מבקר המדינה מתניהו אנגמן פרסם היום (שלישי) פרק ביקורת מיוחד הבוחן את רמת אבטחת המידע והגנת הפרטיות ברשת התקשורת המרכזית של בית הנשיא. הדוח חושף פערים מתמשכים בניהול נכסי המידע הדיגיטליים של המוסד, הפועל תחת חשיפה מוגברת לפגיעותי סייבר בשל שימוש במערכות הפעלה מיושנות שאינן נתמכות עוד על ידי היצרנים.
4+ועדת המשנה של הכנסת לענייני ביקורת המדינה החליטה לחסות חלק מהנתונים הטכנולוגיים מטעמי ביטחון המדינה, אך הליקויים המנהלתיים והחוקיים הותרו לפרסום מלא.
במערכות הממוחשבות של בית הנשיא אצור מידע בעל רגישות מיוחדת, הכולל את פרטיהם של כמעט 100,000 מבקשי חנינה לאורך השנים, לצד מידע רגיש על מאות עובדי המוסד בהווה ובעבר. הביקורת העלתה כי בית הנשיא העביר בקשות חנינה המכילות נסיבות אישיות, משפחתיות ורפואיות למשרד המשפטים ולפרקליטות הצבאית באמצעות דואר אלקטרוני רגיל, ללא שימוש בהצפנה כנדרש בתקנות.
4+כמו כן, המידע נשמר בתיבת הדוא"ל של הלשכה המשפטית ללא הגבלת זמן וללא ריקון קבוע, דבר שאיפשר לגורמים בעלי הרשאות רשת נגישות מלאה לפרטים האישיים ללא צורך מבצעי. במישור האבטחתי והטכנולוגי, נמצאו ליקויים משמעותיים במערך המחשוב.
חלק מהמערכות הממוחשבות הפועלות בבית הנשיא הגיעו לסוף מחזור החיים שלהן ואינן נתמכות עוד על ידי היצרן, ובחלק מתחנות הקצה פעלו גרסאות של מערכות הפעלה שפג תוקפן, דבר החושף את הרשת לחדירת גורמים עוינים. כמו כן, הארכיטקטורה של רשת בית הנשיא נמצאה כזו שאינה תואמת את הנחיות היחידה להגנת הסייבר בממשלה ואת בקרות תורת ההגנה, והמוסד לא עמד במלוא ההנחיות למניעת דליפת נתונים ולהגבלת הגישה הפיזית והדיגיטלית לרשת.
4+בנוסף, המוסד לא הקצה תיבות דוא"ל משרדיות לכלל העובדים הנדרשים לכך, דבר שהוביל לשימוש של עובדים בתיבות דוא"ל פרטיות לצורכי עבודה, ללא יכולת פיקוח ובקרה של הארגון. המבקר מצא כשלים מהותיים גם בניהול הרגולטורי של מאגרי המידע. בית הנשיא לא מינה ממונה אבטחת מידע למאגרים, לא גיבש מסמך הגדרות מאגר או נוהל אבטחה פיזי, ולא הפעיל מנגנון תיעוד אוטומטי המאפשר לבצע בקרה על זהות העובדים הניגשים למערכות.
יתר על כן, נמצא כי משנת 2019 התקשר המשרד עם ספק חיצוני לצורך תמיכה ותחזוקה של מאגר החנינות מבלי לבצע בדיקת סיכונים מקדימה, ומבלי לעגן בהסכם את המטרות שבהן מותר לספק לעבד את המידע, את מנגנון השבת המידע בסיום החוזה, או את חובת הדיווח על אירועי אבטחה. החל משנת 2022, השירות מהספק החיצוני ניתן ללא הסכם חתום ותקף.
4+בכל הנוגע למצבי חירום, לבית הנשיא אין תוכנית המשכיות עסקית ותפקודית ואין ברשותו תוכנית להתאוששות מאסון (DRP) המבוססת על הערכת סיכונים. המוסד אף לא ביצע ניסוי או תרגיל מעשי לבחינת מערך השחזור וההתאוששות של המידע שלו. רקע לכתבה: היעדר אסדרה ממשלתית והקצאת התקציבים לתיקו
עד לספטמבר 2024 פעל בית הנשיא ללא גורם ממשלתי מנחה בתחום הגנת הסייבר, ועל מערכות המידע שלו לא הוחלו הכללים המחייבים את משרדי הממשלה, זאת בניגוד לתחומי הכספים וההון האנושי שבהם המוסד אימץ את נהלי שירות המדינה. רק בספטמבר 2024 אימץ המוסד את הנחיות יה"ב.
4+במהלך הביקורת, ביוני 2025, הוקמה לראשונה ועדת היגוי משרדית לנושאי סייבר בראשות המנכ"ל, שהתכנסה לראשונה ביולי 2025, והחלה בביצוע סקר סיכונים תשתיתי ומבדק חדירה חלקי. המבקר ציין לחיוב את פניית בית הנשיא ליה"ב לצורך קבלת הנחיה מקצועית, את נכונותו לתקן את הליקויים, ואת הקצאת המשאבים הכספיים מתוך תקציב טכנולוגיות המידע הכללי של המוסד.
בשנת 2023 הקצה המשרד כ-15% מתקציב הטכנולוגיה שלו לטובת סייבר, בשנת 2024 ירד הנתח ל-5.8%, ובשנת 2025 עלה הנתון לכ-11%. עם זאת, המוסד לא ניהל רישום תקציבי נפרד ומעקב ייעודי אחר כספים אלו כפי שנדרש בהנחיות. המבקר המליץ למנכ"ל בית הנשיא לוודא כי ועדת היגוי מאשרת מפת סיכונים ארגונית, לקבוע מדיניות הגנת סייבר מאושרת, להקצות תיבות דוא"ל משרדיות לכלל העובדים, ולגבש מנגנון שיטתי למעקב אחר מחזור החיים של מוצרי התוכנה והחומרה במטרה למנוע שימוש במערכות שאינן נתמכות.
