תקציר הכתבה
דוח מבקר המדינה בנושא סייבר ומערכות מידע, שפורסם אתמול, חשף ליקויים מערכתיים בהגנת המידע בארבעה גופי מגזר ציבורי — משרד החוץ, גופי החירום בעבודה מרחוק, משרד הבינוי והשיכון, ומערכת ההזדהות הלאומית. הביקורת, שנערכה ברובה בתקופת מלחמת "חרבות ברזל", מצביעה על מסמכים רגישים שנותרו חשופים ברשת, התעלמות מהנחיות אבטחה, ושירות דיגיטלי שמתעכב שנים.
משרד החוץ: קובץ שכר של 728 עובדים ועשרות אלפי מסמכים נותרו פתוחים ברשת, ומדיניות הסייבר לא עודכנה מאז 2018; אירועי הגנת המידע בנציגויות עלו בכ-500 אחוז במהלך המלחמה. עבודה מרחוק: 65 אחוז ממשרדי הממשלה המשיכו להשתמש בכלי תוכנה פגיע עשרה חודשים אחרי שמערך הסייבר הורה להפסיק. משרד הבינוי: עלייה של כ-130 אחוז בהתרעות הסייבר, ותשעה מאגרי מידע שלא נרשמו כחוק. שירותים מקוונים: 4.6 מיליון אזרחים רשומים, אך רק 16 אחוז מהשירותים ו-6 אחוזים מהרשויות המקומיות מחוברים למערכת ההזדהות. מסקנת המבקר: הליקויים נובעים מתרבות ארגונית וניהול לקויים, לא רק מפערים טכנולוגיים.
דוח הביקורת בנושא סייבר ומערכות מידע, שפרסם אתמול מבקר המדינה מתניהו אנגלמן, מצייר תמונה של מגזר ציבורי שמתקשה להגן על המידע שהוא אוסף על אזרחיו ועובדיו. הדוח עוסק בארבעה תחומים – מערכות המידע ואבטחת הסייבר במשרד החוץ, הגנת הסייבר בעבודה מרחוק, אבטחת מערכות המידע במשרד הבינוי והשיכון, והשירותים הדיגיטליים לציבור – ושלושה מארבעת פרקיו עברו הליך חיסיון בוועדת המשנה של הוועדה לענייני ביקורת המדינה בכנסת, שהחליטה שלא להניחם במלואם על שולחן הכנסת לשם שמירה על ביטחון המדינה. עצם החיסיון מלמד על חומרת הממצאים שלא הגיעו לציבור.
הקביעות החמורות ביותר אינן ברטוריקה אלא בלוחות הזמנים ובמספרים: מסמך מדיניות סייבר שלא עודכן שבע שנים, עשרה חודשים של התעלמות מהנחיה קריטית, עשור של עיכוב בפרויקט אחד, ורק 16 אחוזים מהשירותים הממשלתיים שמחוברים למערכת ההזדהות הלאומית – יותר מעשור אחרי שהוחלט על הקמתה. הביקורת נערכה ברובה בתקופת מלחמת "חרבות ברזל", זמן שבו, לפי המבקר, גוברים ניסיונות התקיפה במרחב הסייבר מצד גורמים עוינים.
תלושי שכר של 728 עובדים פתוחים לכל
בפרק שעסק במשרד החוץ – שנערך אף הוא בתקופת המלחמה, בין מרץ 2024 לאפריל 2025 – מתואר משרד שהוא "יעד מרכזי לתקיפות סייבר של מגוון יריבים, החל בפצחנים
בודדים וכלה בגורמים מדינתיים". פעילויות סייבר שזוהו ברשתות המשרד יוחסו לגורמים איראניים, לחיזבאללה ולחמאס. במהלך "חרבות ברזל" חל גידול של כ500%- באירועי הגנת מידע בנציגויות ישראל בחו"ל.
הדוח חשף, במילות המבקר, "ליקויים חמורים המשקפים תרבות ארגונית לקויה במשרד החוץ בכל הנוגע לשמירה על מידע רגיש ופרטי". כך, הביקורת חשפה כונן רשת שהכיל עשרות אלפי מסמכים – ובהם קובץ דרגות שכר של 728 עובדים, חוות דעת תעסוקתיות ובקשות הסרה – והיה נגיש לכל. בפנקס מאגרי המידע במשרד המשפטים רשומים רק שלושה מאגרים של המשרד, אף שהוא מנהל עשרות נוספים; מסמך מדיניות הגנת הסייבר לא עודכן מאז ,2018 שבע שנים, חרף השינויים במפת האיומים; ועדת ההיגוי המשרדית לתקשוב לא התכנסה כשלוש שנים (2021–2023) ושבה להתכנס רק באפריל 2024. מבדק חוסן שביצע משרד מבקר המדינה ברשת מסוימת העלה 15 ממצאים ברמות סיכון שונות, מהגבוהה ביותר ועד הנמוכה.
