מבקר המדינה ונציב תלונות הציבור, מתניהו אנגלמן, מפרסם שורה של דוחות ביקורת מקיפים על היערכות המדינה לאיומי סייבר ועל יישום השירותים הדיגיטליים לציבור, מהם עולה תמונה של פערים נרחבים, יישום חלקי של החלטות ממשלה לאורך יותר מעשור, וחולשה מערכתית בהטמעת טרנספורמציה דיגיטלית בשירות הציבורי.
פערים בהגנת הסייבר בגופי החירום והממשלה
מהדוח עולה כי גופי החירום והממשלה, בהם המשטרה, כבאות והצלה, משרד החוץ, משרד השיכון והנהלת בתי המשפט, אינם ערוכים באופן מספק לאיומי סייבר. המבקר מציין כי נוכח האיומים האזוריים, ובפרט מול איראן, נדרש שיפור מיידי בהיערכות.
נמצא כי לאחר אירועי 7 באוקטובר פורסמו הנחיות היערכות על ידי מערך הסייבר הלאומי, אך חלק מהגופים כלל לא יישמו אותן. בנוסף, במשך חודשים נעשה שימוש רחב בכלי דיגיטלי שלא עמד ברמת אבטחה מספקת.
במשרד החוץ נמצאו פערים טכנולוגיים מתמשכים ומערכות מיושנות, לצד ליקויים בטיפול במידע רגיש. במשרד הבינוי והשיכון התגלו כשלים חמורים בניהול מאגרי מידע, כולל אי־רישום של תשעה מאגרי מידע המכילים מידע אישי בהיקף רחב, בניגוד לתקנות הגנת הפרטיות.
יישום חלקי של המהפכה הדיגיטלית בממשלה
דגש מרכזי בדוח ניתן למערכת ההזדהות הלאומית והאזור האישי הממשלתי, שהוקמו במטרה לרכז את כלל השירותים הדיגיטליים של המדינה תחת מערכת אחודה.
למרות החלטות ממשלה שהתקבלו כבר משנת 2014, יישום המהלך נותר חלקי בלבד: רק כ-16% מהשירותים הממשלתיים מחוברים למערכת ההזדהות הלאומית, כ-233 שירותים בלבד זמינים באזור האישי מתוך אלפי שירותים אפשריים, רק 15 מתוך 258 רשויות מקומיות מחוברות למערכת ושמונה משרדי ממשלה, בהם משרד הביטחון ומשרד החוץ, אינם מחוברים כלל.
במקביל, גופים מרכזיים כמו רשות המסים, הביטוח הלאומי ושירות התעסוקה מפעילים מערכות הזדהות עצמאיות, מה שיוצר פיצול מערכות, חוסר אחידות ופגיעה באבטחת המידע ובחוויית המשתמש.
שירות דיגיטלי חלקי בלבד לציבור
הדוח מצביע על כך שרוב השירותים הציבוריים עדיין אינם זמינים באופן דיגיטלי מלא. מאות טפסים ממשלתיים עדיין נדרשים להדפסה ולמילוי ידני, וחלק ניכר מהשירותים כלל אינו מחובר למערכת הדיגיטל הממשלתית.
עוד עולה כי רק מיעוט מהטפסים הם טפסים מקוונים מזוהים, המאפשרים שירות יעיל וללא הזנת נתונים חוזרת מצד האזרח.
חוויית משתמש לא מספקת
המבקר מציין ליקויים משמעותיים גם בחוויית המשתמש: תהליך הזדהות מורכב הכולל מנגנוני אימות חוזרים, קושי בהרשמה עבור אזרחים ללא אמצעי זיהוי מסוימים, והיעדר ממשק מרכזי המציג מידע אישי בצורה ברורה.
האזור האישי הממשלתי, שנועד לשמש שער מרכזי לשירותי המדינה, אינו כולל לוח מחוונים אישי ואינו מרכז את כלל השירותים בצורה נגישה ואחודה.
משרד הבינוי והשיכון: כשלים באבטחת מידע
בדוח נפרד על משרד הבינוי והשיכון נמצאו ליקויים מהותיים בתחום אבטחת המידע והסייבר: היעדר עדכון מדיניות הגנת סייבר, אי־ביצוע סקרי סיכונים ומבדקי חדירה כנדרש, חוסר בקרה על הרשאות משתמשים, ואי-ניהול תקין של משתמשי-על.
בנוסף, המשרד לא הסדיר את רישום כלל מאגרי המידע שברשותו, למרות שמדובר במידע אישי רגיש בהיקף של מיליוני רשומות.
פער מתמשך בין החלטות ליישום
המבקר מסכם כי למרות שורה ארוכה של החלטות ממשלה לאורך יותר מעשור, יישום המדיניות הדיגיטלית והסייברית בישראל מתבצע באופן איטי וחלקי. התוצאה היא מערכת ממשלתית מבוזרת, לא אחודה, עם שירותים דיגיטליים מוגבלים וחשיפה מוגברת לסיכוני סייבר ולכשלי אבטחת מידע.
התייחסות מערך הסייבר הלאומי: הממצאים העולים מדוח מבקר המדינה מדגימים בצורה ברורה את מה שמערך הסייבר הלאומי מקדם בחוק הגנת הסייבר: בתקופה שבה איומי הסייבר הפכו לאיום יומיומי על רציפות תפקודית, שירותים ציבוריים ומידע רגיש, לא ניתן להסתמך על גישה שבה כל גוף קובע לעצמו מהי רמת ההגנה הנדרשת, אילו סיכונים לנהל ובאילו תחומים להשקיע.
המציאות הזו יוצרת פערים משמעותיים ברמת ההגנה בין גופים שונים ומובילה לחולשות מערכתיות שעלולות להשפיע על המשק כולו.
זו בדיוק מטרתו של חוק הגנת הסייבר, שאושר אמש בממשלה כהכנה לקריאה ראשונה: לקבוע מסגרת לאומית אחידה, ברורה ומחייבת, המבוססת על סטנדרטים מקובלים בעולם המערבי, בדומה לרגולציות מתקדמות הנהוגות במדינות מערביות.
החוק נועד לייצר שפה מקצועית אחידה, לקבוע רף בסיסי מחייב לניהול סיכוני סייבר, לחזק מוכנות ודיווח על אירועים, ולהבטיח שרמת ההגנה על שירותים ותשתיות חיוניות לא תהיה תלויה רק בשיקול דעת מקומי או בפערי משאבים וידע בין ארגונים.
