דוח הביקורת השנתי של מבקר המדינה המוקדש לנושא סייבר ומערכות מידע מונח על שולחן הכנסת על פי חוק מבקר המדינה, התשי"ח-1958 [נוסח משולב]. דוח זה עוסק בהיבטים מרכזיים של הגנת הסייבר, אבטחת המידע והשירותים הדיגיטליים במגזר הציבורי.
המרחב הדיגיטלי הפך בשנים האחרונות לתשתית יסוד בפעילותה של מדינת ישראל. מערכות מידע, שירותים מקוונים ותהליכי עבודה דיגיטליים משמשים כיום בסיס לפעולתם של משרדי הממשלה, גופי החירום, הרשויות הציבוריות ומערכי השירות לאזרח. לצד היתרונות הרבים שמביאה עימה הטרנספורמציה הדיגיטלית - ובהם ייעול השירות הציבורי, שיפור הנגישות, חיסכון במשאבים וחיזוק הרציפות התפקודית - מתעצמים גם הסיכונים הנובעים מאיומי סייבר, מדליפות מידע ומפערים בהגנת מערכות המידע. מציאות זו מחייבת את כלל הגופים הציבוריים להבטיח כי מערכותיהם יהיו מאובטחות, אמינות, זמינות ועמידות גם בשגרה וגם בשעת חירום.
הגנת הסייבר ואבטחת מערכות המידע הן כיום מאבני היסוד של תפקודה התקין של המדינה המודרנית. מערכות דיגיטליות מרכזות מידע אישי, כלכלי וביטחוני בהיקפים עצומים ומשמשות תשתית לפעילותם של משרדי הממשלה, גופי החירום והשירותים הציבוריים החיוניים. בעידן שבו איומי הסייבר הולכים ומתעצמים, ובייחוד בתקופות חירום ומשבר, נדרשת מהמדינה היערכות מתקדמת שתבטיח את חסינות המערכות, את ההגנה על פרטיות האזרחים ואת המשך אספקת השירותים לציבור באופן רציף, בטוח ואמין. חיזוק תחום זה אינו רק צורך טכנולוגי, אלא נדבך מרכזי בביטחון הלאומי, באמון הציבור במוסדות המדינה וביכולתה של הממשלה להעניק שירות ציבורי יעיל, מתקדם ונגיש לכלל האזרחים.
החשיבות שבחיזוק ההגנה על מערכות מידע ותשתיות דיגיטליות מתחדדת במיוחד על רקע המציאות הביטחונית המורכבת שבה נתונה מדינת ישראל בשנים האחרונות. בתקופות אלה גוברים ניסיונות התקיפה במרחב הסייבר שמבצעים גורמים עוינים, לצד הצורך של גופי המדינה להבטיח רציפות תפקודית ומתן שירותים חיוניים לציבור גם בתנאי חירום. אירועים מסוג זה המחישו כי מערכות המידע, השירותים הדיגיטליים ותשתיות העבודה מרחוק אינם רק כלי ניהולי וטכנולוגי, אלא מרכיב מרכזי בחוסנה הלאומי של המדינה וביכולתה להמשיך לתפקד באופן רציף, יעיל ובטוח.
ארבעת פרקי דוח זה עוסקים בהיבטים שונים ומשלימים של תחום הסייבר ומערכות המידע במגזר הציבורי:
- מערכות מידע ואבטחת מידע וסייבר במשרד החוץ
- הגנת הסייבר בעבודה מרחוק בעיתות שגרה וחירום
- אבטחת מערכות המידע במשרד הבינוי והשיכון
- שירותים מקוונים לציבור: ההזדהות הלאומית והאזור האישי הממשלתי
שלושת הפרקים הראשונים עברו הליך חיסיון בוועדת המשנה של הוועדה לענייני ביקורת המדינה בכנסת, והיא החליטה שלא להניחם במלואם על שולחן הכנסת אלא לפרסם רק חלקים מהם, לשם שמירה על ביטחון המדינה.
ממצאי הביקורת מצביעים על פערים בהיערכות, בניהול הסיכונים, בפיקוח וביישום המדיניות הממשלתית בתחום, לצד התקדמות חלקית בלבד בהנגשת שירותים דיגיטליים ובהטמעת מנגנוני הגנה ובקרה מתקדמים. אף שכל אחד מהדוחות עוסק בתחום ייחודי, מכלולם ממחיש כי חיזוק ההגנה על מערכות מידע, הבטחת רציפות תפקודית והעמקת הטרנספורמציה הדיגיטלית של השירות הציבורי הם אתגרים לאומיים המחייבים טיפול מערכתי, מתואם ומתמשך.
הביקורת בנושא מערכות מידע ואבטחת מידע וסייבר במשרד החוץ בוצעה במהלך מלחמת חרבות ברזל והעלתה פערים בתחום הניהול והפיתוח של מערכות המידע במשרד ובתחום אבטחת המידע והגנת הסייבר. נוכח תפקידו, משרד החוץ הוא יעד מרכזי לתקיפות סייבר של מגוון יריבים, החל מפצחנים (האקרים) וכלה בגורמים מדינתיים. ממצאי הביקורת מדגישים את הצורך בחיזוק מנגנוני הפיקוח והבקרה של הנהלת משרד החוץ בכל הנוגע למערכות המידע ואבטחת המידע במשרד, במטרה להבטיח פעילות תקינה של מערך התקשוב שלו ולשפר את רמת ההגנה על המשרד ונכסיו.
