המבקר: ביטוח לאומי אינו בטוח – בסייבר
לפי המבקר, לבט"ל מאגר נתונים גדול על כל תושבי ישראל, בהיקף טרה-בייט רבים, ולמרות זאת הוא "לא עדכן את מדיניות אבטחת המידע והגנת הסייבר שלו במשך כעשר שנים, משנת 2014, אף שמאז הסיכונים השתנו במידה ניכרת"
מצב אבטחת המידע והגנת הסייבר במוסד לביטוח לאומי לוקה בחסר, כך קובע מבקר המדינה, מתניהו אנגלמן, בדו"ח בנושא שהתפרסם אתמול (ג').
מבקר המדינה, מתניהו אנגלמן. צילום: מארק ניימן, לע"מ
לפי המבקר, המוסד לביטוח לאומי (בט"ל) מחזיק במאגר נתונים גדול, על כל תושבי ישראל, בהיקף טרה-בייט רבים. המאגרים נדרשים לרמת אבטחה גבוהה. ב-2023 החליטה ועדת היגוי עליונה להגנה על מערכות ממוחשבות כי יש להנחותו כגוף 'תשתית מדינה קריטית' (תמ"ק). "נכון לאפריל 2024, טרם התקבל אישור להוספת בט"ל כגוף תמ"ק… בכל יום מתבצעים עשרות אלפי ניסיונות לתקיפת סייבר נגד ביטוח לאומי. אירוע סייבר שכזה עלול לגרום לפגיעה חמורה בפרטיות של מיליוני אזרחים ותושבים ולפגיעה בעבודת בט"ל ואף לשיתוק העבודה".
לפי המבקר, "בט"ל לא עדכן את מדיניות אבטחת המידע והגנת הסייבר שלו במשך כעשר שנים, משנת 2014, אף שמאז הסיכונים השתנו במידה ניכרת, והדבר מנוגד למדיניות בט"ל".
עוד קבע אנגלמן כי "בט"ל לא התייחס בנוהל אבטחת מידע של הארגון ל-6 מ-12 הנושאים שנדרש להסדירם".
"ועדת היגוי סייבר בראשות המנכ"ל לא התכנסה מתחילת 2022 ועד ינואר 2024, בניגוד למדיניות בט"ל. כך, לא היה בבט"ל מי שיאשר את מדיניות הגנת הסייבר ואת תוכניות העבודה השנתיות ויבצע מעקב אחר יישומן".
ניהול סיכונים בעייתי
"בט"ל אינו מנהל רשימת מצאי של כלל הנכסים והתהליכים העסקיים שלו, ואינו מסווג אותם לפי רמת הקריטיות שלהם", קבע המבקר. "קיום הליך ניהול סיכונים שלא על בסיס מיפוי מלא של כלל נכסי הארגון, מעלה חשש שניהול הסיכונים לא ישקף מיטבית את הסיכונים העיקריים שאליהם חשוף הארגון, ושהמשאבים והפעולות המופנים להתמודדות עם סיכונים אינם מוקצים בהלימה לרמת הסיכון הנשקפת לנכסי הארגון. כמו כן, בט"ל אינו מבצע סקרי סיכונים אחת ל-18 חודשים לגבי מאגרי המידע שלו, כנדרש".
"בט"ל אינו מבצע מבדקי חדירה לגבי מאגרי המידע שברשותו, כמתחייב. רק כ-7% מהמבדקים שבוצעו היו על מערכות שמקושרות למערכת המרכזית, בה נמצאים כל מאגרי המידע של בט"ל. כמו כן, בט"ל אינו עוקב אחר תיקון הליקויים שנמצאו במבדקים, ונמצאו ליקויים חוזרים וליקויים רוחביים ברמת חומרה גבוהה שלא תוקנו, דבר החושף את בט"ל לסיכון. בט"ל גם אינו מבצע מבדקי חדירה למערכת המרכזית".
המבקר כתב כי "נמצאו פערים בהגנה הלוגית בבט"ל בכמה נושאים: זיהוי אירועי סייבר וטיפול בהם; אין צוותים ייעודיים לניהול משבר; צוות הנהלה לניהול אירוע סייבר שהוקם בינואר 2024 לא התכנס, לא הוכשר ולא תורגל; נמצאו פערים בהפעלת ה-SOC, וכך, הוא מאויש רק באנליסט אחד… נמצאו פערים ביכולת ההמשכיות העסקית של בט"ל בכמה היבטים… בט"ל לא ביצע תרגול להתאוששות מאסון שלוש שנים; נמצאו פערים ביכולת לשחזר מידע מגיבויים; לבט"ל אין נוהל בנושא שרשרת אספקה, ואין לו מיפוי של כלל ספקי התקשוב שלו והסיווג שלהם לפי רמת הסיכון שלהם".
"רוב תקנות אבטחת המידע – 87% מהן – מקוימות באופן חלקי בלבד"
עוד קבע המבקר כי "במכרזי בט"ל אין נספח אבטחת מידע, בט"ל אינו מבצע ביקורות על ספקי התקשוב שלו. קיים סיכון לפגיעה בבט"ל באמצעות פגיעה באחד הספקים המהותיים שלו. בכמה מקרים בהיקף מצומצם, כשביצע בט"ל ביקורות – התגלו ליקויים".
"בט"ל מעביר לגופים חיצוניים רבים מידע באמצעות מערכות לשיתוף מידע שהתגלו בהן פערי אבטחת מידע", נכתב. "אין בידי בט"ל תוכנית לבקרה שוטפת על העמידה של מאגרי המידע בדרישות. מאגר המידע שלו גדול וכולל מידע רגיש ומחייב רמת אבטחה נאותה. נמצא כי רוב תקנות אבטחת המידע – 87% מהן – מקוימות באופן חלקי בלבד".
מביטוח לאומי נמסר כי "כחלק מיישום תוכנית העבודה ל-2024, מתוגברת חטיבת אבטחת המידע בכח אדם מקצועי… הנושא התקציבי לא היווה חסם לביצוע רכש או משאבים עבור אבטחת המידע בבט"ל. שיעור התקציב לתחום אבטחת המידע, מכלל התקציב – גדול מ-2%".
מזל שיש את מבקר המדינה ביטוח לאומי חייב להתקדם לסייבר מוגן ברמה גבוהה כי כל הנתונים של כולם נמצאים שם.