שורש חלק מהבעיות הוא תקציבי – אך גם כאן הדוח מצביע על ניהול לקוי. תקציב התקשוב של המשרד ל-2024 עמד על 85.3 מיליון שקלים, מתוכם כ-13 מיליון (כ-15 אחוזים) לסייבר. אגף התקשוב הגדיר זאת במסמך פנימי כ"משבר תקצוב", וביקש כ-132.5 מיליון שקלים – פער של כ-18 מיליון שקלים מהתקציב שהוקצה בפועל. התוצאה: 14 פרויקטים, ובהם שדרוג מערכת מרכב"ה, המערכת הקונסולרית ותהליכי מעבר לענן, הוקפאו או עוכבו. הדוח חושף גם שני נתוני השוואה חריגים: כ-98 אחוזים מתקציב התקשוב במשרד הם הוצאות קשיחות (לעומת כ-44 אחוזים בממוצע במשרדי הממשלה), ועובדי התקשוב מהווים רק 4.1 אחוזים מעובדי המשרד (לעומת ממוצע ממשלתי של 9.8 אחוזים).
דוגמה אחת ממצה את כשל הניהול: פרויקט שנועד להחליף את המערכת הקונסולרית הקיימת תוכנן להסתיים ב-2019. נכון ליולי 2024 בוצעה רק כמחצית התכולה (53 אחוזים) – ואף זאת לאחר צמצום היקפה. לפי לוחות הזמנים המעודכנים הוא צפוי להסתיים לכל המוקדם ב-2028, כעשור אחרי המועד המקורי.
עשרה חודשים של התעלמות – עד שהגיעה המתקפה
נציבות שירות המדינה מאפשרת לכל עובד מדינה לעבוד מרחוק יום בשבוע – מאות אלפי עובדים במגזר הציבורי. הפרק על עבודה מרחוק חושף כיצד הנחיה ברורה של מערך הסייבר הלאומי נותרה ללא יישום במשך כמעט שנה.
מערך הסייבר הנחה כבר במרץ 2024 שלא להשתמש במוצר טכנולוגי המשמש לעבודה מרחוק, שכונה בדוח "כלי י"ג", בשל פגיעויות רבות שהתגלו בו. אך עד אוקטובר 2024 – שבעה חודשים אחרי ההנחיה – 31 מתוך 48 משרדי ממשלה (כ-65 אחוזים), וגם מערך הדיגיטל עצמו, המשיכו להשתמש בו. מערך הדיגיטל אף נערך להחליף את הכלי במוצר חלופי שהיה זמין, אך לא הנחה את המשרדים לעבור אליו. רק בתחילת 2025 – לאחר שפורסמה פגיעות קריטית חדשה בכלי ובוצעו מתקפות סייבר בפועל על התשתית – ניתנה הנחיה להפסיק מיד וגורף את השימוש בו. השימוש הופסק בינואר 2025, עשרה חודשים אחרי האזהרה הראשונה.
רק אחרי שהפגיעות נוצלה במתקפת סייבר בפועל, בינואר 2025, הופסק השימוש בכלי – עשרה חודשים אחרי שמערך הסייבר הזהיר מפניו
בגופי החירום שנבדקו – משטרת ישראל והרשות הארצית לכבאות והצלה (כב"ה) – נמצאו פערים נוספים. לשני הגופים אין תוכנית המשכיות עסקית טכנולוגית מאושרת, אף שהמשכיותם חיונית בעיתות מלחמה ומשבר; בכב"ה כלל לא בוצעו מבדקי חדירה למערכת העבודה מרחוק עד אפריל 2025, כשמבקר המדינה ביצע מבדק בעצמו במהלך הביקורת; ובמשטרה בוצע מבדק חדירה בתחילת 2025 שבו נמצאו פערים – כשמונה שנים אחרי המבדק הקודם.שני הגופים גם לא קיימו תרגולים עיתיים להתמודדות עם אירועי חירום בעבודה מרחוק, בניגוד להנחיות.
