החלטות ועדה

DOCX 8,916 תווים המסמך המקורי ↗
סימוכין:2023-007592 ירושלים, ח' בשבט תשפ"ג 30 בינואר 2023 סיכום דיון מיום שני, ח' בשבט תשפ"ג, 30.01.2023 בנושא: סייבר ומערכות מידע - מערכת סחר חוץ ברשות המיסים ח"כ מיקי לוי - יו"ר הוועדה – הושקע רבות בבדיקת נושא זה ע"י מבקר המדינה, ופנינו לתיקון. אנו רואים בכם בעלי ברית, הביקורת היא אמנם בונה אבל היא ביקורת ואנחנו מבקשים לשמוע תיקונים ומה לעתיד. משרד מבקר המדינה – יובל חיו-מנהל חטיבה – פרויקט "שער עולמי" - מערכת סחר חוץ חדשה ברשות המיסים. אנחנו מלווים את הפרויקט הזה בביקורת משנת 2015. ערכנו דוח ראשון שפורסם בשנת 2016 וכעת הדיון עוסק בדוח מעקב שנעשה בשנים 2021–2022. צריך להסתכל על ממצאי הדוח בקונטקסט כפול: פעם אחת זה הפרויקט עצמו, ופעם שנייה התובנות על שורה ארוכה של פרויקטים שיש במערכת הממשלתית, שההיקפים שלהם מבחינה תקציבית בשווי מאות מיליונים. הדו"ח עבר הליך חיסיון, ואנו דנים בפרטים הגלויים. מערכת סחר חוץ עוסקת בכל תחום היצוא והיבוא במדינת ישראל: ים, יבשה, אוויר והגברת אכיפת החוק. המערכת נועדה לשפר ולייעל את השירות בכל שרשרת האספקה של יבוא-יצוא ולהגביר את אכיפת החוק בתחום הזה. נושאים שנבדקו: העיכובים בלוח הזמנים של הפרויקט מערך ההתקשרויות עם חברה א' אבטחת המידע של המערכת תיקון ליקויים מדוח קודם שפרסם מבקר המדינה ב-2016. 57 מיליון הודעות עברו במערכת שער עולמי בנובמבר 2021 (חודש הקניות המקוון). תהליכים של הצהרות דיגיטליות נכנסות ויוצאות מהמערכת במהלך החודש. יש כ- 2,700 משתמשים במערכת רחבת-היקף: 1,200 משתמשים פנימיים ו- 1,500 משתמשים חיצוניים: חברות תעופה, חברות ספנות, משלחים בין-לאומיים, יבואנים, מחסנים, מסופים. 6.7 מיליון הצהרות היבוא שעברו במערכת בנובמבר 2021 בהליכי שחרור מטענים מן המכס. נתוני מפתח: 240 ו-172 מיליארד ₪ סכום יבוא הסחורות לישראל ויצוא הסחורות בשנת 2020. 12 שנים משך הדחייה במועד הסיום המתוכנן של הפרויקט בהשוואה להסכם המקורי. 94 מיליון ₪ הגידול בעלות הפיתוח של המערכת בשל העיכובים בפרויקט. 627 מיליון ₪ הגידול בסכום ההתקשרות הכולל עם חברה א' (פיתוח ותחזוקה). 1 מיליארד ₪ סך ההתקשרויות המאושרות עם חברה א', 62% מהסכום אושר במסלול של פטור ממכרז. כידוע, זה לא המסלול המועדף בתקנות חובת המכרזים. צריך לזכור שחלק מהפטורים סטו באופן משמעותי מהמתווה המתוכנן כי כל הזמן צריך לתת מענים, כולל בתחזוקה של המערכת הישנה. 