מבקר המדינה מתניהו אנגלמן הגיש היום (שני) דו"ח ביקורת נוקב על ההתמודדות בנושאי בינה מלאכותית (AI) וסייבר. בפרק על ההיערכות הלאומית בנושא ה־AI, מתריע אנגלמן: "לא קיימת בישראל אסטרטגיה לאומית ארוכת טווח בתחום הבינה המלאכותית. כאשר זה המצב, אין פלא שירדנו במדדים הבינלאומיים. אין הצדקה לכך שחילופי ממשלות יגרמו לעצירת תכנית שאיננה קשורה לוויכוח פוליטי ומטרתה להצעיד את ישראל קדימה באחת המהפכות העולמיות שתתעצם עוד יותר בשנים הקרובות".

"ישראל שואפת להיות מדינה מובילה בתחומי הטכנולוגיה וההייטק. בביקורת עלה כי בשנים 2024־2019 ירד מקומה של ישראל בדירוג העולמי בפעילותה והשקעתה בתחום הבינה המלאכותית – במדד Tortoise ירידה מהמקום ה־5 מתוך 62 מדינות למקום ה־9 מתוך 83 מדינות, במדד Oxford – ירידה ממקום 20 ל־30 מתוך 193 מדינות ובמדד החדשנות - ירידה מהמקום העשירי למקום ה־15 מתוך 133 מדינות", נטען בדו"ח שמתריע: "נסיגה זו מוסברת בין היתר בכל הנוגע לפעולותיה של הממשלה באישור, הובלה ויישום של תוכנית לאומית רחבה בתחום הבינה המלאכותית".

האקר  (צילום: צילום: המחשה)
האקר (צילום: צילום: המחשה)

מנתוני מדדי המשנה של Tortoise לשנת 2024 עולה כי בעוד שלישראל חוזקות בקטגוריית ההון האנושי, במחקר ופיתוח ובמסחר, היא חלשה באסטרטגיה ממשלתית (מקום 32); בתשתיות (מקום 26); ובסביבה תפעולית (מקום 65).

עוד נטען בדו"ח הביקורת, כי למרות הסיכונים הקיימים בטכנולוגיית הבינה המלאכותית והצורך להסדיר את השימוש בה באופן אחראי תוך שמירה על זכויות היסוד, נמצא כי נכון למועד סיום הביקורת הפעילות המשותפת של משרדי החדשנות והמשפטים לקידום האסדרה בתחום הבינה המלאכותית והעקרונות שגובשו במסמך עקרונות המדיניות טרם אושרו על ידי הממשלה.

מבקר המדינה מתריע עוד, כי ישראל נמצאת בפיגור בהשוואה להתקדמות האסדרה באיחוד האירופי, בו כבר קיימת חקיקה שמסדירה את השימוש בבינה מלאכותית לפי רמות סיכון. 

 אנגלמן קובע, כי כדי לשמר את עליונותה הטכנולוגית והמדעית של ישראל בתחום הבינה המלאכותית, שהוגדר כבעל עדיפות לאומית, על משרד החדשנות, להוביל את מדיניות הממשלה בתחום.

מימוש הפרויקט

 "בייחוד בתקופת מלחמה – פרצות בתחום הסייבר הן בגדר מחדל. אסור להמתין שאויבינו יניחו את ידם על מאגרי המידע של הביטוח הלאומי – חובה לסתום את הפרצות הרבה לפני", מתריע מבקר המדינה, מתניהו אנגלמן בפרק על הגנת הסייבר במוסד לביטוח לאומי.

בדו"ח הביקורת מצויין, כי המוסד לביטוח לאומי מחזיק במאגר גדול, המכיל מידע מארגונים וגופי ממשל רבים וגודלו טרה־בייט (TB) רבים. המאגר, שגדל בכ־10% בכל שנה, כולל מידע על כל תושבי מדינת ישראל מיום הלידה ועד ליום הפטירה.

"נכון לפברואר 2024, מתבצעות בכל יום עשרות אלפי ניסיונות לתקיפת סייבר נגד המוסד לביטוח לאומי. אירוע סייבר בבט"ל עלול לגרום לפגיעה חמורה בפרטיות של מיליוני אזרחים ותושבים המקבלים שירות מבט"ל, וכן עלול לגרום לפגיעה בעבודת בט"ל ואף לשיתוק של העבודה, ובעקבות כך לפגיעה ביכולת לשלם קצבאות (זקנה, נכות, קיום, אבטלה תגמולי מילואים)", מתריעים מחברי הדו"ח. בדו"ח נטען, כי בפברואר 2022 דווח על אירוע גניבת זהות שבעקבותיו מידע אישי על 2,000 אזרחים היה חשוף ונגיש למי שאינו מורשה לכך.

