מבקר המדינה: ליקויי אבטחה חמורים במשרד החוץ

למשרד החוץ לא חסרות בעיות: התמודדות עם הביקורת נגד ישראל ועם האנטישמיות בחו"ל, סמכויות מקוצצות והעדר מערך הסברה בינלאומי. היום (ג') חושף המדינה בעיות נוספות שמהן המשרד סובל: ליקויי אבטחה חמורים. בנוסף, הוא מצא ליקויי אבטחה בעמדות השירות העצמי של מערך הדיגיטל הלאומי.

המבקר, מתניהו אנגלמן, בדק את הליך האימות של מסמכים ציבוריים במשרד החוץ, האפוסטיל. זה משמש חותמת של אותנטיות, שמבטיחה את מהימנותם של מסמכים ציבוריים, ומספק אישור משפטי להכרה במסמכים ככשרים ותקפים במדינות העולם. הביקוש לאימות מסמכים ציבוריים גדל בין 2017 ל-2024 ביותר מפי שניים. המבקר מצא שם שלל ליקויים – מחשש להונאה, דרך פרצות אבטחת מידע ועד לעברה על החוק.

בדו"ח שפרסם היום כותב אנגלמן כי "שירות האפוסטיל במשרד החוץ מזמין תופעה של 'מאכערים'", שבעקבותיה "אזרחי ישראל שילמו עשרות מיליוני שקלים מיותרים. זו הזנחה רבת שנים במתן שירות ציבורי לקוי מהשורש, שמאפשרת זיוף מסמכים, ליקויים כספיים, ואף פתח לביצוע הונאות ומעילות. יש חשש לזליגת המידע ולשימוש בו לרעה. חמור מכך – קיימת פרצת אבטחת מידע משמעותית בעמדות השירות העצמי של מערך הדיגיטל הלאומי, שמאפשרת לגורמים בעלי אינטרסים זרים לבצע פעולות להנפקת אישורים – מה שמהווה סיכון ממשי לניצול לרעה ולמעשי הונאה".

המבקר מצא פערים בהליכי האימות של המסמכים, "בלי שהמשרד עיגן את תהליך הטיפול בנהלים כתובים, ובניגוד לחובתו. הדבר מעלה ליקויים משמעותיים וחשש לפעולות בלתי רצויות כגון הפליות ומעילות".

"כשל של משרד החוץ במילוי תפקידו"

לפי הדו"ח, "משרד החוץ לא מחזיק במערכת מחשוב שמשמשת אותו לצורך הנפקת אישורי אפוסטיל תצלום ולכן הנפיק יותר ממחצית, 53%, שהם מאות אלפי אישורים – בלי אימות ובלא בדיקה אחרת. זהו ליקוי חמור, כשל של המשרד וליקוי חמור במילוי תפקידו".

המבקר מצא שמשרד החוץ מאמת ומנפיק אישורי אפוסטיל על בסיס העתקים מודפסים – פעולה אסורה, שמאפשרת זיוף של מסמכים בקלות רבה יותר. "ההשלכות מהסתמכות על מסמך מזויף הן רחבות ומשמעותיות", כתב אנגלמן. לדבריו, "חתימות מורשי חתימה לא נסרקו למערכת האימותים במשך חודשים רבים, ולעתים אף לא נסרקו כלל. ל-51% מכלל מורשי החתימה חסר פרט מהותי, והמידע אודותם אינו שלם".

שר החוץ, גדעון סער. צילום: Gints Ivuskans, ShutterStock

אנגלמן מצביע בדו"ח על חוסר התאמה בין מערכות התקבולים למערכות משרד החוץ, הקלדת נתונים ידנית, טעויות הקלדה, "פתח לביצוע הונאות ומעילות. פערים בין הסכומים, שמשקפים ליקוי משמעותי של משרד החוץ בניהול כספי ציבור, בבקרת שגיאות ובפעולות למניעת הונאות ומעילות. התעריפים לשירות לא עודכנו – זה אובדן של מיליוני שקלים לאוצר המדינה".

שירות אפוסטיל מוגבל – מה שעולה לאזרחים הרבה כסף

"הפריסה של שירות האפוסטיל של משרד החוץ מוגבלת – הוא ניתן רק בלשכת משרד החוץ בירושלים, למשך 3.5 שעות, בבוקר בלבד. למרות הביקוש העולה. אלפי אזרחים נאלצים להגיע פיזית לירושלים, להמתין בעמידה בתור במשך שעות בשמש הקופחת, בלא אפשרות לקביעת תור מראש, ללא מים או שירותים. השליחים השתלטו על התורים, והאזרחים משלמים להם עשרות מיליוני שקלים", כתב המבקר.

