נכון לפברואר 2024, מתבצעים בכל יום עשרות אלפי ניסיונות לתקיפת סייבר נגד המוסד לביטוח לאומי - מגלה (12.11.24)
מבקר המדינה,
מתניהו אנגלמן. הוא מתריע, כי אירוע כזה עלול לגרום לפגיעה חמורה בפרטיות של מיליוני אזרחים ותושבים, לפגוע בעבודת המוסד ואולי אף לשתק אותה - עד כדי פגיעה ביכולת לשלם קצבאות. בפברואר 2022 דווח על גניבת זהות, שבעקבותיה מידע אישי על 2,000 אזרחים היה חשוף.
הביטוח הלאומי לא עדכן מאז 2014 את מדיניות אבטחת המידע והגנת הסייבר שלו, למרות שהסיכונים השתנו עד מאוד, ולמרות שמדיניותו שלו מחייבת בדיקה ועידכון מדי שנה. בעת ביצוע הביקורת עודכן מסמך המדיניות לרמה של טיוטה ואושר במארס 2024 בידי ממלא-מקום המנכ"ל דאז, אולם טרם התקיים דיון בוועדת ההיגוי לאבטחת מידע בנוגע למדיניות. במסמך זה חסרה התייחסות מפורשת לנושאים שנדרשת להם התייחסות לפי תקנים מקובלים, כמו ניהול וסיווג של נכסים והמחויבות לבצע בקרות על עמידה בתקנות אבטחת מידע.
ועדת היגוי סייבר בראשות המנכ"ל לא התכנסה מתחילת 2022 ועד ינואר 2024, וזאת בניגוד למדיניות הביטוח הלאומי, המחייבת כינוס שלה בכל חצי שנה. לפיכך, לא היה בפרק זמן זה גורם שיאשר את מדיניות הגנת הסייבר ותוכניות העבודה השנתיות, יעקוב אחר יישומן ויציג למנכ"ל את רמת ההגנה, לרבות פערים, אירועים משמעותיים ואיומים. בישיבת הוועדה בתחילת השנה, לא הוצגה רמת ההגנה ולא אושרה טיוטת המדיניות.
הביטוח הלאומי אינו מבצע כנדרש מבדקי חדירה לגבי מאגרי המידע שברשותו. רק 7% מהמבדקים שבוצעו היו על מערכות שמקושרות למערכת המרכזית, אשר בה נמצאים כל מאגרי המידע שלו. הוא אינו עוקב אחר תיקון הליקויים שנמצאו במבדקים, ונמצאו ליקויים חוזרים וליקויים רוחביים ברמת חומרה גבוהה שלא תוקנו.
קיימים פערים ביכולת של הביטוח הלאומי לזהות אירועי סייבר ולטפל בהם: אין לו צוותים ייעודיים לניהול משבר; צוות הנהלה לניהול אירוע סייבר שהוקם בסוף ינואר 2024 לא התכנס, לא הוכשר ולא תורגל; אין מספיק כוח אדם לטיפול באיומי הסייבר ואין לו הכשרה ייעודית מתאימה. תוכניתו של הביטוח להמשכיות עסקית במקרה של אירוע סייבר, היא חלקית וסדרי העדיפות בה נקבעו לאחרונה בשנת 1991.
בשנת 2009 יזם הביטוח הלאומי את פרויקט "תבל" לשדרוג מערך המחשוב. היעד המרכזי שלו הוא מימוש עקרון "המבוטח במרכז", המתמקד במיצוי זכויותיו. הפרויקט נועד לשדרג בהדרגה את מערכות הליבה ומערכות המטה המרכזיות בביטוח הלאומי, ובסך-הכל 48 מערכות ותת-מערכות, ולהקים תשתית טכנולוגית מודרנית. הוא אמור היה להימשך 11 שנים (2020-2010) ולעלות 477 מיליון שקל.
נכון ל-2024, לא ידוע מתי יסתיים הפרויקט (שכן יש תוכנית לביצועו רק עד 2025) - וזאת לאחר שהיקפו צומצם מ-38 ל-19 מערכות ליבה ועד כה מומשו עשר בלבד מהן. במקביל, כבר ברור שהוא יעלה לפחות 1.5 מיליארד שקל, וכנראה עוד מאות מיליוני שקלים עד השלמתו. רוב המערכות שנגרעו הן בתחום הגמלאות, ולביטוח הלאומי אין מענה טכנולוגי חילופי. מדובר בתחום בו משולמים מדי שנה עשרות מיליארדי שקלים למיליון מבוטחים, ואשר ממשיך להסתמך על מערכות מחשב משנות ה-1970.
בחברת דואר ישראל ובבנק הדואר מתרחשות רבבות תקלות חומרה בשנה, אשר חלקן משביתות תחנות קצה וגם יחידות שלמות ופוגעות בשירות ללקוחות. הרוב המכריע של החמורות שבהן מתרחשות בציוד שכבר ב-2018 הוגדר ככזה שיש להחליפו. פרויקט החלפת הציוד הממוחשב אושר בתוכניות העבודה לשנים 2023-2019, אך נכון לתחילת השנה - הוחלפו רק 37% מהמחשבים ושודרגו רק 68% מהמערכות לניהול תורים.
בחברת הדואר מופעלות 55 מערכות מידע, שחלקן נחלקות לתתי-מערכות, ובבנק הדואר יש 16 מערכות נוספות שחלקן נחלקות לתתי-מערכות. למערכות אלו יש יותר מ-20 ספקים שונים, והן מבוססות על טכנולוגיות שונות. התוצאה היא פגיעה באינטגרציה בין המערכות, חוסר אחידות בנתונים וקושי בניהול תהליכים. בשל העדר האינטגרציה בין המערכות בחברה ובבנק נוצר קושי בסנכרון נתונים ביניהן, והדבר עלול לגרום לטעויות.