המבקר: הנתונים של אזרחי המדינה – בסכנת דליפה
דו"ח מבקר המדינה, שפורסם היום (ג'), מצביע על ליקויי אבטחת מידע חמורים במוסד לביטוח לאומי ● לדבריו, "סיכוני הסייבר חמורים - קיימים ליקויי אבטחה רבים ונדרש לתקנם"
דו"ח שפרסם היום (ג') מבקר המדינה מצביע על ליקויי סייבר ואבטחת מידע חמורים במוסד לביטוח לאומי, שמעמידים בסכנה את הנתונים של כלל אזרחי המדינה, שנמצאים במאגרי המידע שלו. יצוין כי הביקורת מתייחסת לשנת 2021, שבה היו במדינה כ-9.5 מיליון אזרחים (כיום עומד מספרם על כ-9.7 מיליון).
בדו"ח מצוין כי ב-2021 הודלפו בעולם יותר מ-22 מיליארד רשומות בתקיפות סייבר. שמות אנשים ומספרי ביטוח לאומי היו הנתונים שדלפו יותר מכל נתון אחר. עוד נכתב שהמוסד לביטוח לאומי חווה מדי יום כ-2.9 מיליון מתקפות סייבר, מהן כ-66 אלף בעלות פוטנציאל נזק. בשל ההתפתחות הטכנולוגית, כותב המבקר, גברו הסיכונים והאיומים על ה-IT ועל המידע האגור במערכות המוסד, לרבות מאות טרה-בייטים של הנתונים האישיים של האזרחים.
המבקר, מתניהו אנגלמן, בחן בדו"ח את מצב הגנת הסייבר בשבעה מקומות: שימוש במסמכי זיהוי ביומטריים – תעודות זהות ודרכונים; אבטחת המידע והסייבר בשירות בתי הסוהר; מצב הסייבר במרכז רפואי; המרכז לגביית קנסות ברשות האכיפה והגבייה; התקשרויות בפטור ממכרז בתחום התקשוב; והנגשת שירותי ממשל לאנשים עם מוגבלות. בהתייחסו לכלל שבעת הדו"חות, כותב המבקר כי "סיכוני הסייבר חמורים – קיימים ליקויי אבטחה רבים ונדרש לתקנם".
רק 20 עובדים מפקחים על הנתונים במאגרים של הביטוח הלאומי
"למאגרי המידע של הביטוח הלאומי יש רגישות מיוחדת, בשל היקפם העצום, בהיותם מוגדרים כמידע רגיש ומפני שהמאגרים מתממשקים לגורמים מחוץ לביטוח הלאומי", קובע המבקר. הוא מציין כי "מאז הקמת הרשות להגנת הפרטיות ב-2006 היא ערכה (רק) שבע ביקורות בביטוח הלאומי".
אנגלמן כותב כי "מערך הסייבר הלאומי מנחה גופים בעלי תשתיות מידע קריטיות (תמ"ק), אולם הביטוח הלאומי לא מוגדר בחוק ככזה, אף שהוא גוף שמחזיק במאגר מידע על תושבי מדינת ישראל. בחלוף השנים, רמת המעורבות של מערך הסייבר בביטוח הלאומי הלכה ופחתה, ואילו השב"כ מנחה אותו בנושאים המסווגים בלבד… לפיכך, אין לביטוח הלאומי מענה שוטף ומערכתי לטיפול בכלל אירועי אבטחת מידע. הגוף, שמנהל מאגר מידע, לא מונחה מקצועית באופן שוטף ומחייב – דבר שעלול ליצור סיכון".
עוד הוא מציין שמספר העובדים שמפקחים על אבטחת המידע במערכות הממוחשבות של הביטוח הלאומי עומד על 20 בלבד, מהם שישה סטודנטים. לשם ההשוואה, לצה"ל, שמבצע גם הוא פיקוח עצמי, יש אגף שלם לתקשוב ולהגנה בסייבר, בפיקוד קצין בדרגת אלוף.
המבקר מציין שני אירועים שאירעו בביטוח הלאומי. על אחד מהם הוא קובע כי "היה כשל בהתנהגות הביטוח הלאומי ונדרשה הנחיה מחייבת של מערך הסייבר". כך, הוא כותב, "עלה פער מסוים בבקרה מסוימת. כאשר אין לביטוח לאומי הנחיות מחייבות בהתנהלותו השוטפת בסוגיות אבטחה והגנת סייבר, הנהלת הארגון נדרשת להכריע בין הגנת הסייבר ואבטחת המידע לבין הנטל הצפוי והכרוך בכך עבור הארגון ועבור מקבל השירות… קיים פתח להנהלת הארגון לא ליישם פתרונות נדרשים ולוותר על הצורך להתמודד עם הסיכונים האפשריים".
אירוע נוסף שהמבקר בחן עסק במתן גישה לגורם חיצוני למערכות המוסד. לדברי אנגלמן, אירוע זה "מצביע על החיוניות הטמונה בהנחיה מקצועית שוטפת למוסד. בשל הערנות שגילה המנחה (מטעם מערך הסייבר הלאומי) שליווה באופן שוטף וזיהה את הסיכון שבחשיפת המידע לגורם חיצוני, נמנע מימושו. אולם, האירוע מצביע גם על הסיכון שעלול להתממש לנוכח אי אסדרת ההנחיה של מערך הסייבר בכל הנוגע למאגרי המידע של הביטוח הלאומי". "לכן", קובע המבקר, "היקף המידע שבידי הביטוח הלאומי ורגישותו הרבה מצריכים הגנה ומתן מענה שוטף במקרים של חשש לאירועי אבטחה. יש לוודא שהביטוח הלאומי מקבל הנחיה מקצועית מיטבית לטיפול במקרים אלה".
לסיכום הוא כותב כי "נוכח האקלים הגיאו-פוליטי המורכב ביטחונית, ישראל משמשת כר מטרות נרחב לתוקף הקיברנטי הפוטנציאלי, המעוניין לפגוע בחוסנה ובביטחון הלאומי שלה. הביטוח הלאומי חייב מענה אסדרתי מספק, הכולל הנחיה של מערך הסייבר הלאומי ושל הרשות להגנת הפרטיות, ותיאום ביניהם, כדי להבטיח את ההגנה המיטבית".
התגובות
מהמוסד לביטוח לאומי נמסר בתגובה לדו"ח כי הוא "מקבל את המלצות המבקר, ומייחס חשיבות רבה לנושא אבטחת המידע וההגנה על מערכות המחשוב ומאגרי המידע בארגון… המוסד יישם בשנים האחרונות הנחיה מרצון… הוא רואה ערך רב בליווי והנחיה של הגופים הרלוונטיים לעמידה באירועי סייבר ולהתמודדות איתם".
מערך הסייבר הלאומי מסר כי הוא "החל בתהליך הבחינה של הביטוח הלאומי כגוף תשתיות קריטיות".
תגובות
(0)