דוחות מבקר המדינה ונציב תלונות הציבור
דוחמבקרהמדינה
סייברומערכותמידע
סיוןהתשפ"ו|מאי2026
דוחמבקרהמדינה
סייברומערכותמידע
תקצירים
76ג,77אחלקראשון
סיוןהתשפ"ו | מאי2026
ירושלים
מס’ קטלוגי 2026-A-003
ISSN 0334-9713
ניתן להוריד גרסה אלקטרונית של דוח זה
מאתר האינטרנט של משרד מבקר המדינה
www.mevaker.gov.il
תוכןהעניינים
פתחדבר
7
المقدمة
المقدمة
10
Foreword
58
שירותיםמקווניםלציבור:ההזדהותהלאומיתוהאזורהאישי
הממשלתי-דוחמיוחד
13
הגנתהסייברבעבודהמרחוקבעיתותשגרהוחירום
23
אבטחתמערכותהמידעבמשרדהבינויוהשיכון
35
מערכותמידעואבטחתמידעוסייברבמשרדהחוץ
43
דוח מבקר המדינה | סייבר ומערכות מידע 7
סיון התשפ"ו מאי 2026
פתחדבר
דוחהביקורתהשנתישלמבקרהמדינההמוקדש
באמון הציבור במוסדות המדינה וביכולתה של
לנושא סייבר ומערכות מידע מונח על שולחן
הממשלה להעניק שירות ציבורי יעיל, מתקדם
הכנסתעלפיחוקמבקרהמדינה,התשי”ח1958-
ונגיש לכלל האזרחים.
[נוסח משולב]. דוח זה עוסק בהיבטים מרכזיים
החשיבות שבחיזוק ההגנה על מערכות מידע
של הגנת הסייבר, אבטחת המידע והשירותים
ותשתיות דיגיטליות מתחדדת במיוחד על רקע
הדיגיטליים במגזר הציבורי.
המציאות הביטחונית המורכבת שבה נתונה
המרחב הדיגיטלי הפך בשנים האחרונות
מדינת ישראל בשנים האחרונות. בתקופות
לתשתית יסוד בפעילותה של מדינת ישראל.
אלה גוברים ניסיונות התקיפה במרחב הסייבר
מערכות מידע, שירותים מקוונים ותהליכי
שמבצעים גורמים עוינים, לצד הצורך של
עבודהדיגיטלייםמשמשיםכיוםבסיסלפעולתם
גופי המדינה להבטיח רציפות תפקודית ומתן
של משרדי הממשלה, גופי החירום, הרשויות
שירותים חיוניים לציבור גם בתנאי חירום.
הציבוריות ומערכי השירות לאזרח. לצד
אירועים מסוג זה המחישו כי מערכות המידע,
היתרונותהרביםשמביאהעימההטרנספורמציה
השירותיםהדיגיטלייםותשתיותהעבודהמרחוק
הדיגיטלית-ובהםייעולהשירותהציבורי,שיפור
אינם רק כלי ניהולי וטכנולוגי, אלא מרכיב מרכזי
הנגישות, חיסכון במשאבים וחיזוק הרציפות
בחוסנההלאומישלהמדינהוביכולתהלהמשיך
התפקודית - מתעצמים גם הסיכונים הנובעים
לתפקד באופן רציף, יעיל ובטוח.
מאיומי סייבר, מדליפות מידע ומפערים בהגנת
ארבעת פרקי דוח זה עוסקים בהיבטים שונים
מערכות המידע. מציאות זו מחייבת את כלל
ומשלימים של תחום הסייבר ומערכות המידע
הגופים הציבוריים להבטיח כי מערכותיהם יהיו
במגזר הציבורי:
מאובטחות, אמינות, זמינות ועמידות גם בשגרה
וגם בשעת חירום.
•
מערכות מידע ואבטחת מידע וסייבר
במשרד החוץ
הגנת הסייבר ואבטחת מערכות המידע הן
•
הגנת הסייבר בעבודה מרחוק בעיתות
כיום מאבני היסוד של תפקודה התקין של
שגרה וחירום
המדינה המודרנית. מערכות דיגיטליות מרכזות
מידע אישי, כלכלי וביטחוני בהיקפים עצומים
•
אבטחת מערכות המידע במשרד הבינוי
ומשמשות תשתית לפעילותם של משרדי
והשיכון
הממשלה, גופי החירום והשירותים הציבוריים
•
שירותים מקוונים לציבור: ההזדהות
החיוניים. בעידן שבו איומי הסייבר הולכים
הלאומית והאזור האישי הממשלתי
ומתעצמים, ובייחוד בתקופות חירום ומשבר,
נדרשת מהמדינה היערכות מתקדמת שתבטיח
שלושת הפרקים הראשונים עברו הליך חיסיון
את חסינות המערכות, את ההגנה על פרטיות
בוועדת המשנה של הוועדה לענייני ביקורת
האזרחיםואתהמשךאספקתהשירותיםלציבור
המדינה בכנסת, והיא החליטה שלא להניחם
באופןרציף,בטוחואמין.חיזוקתחוםזהאינורק
במלואם על שולחן הכנסת אלא לפרסם רק
צורךטכנולוגי,אלאנדבךמרכזיבביטחוןהלאומי,
חלקים מהם, לשם שמירה על ביטחון המדינה.
דוח מבקר המדינה | סייבר ומערכות מידע 8
סיון התשפ"ו מאי 2026
ממצאיהביקורתמצביעיםעלפעריםבהיערכות,
האישי. עוד נמצא כי רק 15 מתוך 258 הרשויות
בניהול הסיכונים, בפיקוח וביישום המדיניות
המקומיותהתחברולמערכתההזדהותהלאומית,
הממשלתית בתחום, לצד התקדמות חלקית
והיקף החיבור של משרדי הממשלה וגופים
בלבד בהנגשת שירותים דיגיטליים ובהטמעת
ציבוריים נוספים למערכות אלה מצומצם, באופן
מנגנוני הגנה ובקרה מתקדמים. אף שכל אחד
הפוגע ביכולת הציבור לקבל שירות ממשלתי
מהדוחותעוסקבתחוםייחודי,מכלולםממחישכי
דיגיטלימלא,פשוטונגיש.
חיזוקההגנהעלמערכותמידע,הבטחתרציפות
פרק נוסף עוסק באבטחת מערכות המידע של
תפקודית והעמקת הטרנספורמציה הדיגיטלית
משרדהבינויוהשיכון,המחזיקבמיליונירשומות
של השירות הציבורי הם אתגרים לאומיים
ובהן מידע אישי ורגיש על אזרחים, זכאים לדיור
המחייבים טיפול מערכתי, מתואם ומתמשך.
וקבלנים. לצורך פעילותו משתמש המשרד
הביקורת בנושא מערכות מידע ואבטחת מידע
בעשרות מערכות מידע, ובשנת 2025 עמד
וסייבר במשרד החוץ בוצעה במהלך מלחמת
תקציב אבטחת המידע והסייבר שלו על כ6.5-
חרבות ברזל והעלתה פערים בתחום הניהול
מיליון ש”ח - כ־9% מתקציב המחשוב הכולל
והפיתוח של מערכות המידע במשרד ובתחום
של המשרד. הביקורת העלתה ליקויים מהותיים
אבטחת המידע והגנת הסייבר. נוכח תפקידו,
בניהול אבטחת המידע והסייבר במשרד, ובהם
משרד החוץ הוא יעד מרכזי לתקיפות סייבר
פערים בבקרת הרשאות גישה, אי-מיצוי תהליכי
של מגוון יריבים, החל מפצחנים (האקרים) וכלה
ניהול סיכונים, היעדר מנגנוני התרעה מספקים
בגורמים מדינתיים. ממצאי הביקורת מדגישים
ואי-השלמתרישוםשלמאגרימידעכנדרשבדין.
את הצורך בחיזוק מנגנוני הפיקוח והבקרה של
ממצאים אלה בולטים במיוחד נוכח העלייה
הנהלתמשרדהחוץבכלהנוגעלמערכותהמידע
הניכרת (כ130%-) בהיקף התרעות הסייבר
ואבטחת המידע במשרד, במטרה להבטיח
שהתקבלו בעניינו של המשרד בשנת ,2024
פעילות תקינה של מערך התקשוב שלו ולשפר
וממחישים את החשיבות שבהבטחת הגנה
את רמת ההגנה על המשרד ונכסיו.
אפקטיבית על נכסי המידע של המדינה.
אחד מפרקי הדוח עוסק ביישום המדיניות
הדוח עוסק גם בהגנת הסייבר בעבודה מרחוק,
הממשלתיתלקידוםשירותיםציבורייםדיגיטליים
אשר הפכה בשנים האחרונות לחלק בלתי נפרד
באמצעות מערכת ההזדהות הלאומית והאזור
מפעילותם של גופים ציבוריים וביטחוניים, וביתר
האישיהממשלתי.הביקורתהעלתהכיאףשמאז
שאת בתקופת מגפת הקורונה ובמהלך מלחמת
שנת2014התקבלוהחלטותממשלהרבותבדבר
חרבות ברזל. במסגרת הביקורת נבחנו מוכנותם
קידום שירותים מקוונים, וחרף העובדה שכ4.6-
שלגופיםחיוניים,ובהםמשטרתישראלוהרשות
מיליון אזרחים כבר רשומים למערכת ההזדהות
הארצית לכבאות והצלה, להתמודד עם איומי
הלאומית, יישום המדיניות עדיין חלקי ואיטי.