48 שנים תקופת ההתקשרות המצטברת עם חברה א' בקשר למערכת הישנה והחדשה. הפרויקט הסתיים בעיכוב ניכר לאחר 15 שנים (פי 5 מהמתוכנן). בשל העיכובים בפרויקט גדלה עלות הפיתוח של המערכת מ-140 מיליון ש"ח ל-234 מיליון ש"ח - חריגה של 67%. ועדת היגוי של הפרויקט מתכנסת לעיתים רחוקות. היא חייבת להתכנס פעם-פעמיים בשנה ולטפל בקשיים. משמעות דחיית הפרויקט למשק: השירות לאזרח התעכב, מעבר סחורות נותר בכלים פחות טובים ותחום האכיפה לא עלה כיתה כפי שהיה מצופה. אחת הבעיות העיקריות היא יחס ספק-לקוח שבוי. סיטואציה שבה החברה המפתחת היא גם החברה שמתחזקת את המערכת הישנה, ונוצרת בעיה מבנית וחשש למוטיבציות וניגודי עניינים. לכן צריך לעשות פעולות שימנעו את המצב הזה. סכום ההתקשרות הוא 163 מיליון שקל, 50 שנה של התקשרות עם חברה אחת. זה לא מקום שצריך להגיע אליו בהתקשרויות, וצריך לראות מה הכלים שימנעו את זה. מומלץ כי רשות המיסים ומערך הדיגיטל יבחנו צעדים לעידוד התחרות במכרזי תקשוב גדולים בממשלה ודרכים לשימור הידע בגוף הממשלתי. כמו כן, מוצע שמערך הדיגיטל יבחן את הצורך במיפוי של ההתקשרויות הקיימות בתחום התקשוב בממשלה כדי לזהות בעיות יסוד ולהפיק תובנות מערכתיות. מערכת שער עולמי היא מערכת ממוחשבת חיונית על פי חוק להסדרת ביטחון. בשנת 2004 כשהפיתוח יצא לדרך, הוגדרו דרישות אבטחת המידע כדרישות ברמה גבוהה. מאז ועד 2018 (המועד שמערך הסייבר נכנס לליווי ומתן מענה לטיפול הזה) הנושא לא טופל - לא עודכנו הדרישות ולא ניתן המענה בתחום אבטחת המידע. אנחנו יכולים לומר שהטיפול בתחום הזה במשך כל שנות הפיתוח של המערכת היה טיפול לא טוב. בשנים האחרונות לאחר כניסת מערך הסייבר, יש לנו תכנית עבודה בנושא. המערכת חשופה לסיכונים מאוד משמעותיים: זליגת מידע רגיש, משתמשים חיצוניים, משתמשים פנימיים, גורמים עוינים, טכנולוגיה פתוחה. במשך עשרות שנים החברה היא הספק ויושבת במוקד שרשרת האספקה. היא צריכה לעבור את כל בדיקות רמת הגנת הסייבר והדבר לא הושלם למרות שזו משימה מרכזית. אנו ממליצים שחברה א' תעבור את הבדיקות הדרושות וגם ספקים נוספים שקשורים למערכת הזו, לרבות מבדקי חדירה וכל ארגז הכלים שנמצא אצל אגפי התד"מ (טכנולוגיות דיגיטליות ומידע). בעת הזו מסכם מבקר המדינה מטלה רחבה מאוד על התקשרויות בתחום המחשוב במערכת הממשלתית. הוא יהיה נדבך מאוד משמעותי במיפוי כל ההתקשרויות במערכת הממשלתית בתחום התקשוב. מערך הסייבר הלאומי - אלון סיון-יועץ משפטי – אנו מכירים את מסקנות הדוח בהקשר של אבטחת מידע ושרשרת אספקה. השרשרת מקודמת על ידנו בכל האמצעים הנדרשים, ואנו דוחפים לכך באמצעות ריענון המתודה, תוך קשב למשק ולגופי התמ"ק (תשתיות מחשוב קריטיות) מתוך הבנה שזה ייושם בעתיד. מתודת שרשרת האספקה לא מיושמת כרגע. יש בקרות מפצות שנעשות בתקופת