מבקר המדינה פרסם דו"ח חריף בנושא סייבר ומערכות מידע בחודש מאי 2023. הדו"ח עוסק בנושאים שונים, כמו אבטחת הסייבר בשירות בתי הסוהר והביטוח הלאומי וגם מבדק חדירה שבוצע לרשת של מרכז רפואי.
הממצאים מצביעים על כשלים והתרשלות בכל הקשור לאבטחת מידע והגנת סייבר. כך למשל, ציין המבקר כי בשירות בתי הסוהר, קיימת הזנחה רבת שנים של מערכות המידע: "ישנם פערים עמוקים וליקויים משמעותיים במערכות המידע היוצרים סיכון של ממש".
על פי הדו"ח, נמצאו פערים עמוקים וליקויים משמעותיים של מערך בטחוני רגיש זה. התרבות התפקודית בכל הנוגע לאבטחת מידע וניהול המידע המסווג לא תואמת את רגישות המידע שקיים בארגון כזה. המבקר בדק שורה של היבטים הנוגעים לניהול ואבטחה של מידע ביטחוני מסווג. נמצאו פערים משמעותיים, העומדים בניגוד לפרקטיקה המחייבת בגופים מקבילים בכל אחד מהתחומים הבאים: טיפול במידע דיגיטלי מסווג ובמסמכים מסווגים, הסדרת הטיפול במידע ביטחוני מסווג באמצעות נוהלי אבטחה, שמירת מסמכים וסיווגם, טיפול במידע מסווג המתקבל מגורמים חיצוניים, הסדרת הסיווג הביטחוני של עובדים בשב"ס, וגם שימוש באמצעי תקשורת.
סקר הערכת/סריקת פגיעויות (VS – Vulnerability scan) בדק את רשתות השב"ס. למרות פרקטיקות מחייבות, נמצאו פערים משמעותיים בנושאי אבטחת מידע קריטיים: הגנת הסייבר על חלק מהמערכות, ביצוע סקרי סיכונים בתחום הגנת הסייבר וביצוע מבדקי חדירות, היערכות לניהול אירועי סייבר, ניהול משתמשים והרשאות ועוד. על פי הדו"ח: "תמונת המצב העולה מהביקורת היא תוצאה של הזנחה רבת שנים, שבמהלכן לא הייתה משילות טכנולוגית שהציבה יעדים, קבעה תהליכים, הקצתה משאבים, וניהלה כראוי את הסיכונים והמתודולוגיות הארגוניות בתחום הטכנולוגי".
מבדקי חדירה במרכז רפואי
מגזר הבריאות, שחולש על מידע רב ורגיש במיוחד, הוא אחד המגזרים שחוו הכי הרבה מתקפות סייבר ב-2021. משמעות המתקפות על המגזר הרפואי איננה רק פגיעה בפרטיותם של המטופלים, אלא גם בעלויות משמעותיות בהן נושא הציבור. כך למשל, עלות שיקום המרכז הרפואי הלל יפה אחרי מתקפת הסייבר שאירעה באוקטובר 2021 עמדה על כ- 36 מיליון ש"ח.
אחת הדרכים המקובלות להיערכות לאיומי סייבר היא ביצוע מבדקי חדירה לארגון, המאפשרים זיהוי של חולשות במערכות הארגון ומפרטים את הטיוב הנדרש לסגירתן. במבדק חדירה שביצע משרד מבקר המדינה זוהו 13 ממצאים משמעותיים בחמישה תחומים: סגמנטציה (הפרדת רשתות/מערכות מידע) ובקרת זרימה, בקרת גישה לרשת, הגנת עמדות קצה ושרתים, תוכנות לא מעודכנות וגישה לא מאובטחת. להערכת הנהלת המרכז הרפואי, העלות הכוללת לתיקון הליקויים עשויה להסתכם ביותר מ-10 מיליון ש"ח לשנה באופן שוטף.
הזנחת הגנת סייבר בביטוח לאומי
דוח המבקר מציין כי ביטוח לאומי חווה בכל יום כ-2.9 מיליון תקיפות סייבר בממוצע, אמנם אין מדובר במספר חריג באופן יוצא דופן, אך ככל הנראה מטרתו לשקף למקבלי ההחלטות את היקף הניסיונות הבלתי פוסקים לחדור למערכות הארגון המכילות מידע רגיש על אזרחי המדינה. על פי הדו"ח' כ-66,000 מתוך ניסיונות התקיפה הן בעלות פוטנציאל לנזק (נכון ל-2022). בדומה למדינות אחרות, ישראל חשופה לתקיפות סייבר לצורכי כופר וגניבת מידע – כאן המקום לציין שמשלל סיבות משוערות, ישראל היא יעד מועדף לתקיפות סייבר, לא רק ממניעים כספיים, אשר מעסיקים חלק גדול מקבוצות התקיפה הפועלות בעולם, אלא גם ממניעים אידאולוגיים וגיאופוליטיים.
הדוח מציין כי "רק" 20 עובדים, כאשר 6 מהם סטודנטים, מבצעים את הפיקוח על אבטחת המידע בביטוח הלאומי – לא ניתן להסיק מכך אם מדובר בהיקפי כוח אדם שאינם מספקים, מבלי שסופק מידע לגבי מהות עבודתם, הכשרתם המקצועית וכן הלאה.
מבקר המדינה המליץ כי ועדת ההיגוי העליונה, שתפקידה לבחון אילו גופים מוגדרים חיוניים ולכן זקוקים לקבלת סיוע מורחב וייעודי לטיפול בסיכוני הסייבר, תקדם את הבחינה של הביטוח הלאומי כגוף תמ"ק – תשתיות מחשוב קריטיות.
