משרדי הממשלה מתמודדים עם פערי סייבר, מבקר המדינה מצביע על ליקויים רוחביים
משרד מבקר המדינה מפרסם שורת דוחות שמצביעים על חולשות מהותיות במוכנות הסייבר ובאבטחת המידע בגופי ממשל מרכזיים בישראל. הממצאים נוגעים לעבודה מרחוק, לניהול סיכונים, להגנת פרטיות, להתאוששות מאסון ולהטמעת שירותי הזדהות דיגיטלית במשרדים וביחידות סמך.
היילייטס
- המבקר מצא כי למרות הנחיות לתיקון, 65% ממשרדי הממשלה המשיכו להשתמש בתשתית עבודה מרחוק עם חולשות קריטיות עד ינואר 2025.
- במשרד החוץ נרשם גידול של כ-500% באירועי הגנת מידע בנציגויות ישראל בחו"ל במהלך 2023, לצד פערים בעדכון מערכות ומדיניות סייבר מיושנת.
- 16% בלבד מהשירותים הממשלתיים שמופו מחוברים למערכת ההזדהות הלאומית, מה שמגביר סיכון תפעולי ורגולטורי ומחייב השקעות המשך ופיקוח הדוק.
ממצאי הביקורת על היערכות הסייבר
כפי שפורסם על ידי משרד מבקר המדינה, הביקורת מצביעה על כך שגם לאחר התרעות והנחיות של גופי הסייבר הממשלתיים, חלק ממשרדי הממשלה ממשיכים לפעול עם פערי אבטחה, אי-התאמה בין הנחיות ובקרות חסרות. במוקד עומדים שימוש ממושך בתשתית עבודה מרחוק עם חולשות קריטיות, היעדר מבדקי חדירה בחלק מהמערכות, ופיקוח חלקי על יישום ההנחיות במשרדים המונחים.לפי הממצאים, 10 חודשים לאחר שמערך הסייבר הלאומי הנחה את מערך הדיגיטל להפסיק שימוש בתשתית עבודה מרחוק מסוימת, משום שנוצלו בה חולשות קריטיות, מערך הדיגיטל ו-65% ממשרדי הממשלה עדיין השתמשו בה. השימוש הופסק בינואר 2025. עוד נמצא כי יה"ב לא ביצעה מאז מרץ 2020 בקרה על אופן יישום הנחיית הגישה מרחוק במשרדי הממשלה המונחים על ידה, וכי אין תאימות מלאה בין הנחיות מערך הסייבר הלאומי לבין הנחיות היחידה.
הדוח מזכיר פערים גם ברשות הכבאות וההצלה, במשטרת ישראל ובהנהלת בתי המשפט, אם כי חלק מהליקויים תוקנו במהלך הביקורת. משרד מבקר המדינה ממליץ לרשות להגנת הפרטיות, למערך הסייבר הלאומי וליה"ב לעדכן ולסנכרן את הנחיות העבודה מרחוק, ולהבטיח שהן כוללות את כלל הבקרות הנדרשות, לצד פיקוח שוטף ובקרות קבועות.
במשרד החוץ, שמוגדר יעד מרכזי לתקיפות סייבר מצד יריבים שונים, מתגלה גידול של כ-500% באירועי הגנת מידע בנציגויות ישראל בחו"ל במהלך מלחמת "חרבות ברזל", עם מאות אירועים בשנת 2023. המבקר מצא מערכות מיושנות או כאלה שדורשות שדרוג, אי-עדכון של מדיניות הגנת הסייבר מאז 2018, היעדר ועדות היגוי בחלק מהפרויקטים, וחוסרים בניהול סיכונים לאורך חיי פרויקטים טכנולוגיים.
עוד נקבע כי נכון לספטמבר 2024 יש פערים ביכולת ההתאוששות מאסון של משרד החוץ, לצד ליקויים בהזדהות משתמשים, בניהול הרשאות וביישום דרישות חוק הגנת הפרטיות לגבי מאגרי מידע. המשרד מסר כי חלק מהליקויים כבר טופלו וכי גובשה תוכנית עבודה רב-שנתית לשנים 2026-2028 לחיזוק מערך התקשוב וההגנה בסייבר במטה וב-109 נציגויות בעולם.
גם במשרד הבינוי והשיכון הדוח מצביע על אי-עמידה בהנחיות יה"ב ובתקנות הגנת הפרטיות. לפי המבקר, מדיניות הסייבר שאושרה ב-2020 לא עודכנה, ועדת ההיגוי בחנה באופן חלקי בלבד את מדדי העמידה ביעדי סייבר, והמשרד עדיין לא השלים את היערכותו לאירוע כופרה. בנוסף, תשעה מאגרי מידע טרם הוסדר רישומם, אף שחלפו שמונה שנים מאז כניסת התקנות לתוקף.
משרד הבינוי והשיכון מסר כי הוא פועל באופן שוטף לחיזוק תחום הסייבר ואבטחת המידע, וכי חלק מהנושאים שעלו בדוח כבר טופלו בתקופה האחרונה. לפי תגובתו, המשרד ממשיך לקדם תוכניות עבודה להרחבת סקרי סיכונים, מבדקי חדירה והפיקוח על ספקי שירות.
