המבקר: "הזנחה רבת שנים באבטחת המידע בשירות בתי הסוהר"

"נמצאו פערים משמעותיים בניהול מידע ביטחוני מסווג ואבטחתו במערכות ה-IT של שירות בתי הסוהר… יש הזנחה רבת שנים של השב"ס והרגולטורים בתחום אבטחת המידע המסווג והסייבר, וההנחיות לא מיושמות", כך קובע מבקר המדינה, מתניהו אנגלמן, בדו"ח סייבר נרחב שהוא פרסם היום (ג').

המבקר קובע כי "נמצאו פערים עמוקים וליקויים משמעותיים של מערך ביטחוני רגיש זה, של השב"ס, שיוצרים סיכון של ממש. נמצא פער יסודי בין מהותו של הארגון, אופיו, המידע המוחזק בו והסיכונים הנוגעים לפעילותו לבין התרבות התפקודית הרווחת בו בכל הנוגע לאבטחת מידע וניהול המידע המסווג".

"במהלך שמונה השנים מאז כישלון פרויקט קידמה – פרויקט תקשוב ארגוני שכשל לאחר שהושקעו בו 144 מיליון שקלים – נציבות השב"ס והמשרד לביטחון לאומי לא ביצעו תחקור בנושא נסיבות הכישלון ולא הפיקו לקחים", נכתב בדו"ח.

שירות בתי הסוהר, קובע אנגלמן, "החל ביישום תוכנית רב שנתית, קברניט, ב-2021, בלא שאושר תקציבה הכולל – כחצי מיליארד שקלים, ובלא שניתן אישור של המשרד למימושה. השב"ס החל ביישום תוכנית תקשובית מקיפה, שעה שניתן לה אישור תקציבי של כ-20% מהעלות התקציבית הכוללת של התוכנית, המסתכמת ב-532 מיליון שקלים – ללא אישור הדרג הממונה לתוכנית בכללותה. מצב זה מציב סיכון להשלמת התוכנית בשנים הבאות".

"מתוך תקציב של 104 מיליון שקלים, מומשו בפועל כ-39 מיליון, המהווים 38% בלבד מהתקציב. 62% מהתקציב הוקדש להזמנות רכש שביצוען טרם הושלם. שיעור הירידה בהיקף התקציב הטכנולוגי בשב"ס ב-2018-2021 עמד על 13%, בזמן שתקציב השב"ס עלה ב-12% והתקציב הטכנולוגי של יתר משרדי הממשלה עלה ב- 25%", מוסיף המבקר.

"פערים משמעותיים" בניהול ובאבטחת מידע ביטחוני מסווג

אנגלמן מציין כי משרדו בדק שורה של היבטים הנוגעים לניהולו ואבטחתו של מידע ביטחוני בשירות בתי הסוהר ומצא "פערים משמעותיים, שעומדים בניגוד לפרקטיקה המחייבת בגופים מקבילים בכל אחד מהתחומים הבאים: טיפול במידע דיגיטלי מסווג ובמסמכים מסווגים; הסדרת הטיפול במידע ביטחוני מסווג באמצעות נוהלי אבטחה; שמירה וסיווג מסמכים; טיפול במידע מסווג שמתקבל מגורמים חיצוניים; הסדרת הסיווג הביטחוני של עובדים בשב"ס; ושימוש באמצעי תקשורת".

משרד המבקר ערך מבדקי חדירה בשילוב סקר הערכת פגיעויות בנוגע לרשתות בשב"ס. "בבדיקה שבוצעה עלו פערים משמעותיים, שעומדים בניגוד לפרקטיקה המחייבת בגופים מקבילים, בכל אחד מהנושאים הללו: הגנת הסייבר על חלק מהמערכות; ביצוע סקרי סיכונים באבטחת מידע וסייבר וביצוע מבדקי חדירה; היערכות לניהול אירועי סייבר; ניהול משתמשים והרשאות; ותהליכי הפיתוח של רשת מחשב מסווגת".

"הזנחה רבת שנים, לא הייתה משילות טכנולוגית"

המבקר מציין כי "הביקורת חושפת מציאות רבת שנים שלפיה תחומי האחריות והסמכות של השב"ס ושל המאסדרים (הרגולטורים – י"ה) בתחום אבטחת המידע המסווג והסייבר ובתחום הטכנולוגיות הדיגיטליות ומערכות המידע אינם מיושמים הלכה למעשה, באופן תקין וכנדרש. נמצאו פערים יסודיים בתוכנית ההתאוששות מאסון של המערכות הטכנולוגיות בשב"ס. תמונת המצב העולה מהביקורת היא תוצאה של הזנחה רבת שנים, שבמהלכן לא הייתה משילות טכנולוגית שהניחה יעדים, קבעה תהליכים, הקצתה משאבים, וניהלה כראוי את הסיכונים והמתודולוגיות הארגוניות בתחום הטכנולוגי. קיימת אי ודאות תקציבית מהותית בנוגע למימוש המענה המתוכנן בתוכנית קברניט למכלול הפערים הטכנולוגיים והאבטחתיים".

