דו"ח המבקרכשלים במערך אבטחת המידע של ביטוח לאומי מונעים ממנו להתגונן מפני מתקפת סייבר
דו"ח המבקר
כשלים במערך אבטחת המידע של ביטוח לאומי מונעים ממנו להתגונן מפני מתקפת סייבר
לפי דו"ח המבקר, מדי יום מתבצעים עשרות אלפי ניסיונות לתקיפת סייבר נגד מערכות הביטוח הלאומי. "ביטוח לאומי לא עדכן את מדיניות אבטחת המידע והגנת הסייבר שלו במשך כעשר שנים, משנת 2014, למרות שהסיכונים גדלו". עוד כתב "אירוע סייבר עלול לגרום לפגיעה חמורה בפרטיות של מיליוני אזרחים ותושבים - ולפגיעה ביכולת לשלם קצבאות"
כשלים במערך אבטחת המידע של ביטוח לאומי עלולים למנוע מהארגון לזהות מבעוד מועד מתקפות סייבר נגד מאגר המידע שלו, שכולל את הנתונים הרגישים ביותר על אזרחי ישראל – כך מתריע מבקר המדינה, בדוח מיוחד בנושא סייבר ומערכות מידע שמתפרסם היום.
ביטוח לאומי מחזיק במאגר מידע גדול, שכולל מידע מארגונים וגופי ממשל שונים. גודלו עומד על כמה וכמה טרה-בייט, והוא גדול ב-10% מדי שנה. המאגר גולל מידע על כל תושבי ישראל מלידתם ועד פטירתם, ונדרש לכן לרמת אבטחה גבוהה. לפי המבקר, מדי יום מתבצעים עשרות אלפי ניסיונות לתקיפת סייבר נגד מערכות הביטוח הלאומי. "אירוע סייבר עלול לגרום לפגיעה חמורה בפרטיות של מיליוני אזרחים ותושבים המקבלים שירות מביטוח לאומי, וכן עלול לגרום לפגיעה בעבודת המוסד ואף לשיתוק של העבודה, ובעקבות כך לפגיעה ביכולת לשלם קצבאות", נכתב.
לפיכך, ממצאי המבקר מדאיגים במיוחד. "ביטוח לאומי לא עדכן את מדיניות אבטחת המידע והגנת הסייבר שלו במשך כעשר שנים, משנת 2014, זאת אף שמאז הסיכונים בתחום השתנו במידה ניכרת", מתריע המבקר. "בנוסף, ביטוח לאומי לא התייחס בנוהל אבטחת מידע של הארגון ל-6 מ-12 הנושאים שנקבע בתקנות אבטחת מידע כי נדרש להסדיר אותם במסגרת נוהל אבטחת מידע. לגבי ארבעה מ-12 הנושאים, הנהלים הקיימים בעניינם לא עודכנו עשר שנים; ולגבי שניים לא צוין המועד האחרון שבו עודכנו הנהלים בעניינם". לביטוח לאומי יש ועדת היגוי סייבר, אך זו לא התכנסה מתחילת 2022 ועד ינואר השנה.
כן זיהה המבקר כשלים בניהול הסיכונים של המוסד: "ביטוח לאומי אינו מנהל רשימת מצאי של כלל הנכסים והתהליכים העסקיים שלו ואינו מסווג אותם לפירמת הקריטיות שלהם לארגון. ביטוח לאומי בחר חלק מהמערכות החשובות והקריטיות מתוך כלל המערכות, ומהן מופו כשליש מהמערכות שהוגדרו החשובות ביותר. קיום הליך של ניהול סיכונים שלא על בסיס מיפוי מלא של כלל נכסי הארגון מעלה חשש כי ניהול הסיכונים לא ישקף בצורה מיטבית את הסיכונים העיקריים שאליהם חשוף הארגון, וכי המשאבים והפעולות המופנים להתמודדות עם סיכונים אינם מוקצים בהלימה לרמת הסיכון הנשקפת לנכסי הארגון. כמן כן, ביטוח לאומי אינו מבצע סקרי סיכונים אחת ל-18 חודשים לגבי מאגרי המידע שלו, כנדרש מארגונים שיש להם מאגרי מידע ברמת אבטחה גבוהה".
ברמה המעשית, זוהו פערים ביכולת של הביטוח הלאומי לזהות אירועי סייבר ולטפל בהם. "אין צוותים ייעודיים לניהול משבר - צוות ניהול אירוע וצוותלביצוע חקירה פורנזית; צוות הנהלה לניהול אירוע סייבר שהוקם בסוף ינואר 2024 לא התכנס, לא הוכשר ולא תורגל; נמצא פער בהפעלת ה-SOCSecurity Operation Center) , מערך ארגוני שמדווח על פעולות חריגות ואיומים פוטנציאליים; ע"כ); הצוות שמאייש את ה-SOC לא עבר הכשרהייעודית לנושא; ה-SOC אינו נמצא באחריות חטיבת אבטחת מידע, אלא באחריות אגף תשתיות; יש חוסר הלימה בין הצורך בתחקור עשרות אלפיההתרעות ביממה, ובין איוש ה-SOC באנליסט אחד בלבד. נוכח זאת קיים חשש כי לא מתאפשר לזהות את אירועי האמת בזמן סביר או בכלל".
מהביטוח הלאומי נמסר: “דוח המבקר הגיע בעיצומם של שינויי תהליכים ועבודת מטה מעמיקה עם הגיעו של סמנכ״ל מחשוב חדש. למרות שהשינויים היו בעיצומם, ולמרות שהדבר נאמר למבקר והוצגה לו תוכנית העבודה, הביקורת התקיימה. זו הסיבה שבדו״ח אין התייחסות לאירועי סייבר או דליפת מידע כתוצאה מרשלנות ועיקר הביקורת מתרכז בהיבטים מינהלתיים, שגם עליהם אנו שמים דגש. כל מה שעלה בדו"ח נמצא בתוכניות העבודה, שחלקן כבר הסתיים”.