הזנחה רבת שנים: מבקר המדינה פרסם היום (שלישי) דוח ממנו עולה כי ישנם פערים משמעותיים באופן בו מידע ביטחוני מסווג מנוהל ומאובטח במערכות המחשוב של שירות בתי הסוהר (שב"ס). מהדוח עולה בין היתר, כי תחומי האחריות והסמכות של שב"ס ושל הרגולטורים בתחום אבטחת המידע המסווג והסייבר, אינם מיושמים.
כאמור, המבקר מצא פערים עמוקים וליקויים משמעותיים של בארגון הביטחוני, אשר היוצרים סיכון של ממש. בין היתר, נמצא פער יסודי בין מהותו של הארגון, אופיו, המידע המוחזק בו והסיכונים הנוגעים לפעילותו - לבין התרבות התפקודית הרווחת בו בכל הנוגע לאבטחת מידע וניהול המידע המסווג. עוד נמצא כי במהלך שמונה השנים מאז כישלון פרויקט קידמה, פרויקט תקשוב ארגוני שכשל לאחר שהושקעו בו 144 מיליון ש"ח, נציבות השב"ס והמשרד לביטחון פנים לא ביצעו תחקור בנושא נסיבות הכישלון ולא הפיקו לקחים.
כמו כן, השב"ס החל ביישום תר"ש (תוכנית רב שנתית) "קברניט" בשנת 2021, בלא שאושר תקציבה הכולל המסתכם בכחצי מיליארד ש"ח, ובלא שניתן אישור של המשרד והשר דאז למימושה המלא. עולה אפוא כי השב"ס החל ביישום תוכנית תקשובית מקיפה, שעה שניתן לה אישור תקציבי של כ-20% מהעלות התקציבית הכוללת של התוכנית המסתכמת ב-532 מיליון ש"ח, וללא אישור הדרג הממונה לתכנית בכללותה. מצב זה מציב סיכון להשלמת התוכנית בשנים הבאות.
בדוח נכתב עוד כי נכון למועד הביקורת, כ-39 מיליון ש"ח מתוך התקציב שעומד על 104 מיליון ש"ח מומשו בפועל, בגין 62% מהתקציב הוצאו הזמנות רכש שביצוען טרם הושלם. כמו כן, שיעור הירידה בהיקף התקציב הטכנולוגי בשב"ס בשנים 2018-2021 עמד על 13%, בעוד שתקציב השב"ס עלה ב-12%, והתקציב הטכנולוגי של יתר משרדי הממשלה עלה ב- 25%.
פערים משמעותיים
בדיקה שבוצעה לשורת היבטים הנוגעים לניהולו ואבטחתו של מידע ביטחוני מסווג העלתה פערים משמעותיים, העומדים בניגוד לפרקטיקה המחייבת בגופים מקבילים בכל אחד מהתחומים הבאים: טיפול במידע דיגיטלי מסווג ובמסמכים מסווגים, הסדרת הטיפול במידע ביטחוני מסווג באמצעות נוהלי אבטחה, שמירה וסיווג מסמכים, טיפול במידע מסווג המתקבל מגורמים חיצוניים, הסדרת הסיווג הביטחוני של עובדים בשב"ס, שימוש באמצעי תקשורת.
בתוך כך, המשרד ביצע מבדקי חדירה בשילוב סקר הערכת פגיעויות בנוגע לרשתות בשב"ס, ממנה עלו פערים משמעותיים, העומדים בניגוד לפרקטיקה המחייבת בגופים מקבילים, בכל אחד מהנושאים הללו: הגנת הסייבר על חלק מהמערכות, ביצוע סקרי סיכונים באבטחת מידע וסייבר וביצוע מבדקי חדירה, היערכות לניהול אירועי סייבר, ניהול משתמשים והרשאות, תהליכי הפיתוח של רשת מחשב מסווגת.
כאמור, הביקורת חשפה מציאות רבת שנים שלפיה תחומי האחריות והסמכות של השב"ס ושל המאסדרים בתחום אבטחת המידע המסווג והסייבר ובתחום הטכנולוגיות הדיגיטליות ומערכות המידע אינם מיושמים, הלכה למעשה, באופן תקין וכנדרש. בין היתר, נמצאו פערים יסודיים בתוכנית התאוששות מאסון של המערכות הטכנולוגיות בשב"ס.
בדוח נכתב כי תמונת המצב העולה מהביקורת היא תוצאה של הזנחה רבת שנים, שבמהלכן לא הייתה משילות טכנולוגית שהניחה יעדים, קבעה תהליכים, הקצתה משאבים, וניהלה כראוי את הסיכונים והמתודולוגיות הארגוניות בתחום הטכנולוגי. קיימת אי-ודאות תקציבית מהותית בנוגע למימוש המענה המתוכנן בתוכנית "קברניט" למכלול הפערים הטכנולוגיים והאבטחתיים.
המבקר אנגלמן המליץ כי "ראש הממשלה, בהתייעצות עם השר לביטחון לאומי, יבחן את סוגיית אבטחת המידע והסייבר בשב"ס בכללותה ובפרט את סוגיית אבטחת המידע המסווג. על השב"ס והמשרד לביטחון לאומי לוודא שהרציפות התפקודית לא תיפגע בקרות אירועי אסון העלולים לסכן את יציבותו ותפקודו של מערך הכליאה הלאומי".
עוד הדגיש כי "המשרד לביטחון לאומי והשר העומד בראשו נושאים באחריות לתפקוד מערך הכליאה בישראל, ובמסגרת זו עליהם להבטיח כי השב"ס ממלא את תפקידו באמצעות תשתית טכנולוגית מתאימה, וכי בניין הכוח בתחום זה מנוהל בראייה ארוכת טווח ובמתווה תקציבי המבטיח את מימושו".
משב"ס נמסר: "שירות בתי הסוהר מברך על הביקורת המקיפה והעניינית. שירות בתי הסוהר רואה ערך בביקורת בונה ככלי מרכזי לשיפור תהליכים בארגון. כפי שמצביע המבקר, כבר בחודש מאי 2021, ביצע שב"ס עבודת עומק למיפוי הפערים הטכנולוגיים שנמצאים בארגון, ובנה תכנית אופרטיבית לצמצומם, במסגרת תר"ש 'קברניט'. שב״ס משקיע מאמצים רבים להשלמת הפערים שמופו, הן ברמה המבצעית והן ברמה הניהולית ובשנתיים החולפות הושלמו, בזמן שיא, למעלה מ-80 פרויקטים, ביניהם: השקת פיילוט בית סוהר חכם, סריקת תיקי אסיר, יומנים ממוחשבים, ספירות אסירים דיגיטליות, רפואה היברידית ועוד".
"עם כניסתה לתפקיד, הציבה הנציבה פרי כיעד מרכזי את הקפיצה הטכנולוגית של הארגון על מנת לעמוד בחזית הטכנולוגיה, בדומה לארגוני כליאה מובילים בעולם, ולסגור פערים של שנים רבות שהנושא לא היה בראש סדר העדיפות הארגוני. שב"ס ימשיך לפעול לצמצום הפערים המופיעים בדוח המבקר ויקדם פרויקטים טכנולוגים נוספים, בהתאם לתקציב המדינה, וזאת על מנת להבטיח את המשך מיצובו של הארגון והעצמת יכולותיו, לעמידה באתגרים הביטחוניים, המבצעיים והחברתיים העומדים בפניו", נמסר עוד.