הסייבר הנלווים לעבודה מרחוק. הביקורת
רק 16% מהשירותים שמופו מחוברים למערכת
העלתה פערים מסוימים במידת ההתאמה של
ההזדהות, רק כ־23% מהטפסים המקוונים
מנגנוניההגנהוהבקרהלסיכוניםהקיימים,והועלו
המזוהים מנוהלים באמצעותה, ורק 233 מתוך
ליקויים גם במבדק חדירה שביצע משרד מבקר
אלפי השירותים הממשלתיים הונגשו באזור
המדינה במערכת העבודה מרחוק של כב”ה.
דוח מבקר המדינה | סייבר ומערכות מידע 9
סיון התשפ"ו מאי 2026
ממצאים אלה מדגישים את הצורך בהשלמת
ההכנה של תוכניות עבודה ובחיזוק ההיערכות
להגנת סייבר בגופים החיוניים במדינה.
מכלול ממצאי הדוח מצביע על כך שהתקדמותה
של מדינת ישראל לעבר ממשל דיגיטלי מתקדם
מחייבתהשקעהמתמשכתבתשתיותסייבר,בניהול
סיכונים,בפיקוחובאכיפה,לצדשיתוףפעולההדוק
ביןכללהגופיםהציבוריים.הגנהנאותהעלמערכות
מידעושירותיםדיגיטלייםאינהרקצורךטכנולוגי-
אלאתנאיהכרחילשמירהעלאמוןהציבור,להגנה
על פרטיות האזרחים ולהבטחת תפקודו התקין
והרציףשלהשירותהציבורי.
עלהגופיםהמבוקריםמוטלתהחובהלפעולבדרך
מהירהויעילהלתיקוןהליקוייםשצוינובדוחזה.
תודתינתונהלעובדימשרדמבקרהמדינה,אשר
עסקו בהכנת דוח זה במקצועיות, ביסודיות
ובמסירות ומתוך תחושת שליחות. אני תקווה
כי ממצאי הדוח והמלצותיו יסייעו לחיזוק מערכי
הסייבר ואבטחת המידע במגזר הציבורי ויתרמו
לשיפור השירות הניתן לאזרחי ישראל.
נייחלונתפלללהחלמתםהמהירהשלהפצועים,
לשיקוםהחטופיםששבואלינוובנימשפחותיהם,
לחזרת כל המפונים לבתיהם, לשלום חיילינו
ולהצלחתכוחותהביטחוןבהגנהעלארצנו.
מתניהואנגלמן
ירושלים,
מבקר המדינה
סיון התשפ"ו,
ונציב תלונות הציבור
מאי 2026
דוח מבקר המדינה | סייבר ומערכות מידע 10
סיון התשפ"ו מאי 2026
المقدمة
المخصص الدولة لمراقب السنوي الرقابة تقرير
والبنى المعلومات أنظمة حماية تعزيز أهمية تبرز
مطروح المعلومات وأنظمة السيبرانية لموضوع
الواقع خلفية على خاص بشكل الرقمية التحتية
الدولة، مراقب لقانون وفًقًا الكنيست طاولة على
في إسرائيل دولة تعيشه الذي المعقد األمني
محاوالت تتزايد الفترات هذه في .األخيرة السنوات
هذا يتناول ].مدمج نص[ .م 5718-1958 سنة
وأمنالسيبرانية،الحمايةمنمركزيةجوانبالتقرير
جهات تنفذها التي السيبراني الفضاء في الهجوم
ضمان إلى الدولة هيئات حاجة جانب إلى معادية،
.العامالقطاعفيالرقميةوالخدماتالمعلومات،
الحيوية الخدمات وتقديم الوظيفية االستمرارية
أوضحت لقد .الطوارئ ظروف خالل حتى للجمهور
تحتيةبنيةاألخيرةالسنواتفيالرقميالفضاءأصبح
والخدماتالمعلوماتأنظمةأنالنوعهذامنأحداث
أنظمةُتُستخدم.إسرائيلدولةنشاطفيأساسية
أدوات مجرد ليست ُبُعد عن العمل وبنى الرقمية
العمل ومسارات المحوسبة، والخدمات المعلومات،
في مركزًيًا مكوًنًا تعتبر أنها بل وتكنولوجية، إدارية
الحكومية، الوزارات لعمل كأساس اليوم الرقمية
االستمرار على قدرتها وفي الوطنية الدولة حصانة
ومنظومات العامة، والسلطات الطوارئ، وهيئات
.وآمنةوناجعةمتواصلةبصورةالعملفي
التي العديدة المزايا جانب إلى .للمواطن الخدمة
الخدمةنجاعةومنها-الرقميةالتحوالتمعهاتجلبها
مختلفةجوانبالتقريرهذافياألربعةالفصولتتناول
الموارد، توفير الوصول، إمكانية تحسين العامة،
المعلومات وأنظمة السيبراني المجال من ومتكاملة
المخاطر أيًضًا تتعاظم - الوظيفية االستمرارية وتعزيز
:العامالقطاعفي
المعلوماتتسربالسيبرانية،التهديداتعنالناجمة
هذا يفرض .المعلومات أنظمة حماية في والفجوات
و المعلومات وأمن المعلومات أنظمة
•
تكونأنتضمنأنالعامةالهيئاتجميععلىالواقع
الخارجيةوزارةفيالسيبرانية
الصمودعلىوقادرةمتاحة،موثوقة،مؤمنة،أنظمتها
عن العمل في السيبرانية الحماية
•
أوقات في أو الروتينة االعتيادية األوقات في سواء
حاالت وفي الروتينيّة األوقات في بُعد
.الطوارئ
الطوارئ
المعلومات أنظمة وأمن السيبرانية الحماية ُتُعتبر
•
في المعلومات منظومات وحماية أمن
تركز .الحديثة للدولة السليم األداء ركائز من اليوم
واإلسكانالبناءوزارة
واقتصادية شخصية معلومات الرقمية األنظمة
•
منظومة :للجمهور الرقمية الخدمات
لعمل تحتية كبنية وُتُستخدم هائلة، بأحجام وأمنية
الشخصية والمنطقة الوطنية التعريف
والخدمات الطوارئ وهيئات الحكومية الوزارات
الحكوميّة
التهديدات فيه تتعاظم عصر في .الحيوية العامة
الطوارئ فترات في وخاصة باستمرار، السيبرانية
في السرية إلجراء األولى الثالثة الفصول خضعت
متقدمة جاهزية توفير الدولة من ُيُطلب واألزمات،
الدولة مراقبة شؤون للجنة التابعة الفرعية اللجنة
المواطنين خصوصية وحماية األنظمة حصانة تضمن
كاملة عرضها عدم اللجنة قررت وقد الكنيست، في
متواصلة بصورة للجمهور الخدمات تقديم واستمرار
فقط، منها أجزاء نشر وإنما الكنيست، طاولة على
مجرد ليس المجال هذا تعزيز إن .وموثوقة وآمنة
.الدولةأمنعلىحفاًظًا
لألمن مركزية ركيزة هو بل تكنولوجية، حاجة
ولقدرة الدولة بمؤسسات الجمهور لثقة القومي،
الجاهزية، في فجوات وجود إلى الرقابة نتائج تشير
متقدمة، ناجعة، عامة خدمة تقديم على الحكومة
تطبيق وفي اإلشراف في المخاطر، إدارة في
.المواطنينلجميعومتاحة
جانب إلى المجال، هذا في الحكومية السياسة
דוח מבקר המדינה | סייבר ומערכות מידע 11
סיון התשפ"ו מאי 2026
الخدمات وتوفير إتاحة في فقط جزئي تقدم حصول
.ومتاحةبسيطة،كاملة،رقميةحكوميةخدمة
على.متقدمةورقابةحمايةآلياتدمجوفيالرقمية
المعلوماتأنظمةوحمايةأمنإضافيفصليتناول
فريًدًامجااًلايتناولالتقاريرمنواحدكلأنمنالرغم
بماليين تحتفظ التي واإلسكان، البناء وزارة في
أنظمة حماية تعزيز أن يوضح مجملها فإن نوعه، من
وحساسةشخصيةمعلوماتتتضمنالتيالسجالت
وتعميق الوظيفية االستمرارية وضمان المعلومات
.والمقاولين للسكن والمستحقين المواطنين عن
وطنية تحديات هي العامة للخدمة الرقمي التحول
األنظمة عشرات نشاطها لغرض الوزارة تستخدم
.ومستمرةومنسقةجهازيةمعالجةتستوجب
أمن ميزانية بلغت 2025 سنة وفي المعلومات، من
وأمن المعلومات أنظمة بشأن الرقابة ُأُجريت
6.5 نحو بها الخاصة السيبرانية المعلومات وحماية
الخارجية وزارة في السيبرانية و المعلومات
الحوسبة ميزانية من %9 حوالي أي - شيكل مليون
وجودعنكشفتوقدالحديدية،السيوفحربخالل
إخفاقات وجود الرقابة أظهرت .للوزارة اإلجمالية
فيالمعلوماتأنظمةوتطويرإدارةمجالفيفجوات
في والسيبرانية المعلومات أمن إدارة في جوهرية
والحماية المعلومات أمن مجال في وكذلك الوزارة،
إمكانيات صالحيات مراقبة في فجوات ومنها الوزارة،
الخارجية وزارة ُتُعد دورها، إلى ونظًرًا .السيبرانية
غيابالمخاطر،إدارةعملياتاستنفادعدمالوصول،
معاديةجهاتقبلمنالسايبرلهجماترئيسًيًاهدًفًا
قواعد تسجيل استكمال وعدم كافية إنذار آليات
إلى ووصواًلا )الهاكرز( القراصنة من بدًءًا متنوعة،
