דוח מבקר המדינה: שלוש מערכות הבחירות היו אירוע תקדימי בתולדות המדינה, ותפקידה של ועדת הבחירות המרכזית היה חשוב מאין כמותו בתקופה בין 2019 ל-2021. מבקר המדינה מתניהו אנגלמן בדק ופרסם הבוקר (רביעי) דוח הממצה את פערי אבטחת המידע ותחום ביטחון הסייבר של ועדת הבחירות המרכזית, לאחר שבדק את הוועדות האזוריות, משרד הפנים, משרד המשפטים, משרד הדיגיטל הלאומי, רשות התקשוב הממשלתי ובמערך הסייבר הלאומי.
ראשית, מהדוח עולה כי בניתוח הסטטיסטי שביצע משרד מבקר המדינה נמצאו 150 קלפיות שהייתה בהן התנהגות חריגה. מידע זה הועבר לטיפול הוועדה במסגרת מבצע טוהר הבחירות. ועדת הבחירות בחנה את כל הקלפיות שהועברו לבדיקתה על ידי צוות מבקר המדינה, ומהן 26 קלפיות חדשות שלא נבחנו על ידה קודם לכן במסגרת מבצע טוהר הבחירות. כמו כן בעקבות הבדיקה שביצעה הוועדה, בשלוש קלפיות בוצעו שינויים בתוצאות ההצבעה.
תחום הגנת הסייבר
לפי ממצאי מבקר המדינה, ההיערכות הממשלתית לטיפול בתחום הגנת הסייבר החלה לפני יותר מעשור, ובשנים 2011 ו-2015 קיבלה הממשלה החלטות להסדרת התחום, אך למעשה, עד שנת 2017 לא קידמה ועדת הבחירות את תחום הגנת הסייבר. בביקורת עלה כי בידי ועדת הבחירות לא הייתה תמונה מלאה ועדכנית של מערכות המידע והתשתיות המשמשות אותן ושל יחסי הגומלין בין המערכות.
כמו כן, ועדת הבחירות פעלה ללא מסמך לניהול ההמשכיות התפקודית המגדיר את המערכות והתהליכים החיוניים להמשך פעילות הוועדה בתקופת הבחירות ואת הזמן הנדרש להתאוששותם. בשלוש מערכות הבחירות שנבדקו נמצאו פערים בנושא אבטחת המידע הפיזית.
לא משתמשים בנתונים הביומטריים
בנוגע לתהליך הבחירה בישראל ובעולם, עלה שבישראל רק השלבים של סכימת התוצאות ופרסומן במרשתת נעשים באופן ממוחשב. לפי סקר בין-לאומי שנערך בשנים 2016 עד 2019 ב-182 מדינות ובהן ארה"ב, נמצא כי ב-26% מ-162 מהמדינות שהשיבו תהליך הזדהות הבוחר בקלפי נעשה באופן ממוחשב. ב-20% מ-161 המדינות שהשיבו תהליכי ההצבעה וסכימת הקולות ממוחשבים, ובכ-60% מ-163 מהמדינות שהשיבו סכימת התוצאות ופרסומן מבוצעות באופן ממוחשב.
נמצא כי ועדת הבחירות החלה כבר בשנת 2007 במחשוב תהליך הזדהות הבוחר, אולם הנושא לא קודם. מחשוב התהליך צפוי לייתר את ההצבעה באמצעות מעטפות כפולות. כמו כן לא נעשה שימוש בתעודת הזהות החכמה כדי לזהות את הבוחר בקלפי.
טוהר הבחירות נפגע
בבחירות לכנסות ה-22 וה-23 הופעלו מערכות מידע לקבלת פניות בנוגע לקלפיות שעלה בהן חשש לפגיעה בטוהר הבחירות. בכל מערכות המקור לא תועדו נתונים ביניהם סטטוס סגירת הפנייה. בהיעדר התיעוד אי אפשר לבצע בקרה על שלמות התהליך כדי לוודא שכל הפניות שוועדת הבחירות החליטה להעביר לטיפול במערכת 5 אכן טופלו, כך נמסר בדוח המבקר.
