הממוצע היומי של תקיפות סייבר נגד המוסד לביטוח לאומי עומד על כ-2.9 מיליון. כך עולה מדוח מבקר המדינה המתפרסם היום (שלישי) למרות זאת, ישנם רק 20 עובדים המבצעים את הפיקוח על אבטחת המידע בביטוח הלאומי, כאשר 6 מהם סטודנטים. לשם השוואה, על תחום התקשוב וההגנה בצה"ל מופקד קצין בדרגת אלוף.
למאגרי המידע של המוסד לביטוח לאומי רגישות מיוחדת הן בשל היקפם העצום, הן בשל היותם מוגדרים כמידע רגיש והן מפני שהמאגרים מתממשקים לגורמים שמחוץ לביטוח לאומי, למשל לרשות המסים, למשרד הרווחה והביטחון החברתי, לרשויות המקומיות ואף לגורמים פרטיים ובהם המעסיקים.
מדוח המבקר עולה כי הביטוח הלאומי אינו מוגדר בתוספת החמישית לחוק להסדרת הביטחון המתייחסת לגופים המוגדרים כבעלי תשתיות מידע קריטיות, אף שהוא גוף שמחזיק במאגר מידע על תושבי מדינת ישראל. לפיכך, ביטוח לאומי מקבל הנחיה משב"כ בנוגע לנושאים המסווגים בלבד, אך אינו נדרש להנחיה קבועה ממס"ל.
משיחות של צוות הביקורת עם ביטוח לאומי התברר כי רמת המעורבות של מערך הסייבר הלאומי (מס"ל) לאורך השנים הלכה ופחתה: משנת 2016 ועד 2020 ה"הנחיה מרצון" הייתה צמודה וכללה התייעצות שוטפת על בסיס יום-יומי; מסוף 2020 התחלפו שלושה מנחים וההנחיה הייתה מועטה יותר ולא קבועה; ובמועד סיום הביקורת לא היה מנחה המטפל במוסד מטעם המס"ל, אלא קשר המתבצע באמצעות המוקד הטלפוני של מס"ל. בשל כך, לביטוח לאומי אין מענה שוטף ומערכתי לטיפול בכלל אירועי אבטחת מידע.
נוכח היקפי המידע השמורים בביטוח לאומי והסיכונים לדליפתו, המבקר אנגלמן ממליץ כי ועדת ההיגוי העליונה, שתפקידה לבחון אילו גופים מוגדרים חיוניים ולכן זקוקים להגנה קיברנטית, תקדם את הבחינה של ביטוח לאומי כגוף תמ"ק (תשתיות מחשוב קריטיות).
ליקויים שיעלו 10 מיליון שקלים בשנה
הדוח גם בדק את אבטחת הסייבר במגזר הבריאות וממנו עולה כי הוא אחד מעשרת המגזרים המותקפים ביותר בישראל ב-2021. במבדק חדירה שביצע משרד המבקר זוהו 13 ממצאים משמעותיים בחמישה תחומים: סגמנטציה ובקרת זרימה, בקרת גישה לרשת, הגנת עמדות ושרתים, תוכנה לא עדכנית וגישה לא מאובטחת. עשרה מהממצאים היו בדרגת חומרה גבוהה ושלושה בדרגת חומרה בינונית.
במאי 2022 נערך מבדק חדירה לתשתית ולרשת התקשורת שמנהלת את המכשור הרפואי במרכז רפואי ששמו לא פורסם, אולם הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח דוח זה במלואו על שולחן הכנסת אלא לפרסם רק חלקים ממנו, לשם שמירה על ביטחון המדינה. בתגובה לליקויים, הנהלת המרכז הרפואי ציינה כי להערכתה, העלות הכוללת של תיקון הליקויים יכולה להסתכם ביותר מ-10 מיליון ש"ח לשנה באופן שוטף.
הדוח נערך ברקע הפריצה שאירעה באוקטובר 2021 אז פרצו האקרים למחשבים ולשרתים במרכז הרפואי הממשלתי הלל יפה שבחדרה. התקיפה גרמה לשיבוש רציפות הפעילות במרכז הרפואי למשך כשלושה חודשים, להסטת חולים מהמרכז הרפואי למרכזים אחרים, למעבר לעבודה ידנית ולא ממוחשבת, למניעת גישה למידע הרפואי של המטופלים ועוד. מהדוח עולה כי עלות שיקום המרכז הרפואי הלל יפה אחרי מתקפת הסייבר הוערכה בכ-36 מיליון שקלים.
"אני ממליץ כי משרד הבריאות יבחן את ממצאי מבדק החדירה שבוצע ויפעל להטמיע בכלל המוסדות הרפואיים את ההמלצות המתבססות על ממצאי המבדק", כתב המבקר מתניהו אנגלמן.
מביטוח לאומי נמסר בתגובה כי "לביטוח הלאומי יש מידעים חשובים של אזרחי ישראל והם שמורים ביראת קודש על ידי מערך המחשוב והסייבר של המוסד. כזכור, ניסיונות הפריצה והסייבר של גורמים עוינים נתקלו בחומה בצורה ונכון היה לציין זאת בדוח. הביטוח הלאומי בעד הכנסתו למערך הסייבר הלאומי ואבטחת המידע כל עוד שאין פגיעה בשירות השוטף לאזרחי ישראל".
מאושר עשור, מנהל הסייבר ב-AUREN ישראל ויועץ סייבר למשרד הביטחון, נמסר בתגובה לדוח: "ביטוח לאומי מתנהל בצורה ארכאית ומסרב להתקדם. אבל עם כל הכבוד לביטוח לאומי הוא לא יכול להתמודד מול האיומים הללו לבד. יש את מערך הסייבר הלאומי, האחראי על התשתיות הקריטיות, שצריך לטפל בנושא יחד עם הרשות להגנת הפרטיות למתן הגנה מיטבית. המצב בביטוח לאומי בפרט ובישראל בכלל, צריך להשתנות, המודעות חייבת לעלות, הרגולציה על הסייבר צריכה להיות ברורה ומקיפה והאכיפה של הרגולציה צריכה להיות נחושה ורצינית. כן צריך להגדיר את הגורמים שתוקפים תשתיות מדינתיות כגופי טרור ולהתייחס אליהם כך".