النتائج هذه تبرز .القانون يقتضيه كما المعلومات
تعزيز إلى الحاجة الرقابة نتائج تؤكد .دولية جهات
)%130نحو(الملحوظاالرتفاعظلفيخاصبشكل
الخارجية وزارة إدارة لدى والرقابة اإلشراف آليات
بشأن وردت التي السيبرانية اإلنذارات نطاق في
المعلوماتوأمنالمعلوماتبأنظمةيتعلقماكلفي
توفير ضمان أهمية وتوضح ،2024 سنة في الوزارة
لمنظومةالسليمالتشغيلضمانبهدفالوزارة،في
.للدولةالتابعةالمعلوماتألصولفعالةحماية
مستوى وتحسين لها، التابعة واالتصاالت الحوسبة
.وممتلكاتهاالوزارةحماية
في السيبرانية الحماية أيًضًا التقرير يتناول
األخيرة السنوات في أصبح الذي ُبُعد، عن العمل
السياسة تطبيق التقرير فصول أحد يتناول
واألمنية، العامة الهيئات نشاط من يتجزأ ال جزًءًا
الرقمية العامة الخدمات لتعزيز الحكومية
وخالل الكورونا جائحة فترة خالل أكبر وبشكل
والمنطقة الوطنية التعريف منظومة بواسطة
فحص تم الرقابة إطار في .الحديدية السيوف حرب
رغم أنه الرقابة أظهرت .الحكومية الشخصية
إسرائيل شرطة ومنها الحيوية، الهيئات جاهزية
2014 سنة منذ الحكومية القرارات من العديد اتخاذ
مع للتعامل واإلنقاذ، لإلطفاء القطرية والسلطة
من الرغم وعلى المحوسبة، الخدمات تعزيز بشأن
.ُبُعد عن للعمل المرافقة السيبرانية التهديدات
في بالفعل مسجلون مواطن مليون 4.6 نحو أن
مالءمةمدىفيمعينةفجواتوجودالرقابةأظهرت
السياسةهذهتطبيقفإنالوطنية،التعريفمنظومة
تم كما القائمة، للمخاطر والرقابة الحماية آليات
تمالتيالخدماتمنفقط%16.وبطيًئًاجزئًيًايزالال
خالل من وإخفاقات نواقص وجود عن الكشف أيًضًا
منفقط%23نحوالتعريف،بمنظومةموصولةحصرها
لمنظومة الدولة مراقب مكتب أجراه اختراق فحص
بين من بواسطتها، ُتُدار المعّرّفة المحوسبة النماذج
.واإلنقاذ اإلطفاء لسلطة التابعة ُبُعد عن العمل
233وفقطالىالوصولأتيحالحكوميةالخدماتآالف
إعداد استكمال إلى الحاجة النتائج هذه تؤكد
أن تبّيّن كما .الشخصية المنطقة في فقط نموذج
في السيبراني لألمن الجاهزية وتعزيز العمل خطط
اتصلتمحليةسلطة258أصلمنفقطسلطة15
.الدولة في الحيوية الهيئات
الوزاراتاتصالنطاقوأنالوطنية،التعريفبمنظومة
المنظومات بهذه اإلضافية العامة والهيئات الحكومية
إسرائيلدولةتقدمأنإلىالتقريرنتائجمجمليشير
تلقي على الجمهور بقدرة تمس بصورة محدود،
דוח מבקר המדינה | סייבר ומערכות מידע 12
סיון התשפ"ו מאי 2026
استثماًرًا يستوجب المتقدمة الرقمية الحوكمة نحو
إدارة في التحتية، السيبرانية البنى في متواصاًلا
وجوبجانبإلىاإلنفاذ،وفيالرقابةفيالمخاطر،
الحماية إن .العامة الهيئات جميع بين وثيق تعاون
الرقمية والخدمات المعلومات ألنظمة المالئمة
شرط إنها بل - تكنولوجية حاجة مجرد ليست
خصوصيةوحمايةالجمهورثقةعلىللحفاظضروري
للخدمة والمتواصل السليم األداء وضمان المواطنين
.العامة
للرقابة الخاضعة الهيئات كاهل على يقع
لتصحيح وناجعة سريعة بصورة العمل واجب
هذا في ُذُكرت التي والنواقص اإلخفاقات
.التقرير
في المستخدمين إلى الجزيل بالشكر أتوجه
هذا إعداد على عملوا الذين الدولة، مراقب مكتب
الشعور منطلق ومن وإخالص، وبدقة بمهنية التقرير
وتوصياته التقرير نتائج تساعد أن آمل .بالرسالة
المعلومات وأمن السيبرانية المنظومات تعزيز في
الخدمة تحسين في تسهم وأن العام، القطاع في
.إسرائيلدولةلمواطنيالمقدمة
واعادةللجرحى،العاجلبالشفاءوندعونبتهل
وأبناء إلينا عادوا الذين المختطفين تأهيل
بيوتهم، إلى الُمُْخْلين جميع وبعودة عائالتهم،
الدفاعفياألمنقواتونجاحجنودنا،وسالمة
.بالدناعن
لمانﭼأنـ متنياهو
،القدس
الدولة مراقب
الجمهور شكاوى ومفَّوَض
2026أّيّار
ד ו ח מ ב ק ר ה מ ד י נ ה
שירותים מקוונים לציבור:
ההזדהות הלאומית והאזור
האישי הממשלתי -
דוח
מיוחד
▪ סיוון
▪ מאי
▪
התשפ"
ו
2026
דוח מבקר המדינה
| סייבר ומערכותמידע
15
סיוון התשפ"ו ▪
מאי 2026
שירותים מקוונים לציבור: ההזדהות הלאומית
והאזור האישי הממשלתי - דוח מיוחד
תקציר
מערכת ההזדהות הלאומית והאזור האישי הממשלתי הם נדבך מרכזי באסטרטגיה הדיגיטלית של ממשלת ישראל,
ומטרתם לאפשר גישה טכנולוגית, מאובטחת, אחודה, רציפה ונגישה לשירותים ממשלתיים מקוונים עבור אזרחים
ועסקים (גישה
המותנית
בזיהוי פרטני של מקבל השירות). מערכת ההזדהות
מאפשרת למשתמש גישה גם לאזור
האישי
הממשלתישנועד
לאפשרלאזרחים ולעסקיםלהתעדכן במידעאישי
שקיים במשרדיהממשלה;לבצעפעולות
בעצמם
; לקבל התראות ותזכורות על פעולות לב
יצו
ע, טפסים להגש
ה או רישיונות לח
ודיש; ולהתעדכן בסטטוס
הפעולות שביצעו מול משרדי הממשלה.
במהלך השנים 2014
עד 2025
התקבלו בממשלה כמה החלטות בעניין קידום השירותים הדיגיטליים לציבור. מכלול
החלטותאלה יצרמדיניותממשלתית ר
ציפה,אשר נועדה לבססאתמערכתההזדהות בכלל ואת האזורהאישי בפרט
כמרכיבים מרכזיים במתן שירותים מקוונים לאזרחים ולעסקים.
מערכת ההזדהות הלאומית והאזור האישי
עלו
לאוויר
בשנת 2019
.
4.6
מאות
23%
מיליון
רק16%
בלבד
אזרחים
היו
מהשירותים
טפסים
ממשלתיים
מהטפסים
רשומים למערכת
הממשלתיים
המיועדים לשימוש
הממשלתיים
ההזדהות
שמופו עד כה
הציבור לקבלת
המקוונים המזוהים
הלאומית בסוף
מחוברים
למערכת
שירותים אינם
(רק כ-
400
מתוך
שנת
2024
ההזדהות
מקוונים, והם
כ-
1,800
) מנוהלים
הלאומית
מוצעים להדפסה
במע
רכת ההזדהות
ולמילוי ידני בלבד
הלאומית
233
רק
1
3.2
רק
רק6%
מיליון
מתוךאלפי
שירותים
המוצעים
רק בית חולים
מהרשויות
רישיונות רכב הופקו
לציבור על ידי
ממשלתי
כללי
המקומיות (15
בשנת 2024
הממשלה הונגשו
אחד מתוך
11
מתוך 258
)
ניצלו
באמצעות האזור
באזור האישי
מחובר למערכת
את אפשרות
האישי הממשלתי
והעסקי
ההזדהות
החיבור
למערכת
הממשלתי
ההזדהו
ת הלאומית
דוח מבקר המדינה
| סייבר ומערכותמידע
16
סיוון התשפ"ו ▪
מאי 2026
שירותים מקוונים לציבור: ההזדהות הלאומית והאזור האישי הממשלתי - דוח מיוחד
בחודשים ינואר עד יולי 2025
בדק משרד מבקר המדינה את יישום המדיניות הממשלתית בדבר
הענק
ת
שירותים ציבוריים מקוונים לתושבי המדינה. בביקורת זו נבחן היישום של החלטות הממשלה
בנוגע למערכת ההזדהות הלאומית ובנוגע לאזור האישי הממשלתי. הביקורת התמקדה בתהליכי
ההזדהות ובהיקף היישומים והשירותים המוצעים לאזרחים ולעסקים וכלולים במערכת ההזדהות
ובאזור האישי וכן בחוויית המשתמש בעת תהליכי ההרשמה וההזדהות
ב
מערכת ההזדהות ו
בשימוש
באזור האישי. בביקורת נבדקו פעילות מערך הדיגיטל ליישום החלטות הממשלה ושיתוף הפעולה
של משרדי ממשלה וגופים נוספים
כדי לאפשר לציבור להתחבר למערכת ההזדהות ולקבל שירותים
באזור האישי. בדיקות השלמה נעשו ביחידה להזדהות וליישומים ביומטריים במערך הסייבר הלאומי,
ברשות המיסים בישראל, במוסד לביטוח לאומי ובשירות התעסוקה.