"המוסד לביטוח לאומי לא עדכן את מדיניות אבטחת המידע והגנת הסייבר שלו במשך כעשר שנים, משנת 2014. זאת, אף שמאז הסיכונים בתחום השתנו במידה ניכרת, ואף שהדבר מנוגד למדיניות בט"ל, ולפיה מדיניות אבטחת מידע תידון ותתוקף מדי שנה בשנה", קובע מבקר המדינה – "בעת ביצוע הביקורת עודכן מסמך המדיניות לרמה של טיוטה ואושר במרץ 2024 בידי ממלא מקום מנכ"ל בט"ל, אולם טרם התקיים דיון בוועדת ההיגוי לאבטחת מידע בנוגע למדיניות כנדרש במסמך המדיניות".

האקר פריצה  (צילום: אינג אימג')
האקר פריצה (צילום: אינג אימג')

עוד נטען, כי בט"ל לא התייחס בנוהל אבטחת מידע של הארגון לשישה (50%) מ־12 הנושאים, שנקבע בתקנות אבטחת מידע, כי נדרש להסדיר אותם במסגרת נוהל אבטחת מידע.

לגבי ארבעה (33%) מ־12 הנושאים, הנהלים הקיימים בעניינם לא עודכנו עשר שנים ולגבי שניים (17%) מ־12 הנושאים לא צוין המועד האחרון שבו עודכנו הנהלים בעניינם.  

מחברי הדו"ח גם מתריעים, כי בט"ל אינו מבצע מבדקי חדירה לגבי מאגרי המידע שברשותו, כמתחייב מתקנות אבטחת מידע וכן ממסמך המדיניות שלו. כך, רק כ־7% מהמבדקים שבוצעו היו על מערכות שמקושרות למערכת המרכזית, אשר בה נמצאים כל מאגרי המידע של בט"ל.

בדו"ח נטען עוד, כי נמצאו פערים ביכולת של בט"ל לזהות אירועי סייבר ולטפל בהם. בין היתר התגלה כי המוסד לביטוח לאומי מעביר לגופים חיצוניים רבים מידע באמצעות מערכות לשיתוף מידע שהתגלו בהן פערי אבטחת מידע.  

מהביקורת עולה, כי במהלך מלחמת חרבות ברזל נדרש בט"ל לבצע פעולות דחופות לטיפול בנפגעי פעולות האיבה, במשפחות החטופים, במשפחות המפונים ובמשרתי המילואים. 

פעולות אלו כללו בין היתר פיתוח שירותים חדשים לטיפול באוכלוסיות אלו; פיתוח ממשקים להעברת מידע לגופים אחרים; ומציאת פתרונות חדשים המאפשרים עבודה מהבית של עובדי בט"ל, כדי שהשירות לא יפגע. עם זאת, משרד מבקר המדינה מציין לחיוב את בט"ל על העתקת אתר הגיבוי (DR) למקום החדש במרץ 2024, במהלך הביקורת.

"אזרחי ישראל מטורטרים לחינם בגלל העדר שיתוף פעולה בין משרדי הממשלה. משרד הביטחון מחויב, בפרט בתקופת מלחמה, שבה נוספו מאות משפחות למעגל השכול וכן אלפי נכים, לשפר את השירות לאוכלוסיות אלו באמצעות חיבור לשדרת המידע תוך יישום מדיניות פעם אחת, ולא להטריח אוכלוסיות אלו להמציא אישורים ואסמכתאות ממשרדים שונים שלא לצורך", קובע מבקר המדינה, מתניהו אנגלמן בדו"ח ביקורת מעקב על מדיניות "פעם אחת".

מהביקורת עולה, כי 12 גופים כלל לא תיקפו את השירותים שהם מציעים, ובכללם 480 שירותים במשרד החינוך ו־129 שירותים בבתי הדין הרבניים.

עוד נטען, כי שמונה שנים אחרי שהממשלה קיבלה החלטה בנושא, מערך הדיגיטל לא קבע מדיניות לעניין המיפוי והתיקוף של השירותים, בכלל זה לעדכון ולטיוב של מאגר השירותים, ואין למערך תמונת מצב מלאה ועדכנית של כלל השירותים הממשלתיים, בכלל זה המידע והאישורים הנדרשים לשם אספקתם. 

