מבקר המדינה מתניהו אנגלמן פרסם היום (שלישי) דו"ח בו הוא חושף שורה של כשלים מערכתיים בהגנת המידע הממוחשב בבית הנשיא, המעידים על פער עמוק בין רמת הסיכון של הגוף לבין אופן ניהול הסייבר והמידע בפועל. הביקורת, שנערכה בין מרץ לספטמבר 2025, בחנה את התשתיות המרכזיות, ניהול ההרשאות, עדכניות המערכות, אבטחת תחנות הקצה והגנת הפרטיות ומצאה כי במרבית התחומים קיימים ליקויים מהותיים ומתמשכים.
ברמה הניהולית, מצביע המבקר על היעדר תשתית ממשל סייבר בסיסית לאורך זמן. עד אמצע 2025 לא פעלה בבית הנשיא ועדת היגוי ייעודית, לא גובשה מדיניות אבטחת מידע מאושרת, ולא הוגדרו יעדים או מדדי ביצוע. האחריות הארגונית לנושא לא הוסדרה באופן ברור, והתחום לא קיבל עדיפות ניהולית מספקת, מצב שהוביל להזנחה יחסית של מערך ההגנה למרות הרגישות הגבוהה של המידע המטופל במקום.
ברמה התפעולית, התמונה חריפה עוד יותר. הדו"ח מתאר כשלים רוחביים בניהול משתמשים והרשאות, כולל מנגנוני הזדהות לא מספקים ושימוש לא מבוקר באמצעי גישה. לצד זאת, נמצאו פערים בניהול מערכות המידע עצמן: חלק מהמערכות פועלות בגרסאות שאינן נתמכות ואינן מקבלות עדכוני אבטחה, דבר שמייצר חשיפה מובנית לפרצות. גם תשתיות הרשת אינן עומדות בהנחיות המקצועיות, ונמצאו ליקויים בהפרדה בין סביבות ובמנגנוני ההגנה. בנוסף, מערך הניטור והבקרה אינו מספק, כך שהיכולת לזהות אירועי סייבר בזמן אמת מוגבלת. לכך מצטרפת היעדר היערכות מספקת להמשכיות תפקודית בשעת חירום, חולשה קריטית בגוף ממלכתי .
הכי מעניין
מבקר המדינה, מתניהו אנגלמן | צילום: יונתן זינדל, פלאש 90
אחד הפרקים החמורים בדו"ח עוסק בהגנת הפרטיות. לפי המבקר, בית הנשיא אינו עומד בדרישות חוק הגנת הפרטיות ותקנות אבטחת מידע בשורה של היבטים יסודיים: לא מונה ממונה אבטחת מידע כנדרש, לא בוצע מיפוי מסודר של מאגרי המידע, לא הוגדרו נהלי אבטחה מחייבים, ולא נקבעו הרשאות גישה מבוקרות. בנוסף, אין מנגנוני תיעוד ובקרה שיטתיים על גישה למידע, כך שלא ניתן לעקוב באופן אפקטיבי אחר שימושים חריגים או בלתי מורשים.
הכשלים מקבלים משנה תוקף בכל הנוגע למאגר החנינות, אחד המאגרים הרגישים במדינה. המאגר כולל מידע על כ-100 אלף מבקשי חנינה, לרבות פרטים רפואיים, כלכליים ואישיים. למרות הרגישות, נמצא כי בקשות חנינה מועברות לגורמים חיצוניים, כגון משרד המשפטים והפרקליטות הצבאית, באמצעות דואר אלקטרוני שאינו מוצפן. מעבר לכך, המידע נשמר בתיבות דוא"ל לפרקי זמן בלתי מוגבלים, ללא מדיניות צמצום ושמירה מינימלית. גם ההתקשרות עם ספק חיצוני המטפל במאגר לא הוסדרה בהתאם לדרישות הדין, מה שמעצים את הסיכון לדליפה או שימוש לא מורשה במידע.
נשיא המדינה יצחק הרצוג, בבית הנשיא בירושלים | צילום: יונתן זינדל, פלאש 90
לצד הביקורת, מציין המבקר כי בשנה האחרונה החלה הנהלת בית הנשיא לנקוט צעדים ראשוניים לתיקון המצב, בין היתר באמצעות פנייה לגורמי מקצוע לקבלת הנחיות, הקצאת תקציבים ייעודיים והתחלת יישום המלצות בתחום הסייבר. עם זאת, הדו"ח מדגיש כי מדובר בתהליך ראשוני בלבד ונדרש שינוי עומק שיטתי.
בהתאם לכך, ממליץ המבקר על שורה של צעדים מרכזיים: חיזוק תחום הסייבר באמצעות קביעת מדיניות, הגדרת אחריות והקמת מנגנוני פיקוח; שדרוג מערכות ההגנה, כולל עדכון גרסאות, הטמעת כלי ניטור ובקרה ושיפור השליטה בהרשאות; היערכות מסודרת להמשכיות תפקודית; ועמידה מלאה בדרישות חוק הגנת הפרטיות, לרבות מינוי בעלי תפקידים, מיפוי מאגרי מידע וביצוע ביקורות תקופתיות. דגש מיוחד ניתן לטיפול במאגר החנינות, הצפנת מידע בהעברה, צמצום היקף השמירה והסדרת העבודה מול ספקים חיצוניים.
בסיכומו של דבר, הדו"ח מציג כשל מערכתי בהגנת המידע בבית הנשיא, הנוגע הן לרמת הניהול והן לרמת היישום. למרות סימנים ראשוניים לשיפור, המבקר קובע כי נדרשת פעולה מיידית ומקיפה כדי להבטיח את סודיות המידע, שלמותו וזמינותו, ולמנוע פגיעה בפרטיות הציבור ובאמון במוסד הנשיאות.
עוד כתבות בנושא