מערכת ההזדהות הלאומית
חיבור משרדי הממשלה ויחידות הסמך
למערכת ההזדהות הלאומית
•
יותר מעשור
לאחר ההחלטה על הקמת מערכת ההזדהות והחלטות נוספות שקיבלה הממשלה בהמשך,
וחרף ההנחיה של היחידה להזדהות וליישומים ביומטריים בדבר חיבור משרדי הממשלה ויחידות הסמך
למערכת ההזדהות הלאומית
, נמצאו
פערים ניכרים בהתחברות
שלהם למערכת -
8
משרדי ממשלה מתוך
31
(
26%
אינם מחוברים למערכת ההזדהות,)
ו
בהם משרד החוץ ומשרד הביטחון המנהל מערכות הזדהות
עצמאיות למתן שירותים ל
אזרחים. מבין 23
המשרדים המחוברים למערכת ההזדהות הלאומית,
שלושה
משרדים - משרד הבינוי והשיכון, משרד החקלאות ומשרד החדשנות המדע והטכנולוגיה -
מאפשרים לקבל
באמצעותה רק חלק מהשירותים שהם מספקים, ואילו
שירותים אחרים מוצעים לציבור באמצעות מערכת
הזדהות עצמאית, כדוגמת מערכת
לטובת פרויקט הגרלות דירה בהנחה
במשרד הבינוי והשיכון, מערכת
יעלה
לתהליכי שירות מקוונים בתחום הרישוי והפיקוח
במשרד החקלאות ומערכת קדמת המדע במשרד
החדשנות המדע והטכנולוגיה.
•
רק 11
יחידות סמך ממשלתיות (
30%) מתוך כ-
36
היחידות מחוברות למערכת ההזדהות הלאומית. נמצא כי
ה
מוסד לביטוח לאומי
ושירות התעסוקה, הפועלים כ
תאגיד
ים סטטוטוריים, ו
רשות המיסים,
שהיא יחידת
סמך -
אינם מחוברים למערכת ההזדהות הלאומית ומנהלים מערכות הזדהות עצמאיות, אף
ששלושת
ם
נותנים שירות משמעותי לציבור ואף שנדרשו על פי החלט
ות הממשלה להתחבר למערכת. כן נמצא כי רק
בית החולים רמב"ם
, אחד מ-
11
בתי החולים
ה
ממשלתי
ים ה
כלליים, שהם יחידות סמך של משרד הבריאות,
מחובר למערכת ההזדהות הלאומית.
•
ישנםמשרדיםויחידותממשלתיותשלאהתחברו למערכתההזדהותהלאומיתוהםמנהליםמערכותהזדהות
עצמאיות.
הניהול והתחזוקה של מערכת הזדהות עצמאית
לצד
מערכת ההזדהות הלאומית מביאים לחוסר
יעילות, לחשיפה לליקויי אבטחת מידע ולהערמת קשיים על האזרחים והעסקים החפצים לקבל שירותים
מגופים אלו.
דוח מבקר המדינה
| סייבר ומערכותמידע
17
סיוון התשפ"ו ▪
מאי 2026
שירותים מקוונים לציבור: ההזדהות הלאומית והאזור האישי הממשלתי - דוח מיוחד
התחברותמצומצמתשלרשויותמקומיותלמערכתההזדהותהלאומית
לשםמתןשירותלתושב-
הגם
שהחלטת הממשלה לא חייבה את הרשויות המקומיות להתחבר למערכת, היא
הניעה את המהלכים לחיבור
השלטון המקומי למערכת ההזדהות הלאומית. התברר כי כחמש שנים לאחר שהתקבלה ההחלטה רק כ-
6%
מהרשויותהמקומיות(15
מתוך258
)התחברו
למערכתכחלופהלהזדהות באתרהרשות המקומית.
היעדרחיבור
של
רשויות מקומיות למערכת ההזדהות הלאומית,
פוגע בשירות לאזרח שכן הוא מונע את האפשרות להזדהות
אחודה לשם קבלת כלל השירותים הממשלתיים והמוניציפליים ומאלץ את האזרחים להתנהל בנפרד מול כל
גוף נוסףעלכך,השימוש במערכתהזדהותמקומית,.מלבד
עלות ניהולהוהחזקתה,עלוללהחלישאתאבטח
תו
והגנ
תו של המידע האישי של האזרח ואף לחשוף אותו ל
מתקפות סייבר,
ל
שימוש לא מורשה ו
לאפשרות של
דלף מידע.
דיווח שלמשרדים ויחידות סמך ליחידה להזדהות וליישומים ביומטריים -
יש משרדים ויחידות סמך בעלי
מערכת הזדהות עצמאית שאינם מדווחים ליחידה על אופן ביצוע הזיהוי ביישומים שהם מפעילים עבור הציבור,
ו
בהם רשות המיסים, משרד הביטחון ורשות החברות הממשלתיות. בהיעדר דיווח כנדרש
על פי החלטת
הממשלה,היחידהלהזדהות מוגבלת ביכולתה
להנחות ול
בקראת
המשרדים ויחידותהסמך ולוודאכיהשירותים
שהם מספקים עומדים ברמת
הסמך להבטחת
הזהות בהרשמה ובאימות הנדרשת על פי מדיניות ההזדהות
הלאומית הבטוחה לשמירה על
הפרטיות, אבטחת
המידע והגנה מפני התחזות או גניבת זהות.
מיפוי היישומים והשירותים שניתן לחבר למערכת ההזדהות הלאומית -
למערך הדיגיטל אין יכולת
להעריך את פוטנציאל החיבור של מערכת ההזדהות הלאומית לכלל השירותים הדיגיטליים בממשלה ובגופים
ציבוריים נוספים מאחר שהוא עדיין לא השלים את מיפוי השירותים
הללו
. מערך הדיגיטל מיפה עד למועד
הביקורת כ-
4,000
שירותים שהממשלה נותנת לציבור, כך שניתן להעריך
ש-
650
השירותים שמוצעים לציבור
במסגרתמערכת ההזדהות הלאומיתהם
כ-
16%
מהשירותיםשמופו עד
למועד זה. מלבד השירותיםשכברמופו,
יש עוד מאות או אלפי שירותים שטרם מופו ותוקפו (פעולת התיקוף כוללת בין היתר תיעוד האסמכתאות
הנדרשות והגופים המעורבים,)
ובהם שירותים מקוונים לאזרחים ולעסקים הניתנים על ידי גופים סטטוטוריים,
רשויות מקומיות, בתי חולים ממשלתיים וגופים ציבוריים נוספים. היעדר תמונה ברורה של היישומים
והשירותים
הדיגיטליים שנותנים
גופי הממשלה והגופים הציבוריים
פוגע במימוש הפוטנציאל והיכולות של מערכת ההזדהות
הלאומית.
כמו כן בהעדר מיפוי אין ליחידה להזדהות אפשרות להבטיח שכלל היישומים המזוהים עומדים
בדרישותהמדיניותהלאומיתלהזדהותבטוחה
.בנוסףהדבר
פוגעביכולתלממשכראויאתמדיניות"פעםאחת,"
המבוססת על מתן שירותים לאזרח תוך זיהויו האחיד בכלל המערכות הממשלתיות.
היקף השימוש בטפסים מקוונים מזוהים -
פחות מ-
25%
(כ-
400
בלבד) מהטפסים שמנהלים משרדי
הממשלה באמצעות מערך הדיגיטל הם טפסים מקוונים מזוהים,
שמייתרים את הצורך בהזנת נתונים אישיים על
ידי האזרח. מערך הדיגיטל לא
קבע
מדיניות
בנוגע
לטפסים המקוונים בכלל ולטפסים המזוהים בפרט
כדי
לקדם
באופן
פעיל
את מימוש הרציונל שנקבע בהחלטת
הממשלה לשימוש בתשתיות ממשל זמין ובטפסים מקוונים
מזוהים לצורך מימוש מדיניות "פ
עם אחת."
טפסים למילוי ידני -
קיימים שירותים רבים לציבור שניתן לצרוך רק באופן לא מקוון באמצעות טפסים
להדפסה ולמילוי ידני בלבד,
ובהם השירותים הקונסולריים של משרד החוץ -
16
מתוך 18
טפסים (
89%
;)
בתי
הדין הרבניים -
31
מתוך 39
טפסים (
79%
;)
ו
רשות האוכלוסין וההגי
רה -
71
מתוך כ-
140
טפסים (
51%
)
. המצב
הקיים מקשה על הציבור ודורש ריבוי פעולות ידניות לשם צריכת השירותים,
אינו מאפשר לעמוד בהחלטות
הממשלה הנוגעות לצמצ
ו
ם הנטל הבירוקרטי על אזרח ולי
יעל את השירות הניתן לו ואף משקף חוסר יעילות
שכן הוא מחייב טיפול ידני בטפסים אלו
בגופים נותני השירותים.
