מבקר המדינה מזהיר: פרצות חמורות בהגנת הסייבר של משרדי הממשלה

דו”ח חדש של משרד מבקר המדינה חושף שורת ליקויים משמעותיים במערכי הסייבר וההגנה הדיגיטלית של גופי ממשל מרכזיים בישראל, ומזהיר כי מערכות ציבוריות קריטיות נותרו פגיעות למרות מאמצי הממשלה לקדם טרנספורמציה דיגיטלית ולחזק את ההגנה מפני איומי סייבר.

על פי ממצאי הדו”ח, שנערך במשרדי ממשלה, רשויות חירום ותשתיות השירותים הדיגיטליים הלאומיים, קיימים כשלים נרחבים בתחומי ניהול הסיכונים, הפיקוח, אבטחת המידע והיישום בפועל של מדיניות הסייבר הממשלתית. המבקר מדגיש כי התשתיות הדיגיטליות הפכו בשנים האחרונות לרכיב מרכזי בחוסן הלאומי של ישראל, במיוחד לאחר משבר הקורונה ומלחמת “חרבות ברזל”, שבמהלכם נשענו גופי המדינה על עבודה מרחוק, מערכות מקוונות ושירותים דיגיטליים כדי לשמור על רציפות תפקודית.

לפי הדו”ח, המעבר המואץ למערכות דיגיטליות יצר גם שטח תקיפה רחב יותר עבור גורמים עוינים, בהם האקרים וגורמי מדינה זרים. המבקר קובע כי הגנת סייבר ואבטחת מידע הפכו ל”אבני יסוד של ממשל תקין”, בין היתר בשל כמויות המידע האישי, הפיננסי והביטחוני שמוחזקות בידי מוסדות ציבוריים.

אחד הממצאים החריפים ביותר נוגע למשרד החוץ, שמוגדר בדו”ח יעד מרכזי למתקפות סייבר מצד מדינות אויב וגורמים עוינים. ביקורת שנערכה במהלך מלחמת “חרבות ברזל” העלתה ליקויים בניהול ופיתוח מערכות המידע של המשרד, לצד חולשות במנגנוני ההגנה והפיקוח בתחום אבטחת המידע. חלקים מהביקורת הוגדרו מסווגים על ידי ועדת משנה של הכנסת מטעמי ביטחון לאומי.

הדו”ח מותח ביקורת גם על הקצב האיטי של יישום תוכנית הממשלה הדיגיטלית. למרות שכ-4.6 מיליון אזרחים כבר רשומים במערכת ההזדהות הלאומית, רק 16 אחוזים מהשירותים הממשלתיים שמופו מחוברים אליה בפועל. בנוסף, רק 23 אחוזים מהטפסים המקוונים פועלים באמצעות המערכת, ורק 233 שירותים ממשלתיים שולבו באזור האישי הממשלתי.

גם ברשויות המקומיות התמונה חלקית מאוד. רק 15 מתוך 258 רשויות התחברו למערכת ההזדהות הלאומית, נתון שמקשה על יצירת מעטפת שירותים דיגיטליים אחידה ונגישה לציבור.

פרק נוסף בדו”ח עוסק במשרד הבינוי והשיכון, שמחזיק מאגרי מידע רגישים על אזרחים, זכאי דיור וקבלנים. למרות שהמשרד הקצה בשנת 2025 כ-6.5 מיליון שקלים לתחומי אבטחת המידע והסייבר, שהם כ-9 אחוזים מתקציב המחשוב שלו, נמצאו ליקויים חמורים במנגנוני הרשאות גישה, בניהול סיכונים, ברישום מאגרי מידע ובמערכות ההתראה. זאת על רקע עלייה של כ-130 אחוזים במספר התרעות הסייבר שהתקבלו במשרד במהלך 2024.

המבקר בחן גם את אבטחת העבודה מרחוק בגופים כמו משטרת ישראל ורשות הכבאות וההצלה. במסגרת הבדיקות אותרו פערים במערכי ההגנה, ובבדיקות חדירה שבוצעו למערכות העבודה מרחוק של רשות הכבאות נחשפו חולשות אבטחה נוספות.

בסיכום הדו”ח מזהיר מבקר המדינה כי המשך המעבר לממשל דיגיטלי מתקדם יחייב השקעות מתמשכות בתשתיות סייבר, הידוק מנגנוני הפיקוח והאכיפה ושיפור שיתוף הפעולה בין גופי המדינה. לדברי המבקר, אמון הציבור ורציפות התפקוד של השירותים הממשלתיים תלויים כיום במידה רבה ביכולת להגן על המערכות הדיגיטליות של ישראל מפני איומי סייבר מתפתחים.