تناول مراقب الدولة الإسرائيلية في تقرير جديد نتائج أعمال الرقابة التي تابعت مجالات حماية السايبر، وتكنولوجيا المعلومات وحماية الخصوصية. وفرضية العمل هي أن التقدم التكنولوجي جعل الكثير من المجالات الحياتية يعتمد على أنظمة معلومات مركزية، وبالتالي فمن المتوقع حدوث زيادة كبيرة في التهديدات السيبرانية ودرجة خطورتها. وإلى جانب الكثير من إيجابيات الفضاء المحوسب على الاقتصاد والمجتمع، يقول التقرير إن هناك ازدياداً في نطاق الهجمات السيبرانية التي تتطلب تعزيز مستوى الحماية والاستعداد للتعامل الأمثل معها.
وفقاً للمعطيات المعتمدة دولياً التي يبني عليها التقرير، ازدادت الهجمات السيبرانية خلال العقد الماضي على المنظمات وعلى الأفراد في جميع أنحاء العالم. مثلا في سنة 2020 تم اكتشاف ما يزيد عن 9.5 مليون محاولة لهجمات سيبرانية تهدف إلى تعطيل أنظمة الحوسبة ومنع القدرة على استخدامها. وفي هذه السنة تم الكشف بالمتوسط عن 18 محاولة هجوم في الدقيقة الواحدة، وفي النصف الأول من سنة 2020 تمت سرقة أو تسريب ما لا يقل عن 36 مليار من البيانات الشخصية إلى الشبكة في أعقاب هجمات.
فحصَ تقرير المراقب عدداً من المواضيع، بعضها ظلّ تحت طائلة السرية. وهي: استخدام مستندات الهوية البيومترية- بطاقات الهوية وجوازات السفر؛ تكنولوجيا رقمية وأمن المعلومات والسيبرانية في خدمة السجون؛ حماية الخصوصية وأمن المعلومات في أنظمة مركز جباية الغرامات، الرسوم والتكاليف في سلطة التنفيذ والجباية؛ إتاحة الخدمات الحكوميَة في العصر الرَقمي للأشخاص ذوي الإعاقة وللذين لا يستخدمون الوسائل الرَقميَة؛ نظام الحماية السيبرانية في مؤسسة التأمين الوطني؛ حيث قررت اللجنة الفرعية لشؤون رقابة الدولة في الكنيست عدم وضعها كاملةً على طاولة الكنيست بل نشر قسم منها فقط. وأجريت رقابة أيضاً لمسألة إتاحة الخدمات الحكومية في العصر الرقمي وغيرها.
ملايين المواطنين يحملون بطاقات هوية وجوازات سفر سهلة التزييف
بدأ في سنة 2013 الانتقال إلى مستندات التعريف البيومترية- بطاقات هوية ذكية وجوازات سفر بيومترية- "التي من المفترض أن تستبدل مستندات التعريف من النوع القديم، التي تعتبر سهلة التزييف، ومن الممكن أن تستخدم من قبل جهات إرهابية أو إجرامية وحتى تستخدم للهجرة غير القانونية" يقول التقرير. والذي وجد بموضوع استخدام مستندات التعريف البيومترية- بطاقات الهوية وجوازات السفر أنه على الرغم من أن الانتقال إلى بطاقات الهوية الذكية بدأ قبل حوالي عقد للمواطنين الذين أبدوا رغبتهم لذلك، وبشكل ملزم لجميع المواطنين في شهر تموز 2017 وتم استثمار 430 مليون شيكل جديد حتى الآن في إصدارها، حتى تموز 2022، ظلّ ملايين المواطنين يحملون بطاقات من النوع القديم، سهل التزييف.
وتبين وجود قصور في عدة مجالات أساسية: تأخير كبير في الانتقال إلى التوثيق البيومتري وعدم استخدامه؛ قصور في الحفاظ على المعطيات البيومترية في الأنظمة المحوسبة لسلطة السكان والهجرة؛ وصعوبة في التعامل مع ازدياد الطلب على إصدار مستندات تعريف بيومترية. نظرا لخطورة الرقابة، يقول التقرير، يوصى بأن تعمل سلطة السكان والهجرة على إصلاح أوجه القصور، وأن يتحقق وزير الداخلية من اتخاذ الإجراءات اللازمة لذلك، بما في ذلك التحقق من إصلاحها في مجال الأمن وحماية المعلومات بالتنسيق مع الجهات المهنية المؤتمنة على ذلك: جهاز الشاباك، الشرطة والنظام السيبراني الوطني.
يلاحظ المراقب أنه زاد في السنوات الأخيرة بشكل كبير نطاق استخدام الخدمات المحوسبة "التي تتطلب التعريف الآمن". وبناء عليه، فإن إتمام الانتقال إلى التوثيق البيومتري، من خلال إزالة العوائق القانونية والتكنولوجية التي تصعب استخدامه وملاءَمة المشروع للتغييرات التي حصلت في السنوات الأخيرة، من شأنه أن يزيد من استخدام مستندات التعريف البيومترية ومن المتوقع أن يعود ذلك بفوائد كبيرة للجوانب الأمنية، الاقتصادية والخدمة للجمهور.