דוח מבקר המדינה
| סייבר ומערכותמידע
18
סיוון התשפ"ו ▪
מאי 2026
שירותים מקוונים לציבור: ההזדהות הלאומית והאזור האישי הממשלתי - דוח מיוחד
האזור האישי הממשלתי
הנגשה מצומצמת של שירותים באזור האישי הממשלתי -
בחלוף
כחמש שנים מקבלת החלטת הממשלה
עלהאצת פיתוחהאזורהאישיהממשלתי באופןשיאפשר לציבורלבצעאתכללהפעולותהנדרשותמול משרדי
ממשלה וגופים ציבוריים באמצעותו, רק 34
מתוך
יותר מ-
67
משרדי ממשלה ויחידות סמך הציעו שירותים
במסגרת האזור האישי והעסקי,
ואף זאת באופן חלקי -
233
שירותים מתוך אלפי שירותים פוטנציאליים. כמו כן,
מאות רשויות מקומיות ו
עשרות גופים ציבוריים
נוספים המציעים שירותים מקוונים לאזרחים ולעסקים
בתחומי
חייםרביםומגוונים,
ו
בהםחינוך,תעסוקה,בריאות,נכויותומוגבלויות,שירותיםלשוהיםבחוץלארץוהגנתהצרכן,
אינם מנגישים
אותם
באזור האישי הממשלתי. לפיכך
האזור האישי אינו מממש את ייעודו כתשתית מרכזית
דיגיטלית לקשר עם האזרח ולביצוע פעולות על ידו למול הממש
לה והגופים הציבוריים.
גופים ציבוריים המפעילים אזור אישי עצמאי הנפרד מהאזור האישי הממשלתי -
מאות שירותים מוצעים
לאזרחים ולעסקיםבאזוריםאישייםעצמאייםשלגופים ציבורייםשוניםשאינםמחובריםלאזורהאישיהממשלתי,
ו
בהם משרד הביטחון, משרד החקלאות, משרד הבינוי והשיכון, שירות התעסוקה, צה"ל, הרשויות המקומיות,
רשות המיסים, ה
מוסד ל
ביטוח לאומי ומשרד החינוך. קבלת השירותים מהאזורים האישיים
הללו שלא באמצעות
האזור האישי הממשלתי
מחייבת תהלי
כי הזדהות נוס
פים
לשם
כניסה לכל אתר בנפרד,
ואינה מאפשרת שמירה
על אחידות המעניקה חוויה
אמינה ומוכרת למשתמש עם שירות שלם ואחוד; מענה מלא בכתובת אחת; שירות
פשוט, נוח וברור, ללא בזבוז זמן ומשאבים.
הנגשת שירותים בקשר לאירועים מרכזיים בחיי האדם אירועי חיים)( -
יותר מארבע שנים אחרי המועד
שנקבע למימוש החלטת הממשלה שמטרתה להקל על האזרח בביצוע פעולות מול גופים ממשלתיים
ובייחוד
בעת אירועי חיים משמעותיים (כגון
לידה מעבר דירה ומעבר בין עבודות,), 42%
מה
שירותי
ם
הניתנים בעת
אירועי
ם
אלו (18
מתוך 43
,)
שנקבע בהחלטת הממשלה כי יועלו לאזור האישי, עדיין אינם
פועלים בו. עקב כך,
האזרח עדיין
נדרש לבצע את רוב הפעולות הבירוקרטיות הנ
וגעות לאירועי חיים באמצעות ניווט עצמאי ונפרד
באתרים השונים של נותני השירותים. לדוגמה, בעת מעבר בין עבודות שלושה גופים שונים מטפלים בתהליכי
חיפוש עבודה, באבחון תעסוקתי, בבקשות להחזר מס ולהבטחת הכנסה ובתיאום מס.
היקף
ה
שירותיםהניתןבאזורהעסקיבאתרהממשלתי-בסוףשנת
2024
הוצעו באזורהעסקי רק46
מתוך
מאות השירותים
שנותנת הממשלה לעסקים; מדובר בשירותים
שנותנים עשרה גופים בלבד מתוך כ-
67
משרדי
הממשלה ויחידות
הסמך
ועשרות הגופים הציבוריים הנותנים שירותים לעסקים. גופים מרובי שירותים לעסקים,
ובהם רשותהמיסים,המוסדלביטוחלאומי,משרדהבריאות,משרדהאנרגיה והמשרדלהגנתהסביבה,מציעים,
אם בכלל, שירותים
מעטים
בלבד באזור העסקי.
היקף השירותים הדל המוצע באזור העסקי אינו נותן מענה של
ממש לצורך בשירותים דיגיטליים מתקדמים לעסקים המרוכזים במקום אחד ומשקף אי יישום של החלטת
הממשלה בנושא.
חוויית המשתמש בתהליך ההזדהות ובאזור האישי הממשלתי
חווייתהמשתמשבמערכתההזדהותובאזורהאישי-
תהליךההרשמההקייםומאגריהאימותהקיימיםאינם
מאפשרים לאזרחים
שאין להם כרטיס אשראי ודרכון בתוקף להירשם באופן קל ונוח למערכת כמו כן,. בתהליך
ההזדהותהמשתמשמועברככלל למנגנוןשלילתהיותובוטבאמצעותתהליךזיהויאלמנטיםמתוךתמונהשחוזר
על עצמו שוב ושוב
פעמים רבות. תהליך
מייגע
זה
פוגע בחוויית המשתמש;
הוא
עלול ל
הפחית את הנכונות
להשתמש באתר ולהגדיל את שיעורי
הנטישה של תהליך ההזדהות בכלל ושל השימוש באזור האישי בפרט.
יצוין כי גם
מסקר שביצע מערך הדיגיטל בשנת 2024
בקרב משתמשי האזור האישי, עלה כי 65%
מהם חוו
קשיים ב
תהליך ההזדהות והכניסה לאזור האישי.
דוח מבקר המדינה
| סייבר ומערכותמידע
19
סיוון התשפ"ו ▪
מאי 2026
שירותים מקוונים לציבור: ההזדהות הלאומית והאזור האישי הממשלתי - דוח מיוחד
התמצאות באזור האישי ו
בתוכן המצוי בו -
המסך הראשי שמוצג לאזרח לאחר התחברותו לאזור האישי
ואשר אמור להיות שער כניסה לשימוש יעיל באזור זה אינו מממש תכלית זו: המסך הראשי אינו מציג למשתמש
מידע משמעותי, כדוגמת לוח מחוונים (דשבורד)
ובו נתונים על אודותיו;
השירות המוצע במסך
זה
מצומצם
בהתחשב באלפי
ה
שירותים שהממשלה מציעה לאזרחיה;
הוא אינו מבליט את השירותים המרכזיים הנדרשים
ל
אזרח בתחומי החיים השונים;
הוא אינו כולל קטלוג של השירותים המקוונים המוצעים באתר -
הן ישירות והן
כקישור לאתר
ים אחרים; ותוכנו מוצג
בעברית ובערבית בלבד, ואינו מונגש לדוברי שפות אחרות כגון רוסית או
אנגלית.
פעילות מערך הדיגיטל -
תצוין
לחיוב פעילות מערך הדיגיטל לקידום הטרנספורמציה הדיגיטלית במגזר
הציבורי, ובכלל זה הקמת התשתיות הרלוונטיות,
פעילות למיפוי השירותים, הקמת תשתיות
המאפשרות הן
הוספ
ה של טפסים מקוונים מזוהים והן הוספת שירותים לאזור האישי באופן עצמאי על ידי המשרדים
וקידום
תהליך הדיגיטציה
ברשויות המקומיות.
בתקופתהביקורתובעקבותיהיישםמערךהדיגיטלכמהשינוייםבתהליכיההזדהותהמשפיעיםלטובהעל
חוויית
המשתמש;
בין היתר
הוא יישם בתהליך ההזדהות מנגנון חדש לשלילת הזדהות של בוטים, המבוסס על
רכיב
חדש
שפועל בצורה שונה ומשפר את חוו
י
ית המשתמש.
על משרדי הממשלה ויחידות הסמך -
לרבות בתי החולים הממשלתיים -
להתחבר למערכת ההזדהות
הלאומיתולהציעלציבורבאמצעותהאת
שירותי
הםהמזוהים.בכללזה,עלמשרדהחוץ,משרדהבינויוהשיכון,
משרד החקלאות ומשרד הביטחון ל
השלים
את חיבור כלל השירותים המזוהים שהם מציעים לציבור למערכת
ההזדהות הלאומית ולאפשר לכלל המשתמשים לקבל את כל השירותים המזוהים באמצעות מערכת הזדהות
אחת. כמו כן, על רשות המיסים, המוסד לביטוח לאומי ושירות התעסוקה בשיתוף מערך הדיגיטל לבצע את
ההתאמות הנדרשות והסרת חסמים טכנולוגיים אם קיימים לצורך חיבורם למערכת ההזדהות
הלאומית
בהקדם.
עלהיחידה להזדהות למפות את כלל משרדי הממשלה ויחידות הסמך הנתונים לסמכותה בהתאם להחלטת
הממשלה ולוודא כי גופים אלו ידווחו לה על כלל השירותים המזוהים הניתנים על ידם ועל אופן ביצוע הזיהוי
בהם. על היחידה להזדהותלקבועמנגנוני הנחיה ובקרה יזומים כגון דגימות כדי להבטיחשהשירותים המזוהים
הניתנים על ידי גופים אלו אכן עומדים ברמת הסמך להזדהות הנדרשת על פי המדיניות, בהתאם להחלטה
2960
.