הביניים. חשוב להכליל את מתודה שרשרת האספקה במכרזים העתידיים היות וראוי שגופים יעבדו לפיה. חיים פלחצנסקי-ראש מחלקת הנחיה – אנו מלווים את הגופים באופן צמוד ושותפים מלאים לכל הפעילות ברמה יומיומית. המכס עובד איתנו בשת"פ מצוין. במתודה של הנחיה יש מס' שלבים ואנו מתקדמים על פיהם, שבכל שלב מוענקת תעודה שהיא הסמכה. המכס בתהליך התקדמות ובשלב הבא הוא כבר באמצע הדרך. חברה א היא ספק משמעותי בשרשרת האספקה, ופגיעה בה יכולה לגרום לבעיה למכס. חברה א' נדרשה לתת מענה למתודה, כלומר לענות על בקרות מסוימות. התהליך לוקח לא מעט זמן אבל אנו מבינים שנערכו פעולות כואבות שמורידות את רמת הסיכון מספק א' בצורה מאוד משמעותית. ניתן לומר שניתקנו את התלות הגבוהה של החברה משרשרת האספקה. לפני שנתיים המערך הוציא הנחיה לכל גופי התמ"ק שלפיה מנהל אבטחת המידע הארגוני חייב להיות בוועדת מכרזים או שכל מכרז יעבור דרכו כדי לבחון מכרזים שיש בהם היבטי אבטחת מידע. רשות המיסים - ליונל עמר-מנהל אגף בכיר טג"מ – חברה א' הייתה גוף ממשלתי בעבר, אח"כ היא הפכה להיות חברה ממשלתית ומשם הפכה להיות חברה פרטית. בתחילת שנות ה- 2000 החשב הכללי פנה אלינו והורה לצאת למכרז היות והחברה היא פרטית. חששנו מאוד מהמהלך היות ומערכת השכר עם סין נכשלה בניסיון להוציא אותה מחברה א', וכידוע יש מרכיב סיכון מאוד גדול בפרויקטים ענקיים - גלישה בלוחות הזמנים. אחרי דיונים מאוד משמעותיים הוחלט לעשות פרויקט שבונה מחדש את כל המערכת בתקווה שיבוא ספק אחר שינסה לבנות מהבסיס את המערכת. בפועל עשר חברות קנו את המכרז. רוב החברות נטשו את הפרויקט נוכח הדרישות הפורמליות, ובשלבים המתקדמים נשארו רק שתי חברות. אחרי בקשת דחיה החברה השניה עזבה את המכרז ורק חברה א ניגשה למכרז. היא זכתה במכרז והפרויקט התארך. לא ניתן למנוע מחברה לגשת למכרז שהיא מתחזקת, בגלל חופש העיסוק. אנחנו מתייחסים רק לפרויקט ולגלישה בתוך הפרויקט שהיא משמעותית פה, אבל הסכומים הגדולים נובעים מהעובדה שהחברה המתחזקת היא גם החברה המפתחת. הביקורת העלתה שהיה לחברה סכום של מיליארד ש"ח עבור נושא הפיתוח. פרויקט "שער עולמי" עלה למדינה 230 מיליון בעוד שהתכנון היה 120 מיליון. החברה תבעה אותנו בבוררות, ופעמיים נפסק לשלם מיליונים לחברה בגלל התארכות הזמן. סיבת העיכוב בפרויקט היא תכנון – טווח זמן של שלוש שנים הוא לא מעשי. תכנון הזמן יצר קונפליקטים עם החברה, משום שהחברה תכננה תהליך עסקי שיסתיים בשלוש שנים, וכאשר הזמן מתארך במס' שנים נוספות, החברה תובעת את הלקוח בחוסר הוגנות ובחוסר יכולת למלא את החלק שלו. היינו חייבים לתכלל את כל קהילת סחר חוץ. השחקנים