אחד מפרקי הדוח עוסק ביישום המדיניות הממשלתית לקידום שירותים ציבוריים דיגיטליים באמצעות מערכת ההזדהות הלאומית והאזור האישי הממשלתי. הביקורת העלתה כי אף שמאז שנת 2014 התקבלו החלטות ממשלה רבות בדבר קידום שירותים מקוונים, וחרף העובדה שכ-4.6 מיליון אזרחים כבר רשומים למערכת ההזדהות הלאומית, יישום המדיניות עדיין חלקי ואיטי. רק 16% מהשירותים שמופו מחוברים למערכת ההזדהות, רק כ־23% מהטפסים המקוונים המזוהים מנוהלים באמצעותה, ורק 233 מתוך אלפי השירותים הממשלתיים הונגשו באזור האישי. עוד נמצא כי רק 15 מתוך 258 הרשויות המקומיות התחברו למערכת ההזדהות הלאומית, והיקף החיבור של משרדי הממשלה וגופים ציבוריים נוספים למערכות אלה מצומצם, באופן הפוגע ביכולת הציבור לקבל שירות ממשלתי דיגיטלי מלא, פשוט ונגיש.
פרק נוסף עוסק באבטחת מערכות המידע של משרד הבינוי והשיכון, המחזיק במיליוני רשומות ובהן מידע אישי ורגיש על אזרחים, זכאים לדיור וקבלנים. לצורך פעילותו משתמש המשרד בעשרות מערכות מידע, ובשנת 2025 עמד תקציב אבטחת המידע והסייבר שלו על כ-6.5 מיליון ש"ח - כ־9% מתקציב המחשוב הכולל של המשרד. הביקורת העלתה ליקויים מהותיים בניהול אבטחת המידע והסייבר במשרד, ובהם פערים בבקרת הרשאות גישה, אי-מיצוי תהליכי ניהול סיכונים, היעדר מנגנוני התרעה מספקים ואי-השלמת רישום של מאגרי מידע כנדרש בדין. ממצאים אלה בולטים במיוחד נוכח העלייה הניכרת (כ-130%) בהיקף התרעות הסייבר שהתקבלו בעניינו של המשרד בשנת 2024, וממחישים את החשיבות שבהבטחת הגנה אפקטיבית על נכסי המידע של המדינה.
הדוח עוסק גם בהגנת הסייבר בעבודה מרחוק, אשר הפכה בשנים האחרונות לחלק בלתי נפרד מפעילותם של גופים ציבוריים וביטחוניים, וביתר שאת בתקופת מגפת הקורונה ובמהלך מלחמת חרבות ברזל. במסגרת הביקורת נבחנו מוכנותם של גופים חיוניים, ובהם משטרת ישראל והרשות הארצית לכבאות והצלה, להתמודד עם איומי הסייבר הנלווים לעבודה מרחוק. הביקורת העלתה פערים מסוימים במידת ההתאמה של מנגנוני ההגנה והבקרה לסיכונים הקיימים, והועלו ליקויים גם במבדק חדירה שביצע משרד מבקר המדינה במערכת העבודה מרחוק של כב"ה. ממצאים אלה מדגישים את הצורך בהשלמת ההכנה של תוכניות עבודה ובחיזוק ההיערכות להגנת סייבר בגופים החיוניים במדינה.
מכלול ממצאי הדוח מצביע על כך שהתקדמותה של מדינת ישראל לעבר ממשל דיגיטלי מתקדם מחייבת השקעה מתמשכת בתשתיות סייבר, בניהול סיכונים, בפיקוח ובאכיפה, לצד שיתוף פעולה הדוק בין כלל הגופים הציבוריים. הגנה נאותה על מערכות מידע ושירותים דיגיטליים אינה רק צורך טכנולוגי - אלא תנאי הכרחי לשמירה על אמון הציבור, להגנה על פרטיות האזרחים ולהבטחת תפקודו התקין והרציף של השירות הציבורי.
על הגופים המבוקרים מוטלת החובה לפעול בדרך מהירה ויעילה לתיקון הליקויים שצוינו בדוח זה.
תודתי נתונה לעובדי משרד מבקר המדינה, אשר עסקו בהכנת דוח זה במקצועיות, ביסודיות ובמסירות ומתוך תחושת שליחות. אני תקווה כי ממצאי הדוח והמלצותיו יסייעו לחיזוק מערכי הסייבר ואבטחת המידע במגזר הציבורי ויתרמו לשיפור השירות הניתן לאזרחי ישראל.
נייחל ונתפלל להחלמתם המהירה של הפצועים, לשיקום החטופים ששבו אלינו ובני משפחותיהם, לחזרת כל המפונים לבתיהם, לשלום חיילינו ולהצלחת כוחות הביטחון בהגנה על ארצנו.