לאורהיתרונות שבשימוש במערכת ההזדהות הלאומית, ובהם החיסכון בצורך בניהול ובתחזוקה של מערכת
הזדהות עצמאית, הסתמכות על התשתית הממשלתית המאובטחת ושיפור השירות הציבורי לאזרחים
ולעסקים, מומלץ כי מערך הדיגיטל בשיתוף
היחידה להזדהות, לאחר שישקלו ויבחנו את הנושא, יפעלו
לאסדרה מתאימה כך שגופים ציבוריים המספקים שירותים הדורשים הזדהות יחויבו להתחבר למערכת
ההזדהותהלאומית.מומלץכי
הגופיםהסטטוטוריי
ם
וכןהרשויותהמקומיותשטרםהתחברולמערכתההזדהות
הלאומית, בשיתוף מערך הדיגיטל ומשרד הפנים, יקדמו את תהליכי החיבור למערכת ההזדהות
כדי ל
שפר
את השירות לאזרח, תוך ח
י
סכון בעלויות של הפעלת מערכות מקבילות, ו
כדי
שכלל הגופים הציבוריים יפעלו
על בסיס פרוטוקול הזדהות ממלכתי אחיד ומאובטח.
דוח מבקר המדינה
| סייבר ומערכותמידע
20
סיוון התשפ"ו ▪
מאי 2026
שירותים מקוונים לציבור: ההזדהות הלאומית והאזור האישי הממשלתי - דוח מיוחד
מומלץשמערךהדיגיטל יקבעמדיניות
בעניין הטפסים המקוונים ויכין תוכנית מערכתית לקידום
ההמרה
של
טפסים לא מקוונים ושל טפסים מקוונים לא מזוהים לטפסים מקוונים מזוהים. בהמשך לכך, מומלץ שהמערך
יקדם מול משרדי הממשלה הרלוונטיים את מימוש התוכנית כך שהיקף הטפסים המקוונים המזוהים יגדל
באופן ניכר.
עוד מ
ומלץ כי מערך הדיגיטל,
בשיתוף הגופים הציבורים הרלוונטיים,
יוסיף לאזור האישי
הממשלתי את המידע בנוגע לסטטוס הטיפול בבקשות שהוגשו באמצעות טפסים אלו.
משרדי הממשלה ויחידות הסמך, ובפרט על בתי הדין הרבניים, משרד החוץעל
ורשות האוכלוסין,
להמשיך
ולקדם בסיוע מערך הדי
גיטל את הנגשת
הטפסים הרלוונטיים באתריהם גם כטפסים מקוונים ומזוהים.
שיפור השירות לאזרח וצמצום הנטל הבירוקרטי המוטל עליו,לשם
וכנדרש בהחלטות הממשלה, על כל
משרדי הממשלה,
יחידות הסמך והרשויות המקומיות, ובפרט
הגופים הכלולים בהחלט
ו
ת הממשלה -
משרד
הביטחון, משרד החקלאות, משרד הבינוי והשיכון, שירות התעסוקה, צה"ל, הרשויות המקומיות, רשות
המיסים, ה
מוסד ל
ביטוח לאומי, משרד החינוך
, רשות האוכלוסין וחברת החשמל -
האמונים על מאות שירותים
המיועדים לאזרחים ולעסקים, להמשיך ולקדם את הנגשת השירותים המוצעים על ידם גם באמצעות האזור
האישי הממשלתי,
ובכלל זה לשקף מידע חשוב ועדכני לאזרח -
כדוגמת חובות, זיכויים, התראות
על
הצורך
בביצוע פעולות, הודעות חשובות ודוחות שנדרש להגישם.
על כלל הגופים הנותנים שירותים לעסקים, ובפרט רשות המיסים, המוסד לביטוח לאומי, משרד הבריאות,
משרד האנרגייה והמשרד
להגנת הסביבה, להנגיש בהקדם את שירותי
הם לעסקים גם במסגרת האזור
העסקי, באופן ישיר או באמצעות קישור מתוך האזור העסקי הממשלתי אל האתר האישי של כל אחד
מהגופים.
מערךעלהדיגיטללהרחיבולטייבאתפעילותהאזורהאישיוהעסקיבהתאםלהחלטתהממשלה,כךשיעמוד
לרשות אזרחי
המדינה אזור אישי ועסקי מתקדם, משמעותי,
שימושי
ואינטראקטיבי, המאפשר גישה פשוטה
ונוחה לכלל השירותים המקוונים הממשלתיים.
משתמשחוויית
טובה תורמת
ליעילות השירות, לשוויון בגישה, לשקיפות ולשיפור היחסים שבין המדינה
לאזרח. על מערך הדיגיטל לשפר באופן ניכר את חוויי
ת המשתמשים בתהליכי ההרשמה וההזדהות
למערכת
ההזדהות והשימוש באזורהאישי. מומלץ
להוסיף
לוחמחווניםמרוכזמותאםאישיתהמציגאתהמידעהרלוונטי
לאזרחבאותוהמועד,כדוגמתחובותלתשלוםוזיכויים,
ולהרחיבאתההתראותעל
פעולותשישלבצע,הודעות
חשובות ודוחות שנדרש להגישם -
תזכורות אשר יהיה בהן כדי לשפר את חוויית המשתמש ולהגביר את
התועלת שהציבור יכול להפיק מהאזור האישי. כמו כן מומלץ להוסיף מפת אתר וקטלוג
לש השירותים
המוצעים במסגרת האזור האישי, להנגישו לדוברי שפות נוספות ולבחון שילוב מנגנוני אבטחה שלא יפגעו
בחוויית
השימוש באתר. זאת,
לצד הרחבה ניכרת של סל השירותים המוצעים באזור האישי לשם שיפור חוויית
המשתמש, כפי שנקבע בהחלטות הממשלה שתכליתן להנגיש את כלל שירותי הממשלה באזור האישי.
דוח מבקר המדינה
| סייבר ומערכותמידע
21
סיוון התשפ"ו ▪
מאי 2026
שירותים מקוונים לציבור: ההזדהות הלאומית והאזור האישי הממשלתי - דוח מיוחד
עיקרי הליקויים בדוח
בשנים האחרונות חלה ב
רחבי ה
עולם האצה ניכרת בפיתוח ו
בהנגשה של שירותים דיגיטליים מזוהים, ומדינות רבות
מציעותכיוםשירותיםאלובהיקףרחב.לצורךמתןשירותיםמזוהיםבאופןמרוכזובהיקףהראוינדרשלהקיםולהפעיל
תשתית ממשלתית מרכזית, אשר תאפשר מנגנון הזדהות אחוד מול מגוון רחב של אתרים ושירותים ממשלתיים וכן
אזור אישי ממוקד אשר ירכז את כלל השירותים הממשלתיים המיועדים לאזרחים ולעסקים. משנת 2014
קיבלה
ממשלת ישראל
כמה
החלטות שתכליתן להעניק לאזרחים את מרב השירותים הציבוריים באופן מקוון. יישומה של
מדיניות ממשלתית זו מחייבת
מימוש של החלטות הממשלה בקשר להקמת מערכת הזדהות לאומית דיגיטלית ואזור
אישי ממשלתי שירכז את כלל השירותים הציבוריים לאזרח באתר אחד. יישום המדיניות הממשלתית והחלטות
הממשלה בנושא נוגע למאות גופים ממשלתיים וציבוריים, ובהם משרדי ממשלה,
תאגידים סטטוטוריים, רשויות
מקומיות
, חברות ממשלתיות
ועוד, המספקים
אלפי שירותים
שניתנים כיום לציבור ללא מיצוי האפשרויות המקוונות
שיש בהן כדי לטייב ולייעל את השירות באופן דרמטי.
ממצאיו של דוח ביקורת זה מצביעים
על כך שיותר מעשור אחרי החלטת הממשלה הראשונה על הקמת תשתית
ההזדהות הממשלתית, ועל אף שורה של החלטות ממשלה נוספות שהתקבלו במהלך עשור זה
בעניין מערכת
ההזדהות והאזור האישי, המדיניות הממשלתית וההחלטות שנועדו לקדמה מיושמ
ות באופן איטי וחלקי,
ואזרחי
המדינה עדיין אינם יכולים ל
י
הנות מקבלת מרבית השירותים הציבוריים באופן מקוון, מרוכז וידידותי.
בביקורת נמצאו
פערים בפעולות מערך הדיגיטל ליישום החלטות הממשלה בנוגע למערכת ההזדהות הלאומית והאזור האישי,
בפע
ולות מערך הסייבר ליישום המדיניות הלאומית להזדהות בטוחה ובפעולתם של משרדי ממשלה וגופים ציבורים
דוח מבקר המדינה
| סייבר ומערכותמידע
22
סיוון התשפ"ו ▪
מאי 2026
שירותים מקוונים לציבור: ההזדהות הלאומית והאזור האישי הממשלתי - דוח מיוחד
נוספים לצורך התחברות למערכת ההזדהות ולאזור האישי.
פערים אלה נמצאו בארבעה תחומים מרכזיים:
היעדר
תמונת מצב בדבר פוטנציאל השירותים לחיבור למערכת
ה
הזדהות ממשלתית;
חיבור חלקי בלבד של גופים ציבוריים
למערכת
ההזדהות הלאומית;
חיבור חלקי בלבד של גופים ציבוריים ומיעוט שירותים ממשלתיים המונגשים לאזרח
ב
אזור האישי הממשלתי; ופערים בחוויית
ה
משתמש בתהליך ההזדהות ובאזור האי
שי הממשלתי.
ייעודו שלהאזורהאישי
כתשתיתמרכזיתדיגיטליתלקשרעםהאזרח ולביצועפעולותעל יד
יולמולהממשלה והגופים
הציבוריים, מחייב את כלל הגופים הציבוריים להתחבר למערכת ההזדהות הלאומית ולהציע
פרו-
אקטיבית באמצעות
האזור האישי והעסקי שירותי
ם נגיש
ים ו
מותא
מים אישית, מקצה לקצה, וזאת באופן
ידידותי, פשוט, נוח וברור. כדי
ל
השיג
יעילות וחיסכון, צמיחה כלכלית ופישוט של תהליכים בירוקרטיים באמצעות טרנספורמציה דיגיטלית לאומית,
על מערך הדיגיטל להכין תוכנית עבודה מפורטת להרחבת היקף היישומים המחוברים למערכת ההזדהות הלאומית
וה
שירותים המוצעים במסגרת האזור האישי והעסקי ובכלל זה לוחות הזמנים והבקרות הנדרשות להבטחת מימושה,,
וככל הנדרש לקדם החלטות ממשלה לאכיפת שיתוף הפעולה של משרדי הממשלה והגופים הציבוריים לשם קידום
הטרנספורמציה הדיגיטלית של שירותיהם במערכת ההזדהות הלאומית ובאזור הא
ישי הממשלתי.
ד ו ח מ ב ק ר ה מ ד י נ ה
הגנת הסייבר בעבודה
מרחוק בעיתות שגרה
וחירום
▪ סיוון
▪ מאי
▪
התשפ"
ו
2026
דוח מבקר המדינה
| סייבר ומערכותמידע
25
סיוון התשפ"ו ▪
מאי 2026
הגנת הסייבר בעבודה מרחוק בעיתות שגרה
וחירום
תקציר
"עבודה מרחוק" מתבצעת בכמה מתווים: עבודה המתבצעת בדרך כלל מבית המגורים של העובד או ממקום אחר
תוך שימוש בטכנולוגיית מידע ותקשורת ולא מהאתר של המעסיק (מקום העבודה); התחברות של עובדי שטח
למערכותהארגון. בעידןהטכנולוגיעבודהמרחוקהפכהלחלק בלתינפרדמתפקוד
המשק.
עבודהמרחוקמאפשרת
גמישות תפעולית (כגון לעובדים הנדרשים לעבוד במקומות גיאוגרפיים שונים), וכן היא מקנה גמישות לעובדים
המבקשים לאזן בין העבודה לבית ומאפשרת שמירה על רציפות תפקודית במצבי משבר (כמו מלחמות או מגפות)
שבהם עובדים אינם יכולים להגיע למקום עבודתם. למשל, הצורך של ארגונים בכל העולם ביכולת עבודה מרחוק
התעצם במיוחד בעת מגפת הקורונה, ובישראל הוא התעצם גם בתקופת מלחמת חרבות ברזל.
נציבות שירות המדינה מאפשרת כיום לכל עובד מדינה לעבוד מרחוק יום בשבוע, ומרבית הגופים בשירות המדינה
עובדיםכך.מדובר במאותאלפי עובדים במגזרהציבוריובהםמשרדיהממשלה,מערכתהחינוךהממשלתית,מערכת
הבריאות הממשלתית, גופי הביטחון, חברות ממשלתיות, שלטון מקומי ותאגידים.
שני
הגופים העיקריים שנבדקו בביקורת הם משטרת ישראל (המשטרה) והרשות הארצית לכבאות והצלה (
כב
"ה),
והם
גופי
החירום
המרכזי
ים
במדינת ישראל, הפועלים באופן שוטף למתן מענה מהיר ויעיל
על
אירועים מבצעיים,
פליליים וביטחוניים - הן ב
עיתות שגרה והן בע
יתות חירום.
מערכות
העבודה
מרחוק
הן כיום רכיב קריטי בתפקודו של מערך הביטחון ה
לאומי.
דוח מבקר המדינה
| סייבר ומערכותמידע
26
הגנת הסייבר בעבודה מרחוק בעיתות שגרה וחירום
סיוון התשפ"ו ▪
מאי 2026
עבודה מרחוק - מתארי תקיפה ואיומים אפשריים
הוכן בידי משרד מבקר המדינה.
מאותאלפי
עשרהחודשים
0
עובדי המגזר הציבורי רשאים
לאחר שהנחה מערך הסייבר
מבדקי חדירה בוצעו
לעבוד יום בשבוע מהבית,
והם
הלאומי את מערך הדיגיטל להפסיק
במערכת העבודה
מבצעים זאת באמצעות
את השימוש בתשתית העבודה
מרחוק ברשות
התחברות מרחוק לרשת
מרחוק שלו משום שנמצאו בה
לכבאות והצלה (עד
המשרדית
חולשות קריטיות אשר נוצלו לרעה,
לביצוע המבדק על ידי
נמצא כי מערך הדיגיטל ו-
65%
משרד מבקר המדינה
ממשרדי הממשלה עדיין השתמשו
במהלך הביקורת)
בתשתית זו. השימוש בתשתית
הופסק בינואר 2025
אלפי
במאות
מחשבים ניידים וטאבלטים של המשטרה
כבאיות יש ללוחמי האש גישה לעבודה מרחוק
משמשים לעבודה מרחוק
מהשטח
דוח מבקר המדינה
| סייבר ומערכותמידע
27
הגנת הסייבר בעבודה מרחוק בעיתות שגרה וחירום
סיוון התשפ"ו ▪
מאי 2026
בחודשים יולי 2024
עד אוגוסט 2025
בדק משרד מבקר המדינה את נושא הגנת הסייבר בעבודה
מרחוק בעיתות שגרה וחירום. במסגרת ביקורת זו נבדקו הרשתות הארגוניות של כמה גופים, ובהם
גופים במגזר הביטחון הלאומי, המרבים להשתמש במתאר העבודה של עבודה מרחוק במסגרת
פעילותם השוטפת, לרבות במסגרת פעילות מבצעית. בביקורת נבדקו בין היתר הנושאים האלו:
אסדרה של אבטחת המידע בעבודה מרחוק, אבטחה של מכשירים ניידים ותהליכי העבודה מרחוק,
אבטחת המשאבים הארגוניים בגישה מרחוק, מדיניות ונהלים לגבי עבודה מרחוק ועבודה בשעת
חירום. הביקורת נעשתה ברשות הארצית לכבאות והצלה, במשטרת ישראל, בהנהלת בתי המשפט,
במשרד הכלכלה והתעשייה -
במערך הדיגיטל הלאומי (מערך הדיגיטל), לרבות ביחידה להגנת
הסייבר בממשלה (יה"ב), במשרד ראש הממשלה -
במערך הסייבר הלאומי (מס"ל) ובמשרד
המשפטים -
ברשות להגנת הפרטיות.
יצוין כי חלק מהממצאים בדוח מסומנים עם סיווג חומרה גבוה (לרוב מדובר בממצאים רוחביים
הנוגעים לגופים רבים או לממצאים שרמת הנזק שלהם עשויה להיות גבוהה או שההסתברות
להתרחשותם גבוהה.)
משרד מבקר המדינה ביצע בכב"ה מבדק חדירה. מטרת המבדק הייתה לזהות חולשות העשויות
לסכן את הזמינות, המהימנות והסודיות של התשתיות הנגישות לעובדים מרחוק, זאת באמצעות
תרחישי תקיפה שונים שבמסגרתם מנוצלות חולשות אבטחה. מאחר שהבדיקה בוצעה בסביבת
הייצור ננקטו כמה פעולות להפחתת הסיכונים הכרוכים בביצועה, והדבר השפיע על תכנון המבדק.
למשל, כלים אוטומטיים הופעלו באמצעות סריקה מדורגת כדי שלא להכביד את העומסים על
השרתים, ולא נוצלו חולשות שנמצאו במבדק אלא רק הּוכחה היכולת לנצלן.
משרדמבקרהמדינהמצייןלחיובאתשיתוףהפעולהמצדכב"הויחידתהסייברהמגזריתשלהמשרד
לביטחוןלאומי(היחידההמגזרית)בכלשלבימבדקהחדירה:החלבתכנוןהמבדק,עבורדרךביצועו
ותהליך הצגת הממצאים וכלה בנקיטת פעולות לשיפור התהליכים הקיימים ובטיפול בחלק
מהליקויים שנמצאו עוד לפני פרסום הדוח.
ועדתהמשנהשלהוועדהלענייניביקורתהמדינהשלהכנסתהחליטהשלאלהניחעלשולחןהכנסת
ולא לפרסם חלקים מפרק זה לשם שמירה על ביטחון המדינה, בהתאם לסעיף 17
(א) לחוק מבקר
המדינה, התשי"ח-
1958
נוסח משולב.)(
דוח מבקר המדינה
| סייבר ומערכותמידע
28
הגנת הסייבר בעבודה מרחוק בעיתות שגרה וחירום
סיוון התשפ"ו ▪
מאי 2026
מסמך דגשים לעבודה
מרחוק של הרשות להגנת הפרטיות - הרשות
להגנת הפרטיות פרסמה בשנת
2020
-
בעקבות התפשטות נגיף הקורונה -
מסמך דגשים לעבודה מרחוק שלא התעדכן מאז ולכן כולל
המלצות על שימוש בפתרונות אבטחת מידע שאינם עדכניים (כמו אנטי-
וירוס) או פרוטוקולי הצפנה (כמו
WPA2
ל-
Wi-Fi
.)
