משרדי מערך הסייבר הלאומי (ארכיון). צילום: מערך הסייבר הלאומי

דו"ח המבקר: שב"ס לא עומד בסטנדרטיים הנדרשים באבטחת מידע ובסייבר

על אף היות השב"ס גוף ביטחוני, התשתית המיחשובית אינה תואמת את הסטנדרטים המחויבים בגופי ביטחון • המבקר מציב תמרור אזהרה לכלל הגופים המעורבים בתחום אבטחת סודות מדינה, אבטחת מידע והגנת הסייבר, ומחייב פעולות מהירות לתיקון הפערים

איציק סבן
, עודכן
0השמעה

דו"ח המבקר שבדק כיצד שרות בתי הסוהר מסווג מידע ביטחוני מסווג במערכות המחשוב של השב"ס מצא כי על אף היות השב"ס גוף ביטחוני, התשתית המיחשובית אינה תואמת את הסטנדרטים המחויבים בגופי ביטחון.

הדו"ח חושף מציאות רבת שנים שלפיה תחומי האחריות והסמכות של השב"ס ושל הרגולטורים בתחום אבטחת המידע המסווג והסייבר, ובתחום טכנולוגיות דיגיטליות ומערכות מידע אינם מיושמים, הלכה למעשה, באופן תקין וכנדרש.

לדעת המבקר הדו"ח מהווה תמרור אזהרה לכלל הגופים המעורבים בתחום אבטחת סודות מדינה, אבטחת מידע והגנת הסייבר, ומחייב פעולות מהירות לתיקון הפערים שעלו בדו"ח. המבקר ממליץ לראש הממשלה בהתייעצות עם השר לביטחון לאומי לבחון את סוגיית אבטחת המידע והסייבר בשב"ס בכללותה ובפרט את סוגיית אבטחת המידע המסווג. עד אז נדרש כי השב"ס יפעל בהתאם לכללי השב"כ.

מערך הסייבר הלאומי, צילום: עודד קרני

בחודשים מרץ - דצמבר 2022 בדק משרד מבקר המדינה את נושא טכנולוגיות דיגיטליות והגנת הסייבר בשירות בתי הסוהר. במסגרת זו נבדקו תחום הטכנולוגיות הדיגיטליות ומערכות המידע בשב"ס, תקציב תחום הטכנולוגיה והמשילות הטכנולוגית בשב"ס. כמו כן נבדקו היבטים שונים בתחום ביטחון מידע, אבטחת המידע והגנת הסייבר וכן המוכנות הטכנולוגית של השב"ס להתאוששות מאסון.

יצוין כי בעבר ערך המבקר ביקורות על היבטים שונים בפעילות השב"ס ובהם הקמת מערכת מידע בשירות בתי הסוהר. בשנת 2014, לאחר השלמות פיתוח וייצוב פרויקט המחשוב של השב"ס (פרויקט קידמה) עקב כישלונו, לאחר שהושקעו בו 144 מיליון ש"ח, נמצא בביקורת, כי במהלך שמונה השנים מאז כישלון הפרויקט, נציבות השב"ס לא ביצעה תחקור בנושא נסיבות הכישלון ולא הפיקה לקחים שעשויים היו לשמש אותה בבואה לנהל פרויקטי מחשוב עתידיים. עוד נמצא כי גם המשרד לבט"פ, כגוף הממונה על השב"ס, לא ביצע פעולות תחקור והפקת לקחים לאחר כישלון הפרויקט והשפעותיו על תפקוד השב"ס. כן נמצא כי במשך שנים סובל השב"ס מחולשה בתחום התקשובי הנובעת מתשתיות תקשוב חסרות שאינן מאפשרות מתן מענה לצרכים והאתגרים התפקודיים של הארגון.

"ספירה שגויה"

חלק גדול מהתהליכים בשגרת הניהול של בתי הסוהר נעשים באופן ידני, מערכות השליטה הארגונית לא מספקות מענה לצרכים המבצעיים והניהוליים של הארגון, אמצעי זיהוי האסירים, מערך המצלמות והתשתית הטכנולוגית שעליה מתבסס הארגון מיושנים. בביקורת נמצא עוד כי בשנים 2015 - 2021 שימשו בתפקיד ראש החטיבה הטכנולוגית חמישה בעלי תפקידים ובפרק זמן של כשנתיים במצטבר התפקיד לא אויש, ואת התפקיד מילא ממלא מקום ללא מינוי רשמי. עוד נמצא כי שניים מתוך חמישה ראשי החטיבה הטכנולוגית בשנים אלו מונו בלי שהיה להם ניסיון קודם או הכשרה מתאימה לכך. לדעת המבקר ״התחלופה הגבוהה של ראשי החטיבה הטכנולוגית וחוסר הניסיון של חלקם בניהול גופים טכנולוגיים, בשילוב עם היעדר נציב קבוע ואי-איוש משרות חשובות במשך תקופות ממושכות, גרמו גם הם לקיפאון הטכנולוגי של הארגון״.

