אנגלמן: תחומי הגנת הסייבר בבית הנשיא נזנחו במידה מסוימת
עד אמצע 2025 לא היו ועדת היגוי, מדיניות ויעדים בתחום הסייבר. סכנה לפגיעה בפרטיות במידע על 100,000 בקשות חנינה. ליקויים בשימוש בדוא"ל ובאמצעי ההזדהות
עד אמצע 2025 פעל בית נשיא המדינה ללא ועדת היגוי להגנת הסייבר וללא מדיניות מאושרת ויעדים מדידים בתחום הגנת הסייבר. המסקנה היא, כי תחומי הגנת הסייבר בבית הנשיא נזנחו במידה מסוימת ולא טופלו באופן ההולם את הסיכונים הנשקפים לגוף של המדינה – קובע מבקר המדינה, מתניהו אנגלמן.
צה"ל שחרר לפני שנתיים 19 אנשי חמאס בלא אישורו של נתניהו
אנגלמן: ישראל נכנסה למלחמה כשהיא ערוכה חלקית בלבד לאיומי סייבר
"פעילותו התקינה של בית הנשיא מושפעת ותלויה בין השאר ברמת הסודיות, השלמות, הזמינות והשרידות של המידע המצוי ברשותו, ובכלל זה במערכות המחשוב שלו. פגיעה במידע עלולה להוביל לנזקים בהיבטים תפעוליים, טכנולוגיים וכספיים, ואף לפגוע בצנעת הפרט ובשם הטוב ובתדמית של בית הנשיא ושל העומד בראש המדינה", מזהיר אנגלמן.
עד ספטמבר 2024 לא היה גורם מנחה
כאמור, עד יוני 2025 לא הוקמה בבית הנשיא ועדת היגוי לנושאי הגנת סייבר, ולכן משימות מרכזיות לא קודמו: הנהלת בית הנשיא לא העריכה נזקים ולא בחנה את מפת הסיכונים; לא גיבשה יעדים מדידים לבחינת יישום תשתית הגנת הסייבר; לא ביצעה סקרי הנהלה; ולא בדקה את ישימות הפעילויות המוגדרות למערכת ניהול הגנת הסייבר ואת ביצוען. בית הנשיא גיבש נהלים העוסקים רק בחלק מהנושאים הרלוונטיים, ואינם עוסקים בנושאי ליבה בתחום הגנת הסייבר, כגון במשתמשים ובהרשאות; בכללים לניטור של אירועים, חריגות ואיומים; במחזור חיי תוכנה; ובעדכוני מערכות הפעלה.עד ספטמבר 2024 פעל בית הנשיא ללא גורם מנחה בתחום הגנת הסייבר. משמעות הדבר היא שעד מועד זה לא הוחלו עליו הכללים ודרכי הפעולה שהוחלו על משרדי הממשלה, שנועדו לשפר את רמת ההגנה בסייבר, להפחית את הסיכונים הנשקפים לנכסי המידע ולפעול בתחום זה על פי סטנדרטים בינלאומיים.
על פי הדו"ח, נמצאו ליקויים בעלי משקל בניהול אמצעי ההזדהות והחשבונות של המשתמשים ברשת. בית הנשיא לא הקצה תיבות דוא"ל משרדיות לכל עובדיו המשתמשים בדוא"ל במסגרת עבודתם השוטפת, ובכך יצר למעשה פתח לשימוש לא תקין בדוא"ל. נמצאו ליקויים המתייחסים לעמידת בית הנשיא בדרישות הנוגעות לניטור מערכות מידע.
בבית הנשיא פועלות מערכות שאינן נתמכות עוד בידי היצרן, והוא אינו מקפיד על התקנת כל עדכוני האבטחה הנדרשים במערכותיו, ולכן חלק מהן חשופות לפגיעויות שונות. האופן שבו בנויה רשת בית הנשיא, אינו תואם את ההנחיות ויוצר סיכון. בית הנשיא לא התקין חלק ממערכות ההגנה הנדרשות, ולא פעל כנדרש להבטחת שליטה באבטחת תחנות הקצה של הרשת. בית הנשיא גם לא נקט מבעוד מועד את הפעולות הנדרשות להבטחת זמינות פונקציות עסקיות בעת חירום, עקב שיבוש תהליכים עסקיים קריטיים.
לא קוימו חובות של אבטחת פרטיות
עוד קובע אנגלמן, כי בית הנשיא לא קיים חלק מהוראות הדין החלות עליו בנוגע לאבטחת הפרטיות במאגרים שברשותו: לא מונה ממונה אבטחת מידע האמון על אבטחת המידע במאגרים; לא מופו מאגרי המידע, ולא הוכנה רשימת מצאי של מערכות המאגרים; לא גובש נוהל אבטחה, ולא נקבעו הרשאות גישה למאגרים; ואין מנגנון תיעוד אוטומטי של הגישה למערכות המאגר.
ממצאים אלה עלו גם בנוגע למאגר החנינות של בית הנשיא, המכיל מידע רגיש על קרוב ל-100,000 מבקשי חנינה, לרבות נתונים רפואיים, סוציאליים וכלכליים. נוסף על כך, בית הנשיא קיבל שירותים מספק חיצוני לצורך הטיפול במאגר זה, אך לא נקט את הפעולות הנדרשות על פי תקנות אבטחת מידע.
בניגוד לדרישות הדין, בית הנשיא מעביר למשרד המשפטים ולפרקליטות הצבאית בדוא"ל ללא הצפנה בקשות חנינה המכילות מידע המוגדר מידע בעל רגישות מיוחדת. הוא שומר בקשות חנינה שהועברו לגופים אלה בתיבת דוא"ל לפרק זמן לא מוגבל, ואינו מצמצם את המידע הנשמר בידיו למינימום הנדרש.
- צה"ל שחרר לפני שנתיים 19 אנשי חמאס בלא אישורו של נתניהו
- אנגלמן: ישראל נכנסה למלחמה כשהיא ערוכה חלקית בלבד לאיומי סייבר