הדוח מציין לחיוב את החלטת כב"ה להשבית את הכלי בדצמבר 2024 עם היוודע החולשה הקריטית, ואת סקר הסיכונים שביצעה המשטרה ב-2024. אך גם השבחים האלה מלמדים על הרף הנמוך: המבקר משבח גופים שעשו את המינימום הנדרש בהנחיות.
300 מתקפות כופרה ב-2024
משרד הבינוי והשיכון מחזיק מיליוני רשומות ובהן מידע אישי ורגיש על דיירי דיור ציבורי, מקבלי סיוע לדיור, משתתפים בתוכניות דיור בהנחה וקבלנים רשומים. כ-780 עובדים (כולל מיקור-חוץ) משתמשים במערכותיו. תקציב אבטחת המידע והסייבר ל-2025 עמד על כ-6.5 מיליון שקלים – כ-9 אחוזים מתקציב המחשוב (74.5 מיליון). בתקופת "חרבות ברזל" חל גידול של כ-130 אחוזים במספר התרעות הסייבר בעניינו של המשרד לעומת 2023.
על אף שבשנת 2024 תועדו בישראל יותר מ-300 מתקפות כופרה (ransomware), ועל אף תקדימים מוכרים כמו מתקפת הכופרה על המרכז הרפואי הלל יפה ב-2021, מבדיקת מבקר המדינה עלה כי משרד הבינוי טרם השלים את היערכותו לאירוע כופרה. לצד זאת נמצא כי תשעה מאגרי מידע טרם נרשמו כנדרש בתקנות הגנת הפרטיות, אף שעברו כשמונה שנים מאז 2018; כי בין 2021 ל-2024 ביצע המשרד רק שני מבדקי חדירה אפליקטיביים ומבדק תשתיתי אחד בלבד, חרף החובה לבצעם מדי 18 חודשים – ו"לא נמצאו מסמכים המעידים על טיפול כלשהו בסיכונים שהתגלו במבדקים"; וכי המשרד לא עדכן את מסמך מדיניות הגנת הסייבר מאז 2020. נוסף על כך, לגבי יותר ממחצית המערכות לא סקר המשרד את הרשאות המשתמשים אחת לשנה, השאיר משתמשים "לא פעילים" שהרשאותיהם נותרו תקפות, ולא ערך סקירה תקופתית של הרשאות "משתמשי-העל" בשלוש השנים האחרונות.
לצד הליקויים מציין הדוח לחיוב את הטיפול בהתרעות מה-SOC הממשלתי: 90 אחוזים מההתרעות שנשלחו למשרד נסגרו לאחר מענה, לעומת 85 אחוזים בממוצע במשרדים אחרים. אך גם נתון זה מלמד דבר מטריד על המגזר כולו: ב-15 אחוזים מההתרעות בממוצע, איש אינו טורח לסגור
12 שנים ורק 16 אחוזים מהשירותים מחוברים
מאז 2014 קיבלה הממשלה שורת החלטות שמטרתן הענקת מרב השירותים הציבוריים באופן מקוון. בפועל, יותר מעשור אחרי, היישום רחוק מהיעד. נכון לסוף 2024, כ-4.6 מיליון אזרחים רשומים למערכת – אך הרישום הוא רק הרובד הראשון, והשירות הממשי לרוב לא מגיע.
מתוך כ-4,000 שירותים ממשלתיים שמופו, רק כ-16 אחוזים מחוברים בפועל למערכת ההזדהות, והמשרדים הנגישו באזור האישי רק 233 שירותים מתוך אלפי שירותים פוטנציאליים (187 לאזרחים ו-46 לעסקים). מבין 31 משרדי הממשלה, שמונה (26 אחוזים) אינם מחוברים למערכת – ובהם משרד החוץ ומשרד הביטחון, שמנהלים מערכות הזדהות עצמאיות. גם רשות המיסים, המוסד לביטוח לאומי ושירות התעסוקה, מספקי השירותים המסיביים ביותר לציבור, אינם מחוברים; הביטוח הלאומי, למשל, מנהל אזור אישי משלו מאז 2007 ובו 4.8 מיליון מבוטחים. מבין 11 בתי החולים הממשלתיים הכלליים מחובר רק בית החולים רמב"ם, ומקרב השלטון המקומי התחברו רק 15 מתוך 258 רשויות מקומיות – כ-6 אחוזים.
