מבקר המדינה: גופי חירום חשופים לסייבר - משטרה וכבאות ללא תוכנית למשבר

דוח חריף של מבקר המדינה מתניהו אנגלמן חושף תמונה מדאיגה: משרדי ממשלה ישראלים, כולל גופי חירום כמו המשטרה והכבאות, פועלים עם פרצות אבטחת סייבר חמורות שלא טופלו, בזמן שאיראן מגבירה את מתקפותיה הדיגיטליות על ישראל. הדוח פורסם היום ומציג שרשרת ארוכה של כשלים ורשלנות מוסדית שנמשכת שנים.

אחד הממצאים הבולטים הוא שכ-65% ממשרדי הממשלה, כלומר 31 מתוך 48 משרדים, המשיכו להשתמש עד ינואר 2025 בכלי עבודה מרחוק שנמצאו בו חולשות קריטיות. מערך הסייבר הלאומי הנחה להפסיק את השימוש בכלי כבר במרץ 2024, אחרי שנתגלו בו פגיעויות חמורות שנוצלו בתקיפות בישראל ובעולם. למרות האזהרה המפורשת, מרבית המשרדים המשיכו להשתמש בו עוד עשרה חודשים. רק לאחר שבינואר 2025 התפרסמה פגיעות קריטית חדשה ותשתיות ממשלתיות נפגעו בפועל, הופסק השימוש לחלוטין.

עוד חושף הדוח כי לאחר ה-7 באוקטובר, כשמערך הסייבר הלאומי הוציא הנחיות היערכות מיוחדות להתמודדות עם מתקפות, חלק מגופי החירום פשוט לא קיבלו אותן. נמצא כי יחידת הסייבר המגזרית של המשרד לביטחון לאומי, האחראית להנחיית הרשות הארצית לכבאות והצלה, כלל לא קיבלה את ההנחיה מאוקטובר 2023. כתוצאה מכך, גוף החירום שמפעיל 126 תחנות כיבוי, כ-600 כבאיות וכ-4,000 עובדים על פני 150 אתרים ברחבי הארץ, נותר חשוף.

משרד המבקר אף ביצע בעצמו מבדק חדירה ברשת העבודה מרחוק של הרשות הארצית לכבאות והצלה, ונמצאו בה פערים. הבדיקה חשפה מחסור בתרגולים ובעיות בהכנה להתמודדות עם קריסת מערכות. גם למשטרה ולכבאות אין תוכנית המשכיות עסקית, כלומר הן אינן יכולות להגדיר מה נדרש כדי לשמור על רציפות תפקודית בשעת חירום. "קיים חשש שהם לא יהיו ערוכים לאירוע סייבר ולא יידעו לקבל החלטות בזמן אמת", נכתב בדוח.

תמונה קשה במיוחד עולה ממשרד החוץ. במהלך מלחמת "חרבות ברזל" חל זינוק של כ-500% באירועי הגנת מידע בנציגויות ישראל בחו"ל. הדוח מציין כי מסמך מדיניות הגנת הסייבר של המשרד לא עודכן מאז 2018, בניגוד להנחיה המחייבת עדכון כל שנתיים-שלוש. ועדת ההיגוי המשרדית לתקשוב לא התכנסה בין 2020 ל-2023. תקציב אגף התקשוב עומד על 85 מיליון שקל, כשהמשרד עצמו מודה שחסרים לו לפחות 20 מיליון שקל נוספים.

המבקר אנגלמן מצא במשרד החוץ ליקויים חמורים בשמירה על מידע רגיש: "ניתנה גישה לכונן שהיה פתוח לכל משתמשי רשת מסוימת ושהכיל עשרות אלפי מסמכים, חלקם כוללים מידע אישי-פרטי". בנוסף, בפנקס מאגרי המידע של משרד המשפטים רשומים רק שלושה מאגרים של משרד החוץ, אף שהמשרד מנהל עשרות מאגרים נוספים.

גם משרד הבינוי והשיכון לא יצא נקי. הדוח מגלה שהמשרד לא הסדיר במשך שמונה שנים את רישום תשעת מאגרי המידע שברשותו, המכילים מיליוני רשומות של דיירי דיור ציבורי, מקבלי סיוע לדיור ומשתתפי תוכניות "דירה בהנחה". במקביל, ב-2024 זינקו ההתרעות על פעילות חשודה במשרד ב-130%. בדיקה נוספת העלתה שיותר ממחצית המערכות לא נסקרו אחת לשנה כנדרש, ולמשרד אין אפילו רשימה עדכנית של עובדי מיקור-החוץ שלו לצורך בקרה על הרשאות גישה.

אנגלמן לא חסך ביקורת גם על הממשלה בכלל: "נוכח האיומים מאיראן, ממשלת ישראל חייבת להיות ערוכה היטב גם למתקפות סייבר. הדוחות העלו ליקויים משמעותיים ויש לתקנם באופן מיידי. גופי חירום לא נערכו כנדרש למצבי חירום; הסיכון לחשיפה למתקפות סייבר בגופי חירום לא נבדק דיו". הוא הוסיף שנדרשת הבנה שאיום הסייבר הוא "איום ביטחוני ואסטרטגי לאומי" שחייב לחלחל לכל מנכ"לי משרדי הממשלה.

ממערך הסייבר הלאומי נמסר בתגובה לדוח כי הממצאים מדגימים בדיוק את הצורך בחוק הגנת הסייבר שאושר לאחרונה בממשלה כהכנה לקריאה ראשונה. לפי המערך, החוק נועד "לקבוע מסגרת לאומית אחידה, ברורה ומחייבת" ולמנוע מצב שבו כל גוף קובע לעצמו את רמת ההגנה שלו.

על פי הדוח, המבקר קורא למשטרה, לכבאות, להנהלת בתי המשפט ולמערך הדיגיטל לפעול בהקדם לטיפול בפערים שצוינו, ולמערך הסייבר ולגופי הפיקוח לוודא שלא קיימים פערים דומים גם בגופים נוספים. הכדור עכשיו במגרש הממשלה.