המבקר: ליקויים ב-IT ובהגנת הסייבר של הדואר ובנק הדואר

מבקר המדינה, מתניהו אנגלמן, מצא ליקויי אבטחת מידע והגנת סייבר ושלל ליקויים ב-IT של דואר ישראל והחברה הבת שלה, בנק הדואר – כך הוא מציין בדו"ח שמתפרסם היום (ג').

בדו"ח מתאר המבקר מתקפת סייבר על החברה ושירותיה: "בחברת הדואר ובבנק הדואר יש מגוון רחב מאוד של מערכות מידע. באפריל 2023 התגלתה מתקפת סייבר במערכות ה-IT של הדואר. צוותי אבטחת מידע וסייבר באגף מערכות המידע בחברה גילו פעילות חשודה. הופעל צוות תגובה לאירועים (IR) של חברה חיצונית. הוחלט, כצעד מניעתי, לנתק את מערכות הדואר מהאינטרנט. פעילות התוקף במערכות הדואר החלה ביולי 2022. החברה לא הצליחה לזהות את התוקף, שהצליח להוציא מהארגון מאגר משתמשים וסיסמאות. כתוצאה מכך הושבתו שירותים רבים של החברה – בין היתר, לא ניתן היה לבצע תשלומים מקוונים וחלו עיכובים בשחרור פריטים שמגיעים מחו"ל".

חברת הדואר מפעילה SOC – מרכז תפעול האבטחה. אלא שאנגלמן מבקר זאת: "אף שבשנים 2022-2023 היחידה המגזרית במשרד התקשורת, שמפעילה SOC מגזרי, פנתה כמה פעמים לחברת הדואר בבקשה לחבר את חברת הדואר אליה – וזו טרם עשתה זאת ולא מנצלת את היתרונות הגלומים בחיבור שכזה, ובהם בקרה חיצונית נוספת בעת מתקפות".

ה-IT של הדואר: תקציב "מהותי", ללא נוהל להסדרת תוכניות עבודה

לפי המבקר, "אף שהיקף תקציב אגף מערכות המידע בחברת הדואר הוא מהותי, ועומד על בין 102 ל-136 מיליוני שקלים, וחלקו בתקציב החברה נע בין 17.2% ל-19.6%, אין לחברה ולבנק הדואר נוהל להסדרת תוכניות העבודה, ובשנים 2019-2023 לא הייתה תוכנית עבודה רב שנתית בתחום". כמו כן, מציין אנגלמן, "לא מתבצע מעקב אחר יישום תוכנית העבודה והנהלת החברה לא יודעת מהי תוכנית העבודה ואילו שינויים בוצעו בה. לא ניתן לעקוב אחר תקציבים שהוסטו ממשימה למשימה והנהלת האגף לא יודעת להעריך כמה שעות עבודה הושקעו בכל משימה. רק השנה הוטמעה תוכנה לניהול הצוותים והפרויקטים".

"הדואר שומר על המצב הקיים ולא דואג לשיפור מתמיד ב-IT"

עוד נכתב בדו"ח כי "ב-2018 הציג אגף מערכות המידע בדואר את הצורך בהחלפת ציוד מחשוב מיושן ביחידות הקצה, בשל תקלות חומרה רבות. מספר הפניות על תקלות חומרה הוא הגדול ביותר – כ-35% מסך הפניות בחברה. חלק מהתקלות גרמו להשבתה מלאה של יחידות דואר, ובחלקן הושבתו תחנות קצה. חומרה מיושנת פוגעת בתפקוד של יחידות הדואר, וכפועל יוצא – בשירות ללקוחות".

מבקר המדינה, מתניהו אנגלמן. צילום: ניב קנטור

פרויקט החלפת הציוד הוגדר כאסטרטגי כבר ב-2019, ולמרות זאת, הוא החל רק בתחילת 2022 – מה שגרם לתקלות רבות. עולה שהחברה שומרת על המצב הקיים ולא דואגת לשיפור מתמיד בתחום מערכות המידע", כותב המבקר.

המבקר כותב גם על מערכת לניהול תורים שדואר ישראל ובנק הדואר החלו להפעיל ב-2007. אלא שלדבריו, "נמצא שהמערכת הקיימת לא מאפשרת ללקוחות החברה להזין מידע על השירות שלשם קבלתו קבעו את התור, ולא מקצה ללקוח זמן נדרש בהתאם לצרכיו. עקב כך, לעתים נוצר בסניפי בנק הדואר תור ארוך, והשירות ללקוחות אורך זמן רב. כמו כן, המערכת לא שולחת הודעות ללקוחות על מנת לוודא שהם מגיעים לסניף". לסיכום חלק זה מציין אנגלמן כי "חוסר ההתאמה של המערכת לניהול תורים לאופי פעילות החברה מקשה את ניהול התורים באופן יעיל ואפקטיבי, ופוגע בשירות ללקוח".