בסוגיית ספירת האסירים הביטחוניים נמצא כי המעבר של השב"ס בשנת 2012, לטכנולוגיה דיגיטלית לספירת אסירים לא נתן מענה שיאפשר למנוע לחלוטין טעויות אנוש בזיהוי האסיר בתא או ספירה שגויה של מספר האסירים, או דיווח על ביצוע ספירה מבלי להגיע בפועל לתא הכליאה לבדיקת נוכחות האסירים, כפי שמתחייב בפקודות הנציבות. מכאן, קובע המבקר, ״תהליך ספירת האסירים באמצעי דיגיטלי, ללא ערך מוסף ביומטרי, אינו מפחית באופן מיטבי את הסיכונים הנוגעים לזיהוי אסירים או לספירה שגויה שלהם״.

בדו״ח קובע המבקר כי אף ששילוב טכנולוגיה ביומטרית בתהליכי העבודה השוטפים בשב"ס צפוי לשפר את הדיוק ואת האמינות שבתהליכי הספירה והזיהוי, ואף שיש בטכנולוגיה זו כדי לסייע לשב"ס להתמודד עם סיכוני התחזות ובריחה ״השב"ס אינו משלב באופן מיטבי טכנולוגיות אלו בניהול בתי הכלא״.

תחנת משטרה, צילום: דוד כהן גיני

המבקר בדק גם את המערכת להגנה אווירית מפני רחפנים ומערכות להתרעה היקפית למיגון אגפי והיקפי של המתחם. עלות הפרויקט מוערכת ב-60 מיליון ש"ח, והוא מתוכנן להימשך עד שנת 2025.

מבדיקת צוות הביקורת עולה כי עלות מערכת האיתור שפרס השב"ס להתמודדות עם איום הרחפנים הוא כחצי מיליון ש"ח למתקן כליאה, ואילו המערכת הנוספת המתקדמת שנרכשה עולה כ-1.8 מיליון ש"ח למתחם כליאה. המבקר קובע כי ישנם בשוק מוצרי מדף שביכולתם לזהות, לחסום או לנטרל רחפנים, בעלויות נמוכות בהרבה מהמערכות שרכש השב"ס, אך השב"ס לא בדק אותם. כן נמצא כי אף שכבר בשנת 2018 הוגדר איום הרחפנים כאיום משמעותי על מתקני הכליאה, במועד סיום הביקורת, אוקטובר 2022, כשנתיים לאחר מכן, הפרויקט להתמודדות עם איום הרחפנים טרם הושלם חרף האיום הניכר הנשקף עקב השימוש ברחפנים לצורך הברחת מידע ואמצעים לתוך מתקני הכליאה.

המבקר מתניהו אנגלמן ממליץ כי ראש הממשלה, בהתייעצות עם השר לביטחון לאומי, יבחן את סוגיית אבטחת המידע והסייבר בשב"ס בכללותה ובפרט את סוגיית אבטחת המידע המסווג.

משב"ס נמסר: "שירות בתי הסוהר מברך על הביקורת המקיפה והעניינית. שירות בתי הסוהר רואה ערך בביקורת בונה ככלי מרכזי לשיפור תהליכים בארגון. כפי שמצביע המבקר, כבר בחודש מאי 2021, ביצע שב"ס עבודת עומק למיפוי הפערים הטכנולוגיים שנמצאים בארגון, ובנה תכנית אופרטיבית לצמצומם, במסגרת תר"ש 'קברניט'".

שב״ס משקיע מאמצים רבים להשלמת הפערים שמופו, הן ברמה המבצעית והן ברמה הניהולית ובשנתיים החולפות הושלמו, בזמן שיא, למעלה מ-80 פרויקטים, ביניהם: השקת פיילוט בית סוהר חכם, סריקת תיקי אסיר, יומנים ממוחשבים, ספירות אסירים דיגיטליות, רפואה היברידית ועוד".

 

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו