מבקר המדינה מתריע מפני גניבת נתונים מביטוח לאומי

המוסד לביטוח לאומי הוא אחד המוסדות הרגישים מבחינת אבטחת מידע בישראל. המוסד לביטוח לאומי (או בט"ל בקיצור) מחזיק מתוקף תפקידו במיליוני פרטים רגישים של כל תושבי ישראל מיום לידתם ועד פטירתם. מאגר המידע של הביטוח הלאומי, כמובן, נדרש לעמוד ברמה המחמירה ביותר של אבטחת מידע לפי תקנות הגנת הפרטיות.

ברם, בדו"ח שמתפרסם היום (שלישי) מתריע מבקר המדינה על שורה של כשלים חמורים באבטחת המידע של הביטוח הלאומי. ב-2022, היה אירוע של גניבת זהות שבמסגרתו פרטים אישיים של אלפיים אזרחים היו חשופים ונגישים לבלתי מורשים.

המבקר מציין כי במשך עשור שלם לא עודכנה מדיניות הגנת הסייבר של הביטוח הלאומי, שזהו נתון בלתי נסבל ובלתי מתקבל על הדעת לאור קצב ההתפתחות בתחכום ההתקפות בתחום. מנתח אבטחת מידע בודד נדרש לאייש מרכז שליטה לאירועי סייבר בארגון וצריך להתמודד עם עשרות אלפי התרעות ביום. ועדת היגוי הסייבר של הביטוח הלאומי לא התכנסה מזה שנתיים - מראשית שנת 2022 ועד ינואר 2024. עוד אומר המבקר כי בוצעו בדיוק אפס מבחני חדירות יזומים (pen-test), מרבית תקנות אבטחת המידע אינן מיושמות - והביטוח הלאומי גם לא עומד בדרישה לבצע סקרי סיכונים אחת ל-18 חודשים, כנדרש מרמת אבטחת המידע שלה הביטוח הלאומי כפוף. גופים העובדים עם המערכות של הביטוח הלאומי, מתריעים בעצמם על פערים באבטחת המידע והגישה אליו.

עוד מצויין בדו"ח כי לא רק שלא בוצעו בדיקות חדירות, ישנם אף ליקויים חוזרים ורוחביים בארגון ברמה חומרה גבוהה שלא תוקנו.

אם הגעתם פעם לדואר והפקידה הודיעה לכם בפנים חגיגיות ש-"המחשב לא עובד", זה לא אתם, זה הדואר, מאשר מבקר המדינה. על פי הדו"ח, עוד בשנת 2018 הציג אגף מערכות מידע בדואר ישראל את הצורך בהחלפת ציוד מחשוב ישן ביחידות הקצה, אבל כנראה ששום דבר לא נעשה. עד יולי 2023, הגישו משתמשי הקצה, עובדי דואר ישראל האומללים, 46,349 פניות אשר סווגו כתקלות חומרה, המהוות 35%(!) מסך הפניות בחברה. בתקופה הנבדקת, 64 אחוזים מהפניות הקשורות להשבתת תחנות קצה, נבעו מתקלות חומרה 32 אחוז מהתקלות שגרמו להשבתה מלאה של יחידת דואר, היו גם הן תקלות חומרה. רובן המכריע (92 אחוזים) נבעו מתקלות במחשבים שכבר בשנת 2018 היו מוגדרים כציוד מיושן שיש להחליפו.

על פי דו"ח המבקר, אמנם בשנת 2019 הוחלט על העברת יחידות הדואר לווינדוס 10, אבל רק בשנת 2022(!) החלו ברכישת ציוד מחשבים חדש. נכון למועד הביקורת של המבקר, רק 683 מחשבים מכלל 1850 המחשבים שנדרש היה לשדרגם ל-ווינדוס 10, מכלל המחשבים המפעילים את מסכי המידע בסניפים שודרגו רק 196 מתוך 350 מחשבים ואילו רק 136 מכלל מחשבי ניהול התורים בסניפים מתוך 200 שודרגו אף הם. עוד מצא המבקר כי היקף הרכישות של ציוד מחשוב חדש, גדול אך במעט מהפחת על השקעות בשנים קודמות (כ-40 מיליון ש"ח הוצאות על ציוד חדש, לעומת 37.4 מיליוני שקלים סך פחת שנתי). המשמעות: החברה שומרת על המצב הקיים ולא משקיעה די בהחלפה וחידוש ציוד המחשבים שלה.

בדומה לביטוח הלאומי, גם מצב אבטחת המידע בדואר ישראל אינו מזהיר. בדואר ישראל עדיין מבצעים סקירות הרשאות גישה ידיניות, ואין שקיפות בהצגת החריגות בבדיקה. התהליך גם איננו ממוחשב, ואינו בוחן את התאמת ההרשאות לבעליהן.

נכון לינואר 2024, על פי מבקר המדינה, 85 בעלי הרשאות למערכת מסויימת בדואר ישראל לא הוגדרו במשאבי האנוש כעובדים פעילים, כלומר, החזיקו בגישה ללא היתר, כולל אי ביטול הראשות לעובדי דואר ישראל שעזבו או פרשו, והחיבור שלהם למערכת לא נותק.

780 מבעלי ההרשאות הפעילות במערכת הניהול המרכזית של הדואר, הם עובדים שאינם נכללים ברשימת העובדים הפעילים בארגון. 449 מהם לא התחברו למערכת מאז תחילת השנה. מכאן, שמדובר בעובדים שעזבו או פרשו אבל ההרשאות שלהם לא עודכנו בהתאם ובוטלו. ששה מהעובדים עזבו את החברה עוד ב-2020, ובמשך שלוש שנים לפחות החזיקו עדיין בהרשאות גישה למערכת.

מדואר ישראל נמסר: "הדו"ח מתייחס לתקופה בה חברת דואר ישראל הייתה על סף חדלות פירעון, בעידן אחר שכבר מאחורינו, ערב יציאה לתוכנית הבראה משמעותית. מאז, התחלפה הנהלת החברה ויושמה בהצלחה תכנית הבראה הכוללת השקעה של סכומים משמעותיים בהחלפת מערכות מידע וציוד מחשוב מיושן, שינוי שגרות עבודה ונהלים, ועיבוי בקרות".