כמו כן, ימי המענה הטלפוני צומצמו משלושה ימים ליומיים בשבוע בלבד. "זה גרם לכך ש-70% מהשיחות נותרו בלא מענה, ובחלק מהזמן – כלל השיחות לא זכו למענה, ואלפי לקוחות המתינו לשווא", ציין אנגלמן.

עוד הוא כתב ש-"יישומה של החלטת הממשלה להקים תשתית אימות דיגיטלי לתעודות היה חלקי ביותר: רק חמישה מ-60 הגופים הצטרפו לשירות, והיקף השימוש באפוסטיל הדיגיטלי עמד על רק 0.8% מכלל ההנפקות – בניגוד ליעד שהוצב, של 70%".

עוד ליקויי אבטחת מידע

ליקויים נוספים שהמבקר מצא הם כי "שמות משתמש וסיסמאות של חשבונות משתמשים למערכות מידע שונות של משרד החוץ וגופים ציבורים אחרים היו חשופים לעיני כל. כמה בעלי תפקידים פעלו בניגוד מוחלט לכללי אבטחת המידע ושמירת החיסיון, בלי בקרה. זה עלול להוביל לחשיפה, גניבה, שינוי או הרס של המידע".

ישראל חברה באמנה בינלאומית לתחום, ולמרות זאת, "משרד החוץ מתנהל בתחום משפטי בין לאומי זה בלא נוהל סדור, ולא ממלא אחר חובותיו בהתאם לאמנה. נמצאו ליקויים מהותיים, כולל כספיים", כתב אנגלמן.

"מצבור הפערים והסיכון שהם יוצרים עלולים להגיע לרשלנות מקצועית בתפקוד", סיכם המבקר. "זו הזנחה רבת שנים בתחום האפוסטיל, באופן יישום האמנה, בהקפדה על התהליכים הכספיים ובשירות לציבור".

36% מעמדות השירות העצמי של מערך הדיגיטל – תקולות

המבקר בדק 28 מ-285 עמדות השירות העצמי לשירותי הממשלה שמפעיל מערך הדיגיטל הלאומי. 10 מהן, 36% – היו תקולות. בשליש מהעמדות הונפקו אישורים רשמיים בלא סימני ביטחון למניעת זיופים. עוד ליקוי שמצא המבקר הוא ש-120 עמדות פזורות ברשת פארם, ועובדים רבים מקבלים גישה למחשב ממשלתי רגיש. בכל אלה יש "סיכון ממשי לניצול לרעה, למעילות ולהונאות", ציין אנגלמן.

שירה לב עמי, מנכ"לית מערך הדיגיטל הלאומי. צילום: תומר פולטין

"קיימת פרצת אבטחת מידע משמעותית, שמאפשרת לגורמים בעלי אינטרסים זרים להשתלט על עמדות השירות העצמי ולבצע פעולות להנפקת אישורים. זה מהווה סיכון ממשי לניצול לרעה ולמעשי הונאה", נקבע. כמו כן, "נמצא ליקוי מהותי של מערך הדיגיטל בנוגע להגנה הפיזית על העמדות והגישה לתכולתם, … חשש ניצול לרעה וסיכוני אבטחת מידע נוספים. מערך הדיגיטל הלאומי מתנהל באופן לקוי בניהול, פיקוח ובקרה על העמדות – זו פגיעה בשירות לציבור, ופתח לשימוש לרעה".

התגובות

משרד החוץ מסר בתגובה לדו"ח המבקר שהוא החל לגבש נוהל עבודה לאימות מסמכים ציבוריים. "באוגוסט 2024 התחלנו בעדכון מורשי חתימה חדשים במערכת, לרבות דוגמת חתימתם. במסגרת אפיון מערכת מידע חדשה לאפוסטיל, ניישם כלי שיאפשר לבצע את עדכון מאגר מורשי החתימה. המערכת תכלול מנגנון לזיהוי מורשה חתימה, דוגמאות חתימה ומיפוי המסמכים השונים. נבחן ממשק לשירות התשלומים הממשלתי".

מערך הדיגיטל הלאומי מסר כי "לא מוכרת תופעה של הדפסת מסמכים רשמיים על נייר לבן. הדפסה שכזו אינה תקינה. המערך פועל בשיתוף פעולה לקביעת סוג הנייר, אופן הפצתו בעמדות ומנגנון בקרה על ההפצה. המערך יכול לבצע אינטגרציה למערכות משרד החוץ".

עוד נמסר בתגובה ש-"נבחנות פעולות לחסימת פרצת אבטחת המידע". המבקר הגיב לתגובה בכותבו כי "הליקוי לא תוקן. קיימת פרצת אבטחת מידע משמעותית".