השלכות על השירותים הדיגיטליים והמשק
הדוחות מרחיבים את התמונה מעבר להגנת רשתות המחשוב ומציגים גם קצב הטמעה מוגבל של מערכת ההזדהות הלאומית, מרכיב מרכזי במעבר לשירותי ממשל דיגיטליים מאובטחים. בסוף 2024 היו רשומים למערכת כ-4.6 מיליון אזרחים, אך רק 16% מהשירותים הממשלתיים שמופו מחוברים אליה, ושמונה משרדי ממשלה מתוך 31 עדיין אינם מחוברים.לפי המבקר, רק 233 שירותים מתוך אלפים הונגשו באזור האישי הממשלתי, ורק 400 מתוך 1,800 טפסים ממשלתיים מקוונים מנוהלים במערכת ההזדהות הלאומית. החיבור מוגבל גם ברמת השירותים הציבוריים הרחבים יותר, כאשר רק בית חולים ממשלתי אחד מתוך 11 מחובר למערכת, ורק 15 רשויות מקומיות מתוך 258, כלומר 6%, ניצלו את אפשרות החיבור.
הממצאים מצביעים על סיכון תפעולי ורגולטורי רחב יותר לממשלה, משום שפערי סייבר, ניהול הרשאות לקוי והטמעה חלקית של תשתיות הזדהות אחודות עלולים לפגוע ברציפות השירותים, בחיסיון מידע אישי וביכולת של משרדים להגיב לאירועים חריגים. במונחים תקציביים וניהוליים, המשמעות היא צורך בהשקעות המשך, במנגנוני פיקוח הדוקים יותר וביישור קו בין גופי ההנחיה, הביצוע והבקרה.
משרד מבקר המדינה ממליץ למשרדי הממשלה, ליחידות הסמך ולבתי החולים להתחבר למערכת ההזדהות הלאומית, בעוד שמערך הדיגיטל נדרש לקבוע מדיניות ולהכין תוכניות להמרת טפסים פיזיים ולהרחבת הנגשת הטפסים והשירותים המקוונים. בכך, הדוחות ממקמים את סוגיית הסייבר לא רק כאיום ביטחוני וטכנולוגי, אלא גם כסוגיה של יעילות ממשלתית, אמון ציבורי וניהול סיכונים ברמת המשק.
השקת פלטפורמת אבטחת הזהות Idira המונעת ב-AI ורכישת CyberArk על ידי Palo Alto Networks עמדו במרכז הסקירה הקודמת שלנו, שהדגישה הרחבה משמעותית של יכולות החברה בתחום ניהול הזהויות והגנת הסייבר הארגונית. באותו ניתוח ציינו גם את ההתחזקות במניה לצד מומנטום חיובי, אך עם איתותים טכניים לקניות יתר וסיכון לתיקון בטווח הקצר.
חדשות ממשל דיגיטלי האחרונות
-
אוגנדה
-
אוזבקיסטן
-
אוסטריה
-
אוסטרליה
-
אוקראינה
-
אורוגוואי
-
אזרבייג'ן
-
איחוד
-
איחוד האמירויות הערביות
-
איטליה
-
אינדונזיה
-
איראן, רפובליקה אסלאמית
-
אירלנד
-
אל סלבדור
-
אלבניה
-
אלג'יריה
-
אנגולה
-
אסוואטיני
-
אסטוניה
-
אפגניסטן
-
אקוודור
-
ארגנטינה
-
ארה״ב
-
ארמניה
-
אתיופיה
-
בהאמה
-
בולגריה
-
בוליביה
-
בוצואנה
-
בחריין
-
בלארוס
-
בלגיה
-
בנגלדש
-
ברוניי דארוסלם
-
ברזיל
-
בריטניה
-
ג'ורג'יה
-
ג'מייקה
-
גאנה
-
גרמניה
-
דנמרק
-
דרום אפריקה
-
האיטי
-
הודו
-
הולנד
-
הונג קונג
-
הונגריה
-
הרפובליקה הדומיניקנית
-
וייטנאם
-
ונצואלה
-
זימבבואה
-
זמביה
-
חוף השנהב
-
טג'יקיסטן
-
טורקיה
-
טייוואן, מחוז סין
-
טנזניה
-
טרינידד וטובגו
-
יוון
-
יפן
-
ירדן
-
ישראל
-
כווית
-
לאוס
-
לבנון
-
לוב
-
לוקסמבורג
-
לטביה
-
ליטא
-
לסוטו
-
מאוריציוס
-
מדגסקר
-
מוזמביק
-
מולדובה
-
מונגוליה
-
מונטנגרו
-
מיאנמר
-
מלזיה
-
מלטה
-
מצרים
-
מקדוניה הצפונית
-
מקסיקו
-
מרוקו
-
נורבגיה
-
ניגריה
-
ניו זילנד
-
נמיביה
-
נפאל
-
סומליה
-
סוריה
-
סין
-
סינגפור
-
סלובניה
-
סלובקיה
-
ספרד
-
סרביה
-
סרי לנקה
-
עומאן
-
עיראק
-
ערב הסעודית
-
פולין
-
פורטו ריקו
-
פורטוגל
-
פיליפינים
-
פינלנד
-
פלסטין
-
פנמה
-
פפואה גינאה החדשה
-
פקיסטן
-
פרגוואי
-
פרו
-
צ'ילה
-
צרפת
-
צ׳כיה
-
קובה
-
קולומביה
-
קונגו
-
קונגו ד׳
-
קוסטה ריקה
-
קוריאה
-
קזחסטן
-
קטאר
-
קירגיזסטן
-
קמבודיה
-
קמרון
-
קנדה
-
קניה
-
קפריסין
-
קרואטיה
-
רואנדה
-
רומניה
-
שוודיה
-
שוויץ
-
תאילנד
-
תוניסיה
-
תימן
- Forex
- Crypto
