבטחת המידע והסייבר של המשרד לשנת 2025 עמד על כ-6.5 מיליון שקלים, כ-9% מתוך 74.5 מיליון שקלים שהוקצו להוצאות מחשוב. המבקר מצא כי מדיניות הגנת הסייבר של המשרד, שאושרה בשנת 2020, לא עודכנה מאז ולא נבחנה מחדש אחת לשנתיים, כפי שנדרש.

עוד נמצא כי משרד הבינוי לא השלים את רישומם של כל תשעת מאגרי המידע שעליו לרשום לפי תקנות הגנת הפרטיות, אף שעברו כשמונה שנים מאז כניסת התקנות לתוקף. מאגרים אלה כוללים במצטבר מיליוני רשומות ובהן מידע אישי על אוכלוסיות רגישות. בנוסף, נמצאו פערים בבדיקת הרשאות משתמשים, במעקב אחר משתמשי-על, בהגדרת פעולות חריגות במערכות ובמנגנוני התרעה אוטומטיים שיכולים לזהות פעילות חריגה סמוך לזמן אמת.

לצד זאת, מצא המבקר נקודת אור מסוימת: שיעור ההתרעות שנשלחו למשרד הבינוי מה-SOC הממשלתי ונסגרו לאחר מענה עמד על 90%, לעומת ממוצע של 85% במשרדים אחרים. עם זאת, המבקר הדגיש כי המשרד טרם השלים את היערכותו להתמודדות עם מתקפות כופרה, למרות המלצות מערך הסייבר ולמרות תקיפות כופרה על מוסדות ממשלתיים.

הפרק הרביעי בדוח עוסק בשירותים הדיגיטליים לציבור, ובמיוחד במערכת ההזדהות הלאומית והאזור האישי הממשלתי. לפי הדוח, אף שמאז 2014 התקבלו שורת החלטות ממשלה לקידום שירותים מקוונים, היישום בפועל נותר איטי וחלקי. בסוף 2024 היו רשומים למערכת ההזדהות הלאומית כ-4.6 מיליון אזרחים, אך רק 16% מהשירותים הממשלתיים שמופו חוברו אליה.

הדוח מצא כי רק כ-23% מהטפסים המקוונים המזוהים, כ-400 מתוך כ-1,800, מנוהלים באמצעות מערכת ההזדהות הלאומית. באזור האישי והעסקי הממשלתי הונגשו רק 233 שירותים מתוך אלפי שירותים ממשלתיים. עוד נמצא כי 8 משרדי ממשלה מתוך 31 עדיין אינם מחוברים למערכת ההזדהות, ובהם משרד החוץ ומשרד הביטחון, וכי רק 15 מתוך 258 רשויות מקומיות, כ-6% בלבד, ניצלו את אפשרות החיבור למערכת.

הפערים אינם רק טכניים. המבקר מצא כי חוויית המשתמש במערכת ההזדהות ובאזור האישי עדיין בעייתית. לפי סקר שביצע מערך הדיגיטל בשנת 2024, 65% ממשתמשי האזור האישי דיווחו על קשיים בתהליך ההזדהות והכניסה. בנוסף, התהליך אינו נוח מספיק לאזרחים שאין ברשותם כרטיס אשראי או דרכון בתוקף, ולעיתים כולל שלבי אימות מייגעים שפוגעים בנכונות להשתמש בשירות.

ממערך הסייבר הלאומי נמסר כי ממצאי הדוח ממחישים את הצורך בחוק הגנת הסייבר, שנועד לקבוע מסגרת לאומית אחידה ומחייבת לניהול סיכוני סייבר. לפי המערך, בתקופה שבה איומי הסייבר הפכו לאיום יומיומי על רציפות תפקודית, שירותים ציבוריים ומידע רגיש, לא ניתן להסתמך על מצב שבו כל גוף קובע בעצמו מהי רמת ההגנה הנדרשת ובאילו סיכונים עליו לטפל.

ברקע הדוח עומדת תמונת איום רחבה יותר. לפי הדוח השנתי של מערך הסייבר הלאומי לשנת 2025, במהלך השנה התקבלו במוקד 119 כ-26.5 אלף דיווחים, עלייה של 55% לעומת השנה הקודמת. מערך הסייבר העביר לארגונים 2,304 התרעות ממוקדות על ניסיונות לבצע מתקפות סייבר נגדם, זינוק של קרוב ל-350% לעומת השנה הקודמת. שיא הדיווחים נרשם בחודש יוני, במהלך מבצע ״עם כלביא״.

ראש מערך הסייבר הלאומי, יוסי כראדי, אמר עם פרסום הדוח השנתי כי שנת 2025 המחישה שבמרחב הסייבר אין הפסקת אש, וכי הסייבר הוא חזית אסטרטגית מרכזית בביטחון הלאומי. לדבריו, כל ארגון, מערכת ואזרח הם יעד למתקפה שמנסה לפגוע ברציפות התפקודית ובחוסן הלאומי.

המסקנה העולה מדוח המבקר חריפה: מדינת ישראל מתקדמת דיגיטלית, אך מנגנוני ההגנה, הפיקוח והיישום אינם מתקדמים באותו קצב. גופי חירום מחוברים מרחוק בלי תרגול מספק, משרדים ממשלתיים מחזיקים מידע רגיש בלי בקרות מלאות, ומיליוני אזרחים משתמשים במערכות ממשלתיות שעדיין אינן מחוברות לרוב השירותים. בעידן שבו תקיפת סייבר יכולה לשבש שירותים, לחשוף מידע רגיש ולפגוע ברציפות התפקודית של המדינה, הדוח מציב בפני הממשלה דרישה ברורה: להפוך את הגנת הסייבר מנושא טכנולוגי פנימי למשימת חוסן לאומית.