גם בדואר: יש הרבה מערכות – ואין ממשקים ביניהן

אנגלמן מציין בעיה שיש בלא מעט ארגונים: ריבוי מערכות, ללא ממשקים ביניהן. "בחברת הדואר פועלות 55 מערכות מידע, ובבנק הדואר – 16 נוספות. למערכות יש יותר מ-20 ספקים שונים, והן מבוססות על טכנולוגיות שונות. ריבוי המערכות והיעדר ממשקים ביניהן מובילים לפגיעה באינטגרציה בין המערכות, לחוסר אחידות בנתונים ולקושי בניהול תהליכים", הוא מוסיף. "נוצר קושי בסנכרון נתונים בין המערכות והדבר עלול לגרום לטעויות. לכן, החברה נאלצת להשקיע בכוח אדם או בפיתוח תהליכים ידניים מפצים".

"פעמיים בשנה החברה מבצעת סקירת הרשאות ידנית של 17 מערכות ליבה. ביתר המערכות, בחברת הדואר לא מתבצעת סקירת הרשאות כנדרש", קובע המבקר. "לא מתבצע תהליך שמציג את החריגות שנמצאו בבדיקה… לא מתבצע תהליך בקרה ממוחשב נוסף, שבוחן את מידת התאמתן של ההרשאות לבעלי ההרשאה… נכון לינואר האחרון, 85 מבעלי ההרשאות לאחת מהמערכות, שהם 3% מכלל בעלי ההרשאות – לא מוגדרים במערכת משאבי האנוש כפעילים. כלומר, הרשאת עובדים שעזבו או פרשו לא נותקה. למרות ביצוע בקרות אוטומטיות, חלו שגיאות בתהליך הבקרה הממוחשבת האוטומטית. נכון לדצמבר אשתקד, 780 (כ-13%) מבעלי ההרשאות הפעילות במערכת של הניהול המרכזי של הרשת הם עובדים שלא נכללים ברשימת העובדים הפעילים במערכת משאבי האנוש בחברה. 449 (כ-58%) מתוך 780 העובדים בעלי ההרשאות שלא מוגדרים כפעילים לא התחברו למערכת הניהול המרכזי של הרשת ב-2024. כמו כן, אין מידע על תאריך ההתחברות האחרונה של 196 (כ-25%) מבעלי ההרשאות".

לדברי אנגלמן, "אי ביטול הרשאות לעובדים שאינם פעילים עלול לגרום למצב שבו בלתי מורשים ישתמשו בהרשאותיהם התקפות לצרכים זדוניים ולפגיעה בחברה. אי ביטול הרשאות עובדים שאינם פעילים למערכות בנקאיות רגישות פוגע באבטחת המידע של הבנק, ונשקף סיכון לחדירת גורמים לא מורשים למערכותיו".

לסיכום, המבקר קורא לדואר ישראל ולבנק הדואר "לגבש נוהל להסדרת תוכניות העבודה השנתיות והרב שנתיות ולוודא את יישום הנוהל תוך הקפדה על בחינת חלופות, מעקב אחר יישום תוכנית העבודה וניהולה בצורה שמאפשרת להנהלת אגף מערכות המידע ראייה כוללת בכל רגע נתון על המשימות המתבצעות, עלותן והיקפן. כמו כן, על החברה לפעול להשלמה של פרויקט החלפת הציוד המיושן ביחידות החברה בהקדם, כדי לצמצם סיכונים ולשפר את השירות הניתן ללקוחות. עליה לפעול למניעת כפילויות ופעילויות מיותרות, לבצע בדיקת הרשאות שגרתית, כדי למזער את הסיכונים שבמתן הרשאות לעובדים שאינם זכאים לכך, לעבות את הבקרות הנערכות בבנק הדואר, לפתח תהליכים אוטומטיים לניתוק הרשאות, וכן לערוך שדרוג למערכות הישנות ולמטב את המערכות הקיימות ואת האינטגרציה ביניהן, תוך הקפדה על הגנת הסייבר וצמצום החשיפה לסיכונים".

תגובת הדואר

חברת הדואר מסרה בתגובה כי "ניתנה עדיפות לתמיכה במערכות קיימות כדי לשמור על פעילותן ורציפותן. במסגרת התוכנית האסטרטגית של אגף מערכות המידע לשנים 2024-2026, היא מתכננת לרכוש מערכות חדשות כדי לתמוך בפעילות העסקית המתוכננת. הוחל ביישום תוכנית אסטרטגית תלת שנתית לשנים 2024-2026. העיכוב בהחלפת ציוד נבע מאילוצי תקציב".

עוד נכתב בתגובה כי "הדו"ח מתייחס לתקופה שבה דואר ישראל הייתה על סף חדלות פירעון, בעידן אחר, שכבר מאחורינו, ערב יציאה לתוכנית הבראה משמעותית. מאז התחלפה הנהלת החברה ויושמה בהצלחה תוכנית הבראה, שכוללת השקעה של סכומים משמעותיים בהחלפת מערכות מידע וציוד מחשוב מיושן, שינוי שגרות עבודה ונהלים, ועיבוי בקרות".