ליקויים חמורים באבטחת המידע והסייבר בבחירות לרשויות המקומיות

מבקר המדינה חשף בדו"ח שפרסם היום (ג') שורה של ליקויים חמורים במערכות המידע והגנת הסייבר שהיו במערכת הבחירות לרשויות המקומיות, שהיו בפברואר אשתקד.

הביקורת בוצעה גם בזמן אמת, והחלה עוד בשלב ההיערכות למערכת הבחירות. במהלך הביקורת העביר משרד המבקר חלק מהממצאים לגופים המבוקרים, לצורך שיפור היערכותם לבחירות, וחלקם תוקנו לפני יום הבוחר. ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח על את הפרק הזה של הדו"ח על שולחן הכנסת ולא לפרסם אותו במלואו, בנימוק של שמירה על ביטחון המדינה. להלן חלק מהממצאים:

העלות של מערכת הבחירות לרשויות המקומיות עמדה על 1.26 מיליארד שקלים, לא כולל עלות יום השבתון. גם הפעם הבחירות היו ידניות, בעיקר בשני תהליכים: ההצבעה וזיהוי הבוחרים. המבקר, מתניהו אנגלמן, מצא כי יחידת המפקח על הבחירות לא ביצעה מיכון של אלפי טפסים ידניים, כולל טפסי מועמדות ופרוטוקולים של הצבעות. זאת, על אף שלמשרד הפנים יש את הכלים שמאפשרים את המיכון. שימוש בכלים ממוחשבים היה בתהליכי ליבה שלא מאפשרים ניתוח נתונים וחישובים מורכבים. העובדה שלא היה מיכון של הטפסים פגעה באיכות הבקרה, מאחר שזו בוצעה על ידי גורם אנושי – שחשוף, באופן טבעי, לטעויות.

עוד העיר המבקר שמשרד הפנים בחר שוב שלא לערוך בחירות ממוחשבות, אף על פי שכבר בוצעו פיילוטים בפריימריז בחלק מהמפלגות. כמו כן, המשרד הפסיק את עבודתה של ועדה שבחנה את הנושא ב-2013, ועד היום לא הושלמה טיוטת הצעת חוק שתאפשר ביצוע בחירות ממוחשבות.

ליקוי נוסף שהמבקר מצא הוא העדר שיתוף פעולה ואיגום משאבים בין ועדת הבחירות המרכזית לכנסת לוועדת הבחירות לרשויות המקומיות – מה שמביא לבזבוז משאבים. זאת, על אף שהתהליכים דומים. אנגלמן כתב כי "עבודה משותפת עשויה לתרום בלימוד הדדי, שעשוי לשפר תהליכים דומים ולצמצם סיכונים לפגיעה בטוהר הבחירות, לייעל מערכות ולמנוע כפילות בפיתוח ובתחזוקה של מערכות מידע דומות".

ליקויים חמורים בזיהוי אירועי סייבר והתמודדות עימם

ביקורת קשה במיוחד מפנה המבקר באשר לאבטחת המידע והגנת הסייבר בבחירות המוניציפליות. הוא כותב שעל אף הקריטיות של עמידה ברמת הגנה גבוהה על הגופים העוסקים בבחירות, היחידה להגנת הסייבר (יה"ב) הייתה מעורבת בבקרה על הגנת הסייבר בבחירות אלה רק באופן חלקי. אחת הסיבות היא שמשרד הפנים פנה למערך הסייבר הלאומי על מנת שייכנס לתמונה רק במאי 2023 – חמישה חודשים לפי המועד המקורי של הבחירות לרשויות המקומיות (שנדחה בארבעה חודשים עקב פרוץ המלחמה – י"ק), והמערך נכנס לתמונה רק חודשיים לפני יום הבוחר. כמו כן, לדברי אנגלמן, הרשות להגנת הפרטיות פרסמה הנחיות לגבי שמירה על הפרטיות בהעברת המידע בפנקס הבוחרים רק בספטמבר 2023 – חודשיים אחרי שהמועמדים קיבלו את החומרים עם המידע הרגיש. בתגובה מסרה הרשות כי היא לא נקטה בפעולות קודם לכן, מאחר שתשומת הלב הופנתה לטיפול באירועי אבטחת מידע חמורים במשק.

המבקר כותב בדו"ח ש-"ביום הבחירות השתמשה יחידת המפקח במערכות מידע נוספות, שלא נכללו במסמך מיפוי המערכות ולא נכללו בניתוח האיומים והסיכונים. נוכח זאת, לא נבחנה ולא הוגדרה מעטפת הגנה מתאימה למערכות אלה, הן לא נבדקו מבחינת היבטי אבטחת מידע והגנת הסייבר לצרכי הבחירות, ולא נוטרו בזמן אמת כדי לזהות אירועי סייבר".

עוד חשפה הביקורת כי משרד הפנים לא הפעיל ביום הבחירות מרכז תפעול להגנת סייבר (SOC) מרכזי, ולכן לא היה גורם מתכלל שעמדה לרשותו תמונת המצב כדי לזהות קשרים בין אירועים חריגים המתרחשים במערכות השונות.

נוסף על כך, הגדרת איומי הייחוס שגיבש משרד הפנים, בשיתוף מערך הסייבר, הייתה חסרה, ולא כללה התייחסות לכלל האיומים שעלולים להסב נזק חמור לתהליך הבחירות. כמו כן, נמצאו ליקויים במערכות נוספות ובניטור, ולא היו הגדרות תהליכי עבודה מסודרים בטיפול באירועים החשודים כאירועי סייבר.

עוד מחדל חמור שהמבקר מצא היה בתפעול מערכות שנועדו להסיר שמות של מועמדים, כמו גם בבדיקת התאמות מעטפות ההצבעה בין מיקום ההצבעה לרשות המקומית.