מדו"ח הביקורת עולה, כי שלושה גופים (צה"ל, רשות המיסים והמוסד לביטוח הלאומי) שעל פי החלטת הממשלה היו אמורים עד אפריל 2021 להטמיע את השימוש בשדרת המידע לצורך שיתוף מידע עם גופים אחרים, לא עשו כן.

"ביקורת המעקב מעלה כי הליקוי לא תוקן, וכי צה"ל, רשות המיסים והמוסד לביטוח לאומי טרם התחברו לשדרת המידע, שלא בהתאם להחלטת הממשלה, המלצת מבקר המדינה בדוח הקודם ותוכנית הפריסה של רשות התקשוב דאז לחיבור הגופים לשדרת המידע", צויין בדו"ח. 

מחברי הדו"ח מתריעים, כי משרד הביטחון אינו מקבל אישורים שונים ממשרדי הממשלה באופן ישיר באמצעות שדרת המידע, ובמקום זאת דורש לקבל אישורים אלו מבני המשפחות השכולות ונכי צה"ל. 

משרד מבקר המדינה העיר למשרד הביטחון, כי בפעילותו האזרחית הוא אינו שונה מכלל משרדי הממשלה במתן שירות לציבור, באמצעות התווך הדיגיטלי המאובטח המוצע על ידי מערך הדיגיטל.

האקר. מאות אלפי דיווחים בישראל (צילום: אילוסטרציה,שאטרסטוק)
האקר. מאות אלפי דיווחים בישראל (צילום: אילוסטרציה,שאטרסטוק)

"מצופה, היה כי דווקא בתקופת מלחמת חרבות ברזל, במהלכה נוספו אלפי בני משפחות למעגל השכול וכן אלפי נכים, ישפר המשרד את השירות לאוכלוסיות אלו באמצעות חיבור לשדרת המידע תוך יישום מדיניות פעם אחת, ולא יטריח אוכלוסיות אלו להמצאת אישורים ואסמכתאות ממשרדים שונים שלא לצורך", קובע מבקר המדינה. מבקר המדינה, מתניהו אנגלמן, מתח ביקורת על אופן העברת מידע בין משרדי הביטחון וביטחון הפנים במהלך מלחמת חרבות ברזל.

"בתחום רישוי כלי ירייה בין צה"ל ובין המשרד לביטחון לאומי התנהל זה שנים משא ומתן להקמת ממשק מקוון להעברת נתונים בין הגופים. ואולם, מאחר שעד לאפריל 2024 לא הוקם ממשק כזה, לרבות באמצעות שדרת המידע, האזרח מגיש הבקשה לקבלת רישיון לכלי ירייה נדרש להגיש בד בבד גם בקשה לצה"ל לקבלת אישור על שירות בצבא (טופס 830). לאחר קבלת האישור מצה"ל נדרש המבקש להעביר אותו למשרד לביטחון לאומי", מתריעים מחברי הדו"ח.

"בביקורת הנוכחית עלה, כי נוכח ההיקף החריג של בקשות לקבלת רישיון כלי ירייה מאז פרוץ המלחמה, פנה המשרד לביטחון לאומי לצה"ל באוקטובר 2023 בבקשה לקדם בהקדם את הקמת הממשק בין שני הגופים, ובחודשים נובמבר ודצמבר 2023 שלח בקשות רשמיות לקבלת המידע הנדרש להחלטת הוועדה להעברת מידע, וזאת בהתאם לתקנות הגנת הפרטיות", נטען בדו"ח.

מהביקורת עולה, כי רק באפריל 2024, כשישה חודשים לאחר תחילת המלחמה, הממשק המקוון של צה"ל מול המשרד לביטחון לאומי לטובת רישוי כלי ירייה עלה לאוויר והופעל.

זאת, למרות העומס הרב, שנכון לדצמבר 2023 הסתכם בכ־240 אלף פניות שטרם טופלו, והנחיצות בהעברת מידע יעילה ובטווח זמנים קצר מצה"ל למשרד לביטחון לאומי, לצורך בחינה מהירה של הבקשות לרישיונות לכלי ירייה בתקופת המלחמה.   

"לתעשיות הביטחונית, כמו לכלל הגופים הציבוריים, אין פריבילגיה שלא ללכת על הצד המחמיר בהגנת סייבר. הנושא הינו בעל משמעות קריטית בצל תפקידן בעת מלחמה", מתריע מבקר המדינה מתניהו אנגלמן בפרק על הגנת הסייבר ברפא"ל.

מבקר המדינה ממליץ, כי הנהלת ודירקטוריון רפא"ל יפעלו לתיקון הליקויים ולוודא בשיתוף המועצה לביטחון לאומי, כי רפא"ל מיישמת את ההנחיות כנדרש.

