מחדל בשב"ס: "ליקויים משמעותיים" באבטחת המידע

מבקר המדינה מתניהו אנגלמן פרסם היום (ג') דו"ח נוקב אשר מצביע על שורת ליקויים בכל הקשור להתנהלות שירות בתי הסוהר באשר לאמצעי ניהול טכנולוגיים. על פי הדו"ח, "היקף האחריות של השב"ס לאלפי אסירים וכן ניהול פריסה רחבה של מתקני כליאה בכל רחבי הארץ מציבים את השב"ס כארגון גדול ומורכב המצריך משאבי אבטחה, ניהול ושליטה טכנולוגיים יעילים. הדבר מקבל משנה תוקף עקב אופיו ורגישותו הביטחונית של הארגון והסיכונים הביטחוניים והפליליים התלויים בתפקודו התקין".

"למרות היקף אחריותו של שב"ס", המשיך הדו"ח, "מבקר המדינה בדק ומצא פערים עמוקים וליקויים משמעותיים של מערך ביטחוני רגיש זה היוצרים סיכון של ממש. נמצא פער יסודי בין מהותו של הארגון, אופיו, המידע המוחזק בו והסיכונים הנוגעים לפעילותו לבין התרבות התפקודית הרווחת בו בכל הנוגע לאבטחת מידע וניהול המידע המסווג. נמצא כי במהלך שמונה השנים מאז כישלון פרויקט קידמה, פרויקט תקשוב ארגוני שכשל לאחר שהושקעו בו 144 מיליון ש"ח, נציבות השב"ס והמשרד לבט"פ לא ביצעו תחקור בנושא נסיבות הכישלון ולא הפיקו לקחים.

לפי הדו"ח, "השב"ס החל ביישום תר"ש 'קברניט' בשנת 2021 בלא שאושר תקציבה הכולל המסתכם בכחצי מיליארד ש"ח, ובלא שניתן אישור של המשרד לבט"פ והשר לבט"פ דאז למימושה המלא. עולה איפוא, כי השב"ס החל ביישום תוכנית תקשובית מקיפה, שעה שניתן לה אישור תקציבי של כ-20% מהעלות התקציבית הכוללת של התוכנית המסתכמת ב-532 מיליון ש"ח, וללא אישור הדרג הממונה לתכנית בכללותה. מצב זה מציב סיכון להשלמת התוכנית בשנים הבאות.

"עוד נמצא כי נכון למועד הביקורת, מתוך תקציב של 104 מיליון ש"ח מומשו בפועל כ- 39 מיליון ש"ח המהווים 38% בלבד מהתקציב. בגין 62% מהתקציב הוצאו הזמנות רכש שביצוען טרם הושלם. כמו כן, שיעור הירידה בהיקף התקציב הטכנולוגי בשב"ס ב-2018-2021 עמד על 13%-, בזמן שתקציב השב"ס עלה ב-12% והתקציב הטכנולוגי של יתר משרדי הממשלה עלה ב-25%.

"כמו כן, נבדקו שורה של היבטים הנוגעים לניהולו ואבטחתו של מידע ביטחוני מסווג. בבדיקה זו הועלו פערים משמעותיים, העומדים בניגוד לפרקטיקה המחייבת בגופים מקבילים בכל אחד מהתחומים הבאים: טיפול במידע דיגיטלי מסווג ובמסמכים מסווגים, הסדרת הטיפול במידע ביטחוני מסווג באמצעות נוהלי אבטחה, שמירה וסיווג מסמכים, טיפול במידע מסווג המתקבל מגורמים חיצוניים, הסדרת הסיווג הביטחוני של עובדים בשב"ס ושימוש באמצעי תקשורת".

משרד מבקר המדינה ביצע מבדקי חדירה בשילוב סקר הערכת פגיעויות בנוגע לרשתות בשב"ס. בבדיקה שבוצעה הועלו פערים משמעותיים, העומדים בניגוד לפרקטיקה המחייבת בגופים מקבילים, בכל אחד מהנושאים הבאים: הגנת הסייבר על חלק מהמערכות, ביצוע סקרי סיכונים באבטחת מידע וסייבר וביצוע מבדקי חדירה, היערכות לניהול אירועי סייבר, ניהול משתמשים והרשאות, תהליכי הפיתוח של רשת מחשב מסווגת.

"הביקורת חושפת מציאות רבת שנים", הוסיף הדו"ח, "שלפיה תחומי האחריות והסמכות של השב"ס ושל המסדרים בתחום אבטחת המידע המסווג והסייבר ובתחום הטכנולוגיות הדיגיטליות ומערכות המידע אינם מיושמים, הלכה למעשה, באופן תקין וכנדרש. נמצאו פערים יסודיים בתוכנית התאוששות מאסון של המערכות הטכנולוגיות בשב"ס. תמונת המצב העולה מהביקורת היא תוצאה של הזנחה רבת שנים, שבמהלכן לא הייתה משילות טכנולוגית שהניחה יעדים, קבעה תהליכים, הקצתה משאבים, וניהלה כראוי את הסיכונים והמתודולוגיות הארגוניות בתחום הטכנולוגי. קיימת אי-ודאות תקציבית מהותית בנוגע למימוש המענה המתוכנן בתוכנית 'קברניט' למכלול הפערים הטכנולוגיים והאבטחתיים".

אנגלמן המליץ כי ראש הממשלה, בהתייעצות עם השר לביטחון לאומי, יבחן את סוגיית אבטחת המידע והסייבר בשב"ס בכללותה ובפרט את סוגיית אבטחת המידע המסווג. על השב"ס והמשרד לביטחון לאומי לוודא שהרציפות התפקודית לא תיפגע בקרות אירועי אסון העלולים לסכן את יציבותו ותפקודו של מערך הכליאה הלאומי.

משב"ס נמסר בתגובה כי "שירות בתי הסוהר מברך על הביקורת המקיפה והעניינית. שירות בתי הסוהר רואה ערך בביקורת בונה ככלי מרכזי לשיפור תהליכים בארגון. כפי שמצביע המבקר, כבר  בחודש מאי 2021, ביצע שב"ס עבודת עומק למיפוי הפערים הטכנולוגיים שנמצאים בארגון,  ובנה תכנית אופרטיבית לצמצומם, במסגרת תר"ש 'קברניט'".

"שב״ס משקיע מאמצים רבים להשלמת הפערים שמופו", המשיכה ההודעה, "הן ברמה המבצעית והן ברמה הניהולית ובשנתיים החולפות הושלמו, בזמן שיא, למעלה מ-80 פרויקטים, ביניהם: השקת פיילוט בית סוהר חכם, סריקת תיקי אסיר, יומנים ממוחשבים, ספירות אסירים דיגיטליות, רפואה היברידית ועוד. עם כניסתה לתפקיד, הציבה הנציבה פרי כיעד מרכזי את הקפיצה הטכנולוגית של הארגון על מנת לעמוד בחזית הטכנולוגיה, בדומה לארגוני כליאה מובילים בעולם, ולסגור פערים של שנים רבות שהנושא לא היה בראש סדר העדיפות הארגוני".

"שב"ס ימשיך לפעול לצמצום הפערים המופיעים בדו"ח המבקר", סיכמה ההודעה, "ויקדם פרויקטים טכנולוגיים נוספים, בהתאם לתקציב המדינה, וזאת על מנת להבטיח את המשך מיצובו של הארגון והעצמת יכולותיו, לעמידה באתגרים הביטחוניים, המבצעיים והחברתיים העומדים בפניו".