جميع الهيئات الحكومية لا تتيح كامل المعلومات والخدمات لذوي المحدوديات
تقدم الجهات الحكومية خدماتها للجمهور من خلال قنوات مختلفة، يشير المراقب، بما في ذلك مكاتب الاستقبال وخدمة الهاتف والقنوات الرقمية (مواقع وتطبيقات الشبكة). أدى التطور التكنولوجي في العالم إلى زيادة استخدام الجمهور للوسائل الرقمية لاستهلاك المعلومات والخدمات والاتصال مع الهيئات العامة من خلال قنوات الخدمة الرقمية. يسمح استخدام القنوات الرقمية للحكومة بتحسين الخدمة للجمهور حيث إن تكلفة عملية الخدمة وجهاً لوجه أعلى بـ 50 مرة من تكلفة تشغيل الخدمة الرقمية. هذا الاستخدام يجعل من الممكن أيضاً تقليل العبء البيروقراطي المفروض على الجمهور، وجعل الخدمة الحكومية أكثر توفراً وملاءمة ويسمح باستهلاكها من أي مكان وفي أي وقت.
ينص قانون المساواة في الحقوق لذوي المحدودية على أحكام تتعلق بإتاحة الوصول إلى الخدمات، بما في ذلك خدمة القنوات الرقمية. بين الكيانات المختلفة التي يجب أن تتيح الخدمات للجمهور من خلال القنوات الرقمية هي الجهات الحكومية، للجمهور ككل، وعلى وجه الخصوص للأشخاص ذوي المحدودية وبطريقة محترمة ومتساوية ومستقلة.
أما الواقع، فهو أن 57% من بين 23 جهة حكومية شاركت في استطلاع أجراه مكتب مراقب الدولة (13 جهة) أفادت أنها لم تتِح الوصول إلى جميع المحتويات والخدمات المطلوبة للوصول إليها على موقعها الإلكتروني الرئيس الذي يوفر المعلومات والخدمات للجمهور. و43% من بين 23 جهة حكومية (10 كيانات) لم تقم بعد باختبار الوصول إلى موقع شبكتها. وفي 100% من 15 موقعاً شبكياً تابعاً لـ 14 هيئة حكومية، تم العثور على محتوى لم يكن الوصول إليه متاحاً للأشخاص ذوي المحدودية. ونحو نصف الجهات الحكومية أتاحت على الأغلب جزءاً فقط من الوثائق التي كان مطلوباً إتاحتها وفقاً لأحكام القانون على مواقعها الإلكترونية العامة.
نحو ثلاثة ملايين هجمة سيبرانية على "مؤسسة التأمين الوطني"
بموجب معطيات رسمية أكثرها تحديثاً في تشرين الثاني 2022، يتم تنفيذ حوالي 2.9 مليون هجمة سيبرانية بالمتوسط على مؤسسة التأمين الوطني، ومنها حوالي 66 ألف هجمة قد تسبب ضرراً. وفقاً للتقرير: مثلما في الدول الأخرى، فإن "إسرائيل معرضة لهجومات سيبرانية لأغراض الفدية وسرقة المعلومات"، لكنه يضيف: "نظرا للإقليم الجيو- سياسي المعقد أمنيا، تعد إسرائيل هدفا واسع النطاق للمهاجم السيبراني المحتمل، الذي يرغب في إلحاق الضرر في المرونة والأمن الوطني لإسرائيل".
إن جهةً كمؤسسة التأمين الوطني تتطلب استجابة تنظيمية كافية تشمل توجيهاً من قبل "نظام السايبر الوطني"، ومن قبل سلطة حماية الخصوصية والتنسيق بينهما لتأمين الحماية الأمثل. في ضوء كميات المعلومات المحفوظة في مؤسسة التأمين الوطني ومخاطر تسريبها يوصى بأن تقوم لجنة التوجيه العليا، المنوطة بها مهمة وتحديد الجهات الرسمية التي تعتبر حيوية وتحتاج إلى حماية إلكترونية، بتعزيز فحص مؤسسة التأمين الوطني كجهة بنية تحتية حاسوبية حرجة. يوصى أيضا، أنه حتى انتهاء الفحص يتم ترتيب واجهة مهنية بين "نظام السايبر الوطني" ومؤسسة التأمين الوطني بهدف توفير الرد المباشر، يجب التحكم بإصلاح العيوب وما إلى ذلك.
يشير التقرير أيضا إلى وجود أوجه قصور في مجال حماية الخصوصية وأمن المعلومات في مركز جباية الغرامات الموجودة في سلطة التنفيذ والجباية، على الرغم من أن نظام التشغيل في مركز جباية الغرامات يعتبر قانونياً قاعدة بيانات تلزم مستوى حماية عالية. من مكامن الخلل: عدم وجود توثيق وصول مستخدمي نظام التشغيل التابع لمركز جباية الغرامات الموجودة في النظام، وبالتالي ينعدم التحكم بهذا الوصول؛ عدم إجراء تعقب مناسب للأحداث الشاذة التي تحصل في النظام؛ عدم كفاية إدارة عملية منح الأذونات للنظام التشغيلي لمركز جباية الغرامات ومراقبتها والتحكم بها؛ بالإضافة إلى خطر اختراق مهاجمين خارجيين لأنظمة مركز جباية الغرامات.
