קיימות חולשות אבטחה במערכת "חשבוניות ישראל" של רשות המיסים

"במערכת 'חשבוניות ישראל' קיימות חולשות מבניות וחולשות בקרה, העלולות לשמש גורמים עברייניים להפצת חשבוניות פיקטיביות ולניכוי מס תשומות שלא כדין, תוך עקיפת המנגנונים שהמערכת נועדה להבטיח מלכתחילה" – כך כותב מבקר המדינה, מתניה אנגלמן, בפרק מתוך הדו"ח הכלכלי המתפרסם היום.

במסגרת הרפורמה שהרשות יזמה ועוגנה בחוק, כל מי שמוציא חשבונית מעל סכום מסוים (כיום 5,000 שקלים) צריך לקבל מספר הקצאה אוטומטי שמערכות המיחשוב של הרשות מנפיקות. על פי נתוני הרשות, המערכת מנעה זיופי חשבוניות בהיקפים של מיליארדי שקלים.

אבל למרות הכל, עוד בטרם החלה הביקורת, הצטבר במשרד מבקר המדינה מידע  לגבי חשבוניות שהוצאו על שמם של עוסקים לגיטימיים דרך מערכת "חשבוניות ישראל", בין היתר על ידי גניבת זהויות של עוסקים ושינוי פרטי עוסקים במערכות של רשות המיסים, כמו מספרי טלפון, כתובות, דואר אלקטרוני ופרטים נוספים.

המבקר מציין לחיוב את פעילות רשות המיסים בתחום הסייבר, אבל בביקורת נמצאו פריצות למערכת שנובעות מעקיפת מנגנוני ההגנה,לרבות גניבת זהויות והפקת חשבוניות פיקטיביות. המבקר גם מציין, כי במקרים שבהם התגלתה גניבת זהויות, רשות המיסים פעלה רק בדיעבד, לאחר שקיבלה תלונות.

בסיכום ההמלצות כותב המבקר: "על רשות המיסים לפתח וליישם מנגנוני זיהוי מוקדם של פעילות חריגה, לרבות פעולות להגברת האבטחה מפני גישה בלתי מורשית, ניטור התנהגות מתקדם ויצירת התראות פרואקטיביות קודם אישור מספרי הקצאה. נוסף על כך, מומלץ כי הרשות תשקול שיתופי פעולה הדוקים יותר עם גורמי אבטחת מידע ממשלתיים וחיצוניים".

תגובת רשות המיסים

מרשות המיסים נמסר בתגובה: "כגוף האמון על מאגרי מידע קריטיים ורגישים, וביתר שאת בפרויקט חשבוניות ישראל, רשות המסים פועלת מתוך הבנה עמוקה לכך שפשיעה מקוונת בכלל, וגניבת זהויות בפרט, הינן איום אסטרטגי מחריף. במסגרת זו, אנו שולחים ככל שניתן התרעות על כל פעילות חריגה במגוון פעולות בזמן אמת והוספנו לאחרונה מנגנוני מניעה והתרעה ללקוחות בזמן אמת. בנוסף, אנו מקיימים פעילות הסברה ענפה במטרה להזהיר את הציבור מפני ניסיונות פישינג. במקביל, כאשר עולה חשד לגניבת זהות המערכת נסגרת אוטומטית להזדהות וכאשר העוסק האמיתי פונה ליחידת הבקרה או לשירות לקוחות, הוא מופנה להזדהות פיזית מלאה במשרד האזורי וביצוע רישום לקוח מחדש. הרשות מכירה בצורך להמשיך להגיב במהירות וביעילות, תוך השקעה מתמדת בטכנולוגיות הגנה מתקדמות, במטרה להגן על המשתמשים.

בתשובתה מיום 14.1.26 מסרה רשות המיסים, כי קיימת "הסלמה משמעותית בהיקף ובחומרת הפשיעה המקוונת, כאשר ארגונים פיננסיים ובנקים ניצבים בחזית המאבק מול ניסיונות פישינג מתוחכמים. גורמים עוינים פועלים ללא הרף במטרה לגנוב זהויות ולחדור למערכות רגישות, מציאות המציבה אתגרים חסרי תקדים לאבטחת המידע ולשמירה על אמון הציבור. כגוף האמון על מאגרי מידע קריטיים ורגישים, וביתר שאת בפרויקט 'חשבוניות ישראל', רשות המיסים מצטרפת לקו הגנה זה מתוך הבנה עמוקה כי מדובר באיום אסטרטגי מחריף. הרשות מכירה בצורך להגיב במהירות וביעילות, תוך השקעה מתמדת בטכנולוגיות הגנה מתקדמות, במטרה להגן על המשתמשים ובכך להבטיח את תקינות פעילותה אל מול נוף האיומים המשתנה. בתוך כך, ביצעה רשות המיסים שורה של פעולות כדי להתמודד עם המציאות המורכבת שבה גורמים עוינים הפועלים ללא לאות לביצוע פעולות זדוניות".

הרשות הוסיפה, כי היא עושה מאמץ לזהות בזמן אמת בקשות ההקצאה שלגביהן עולה כי קיים חשש לגניבת זהות, וזאת במקביל לטיפול בדיעבד. במקרה כזה המערכת נחסמת באופן אוטומטי להזדהות. כפועל יוצא, כאשר העוסק האמיתי ינסה גם הוא להזדהות ולבקש מספרי הקצאה הוא יגלה כי אינו יכול לעשות כן, ולאחר שיפנה ליחידת הבקרה או לשירות לקוחות הוא יופנה על ידם להזדהות פיזית מלאה במשרד האזורי וביצוע רישום לקוח מחדש. עוד מסרה הרשות כי היא עושה מאמץ לשלוח התרעות על כל פעילות חריגה במגוון פעולות בזמן אמת ככל שניתן וכי הוסיפה מנגנוני מניעה והתרעה ללקוחות בזמן אמת.

בבדיקת המעקב עלה כי גם כיום עבריינים ממשיכים להשתמש במנגנון הקמת חברות חדשות ובחילופי בעלי מניות בחברות קיימות תוך כדי דיווח בדיעבד לרשם החברות, לצורך הסוואת ההפצה של חשבוניות פיקטיביות.

מבקר המדינה: לפעול לסגירת כלל הפרצות שהתגלו במערכת 'חשבוניות ישראל'

מבקר המדינה מתניהו אנגלמן קבע, כי "על רשות המיסים להגביר את יכולותיה לפעול באופן מניעתי בכל הנוגע למניעת גניבת זהויות של עוסקים לגיטימיים וביצוע פעולות על שמם במערכת חשבוניות ישראל, לפעול לסגירת כלל הפרצות שהתגלו במערכת חשבוניות ישראל, לבצע בחינה חוזרת של ארכיטקטורת האבטחה והבקרה ולוודא כי יוטמעו בה מנגנונים מתקדמים שימנעו באופן אפקטיבי כל אפשרות לעקיפת מערכת חשבוניות ישראל לצורך הפצה וניכוי של חשבוניות פיקטיביות.

"על רשות המיסים לפתח מנגנון אכיפה ייעודי, המכוון כנגד עוסקים המנכים חשבוניות פיקטיביות ולפעול למיצוי הכלים האזרחיים והפליליים כנגדם. אכיפה ממוקדת ומתמשכת כנגד מנכי חשבוניות פיקטיביות תפחית את התמריץ הכלכלי לשימוש בחשבוניות פיקטיביות ותקטין את תופעת ההפצה והניכוי של חשבוניות פיקטיביות. על רשות המיסים לעשות שימוש שיטתי בהעלאת שיעור ניכוי מס במקור או ביטול הפטור מניכוי מס במקור ככלי מהיר ויעיל למאבק בהפצה ובניכוי חשבוניות פיקטיביות אשר יגרום לירידה מיידית במוטיבציה של העוסקים המנכים להשתמש בחשבוניות פיקטיביות".