שהיו צריכים להוציא מיליונים ולהתאים את המערכות הם: סוכני המכס, המשלחים הבין-לאומיים, חברות התעופה, חברות הספנות, הנמלים, המסופים, המחסנים וחברת הדואר. השלב האחרון של המערכת עלה ב-15 בינואר שמהותו שכל הסחר חוץ של מדינת ישראל ממוחשב באופן מלא, ואין צורך להגיע באופן פיזי למשרדי המכס. המערכת הזאת היא מהמתקדמות ביותר בעולם מבחינת אכיפה, ומדינות באות ללמוד הערכת סיכונים מתקדמת. התחלנו גם בתהליכים של העברת ידע כהפקת לקחים. ביקשנו תקציבים לצורך גיוס מנהלי פרויקטים ומנתחי מערכות שלומדים את כל המודולים של המערכת, וכך אנחנו יכולים להפיק דוחות בצורה עצמאית. המערכת שלנו עמדה בסטנדרטים של חוקי המס ושל הגנת הפרטיות. משהוכרזה לתשתית קריטית המערכת עלתה כיתה, וקיבלנו הסמכה לרימון 3 לפני זמן מה. המשמעות היא שעברנו יותר מ-400 בדיקות של אבטחת מידע והנחיות של מערך הסייבר. מדובר על השקעות של עשרות מיליונים רק בתחום אבטחת מידע וביישום החל מ-2018. כאשר יש הנחיות חייבים לתת כלים חוקיים ליישם אותן ע"י הספקים של המכס. החוזה נכתב לפני שנים, נחתם רק ב-2008 ואין סעיף בנושא הזה, ולכן אני נאלץ לבקש מהספק להשיב לשאלות תוך זמן מסוים. אחרי דוח המבקר נערכה ישיבה עם מנכ"ל החברה. הוא הבטיח שהם עובדים על הנושא, והאירוע אמור להסתיים ברבעון הקרוב. עשינו הפקת לקחים בשלבים הקודמים של הפרויקט, והם ניתנו בפורום מנמ"רים כדי שהם ילמדו מהקשיים בהתמודדות עם מגה פרויקטים. אחרי שהייצוא נכנס ב-15 בינואר, אנחנו מקבלים 4 מיליון מסרים ביום של כל הסחר חוץ של מדינת ישראל. המערכת עובדת ויש שקיפות בנוגע לייבוא. כל סוכני המכס עושים את כל הפעולות באופן ממוחשב. יש ארגונים מייצגים גם של המשלחים הבין-לאומיים וגם של סוכני המכס, כלומר יש תקשורת שוטפת. אנחנו חיים את הלקוחות שלנו בצורה ממש שוטפת. השינויים היום-יומיים שאנחנו עושים במערכת כדי לשפר דברים בהתאם לבקשות. משרד הכלכלה והתעשייה - ניר בר יוסף-ראש היחידה להגנת הסייבר – בימים אלו מתבצעת עבודה על הוראת תכ"ם (תקנות כספים ומשק) שתכלול חלק מהסיכונים שהועלו פה בשיתוף עם מערך הסייבר, ותכניס להוראת התכ"ם ולמכרזים עתידיים סט של פרמטרים בנוגע לאבטחת מידע. בתום הישיבה הגיעה הועדה למסקנות הבאות: הוועדה מודה לכל המשתתפים בדיון. הוועדה מבקשת מרשות המיסים להעביר את התחקיר למשרד מבקר המדינה. הוועדה סבורה שהחשכ"ל צריך להיות שחקן מרכזי בנושא בשיתוף מערך הסייבר. הוועדה מבקשת לקבל דיווח ממשרד האוצר מהם צעדיו במכרזים הבאים על מנת לא לחזור על אותן טעויות. יש כשלים וצריך לראות איך מתקנים אותם תוך תכלול שאר משרדי הממשלה לסוגיה.