"פער טכנולוגי מתמשך" – כך מתואר ניהול מערכות המידע של ממשלת ישראל בדו"ח שפרסם היום (שלישי) מבקר המדינה. בדו"ח מוצגת תמונה מדאיגה של הפקרות וליקויים בתשתיות דיגיטליות חיוניות של ה'סטארט-אפ ניישן', והשלכות חמורות על עובדים ואזרחים ועל הביטחון הלאומי מול תקיפות סייבר, דווקא בשעה שהאיומים מזנקים בשל המלחמות נגד איראן ושליחיה.

הדו"ח מתמקד בהפקרות באבטחת המידע במשרד החוץ ובמשרד הבינוי והשיכון; נהלים לא-בטיחותיים בגופי החירום בכל הנוגע לעבודה מרחוק; והזחילה האיטית והחלקית ביישום מערכת ההזדהות הלאומית. המבקר קובע נחרצות: "איום הסייבר הוא איום ביטחוני ואסטרטגי לאומי", אך חושף כי ראשי המגזר הציבורי עדיין מתייחסים אליו כאל בעיה טכנית משנית ולא כאל עמוד תווך קריטי בחוסן המדינה.

הסוגיה החמורה ביותר שמשפיעה ישירות על עובדים בשירות המדינה ותנאי עבודתם נמצאה במשרד החוץ, שם התגלתה "תרבות ארגונית לקויה בכל הנוגע לשמירה על מידע". המבקר מצא כונן רשת פרוץ שהיה "פתוח לכלל אלפי עובדי המשרד" והכיל עשרות אלפי מסמכים רגישים ביותר. עם סודות המדינה נמנו רשימות עובדים שהוערכו כ'חלשים', דרגות שכר של מאות עובדים ומידע רפואי ואישי רגיש.

לדברי המבקר, מצב זה, שבו מידע אישי של עובדים חשוף לכל דורש, אינו רק פגיעה מזיקה בפרטיות העובדים, אלא גם סכנה של ממש לביטחון המדינה, במיוחד במשרד שהוא "יעד אסטרטגי להתקפות סייבר" מצד אויבי ישראל. בשנתיים האחרונות, ברחבי העולם ובמיוחד במכוון ליעדים ישראליים, ניכרת עלייה חדה וגוברת בתקיפות סייבר שבהן הבינה המלאכותית מהנדסת פניות דיג ("פישינג") לעובדי ארגונים ומשרדים רגישים בתפירה אישית המבוססת מידע גנוב, כמו זה שנשאר חשוף במערכת של משרד החוץ.

הדו"ח מציג זינוק אדיר בתקיפות סייבר. בנציגויות משרד החוץ חל גידול של כ-500% באירועי הגנת מידע, ובמשרד הבינוי והשיכון נרשם גידול של כ-130% במספר ההתרעות. למרות זאת, נטען כי המשרדים נרדמו בשמירה. מדיניות האבטחה של משרד החוץ לא עודכנה מאז 2018 ושל משרד הבינוי מאז 2020, מה שמשאיר אותם עם הגנה לא עדכנית מול יכולות התקיפה בעידן הבינה המלאכותית. המבקר מזהיר כי שימוש במערכות מיושנות שהגיעו לסוף חייהן הוא 'נכס עתיר סיכון', וכי במשרד החוץ פרויקט החלפת המערכת הקונסולרית המקרטעת צפוי להסתיים בפיגור של 15 שנה מהמועד שתוכנן בהתחלה.

תפקוד המגזר הציבורי נפגע קשות גם בשל היערכות לקויה לעבודה מרחוק, יכולת שהופכת לחיונית בעת חירום, כמו מלחמות ומגיפות שהיכו בישראל ברצף כבר חמש שנים. למרות הצורך לאפשר יכולת זו בצורה מוגנת, המבקר חושף התנהלות רשלנית. למשל, למרות אזהרות על חולשות קריטיות בכלי 'י"ג', 65% ממשרדי הממשלה המשיכו להשתמש בתשתית זו עשרה חודשים נוספים, עד שמתקפת סייבר אילצה אותם להפסיק.

גרוע מכך, לגופי חירום קריטיים כמו המשטרה וכבאות והצלה אין תוכנית המשכיות עסקית מאושרת לעבודה מרחוק בחירום, מה שעלול להוביל למצב שבו הארגון לא יידע לקבל החלטות בזמן אמת והעבודה מרחוק תינזק כשתידרש.

מערכות עבודה מרחוק שאינן מוגנות כראוי הפכו למטרה מבוקשת אצל קבוצות סייבר הקשורות לטהרן, שהצליחו כבר במהלך מבצע שאגת הארי לשתק לחלוטין חברת טכנולוגיה רפואית גדולה בארה"ב בניצול פגיעה כזו.

מבחינת שירות לציבור, לפי ממצאי המבקר המהפכה הדיגיטלית נראית יותר כזחילה. אף ש-4.6 מיליון אזרחים כבר רשומים למערכת ההזדהות הלאומית, רק 16% מהשירותים הממשלתיים שמופו עד כה מחוברים למערכת, בהם רק כ-6% מהרשויות המקומיות.

המבקר מתאר חוויית משתמש מתישה הכוללת דרישה לזיהוי תמונות ('קאפצ'ה') שחוזרת על עצמה שוב ושוב, "לעיתים חמש פעמים ויותר", מה שגורם לאזרחים רבים להתייאש ולנטוש את התהליך. אזרחים המוותרים כך מצטרפים לכ-195 אלף עובדים זרים שבכלל מנועים הלכה למעשה מלהזדהות במערכת בשל היעדר מספר מזהה אחיד, מה שמאלץ אותם להגיע פיזית למשרדים ולהגביר את העומס על המערכת הציבורית.

המבקר קורא לשינוי שורשי ודורש מהמנכ"לים במשרדי הממשלה להתעורר. הדו"ח מבהיר כי פערים רבים נובעים ממחוסר קשב ניהולי, ולא רק ממחסור תקציבי. ללא שינוי בתפיסה ומעורבות ישירה של הנהלות המשרדים, מזהיר המבקר, מדינת ישראל נשארת חשופה בצריח כאשר "הותרת הרשתות ברמת הגנה נמוכה מהנדרש עלולה להביא לפגיעה במדינת ישראל בהיבטים המדיניים, הביטחוניים והכלכליים".