המוסד לביטוח לאומי חשוף לעשרות אלפי ניסיונות תקיפת סייבר מדי יום, כך חושף דו"ח מבקר המדינה שפורסם היום. לפי הדו"ח, מאגר המידע של המוסד, המכיל את הפרטים האישיים של כל אזרחי ישראל מלידה ועד פטירה, סובל מפערי אבטחה חמורים.
"בייחוד בתקופת מלחמה – פרצות בתחום הסייבר הן בגדר מחדל", קובע מבקר המדינה מתניהו אנגלמן. "אסור להמתין שאויבינו יניחו את ידם על מאגרי המידע של הביטוח הלאומי".
הממצאים מצביעים על כשל מערכתי בהגנה על המידע. הביטוח הלאומי לא עדכן את מדיניות אבטחת המידע שלו במשך עשור, למרות שינויים דרמטיים בסיכוני הסייבר. מחצית מנהלי האבטחה הנדרשים אינם קיימים כלל, ו-87% מתקנות אבטחת המידע מיושמות באופן חלקי בלבד.
מרכז הניטור והבקרה של הביטוח הלאומי (SOC) מאויש על ידי אנליסט בודד, שאמור להתמודד עם עשרות אלפי התרעות ביממה. האנליסט לא עבר הכשרה ייעודית, והמרכז אף אינו נמצא תחת אחריות חטיבת אבטחת המידע.
הדו"ח מתריע במיוחד על היעדר מבדקי חדירה למערכת המרכזית של הביטוח הלאומי. רק 7% מהמבדקים שבוצעו היו על מערכות המקושרות למערכת המרכזית, שבה נמצאים כל מאגרי המידע. יתרה מכך, ליקויים שהתגלו במבדקים לא תוקנו.
חומרת המצב מתחדדת לאור אירוע אבטחת מידע חמור שהתרחש בפברואר 2022, כאשר מידע אישי של 2,000 אזרחים היה חשוף ונגיש למי שאינו מורשה לכך. הדו"ח מזהיר כי אירוע סייבר בביטוח הלאומי עלול לגרום לא רק לפגיעה בפרטיות של מיליוני אזרחים, אלא גם לפגיעה במערכת תשלום הקצבאות.
הסיכון מועצם בשל העברת מידע לגופים חיצוניים רבים באמצעות מערכות שיתוף מידע שהתגלו בהן פערי אבטחה. הביטוח הלאומי אינו מבצע בקרה על התאמת המידע המועבר למה שאושר, ואינו מפסיק את העברת המידע כנדרש לאחר חמש שנים.
המבקר קובע כי על ממלא מקום מנכ"ל הביטוח הלאומי, הנהלת המוסד וועדת היגוי סייבר, בשיתוף מערך הסייבר הלאומי, לפעול בהקדם למיפוי סיכוני הסייבר המהותיים ולגבש תוכנית עבודה לטיפול בפערי אבטחת המידע.
