מבקר המדינה מתניהו אנלגמן פרסם היום (ג') לציבור דוח בנושא סייבר ומערכות מידע.
בנושא תעודות זהות ודרכונים ביומטריים כותב המבקר כי "עלו פרצות של ממש בביקורת הגבולות בנתב"ג - חשש שהדבר ידוע לגורמים המבקשים לנצל זאת לרעה; ללא תוכנית פעילות אפקטיבית לקיצור התורים לקבלת דרכונים - התורים יתארכו הרבה יותר: רשות האוכלוסין לא נערכה לכך שבשנתיים הקרובות יפוג תוקפן של 3.6 מיליוני תעודות זהות ולכך ש- 2.9 מיליון אזרחים עדיין מחזיקים בדרכון ישן; עלו ליקויים בשמירת נתונים ביומטריים; אין שימוש בת.ז. חכמות שהושקעו בהן 430 מיליון ש"ח".
על הביטוח הלאומי נכתב בדוח: "המוסד לביטוח לאומי, המחזיק מידע על אזרחי ישראל, חווה 2.9 מיליון תקיפות סייבר מידי יום. אין גוף מאסדר לביטוח הלאומי על כלל פעולותיו בהגנת הסייבר".
נמצאו חולשות אבטחה במרכז לגביית קנסות: "הרשאות של עובדים לא הוסרו למרות סיום עבודתם; 52% מההרשאות שנפתחו נעשו ללא אישור מתאים; מתוך כ- 1,400 אירועים חריגים - רק 7% נבדקו. זאת למרות המידע הרב על אזרחי ישראל שנמצא בידי המרכז".
שימוש במסמכי זיהוי ביומטריים - תעודות זהות ודרכונים
בשנתיים הקרובות צפוי לפוג תוקף תעודות הזהות של 3.6 מיליון תושבים, מה שיגדיל את העומס על לשכות האוכלוסין. הדו"ח חושף פרצות ממשיות בכניסה של זרים דרך נתב"ג. 45% מבעלי תעודות הזהות עדיין מחזיקים בתעודות זהות מהסוג הישן. 2.9 מיליוני תושבים - 37% מבעלי הדרכונים עדיין מחזיקים בדרכונים מהסוג הישן הקלים לזיוף. פחות מ- 1% מהתושבים שנכנסו למערכת ההזדהות הלאומית השתמשו בתעודת הזהות החכמה כדי לקבל שירותים דיגיטליים. בחציון שנת 2022, אירעו 400 ניסיונות כניסה לארץ באמצעות מסמכי זיהוי מזויפים.
בשנתיים הקרובות (2024-2023) צפוי לפוג תוקף תעודות הזהות של 3.6 מיליון תושבים (תעודות זהות מהסוג הישן ותעודות זהות ביומטריות שתוקפן צפוי לפוג). המחזיקים בתעודות אלו צפויים להגיע ללשכות רשות האוכלוסין על מנת להנפיק מסמכי זיהוי חדשים. זאת נוסף על הפניות השוטפות ללשכות הרשות.
מסמכי זיהוי אמינים משמשים מפתח למגוון רחב של פעולות במגזר הממשלתי והעסקי. בשנת 2013, החל בישראל מעבר לתעודות זהות חכמות ודרכונים ביומטריים - שצפויים להחליף את מסמכי הזיהוי מהסוג הישן, אשר נחשבים קלים לזיוף, ועלולים לשמש גורמי טרור או פשיעה ואף לשמש לצורכי הגירה בלתי חוקית.
הביקורת העלתה ליקויים מהותיים בכמה תחומים עיקריים: עיכוב משמעותי במעבר לתיעוד לאומי ביומטרי, היעדר שימוש בתעודות הזהות החכמות בשל חסמים משפטיים וטכנולוגיים, פרצות ממשיות בביקורת הגבולות בנתב"ג העלולות לאפשר לגורמי פשיעה וטרור זרים וישראלים להיכנס לארץ ולצאת ממנה, ליקויים בשמירה על נתונים ביומטריים במערכות הממוחשבות של רשות האוכלוסין וההגירה, וקושי בהתמודדות עם הגידול בביקוש להנפקת מסמכי זיהוי ביומטריים, דבר שגרם להיווצרות עומסים כבדים ברשות האוכלוסין ולקשיים בקביעת תורים.
בעניין תעודות הזהות החכמות, מצא המבקר כי אף שהמעבר לתעודות זהות חכמות החל כבר לפני עשור בקרב תושבים שהביעו רצון בכך, ובאופן מחייב לכלל התושבים ביולי 2017, והושקעו עד כה 430 מיליון ש"ח בהנפקתן, נכון ליולי 2022, 3.2 מיליוני תושבים מחזיקים בתעודה מהסוג הישן, הקלה לזיוף. להמשך השימוש בתעודות אלה השלכות בהיבטים פליליים וביטחוניים. בכלל זה, בחציון הראשון של שנת 2022 נרשמו במעברים שעליהם אמונה רשות המעברים היבשתיים כ-400 ניסיונות כניסה לארץ באמצעות מסמכי זיהוי מזויפים.