"על השב"ס והמשרד לביטחון לאומי לוודא שהרציפות התפקודית לא תיפגע כשיקרו אירועי אסון, שעלולים לסכן את יציבותו ותפקודו של מערך הכליאה הלאומי", מסכם אנגלמן. "על המשרד לביטחון לאומי והשר להבטיח כי השב"ס ממלא את תפקידו באמצעות תשתית טכנולוגית מתאימה, בראייה ארוכת טווח ובמתווה תקציבי שמבטיח את מימושו".

התגובות

השב"ס מסר בתגובה כי "ב-2022, במסגרת תר"ש (תוכנית רב שנתית – י"ה) קברניט ופרויקט מודול הפעלה חטיבתי, גובשה מתודולוגיית הפעלה המתייחסת לתהליך של הפקת לקחים, המבוצעת כחלק אינטגרלי משלבי התכנון וההתנעה של פרויקט טכנולוגי בחטיבה… תת תקצוב של החטיבה הטכנולוגית פגע באבני היסוד הטכנולוגיות המרכזיות. מכלול הפערים מעמיד בסכנה מיידית וממשית את הרציפות התפקודית של הארגון, ופגיעה בזמינות המערכות תפגע גם בפעילות ארגונים חיוניים רבים, ובכללם גופי ביטחון. חוסנו הרעוע של הארגון חייב נקיטת פעולות מיידיות, ולנוכח זאת איתר השב"ס מקורות פנימיים לצמצום פערים בתחום הרציפות והשרידות הארגוניים (חוות שרתים), חיזוק מרכיבי הגנת הסייבר ועוד".

מהמשרד לביטחון לאומי נמסר כי "השר קובע מדי שנה יעדים ומדדים למשרד ולגופיו לצורך יישום תוכניות עבודה שנתיות, בד בבד עם תוכניות העבודה המפורטות של הגופים".

ביקורת סייבר במרכז רפואי

"מגזר הבריאות היה אחד מעשרת המגזרים המותקפים ביותר בישראל ב-2021… עלות שיקום המרכז הרפואי הלל יפה אחרי מתקפת הסייבר שאירעה באוקטובר 2021 עמדה על כ-36 מיליון שקלים", כותב המבקר באחד הפרקים בדו"ח, שעוסק באירוע סייבר שאירע במרכז רפואי, שהוא לא מציין את שמו. "מתוך 13 הממצאים שעלו במבדק החדירה שביצע המבקר – 10 היו בדרגת חומרה גבוהה… 13 ממצאים משמעותיים היו בחמישה תחומים: סגמנטציה ובקרת זרימה, בקרת גישה לרשת, הגנת עמדות ושרתים, תוכנה לא עדכנית וגישה לא מאובטחת. 10 מהממצאים היו בדרגת חומרה גבוהה ושלושה בדרגת חומרה בינונית".

בעקבות מבדק החדירה תיקנה הנהלת המרכז הרפואי כמה מהליקויים, ובפרט עדכנה את רמת האבטחה של מערכות מסוימות. אנגלמן ממליץ כי "ההנהלה תגבש תוכנית עבודה רוחבית למיגור הסיכונים או למזעורם במקרים שבהם לא ניתן לתקן את הליקויים שעלו. מומלץ לבצע מבדקי חדירה בהתאם לתוכנית סדורה. על משרד הבריאות, כמאסדר, לבחון את ממצאי מבדק החדירה שבוצע במרכז הרפואי ולהטמיע בכלל המוסדות הרפואיים את ההמלצות שבממצאי המבדק".

התגובות

הנהלת המרכז הרפואי מסרה בתגובתה כי "עוד לפני ביצוע המבדק היא התמודדה עם פגיעויות שעלו, בין השאר, גם במבדק החדירה, והטמיעה בקרות מפצות (פעולות להפחתת סיכון), שבכוחן להקטין נזקים שעלולים להיגרם בשל פגיעויות המערכת… להערכת המרכז הרפואי, העלות הכוללת של תיקון הליקויים יכולה להסתכם ביותר מ-10 מיליון שקלים לשנה… המרכז דן באופן שוטף בניהול סיכוני סייבר ומביא בחשבון את הפערים שעולים".

משרד הבריאות מסר כי "כחלק מהיערכותו להתמודדות עם איומי הסייבר על מערכת הבריאות בישראל, הוא פועל בכמה מישורים כדי להגביר את רמת המוכנות של המוסדות הרפואיים לאירועים כאלה".