يقول التقرير: يجب على سلطة التنفيذ والجباية ومركز جباية الغرامات العمل في القريب العاجل بموجب تعليمات الجهات ذات الشأن لمنع تسرب معلومات من المنظمة والحفاظ على سلامتها. قاعدة بيانات المعلومات الموجودة في مركز جباية الغرامات واسعة النطاق وتشمل معلومات حساسة بخصوص حوالي 3 مليون مدين. مبالغ الدين الموجودة تحت معالجة مركز جباية وصلت حتى موعد الرقابة لحوالي 6.8 مليار شيكل جديد. من هنا تنبع الحاجة إلى الحفاظ على أنظمة المعلومات، التي خصصت لمنع الإضرار بسلامة المعلومات وبأداء مركز جباية الغرامات بتقديم الخدمة، منع تسرب معطيات ومعلومات من قاعدة بيانات المعلومات ومنع كشفها لجهات غير مخولة لهذا.
قطاع الصحة كان أحد القطاعات العشرة الأكثر تعرضاً للهجمات
يؤكد التقرير أنه خلال السنوات الأخيرة ازدادت التهديدات السيبرانية على نظام الصحة، بما في ذلك المراكز الطبية. قطاع الصحة كان أحد القطاعات العشرة الأكثر تعرضا للهجوم خلال سنة 2021. إن إحدى الطرق للاستعداد للتهديدات السيبرانية هي إجراء اختبارات اختراق للمنظمة، للكشف عن نقاط الضعف في غلاف الحماية والعمل على تقليلها، وفي حالات عدم القدرة على معالجة نقاط الضعف هذه إبلاغ إدارة المنظمة حول المخاطر المحتملة وإدارتها بشكل مستمر.
وبناء عليه، شمل التقرير فصلا بموضوع اختبار اختراق البنى التحتية وشبكة الاتصال في مركز طبي. وكشف اختبار الاختراق هذا عن 13 نتيجة مهمة في خمسة مجالات: التجزئة والتحكم في التدفق؛ التحكم في الوصول إلى الشبكة؛ حماية المحطات والخوادم؛ برمجية غير محدثة، ووصول غير محمي. كانت عشر من النتائج بدرجة خطورة عالية وثلاث بدرجة خطورة متوسطة. في أعقاب اختبار الاختراق قامت إدارة المركز الطبي بإصلاح عدة أوجه قصور وتبلغ التكلفة الإجمالية لذلك أكثر من 10 ملايين شيكل في السنة بشكل مستمر.
أوصى التقرير أيضاً بأن تقوم وزارة الصحة بإتمام إجراء اختبارات الاختراق التي بدأت بالقيام بها في جميع المؤسسات الطبية في البلاد ووضع خطة دورية للاستمرار بإجراء اختبارات الاختراق في المؤسسات. يوصى أيضا أن تفحص وزارة الصحة نتائج اختبار الاختراق وأن تعمل على تنفيذ التوصيات في جميع المؤسسات الطبية. يوصى بأن تقوم وزارة الصحة بالتحقق بأن جميع المؤسسات الطبية تقوم بإجراء اختبارات اختراق دورية بنفسها، فحص نتائج هذه الاختبارات، ومتابعة إصلاح أوجه القصور التي ظهرت ووفق ذلك نشر توصيات لجميع المؤسسات الطبية.
تعتبر الممتلكات الحكومية ركيزة أساسية في عمل الجهات الحكومية، حيث أن معظم النشاط الحكومي يتعلق بشراء السلع أو الخدمات. في فصل موضوع التعاقدات المعفاة من المناقصات في مجال تكنولوجيا المعلومات والاتصال، تم الكشف عن أن نطاق مشتريات الاتصالات في السنوات 2019 - 2021 كان حوالي 14.4 مليار شيكل جديد، ما يعادل نحو 15.6% من إجمالي الممتلكات الحكومية في هذه السنوات. تشير نتائج هذا التقرير إلى سلسلة من أوجه القصور في مجال الممتلكات، على وجه الخصوص التعاقدات ذات الإعفاء من المناقصات في مجال تكنولوجيا المعلومات والاتصال.
وشدد المراقب: يجب على الجهات الحكومية الحرص على تعليمات القانون وأنظمة الأموال التي تتعلق بالشراء الحكومي. ويجب على الجهات التي تتم الرقابة عليها العمل بصورة سريعة وناجعة لإصلاح العيوب التي ظهرت في هذا التقرير، لزيادة مستوى حماية المنظمة والاستعداد للتعامل الأمثل مع الهجمات السيبرانية. يجب على الجهات تكييف نشاطها لعالم مشبع بالتقنيات المتقدمة والتحديات التي ستواجهها في السنوات القريبة. وتشدد الهجومات السيبرانية التي حدثت في الآونة الأخيرة على الحاجة إلى ذلك.