בשל חסמים, ובהם הצורך בקורא כרטיסים וזכירת הסיסמה, השימוש בתעודת הזהות החכמה לצורך אימות זהות וקבלת שירותים ממשלתיים דיגיטליים מצומצם ביותר עד אפסי - פחות מאחוז מהתושבים השתמשו בה לצורך קבלת שירותים במערכת ההזדהות הלאומית. זאת אף שההזדהות באמצעותה בטוחה יותר. משום כך גם לא הושגה אחת מהתכליות של המעבר לתעודת זהות חכמה - מתן שירותים מתקדמים לציבור תוך שימוש בה. בנוסף, הועלה כי ב-580,000 תעודות זהות חכמות הוטבע שבב בעל נפח זיכרון קטן, ובעליהן כלל לא יוכלו להשתמש בתעודת הזהות שברשותם לשם קבלת שירותים הדורשים אימות זהות ביומטרי.
בעניין הדרכונים החכמים - בתקופת מגפת הקורונה הצטבר פער בהנפקת כמיליון דרכונים יחסית להיקף ההנפקה בשנת 2019: בסוף שנת 2019, לפני פרוץ מגפת הקורונה, שיעור הישראלים שהחזיקו בדרכון תקף היה יותר מ-75%, ואילו בסוף מאי 2022 הסתכם שיעור זה בכ-63% בלבד. דהיינו - כ- 3.2 מבעלי הדרכונים עדיין מחזיקים בדרכונים מהסוג הישן, הקלים לזיוף, נכון ליולי 2022.
ממסמכי רשות האוכלוסין, כמו גם מסיורים, תצפיות וניסיון מעבר בביקורת הגבולות שערכו נציגי משרד מבקר המדינה עלו פערים בהתנהלות רשות האוכלוסין במימוש נוהל שקבעה במטרה לחסום פרצה העלולה לאפשר לגורמי פשיעה וטרור זרים וישראלים להיכנס לארץ ולצאת ממנה. מדובר בפרצה של ממש בביקורת הגבולות.
כמו גם שורה של מקרים שבהם זרים נכנסו לארץ מבלי שנבדקו כנדרש, העלו כי שיטת העבודה בביקורת הגבולות של זרים בנתב"ג אינה עולה בקנה אחד עם הנחיות מינהל ביקורת גבולות ופותחת פתח לכניסתם של זרים, ללא וידוא שיש מקום לאשר את כניסתם לארץ. דוח זה חושף אפוא פרצות ממשיות בכניסה של זרים דרך נתב"ג.
הועלה כי לנוכח העלייה בביקוש לדרכונים בתקופה שלאחר הקורונה, פרק הזמן שבו התחייבה רשות האוכלוסין לשלוח את הדרכון הוארך משלושה שבועות לשישה שבועות. עוד הועלה כי מפעל הדרכונים של רשות האוכלוסין מצויד במדפסות מיושנות להנפקת דרכונים ביומטריים, והייצור התלוי בהן אינו נותן מענה על הביקוש לדרכונים ביומטריים בתקופות שבהן יש גידול בביקוש. בנובמבר 2018 החלה רשות האוכלוסין בהליכים לבחינת רכש של מדפסות מתקדמות, כדי להגדיל את מספר הדרכונים המיוצר ולעמוד בביקוש של האוכלוסייה לאספקתם. נמצא כי כעבור ארבע שנים (נכון לספטמבר 2022) רשות האוכלוסין עדיין לא סיימה את תהליך החלפת המדפסות שבמפעל הנפקת הדרכונים למדפסות מתקדמות. בנוסף, לרשות אין מדפסות באתר הגיבוי להדפסת דרכונים ביומטריים במקרה של השבתת מפעל ההנפקה. משמעות הדבר כי לא תהיה יכולת להנפיק דרכונים ביומטריים אם יושבת מפעל ההנפקה.
בשנתיים הקרובות (2024-2023) צפוי לפוג תוקף תעודות הזהות של 3.6 מיליון תושבים (תעודות זהות מהסוג הישן ותעודות זהות ביומטריות שתוקפן צפוי לפוג). המחזיקים בתעודות אלו צפויים להגיע ללשכות רשות האוכלוסין על מנת להנפיק מסמכי זיהוי חדשים. זאת נוסף על הפניות השוטפות ללשכות הרשות. דהיינו מדובר בתוספת חודשית ממוצעת של כ-150,000 פניות על כ-200,000 הפניות שהיו בממוצע בחודש בשנת 2019 (גידול חודשי ממוצע בשיעור של כ-75%). עלה כי המענה שגיבשה הרשות בעניין עומס הפניות הצפויות בלשכותיה בשנים הבאות - הצבת עמדות שירות עצמי - ייתן מענה חלקי: העמדות לא ייתנו מענה ל-3.9 מיליון מהתושבים אשר נכון לספטמבר 2022 אין בידם מסמכי זיהוי ביומטריים (דרכון ביומטרי או תעודת זהות חכמה); כמו כן, בשלב זה העמדות אינן מתוכננות לתת שירות לקטינים בעלי מסמכי זיהוי ביומטריים.
