מידע בסכנה: עשרות אלפי התרעות ביום לתקיפות סייבר על הביטוח הלאומי

נוחי גולד
|
י"א חשון התשפ"ה / 12.11.2024 16:14
הביטוח הלאומי לא עדכן את מדיניות אבטחת המידע שלו במשך עשור • מבקר המדינה מזהיר: “המידע האישי של כל אזרחי ישראל בסיכון. אנליסט בודד אמור להתמודד עם עשרות אלפי התרעות ביממה, ו-87% מתקנות אבטחת המידע מיושמות חלקית בלבד”

דו”ח מבקר המדינה שפורסם היום (שלישי) חושף, כי המוסד לביטוח לאומי חשוף לעשרות אלפי ניסיונות תקיפת סייבר מדי יום.

לפי הדו”ח, מאגר המידע של המוסד, המכיל את הפרטים האישיים של כל אזרחי ישראל מלידה ועד פטירה, סובל מפערי אבטחה חמורים.

“בייחוד בתקופת מלחמה – פרצות בתחום הסייבר הן בגדר מחדל”, קובע מבקר המדינה מתניהו אנגלמן. “אסור להמתין שאויבינו יניחו את ידם על מאגרי המידע של הביטוח הלאומי”.

הממצאים מצביעים על כשל מערכתי בהגנה על המידע.

הביטוח הלאומי לא עדכן את מדיניות אבטחת המידע שלו במשך עשור, למרות שינויים דרמטיים בסיכוני הסייבר. מחצית מנהלי האבטחה הנדרשים אינם קיימים כלל, ו-87% מתקנות אבטחת המידע מיושמות באופן חלקי בלבד.

מרכז הניטור והבקרה של הביטוח הלאומי (SOC) מאויש על ידי אנליסט בודד, שאמור להתמודד עם עשרות אלפי התרעות ביממה. האנליסט לא עבר הכשרה ייעודית, והמרכז אף אינו נמצא תחת אחריות חטיבת אבטחת המידע.

הדו”ח מתריע במיוחד על היעדר מבדקי חדירה למערכת המרכזית של הביטוח הלאומי. רק 7% מהמבדקים שבוצעו היו על מערכות המקושרות למערכת המרכזית, שבה נמצאים כל מאגרי המידע. יתרה מכך, ליקויים שהתגלו במבדקים לא תוקנו.

חומרת המצב מתחדדת לאור אירוע אבטחת מידע חמור שהתרחש בפברואר 2022, כאשר מידע אישי של 2,000 אזרחים היה חשוף ונגיש למי שאינו מורשה לכך. הדו”ח מזהיר כי אירוע סייבר בביטוח הלאומי עלול לגרום לא רק לפגיעה בפרטיות של מיליוני אזרחים, אלא גם לפגיעה במערכת תשלום הקצבאות.

הסיכון מועצם בשל העברת מידע לגופים חיצוניים רבים באמצעות מערכות שיתוף מידע שהתגלו בהן פערי אבטחה. הביטוח הלאומי אינו מבצע בקרה על התאמת המידע המועבר למה שאושר, ואינו מפסיק את העברת המידע כנדרש לאחר חמש שנים.

המבקר קובע, כי על ממלא מקום מנכ”ל הביטוח הלאומי, הנהלת המוסד וועדת היגוי סייבר, בשיתוף מערך הסייבר הלאומי, לפעול בהקדם למיפוי סיכוני הסייבר המהותיים ולגבש תוכנית עבודה לטיפול בפערי אבטחת המידע.

תגובת הביטוח הלאומי:

דוח המבקר הגיע בעיצומו של שינויים תהליכים ועבודת מטה מעמיקה עם הגיעו של סמנכ״ל מחשוב חדש לביטוח הלאומי.

למרות שהשינויים היו בעיצומם ולמרות שהדבר נאמר למבקר והוצגה לו תוכנית העבודה, הביקורת התקיימה.

זו הסיבה שבדו״ח אין התייחסות לארועי סייבר או דליפת מידע כתוצאה מרשלנות ועיקר הביקורת מתרכזת רק בהיבטים מינהלתיים בלבד, שגם עליהם אנו שמים דגש.

כל מה שעלה בדו״ח כבר נמצא בתוכניות העבודה שחלקו כבר הסתיים ושודרג.