בנושא הצבעה בשמם של בוחרים שנפטרו נמצא כי בבחירות לכנסת ה-23 כי נעשתה לכאורה הצבעה בשמם של כ-260 בוחרים שנפטרו. בדיקה מעמיקה ופרטנית שביצעה ועדת הבחירות לגבי 65 מקרים העלתה ש-20 בוחרים הצביעו בשם נפטרים. בדיקת הוועדה עשויה לבסס הערכה ולפיה כ-80 בוחרים הצביעו בשם נפטרים במערכת הבחירות לכנסת ה-23.
מבקר המדינה מתניהו אנגלמן ציין בסוף הדוח: "הבחירות לכנסת עומדות בבסיס אופיו הדמוקרטי של המשטר בישראל, ולפיכך קיימת חשיבות רבה שתהליך הבחירות יהיה שקוף ושתוצאות הבחירות ייצגו את רצון הבוחר. פגיעה באמינות, בזמינות ובסודיות של המידע המצוי במערכות המידע המשמשות את תהליך הבחירות עלול לפגוע באמון הציבור בתהליך הבחירות".
תגובת ועדת הבחירות המרכזית: "מדינת ישראל, כמו מדינות אחרות בעולם, זיהתה בשלהי שנת 2016 את הזיקה הפוטנציאלית שבין תקיפת סייבר לבין מערכת הבחירות, וזאת בעקבות הבחירות לנשיאות בארצות הברית. משזוהתה זיקה זו, הוגדרו על ידי הוועדה איומי ותרחישי הייחוס, והוועדה פעלה לאורם. הוועדה פעלה בשיתוף עם מערך הסייבר הלאומי, וגופי הביטחון במדינת ישראל, תוך שימוש בטכניקות ייחודיות ליצירת יכולות הגנה על מערכות הוועדה מפני איום הסייבר ולגידור הסיכונים. בנוסף, נקטה הוועדה בשורה נרחבת של פעולות להבטחת רציפות תפקודה גם בתנאי משבר".
"במסגרת הפעולות שנקטה הוועדה, גייסה הוועדה לשורותיה, את בוקי כרמלי, לשעבר ראש מערך הסייבר הלאומי, המלווה את הוועדה בתחום אסטרטגיית הגנת הסייבר ויישומה. בנוסף, נקטה הוועדה בשורה ארוכה של פעולות בקרה מעמיקות לאיתור חריגות ואנומאליות בתוצאות הבחירות, בין היתר באמצעות שימוש בתוכנות ייעודיות ואלגוריתמים ייחודיים, וכן, ביצעה הוועדה את מבצע טוהר הבחירות, במסגרתו נבדקו אלפי קלפיות, לאחר יום הבחירות".
"נוכח האתגרים המורכבים שהוצבו בפני הוועדה, והצורך בשינוי תהליכים – ביצעה הוועדה, תוך כדי ביצוע 4 מערכות הבחירות לכנסת, שינויים מהותיים במערכות המידע שלה, ואף פיתחה מערכות חדשות לצורך ייעול ניהול הליך הבחירות ועמידה באתגרים".
"במבחן התוצאה - פעילות זו שבוצעה כאמור במהלך 4 מערכות בחירות רצופות (בהן לא היו כל תקופות שיגרה) שהיו כולן רוויות באתגרים מורכבים - עמן התמודדה הוועדה בהצלחה - הוכיחה באופן חד משמעי, את מוכנות הוועדה להתמודד עם האתגר העצום שעמד בפניה. תוצאות הבחירות בכל 4 מערכות הבחירות משקפות את רצון הבוחר במדוייק, ללא כל התערבות סייבר או פגיעה במידע המצוי במערכות המשמשות את הוועדה או בתפקודן".
"לעניין הטענה להצבעה לכאורה בשם נפטרים או אזרחים ששהו בחו"ל ביום הבחירות: לעמדת הוועדה, וכפי שאף נמסר למבקר המדינה - הממצאים שהוצגו בדוח הביקורת לוקים בחסר ואינם מבוססים. שכן, הם אינם נסמכים על בדיקה מדוקדקת של כל הנתונים אל מול פנקסי הבוחרים. בדיקה מדגמית שביצעה הוועדה בפנקסי הבוחרים, אף סתרה את ממצאי הבדיקה שערך צוות הביקורת. מעבר לכך, לעיתים ייתכן פער בין רישום הנכנסים והיוצאים בגבולות המדינה, לבין נוכחותם בפועל בארץ".