דו"ח ביקורת חריג במיוחד שהונח במאי 2026 (סיון התשפ"ו) על ידי מבקר המדינה מתניהו אנגלמן, חושף כשלים ביטחוניים חמורים בתחום הסייבר. על פי הדו"ח, משרדי ממשלה רבים המשיכו לעבוד עם תוכנות שהיו חשופות למתקפות סייבר איראניות, גם במהלך מלחמת "חרבות ברזל" ולאחר שמערך הסייבר הלאומי אסר במפורש על השימוש בהן.
הממצא המדאיג ביותר בדו"ח נוגע לכלי תוכנה שזוהה כבעל פגיעויות קריטיות שנוצלו לרעה. במרץ 2024, מערך הסייבר הלאומי הוציא הנחיה מפורשת האוסרת על השימוש במוצר זה. אולם למרות האיסור, עד אוקטובר 2024 - שמונה חודשים לאחר מכן - מערך הדיגיטל הממשלתי ולא פחות מ-65% ממשרדי הממשלה המשיכו להשתמש בו בניגוד מוחלט להנחיה. רק בינואר 2025 נפסק השימוש באופן מלא.
"איים עצמאיים" - משרדי ממשלה מתעלמים מהנחיות
המבקר מותח ביקורת חריפה על כך שגופים ציבוריים ומשרדי ממשלה מתנהלים כ"איים עצמאיים" ומצפצפים על החלטות הממשלה ועל הנחיות גופי הסייבר המוסמכים - מערך הסייבר הלאומי, יה"ב והשב"כ. הכשל המשילתי הזה, כפי שמכנה אותו הדו"ח, מעיד על חוסר משמעת ארגונית חמור.
בנוסף לכשל בתוכנה האסורה, הדו"ח מצביע על בעיה מבנית נוספת: הממשלה קבעה מדיניות להזדהות לאומית אחודה במסגרת תפיסת "פעם אחת", אך בפועל גופים בעלי היקף שירות עצום כמו רשות המיסים, הביטוח הלאומי ושירות התעסוקה מנהלים מערכות הזדהות עצמאיות. לפי המבקר, הדבר גורם לחוסר יעילות, מסרבל את האזרחים וחושף את המידע לליקויי אבטחה.
חוסר תיאום בין גופי האבטחה
הדו"ח חושף כי אין תאימות בין ההנחיות של מערך הסייבר הלאומי (מס"ל) לבין הנחיות היחידה להגנת הסייבר בממשלה (יה"ב). יתרה מכך, מס"ל לא העביר את הנחיותיו מאוקטובר 2023 ליחידה המגזרית של המשרד לביטחון לאומי, ולכן היא לא פיקחה על יישומן ברשות המועדת לכבאות והצלה.
כשל נוסף שמצא המבקר נוגע למשרד החוץ, שם נמצאו ספריות וכונני רשת שהיו פתוחים לגישה גורפת של כלל משתמשי הרשת. כוננים אלו הכילו עשרות אלפי מסמכים חסויים, כולל חוות דעת תעסוקתיות, הערכות עובדים וקובץ דרגות שכר של 728 עובדים - מידע רגיש שהיה חשוף לכל מי שהתחבר לרשת המשרד.
היעדר מוכנות לחירום
בשגרה, וביתר שאת במהלך מלחמת "חרבות ברזל", גופי החירום והממשלה חשופים לזינוק של מאות אחוזים באיומי סייבר. למרות זאת, המוכנות המבצעית לוקה בחסר חמור. למשטרת ישראל ולרשות הכבאות אין תוכנית מאושרת להתאוששות ולשמירה על רציפות תפקודית בעבודה מרחוק בשעת חירום.
הכבאות לא ביצעה מבדקי חדירה ייעודיים למערכת העבודה מרחוק שלה עד שהמבקר כפה זאת במהלך הביקורת באפריל 2025. המשטרה ביצעה מבדק בתחילת 2025 - אך התברר שזהו המבדק הראשון שלה מזה שמונה שנים. היעדר הבדיקות משאיר את הארגונים עיוורים לחולשות המערכת שלהם, כך על פי דו"ח נציב תלונות הציבור שפורסם לאחרונה.
הפקרת הרשאות ומשתמשי-על
במשרד הבינוי והשיכון, ביותר מחצי מהמערכות לא נסקרו הרשאות הגישה השנתיות של המשתמשים. בשלוש השנים האחרונות לא בוצעה סקירה חצי-שנתית של הרשאות משתמשי-העל (פריווילגיים) - המשתמשים בעלי היכולת לשנות תשתיות ולמחוק מידע. בנוסף, הרשאות של עובדים שהוגדרו "לא פעילים" נמצאו תקפות ולא הוקפאו.
משרד החוץ לא עדכן את מסמך מדיניות הסייבר שלו מאז 2018, למרות שינוי דרמטי באיומים ובבינה המלאכותית. משרד הבינוי והשיכון לא עדכן את המדיניות שלו מאז 2020. המבקר מסכם כי חלק ניכר מהפערים אינם דורשים תקציבי עתק, אלא פשוט טיפול, קשב ניהולי ותרבות ארגונית אחראית מצד הנהלות הגופים.
אזהרה מפני דור חדש של מתקפות
הדו"ח מגיע על רקע אזהרות חריגות שפרסם מערך הסייבר הלאומי בחודשים האחרונים. כפי שדיווחנו, המערך הזהיר כי מודלי בינה מלאכותית מתקדמים מסוגלים כיום לאתר חולשות תוכנה, לפתח קוד ניצול ולבצע שרשראות תקיפה מורכבות - במהירות וביעילות שעולות על יכולות אנושיות.
המשמעות היא שינוי יסודי במאזן הכוחות: אם בעבר מתקפות מתוחכמות דרשו מומחיות גבוהה, הרי שכיום גם גורמים עם ידע מוגבל יכולים להפעיל יכולות מתקדמות באמצעות AI. על רקע זה, הכשלים שחשף מבקר המדינה מקבלים משנה חומרה.
0 תגובות