ההישענות על טפסים מיושנים נמשכת: בשירותים הקונסולריים של משרד החוץ 16 מתוך 18 טפסים (89 אחוזים) זמינים רק להדפסה ולמילוי ידני; בבתי הדין הרבניים 31 מתוך 39 (79 אחוזים); וברשות האוכלוסין 71 מתוך כ-140 (51 אחוזים). גם ההזדהות עצמה מקרטעת: בסקר של מערך הדיגיטל מ-2024, 65 אחוזים מהמשתמשים דיווחו על קשיים בכניסה לאזור האישי. במקביל הופקו דרכו 3.2 מיליון רישיונות רכב ב-2024 – עדות לכך שכשהמערכת מאפשרת, האזרחים משתמשים. השאלה היא למה במרבית השירותים היא לא מאפשרת.
דפוס שיטתי של הפרת נהלים
הממצאים אינם עומדים לבדם. כבר בדוח קודם, שפרסם המבקר בדצמבר 2025 על ניהול מאגרי המידע במשרד הביטחון, עלתה תמונה דומה: לפי ניתוח של מבקר המדינה, 7 מכל 10 ספקים חיצוניים החזיקו בהרשאת גישה פעילה לרשת רגישה של המשרד אף שלא נכנסו אליה יותר מחצי שנה – 60 אחוזים מהם מעולם לא נכנסו; 14 מאגרי מידע לא עודכנו במרשם מאז 2007; ועד אוקטובר 2024 לא היה במשרד בעל תפקיד שאחראי בפועל לעמידה בחוק הגנת הפרטיות. גם שם הסיכון אינו תיאורטי – ב-2024 פרסמו האקרים בין-לאומיים מידע שהודלף מפורטלים מינהליים של המשרד.
המבט במכלול חושף דפוס שחוזר על עצמו במשרד אחר משרד: מסמכי מדיניות שלא עודכנו שנים (שבע במשרד החוץ, חמש במשרד הבינוי); הרשאות גישה שנותרות פתוחות לעובדים שכבר אינם פעילים (במשרד הבינוי, וכפי שתועד גם במשרד הביטחון); מאגרי מידע שאינם רשומים כחוק (תשעה במשרד הבינוי, עשרות במשרד החוץ, ו-14 שלא עודכנו מ-2007 במשרד הביטחון); הנחיות רגולציה שאינן מיושמות ומבדקי חדירה שאינם נערכים שנים; ודלף מידע שכבר התממש, כפי שאירע במשרד הביטחון שממנו פרסמו האקרים מידע מינהלי ב-2024.
דוח הסייבר מסכם בקריאה חריגה בחומרתה, המופנית לא לגופים המבוקרים אלא לרגולטורים עצמם – מערך הדיגיטל, מערך הסייבר, השב"כ והרשות להגנת הפרטיות. המבקר קובע כי "איום הסייבר הוא איום ביטחוני ואסטרטגי לאומי", ושהטמעת התפיסה הזו חייבת להתחיל אצל המנהלים הכלליים של המשרדים.
"הגנה נאותה על מערכות מידע ושירותים דיגיטליים אינה רק צורך טכנולוגי – אלא תנאי הכרחי לשמירה על אמון הציבור, להגנה על פרטיות האזרחים ולהבטחת תפקודו התקין של השירות הציבורי" – מתוך הדוח
אין זו הפעם הראשונה שמבקר המדינה מצביע על האופן שבו רשויות המדינה מנהלות את המידע האישי שבידיהן; כפי שפרסם "המקום הכי חם בגיהנום", דוח קודם של המבקר העלה כי המשטרה שאבה מידע מטלפונים ללא סמכות ואגרה מידע רגיש בניגוד לחוק.
הממצאים – בדוח שפורסם אתמול ובזה שקדם לו – חוברים לאותה מסקנה: המדינה אוספת על אזרחיה ועובדיה מידע רב יותר מאי-פעם, אך מנגנוני ההגנה עליו מפגרים אחרי היקף האיסוף ועוצמת האיום. בעוד שהאחריות המיידית מוטלת על הגופים המבוקרים לתקן את הליקויים, המבקר מבהיר כי השינוי הנדרש אינו טכני בלבד – אלא תרבותי וניהולי. המבחן, כדבריו, יהיה ביישום.