ביטוח לאומי (צילום: נתי שוחט, פלאש 90)
ביטוח לאומי (צילום: נתי שוחט, פלאש 90)

בפרק על מערכות מידע בחברת דואר ישראל ובבנק הדואר, מתריע מבקר המדינה, מתניהו אנגלמן מפני תקלות במערכות המידע ואי יעילות במערכת זימוני התורים, העלולה לגרום לתורים ארוכים בסניפים. זאת, על רקע אי מתן אפשרות לקבלת שירות במרבית הסניפים ללא זימון תור מראש.

"בשנת 2018 הציג אגף מערכות מידע במצגת את הצורך בהחלפת ציוד מחשוב מיושן ביחידות הקצה, וזאת בשל תקלות חומרה רבות. על פי נתוני החברה, מה־1 באפריל 2022 עד ה־21 ביולי 2023, הגישו משתמשי המערכות 46,349 פניות אשר סווגו כתקלות חומרה. מספר הפניות על תקלות בשל בעיות חומרה הוא הגדול ביותר ושיעורו כ־35% מסך הפניות בחברה", נכתב בדו"ח הביקורת.

"בתקופה זו כ־64% מהפניות הקשורות לתקלות שגרמו להשבתת תחנה בנקודת קצה עסקו בתקלות חומרה, שהן 3,306 פניות מתוך 5,178 פניות שנבחנו, וכ־32% מהתקלות שגרמו להשבתה מלאה של יחידות דואר בתקופה הנבדקת היו תקלות חומרה, שהן 525 תקלות מתוך 1,618 תקלות שנבחנו".

עוד עולה מהביקורת, כי כ־80% מכלל תקלות החומרה שבגינן הושבתו תחנות קצה וכ־92% מתקלות החומרה שגרמו להשבתה של יחידות דואר, הן תקלות בציוד ממוחשב אשר בשנת 2018 חלקו כבר הוגדר כציוד שנדרש להחליפו.

סניף דואר ישראל (צילום: מרק ישראל סלם)
סניף דואר ישראל (צילום: מרק ישראל סלם)

מהביקורת עולה, כי פרויקט החלפת הציוד אושר בתוכניות העבודה לשנים 2019־2023. בד בבד עם החלפת המחשבים החל גם שדרוג מערכות ההפעלה למערכות הפעלה WIN-10. פרויקט החלפת הציוד הממוחשב הוגדר כפרויקט אסטרטגי כבר בשנת 2019. אולם, רק בתחילת שנת 2022 החלו בחברת הדואר ברכישת ציוד מחשוב חדש. 

"יותר מארבע שנים לאחר שעלה הצורך בהחלפת ציוד מחשוב מיושן, תקלות רבות נגרמות בשל אי־החלפתו, והדבר מחזק את הצורך הדחוף בהחלפת הציוד", קובע מבקר המדינה. "עד מרץ 2024 החברה החליפה ושדרגה רק 683 מחשבים (כ־37%) מכלל 1,850 המחשבים שיש לשדרגם ל־WIN-10 ולהחליפם; שדרגה רק 196 (כ־56%) מכלל 350 מחשבי הפלזמה שיש לשדרג ל־WIN-10; וכן שדרגה רק 136 (כ־68%) מכלל 200 המערכות לניהול תורים שיש לשדרג.

מחברי הדו"ח גם מותחים ביקורת על מערכת ניהול התורים הממוחשבת, שכיום רק באמצעותה ניתן במרבית סניפי הדואר לקבל שירות. "בביקורת נמצא, כי המערכת הקיימת אינה מאפשרת ללקוחות החברה להזין מידע על השירות שלשם קבלתו קבעו את התור ואינה מקצה ללקוח זמן נדרש בהתאם לצרכיו. פרק הזמן שנדרש להקצות ללקוח המגיע לאשנב לצורך פתיחת חשבון בנק בבנק הדואר הוא לרוב ארוך בהרבה מפרק הזמן שנדרש להקצות ללקוח המגיע לאסוף חבילת דואר", נכתב.

"עקב כך לעיתים עלול להיווצר בסניפי בנק הדואר תור ארוך, והשירות עלול להינתן ללקוחות זמן רב לאחר המועד שנקבע להם". אנגלמן ממליץ, כי על החברה לפעול, במסגרת שיפור אבטחת המידע – ובייחוד לנוכח אירוע סייבר שהתרחש בה באפריל 2023 – גם לשיפור הבקרה על ניהול ההרשאות בחברה.