בעניין אבטחת המידע, נמצא כי על מנת שרשות המאגר הביומטרי הלאומי תוכל לממש את תפקידה - מניעה של זיוף זהות והרכשה כפולה - עליה להיות מצוידת במערכת השוואה ביומטרית. בשנת 2017 נקבע בחוק כי בתום הוראת השעה, המאגר הביומטרי יבוסס על תמונות פנים בלבד וטביעות האצבע שבו יימחקו, אולם התברר כי מערכת ההשוואה הביומטרית הקיימת אינה מתאימה לשם כך. חרף העובדה שבשנת 2020 קבע ראש מערך הסייבר כי קיימים אמצעים טכנולוגיים המתאימים לשם ביסוס המאגר על תמונות פנים בלבד, רק בדצמבר 2022 רשות המאגר הביומטרי הלאומי פרסמה את השלב הראשון במכרז לרכישת מערכת השוואה ביומטרית המתאימה לשם כך. לדברי משרד הפנים, המערכת צפויה להיות מוטמעת לקראת הרבעון הרביעי בשנת 2024.
כמו כן, לצד המאגר הביומטרי הלאומי, רשות האוכלוסין מחזיקה במערכות המידע שלה מאגרי תמונות פנים של מיליוני תושבים. בשל ההתפתחות הטכנולוגית, תמונות הפנים הן באיכות ביומטרית, ועל כן החזקת המאגרים אינה עולה בקנה אחד עם הוראות החוק. כמו כן, רמת ההגנה על מאגרים אלו פחותה מזו של המאגר הביומטרי הלאומי. נמצא כי נכון לאוקטובר 2022, כשלוש שנים לאחר שהממונה על היישומים הביומטריים התריע לראשונה על סוגיה זו, הרשות לא גיבשה פתרון לנושא.
נוכח חומרת ממצאי הביקורת, המבקר אנגלמן ממליץ כי רשות האוכלוסין תפעל לתיקון הליקויים, וכי שר הפנים יוודא שנעשות פעולות לתיקון הליקויים בתחומים האמורים, ובכלל זאת יוודא כי ליקויים בתחום הביטחון וההגנה על המידע יתוקנו בתיאום עם הגורמים המקצועיים האמונים על כך: השב"כ, המשטרה ומערך הסייבר הלאומי.
בפרט, על רשות האוכלוסין לפעול בהתאם לנוהל שקבעה, שמטרתו לתת מענה לחולשה בביקורת הגבולות המוצגת בדוח ביחס למעבר באמצעות דרכונים ישראלים. ולפעול בשיתוף שב"כ לפעול ללא דיחוי לתיקון המצב המתואר בדוח, המאפשר כניסת זרים בלתי מורשים לישראל בנתב"ג, ולהבטיח כי תהליך ביקורת הגבולות ישיג את מטרותיו.
עוד מומלץ שרשות האוכלוסין תגבש תוכנית עבודה מפורטת להתמודדות עם עומסים על לשכות הרשות, על בסיס נתונים בדבר הבקשות הצפויות (בהן 3.6 מיליון בקשות לתעודות זהות חכמות במקום תעודות שתוקפן צפוי לפוג בשנתיים הקרובות) לעומת יכולות הטיפול של הלשכות ותוודא שהפתרונות המתוכננים צפויים לתת מענה לבקשות מן הציבור, ברמת שירות מספקת. בכלל זה מומלץ כי תפעל לאחד את מועדי החידוש של שני מסמכי הזיהוי הביומטריים - תעודת זהות ודרכון. זאת על מנת להקל את העומסים העתידיים ולשפר את השירות לציבור באופן שיידרש להגיע פעם אחת בלבד לחידוש מסמכי הזיהוי.
מהביטוח הלאומי נמסר בתגובה לדוח המבקר: "לביטוח הלאומי יש מידעים חשובים של אזרחי ישראל והם שמורים ביראת קודש על ידי מערך המחשוב והסייבר של המוסד. כזכור, ניסיונות הפריצה והסייבר של גורמים עוינים נתקלו בחומה בצורה ונכון היה לציין זאת בדו"ח. הביטוח הלאומי בעד הכנסתו למערך הסייבר הלאומי ואבטחת המידע כל עוד שאין פגיעה בשירות השוטף לאזרחי ישראל".