השוואת הנושאים העיקריים בהנחיותיהם של מס"ל ויה"ב בנושא אבטחת העבודה מרחוק -
אין
תאימות בין הנחיות מס"ל בנושא עבודה מרחוק לאלו של יה"ב, אף שיה"ב מונחית על ידי מס"ל.
פיקוח
מס"ל
על יישום
הנחייתו
בנושא
עבודה מרחוק
במערך
הדיגיטל -
מאוקטובר
2023
, מועד
פרסום ההנח
יה לחיבור משתמשים מרחוק לרשת הארגונית בגופי תמ
"ק
תשתיות מדינה קריטיות)(, מס"ל
לא פיקח
באופן מלא
על יישום הבקרות הכלולות בהנחיה במערך הדיגיטל אלא ביצע מבדק חדירה
לתשתית העבודה מרחוק ובמסגרתו נבדקו רק חלק מהנושאים.
פיקוח
יה"ב עליישום הנחייתה
בנושא
עבודה מרחוק
במשרדי הממשלה - ממרץ
2020
, מועד פרסום
ההנחיה לגישה מרחוק, יה"בלא
ביצעה בקרה
על אופן יישום ההנחיה במשרדי הממשלה המונחים על ידה.
כמו כן, מדד יה"ב, שמשמש תבנית אחודה שלפיה מפקחים על עמידתם של משרדי ממשלה בהיבטים
שונים של הנחיות אבטחת מידע, כולל רק חמש בקרות על עבודה מרחוק, וזאת בשעה שהנחיית יה"ב
בנושא זה כוללת 45
בקרות, ועל כן יש חשש כי פיקוח על פי המדד מספק תמונת מצב חלקית בלבד על
מצב אבטחת המידע בהיבטי עבודה מרחוק.
פיקוח
היחידההמגזריתשלהמשרדלביטחוןלאומיעליישום
הנחייתמס"ל
בנושאעבודהמרח
וק
-
מס"ל לא העביר ליחידה המגזרית של המשרד לביטחון לאומי את הנחייתו מאוקטובר 2023
לחיבור
משתמשיםמרחוק לרשתהארגונית.
עלכן היחידה
המגזרית, האחראית להנחייתכב ה,"
לאפיקחהעל אופן
יישום ההנחיה בכב ה."
השימוש של כ-
65%
ממשרדי הממשלה במוצר טכנולוגי לעבודה מרחוק
שהיו בו חולשות רבות,
ובניגודלהנחייתמס"ל -
אף שמס"ל הנחה את מערך הדיגיטל עוד במרץ 2024
שלא להשתמש בכלי י"ג,
המשמש לעבודה מרחוק,
עקב הפגיעויות הרבות שהיו בו בשנים האחרונות, נכון לאוקטובר 2024
עדיין
השתמשו בו מערך הדיגיטל ו-
31
(
65%) מ-
48
משרדי ה
ממשלה
, בניגוד להנחיית מס"ל. יצוין כי מערך
הדיגיטל נערך להחלפת כלי י"ג באמצעות התקשרות רכש חדשה לאחר קבלת ההנחיה ממס"ל להפסיק
את השימוש במוצר, אולם לא הנחה את המשרדים להפסיק את השימוש במוצר זה ולעבור למוצר חליפי
שהיה זמין לרכישה באמצעות אחד מן המכרזים המרכזייםהקיימים.
רק בינואר 2025
נפסק השימוש במוצר.
הגנת הסייבר בעבודה מרחוק בכב"ה
נושאי עבודה מרחוק ב
מדיניות
ונוהלי אבטחת מידע - מסמ
ך מדיניות אבטחת המידע של כב"ה אינ
ו
עוסק בנושא העבודה מרחוק,
ו
בנוהלי העבודה מרחוק חסרות בקרות
מסוימות
שנכללות בהנחיית מס ל."
דוח מבקר המדינה
| סייבר ומערכותמידע
29
הגנת הסייבר בעבודה מרחוק בעיתות שגרה וחירום
סיוון התשפ"ו ▪
מאי 2026
נושאים טכנולוגיים שנבדקו בנושא עבודה מרחוק -
נבדקו נושאים טכנולוגיים בכב"ה, במשטרה
ובהב ה."
מצ"ב
פירוט הנושאים שנבדקו:
אבטחת גישת מחשבים ומכשירים מרוחקים, אבטחת תווך
התקשורת בין המכשירים המרוחקים לארגון, אבטחת המערכות הארגוניות בהיבטי עבודה מרחוק, עדכוני
מערכות הפעלה ואבטחה, ניהול משתמשים והרשאות בגישה מרחוק, ניטור אירועי עבודה מרחוק
. בחלק
מנושאים אלו בחלק מהגופים
נמצאו פערים. יצוין כי חלק מן הפערים הללו תוקנו
במהלך הביקורת.
המשכיות עסקית
ורציפות תפקודית -
לכב"ה אין תוכנית המשכיות עסקית (BCP)
ועל כן, בין השאר,
איןביכולתהלהגדיראתהפעריםבציודוברישיונותהנדרשיםלצורךעבודהמרחוקבשעתחירוםכדילשמור
על רציפות תפקודית תקינה בעבודה מרחוק, בניגוד לנדרש על פי תורת ההגנה, ולפיה על הארגון
לוודא
כי
הנהלת הארגון הגדירה ואישרה מדיניות ואסטרטגיה בנושא
המשכיות עסקית (BCP
)
.
תרגילים להתמודדות עם מצבי חירום -
לא בוצעו תרגולים להתמודדות עם אירועי חירום, בניגוד
להנחיית מס"ל ולפיה יש לבצע תרגול עיתי של אירועים אלו. עקב כך קיים חשש כי הארגון לא יהיה ערוך
לאירוע סייבר ולא ידע לקבל החלטות בזמן אמת וכי העבודה מרחוק תינזק.
מבדקי חדירה למערכות עבודה מרחוק -
בכב"ה לא בוצעו מבדקי חדירה למערכת העבודה מרחוק עד
אפריל 2025
המבדק שבוצע במסגרת הביקורת על ידי משרד מבקר המדינה), בניגוד להנחיה של מס"ל,(
ולפיה נדרש לבצע מבדק חדירה לפתרון הטכנולוגי המשמש לעבודה מרחוק. היעדר ביצוע של מבדקי
חדירה גורם לכך שהארגון אינו
ער לחולשות שבמערכותיו.
מבדק החדירה שבוצע על ידי משרד מבקר המדינה -
משרד
מבקר המדינה ביצע סקר הערכות
פגיעויות
ומבדק חדירה (להלן -
"מבדק חוסן") ברשת
כב"ה. מטרת מבדק החוסן הייתה לזהות חולשות
אבטחת מידע בתשתיות הגישה מרחוק ובתשתיות המחשוב ברשת ארגון
כב ה,"
אשר גורמים חיצוניים או
פנימיים עשויים לנצלן לביצוע תרחישי תקיפה שונים ולהביא בכך לפגיעה בזמינות, במהימנות ובסודיות של
המידע והמערכות ברשת.
הגנת הסייבר בעבודה מרחוק במשטרה
אימוץ של הנחיות מאסדר מדינתי -
ככלל, החלטה של גוף בדבר
אימוץ
הנחיות
של מאסדר מדינתי,
כולן או חלקן, גם אם היא נעשית באופן וולונטרי,
הינה
מהלך אשר לדעת משרד מבקר המדינה מחייב את
הגוף לקיים את ההנחיות שאימץ. על כן על הגוף להגדיר מראש את גבולות התחייבותו ולפרט את
הטעמים
להחרגת
אותן הנחיות שבחר שלא לאמץ. אימוץ וולונטרי של חלקים מההנחיות שאינם מוגדרים, באופן
שאינו מוסדר -
עלול לרוקן מתוכן את מהלך האימוץ.
נושא העבודה מרחוק במדיניות אבטחת מידע -
מסמך מדיניות אבטחת המידע של המשטרה אינו
עוסק בנושא העבודה מרחוק.
נושאים טכנולוגיים שנבדקו בנושא עבודה מרחוק -
נבדקו נושאים טכנולוגיים בכב"ה, במשטרה
ובהב"ה. מצ"ב פירוט הנושאים שנבדקו: אבטחת גישת מחשבים ומכשירים מרוחקים, אבטחת תווך
התקשורת בין המכשירים המרוחקים לארגון, אבטחת המערכות הארגוניות בהיבטי עבודה מרחוק, עדכוני
מערכות הפעלה ואבטחה, ניהול משתמשים והרשאות בגישה מרחוק, ניטור אירועי עבודה מרחוק. בחלק
מנושאים אלו בחלק מהגופים נמצאו פערים. יצוין כי חלק מן הפערים הללו תוקנו במהלך הביקורת.
דוח מבקר המדינה
| סייבר ומערכותמידע
30
הגנת הסייבר בעבודה מרחוק בעיתות שגרה וחירום
סיוון התשפ"ו ▪
מאי 2026
המשכיות עסקית
ורציפות תפקודית -
למשטרה אין תוכנית המשכיות עסקית טכנולוגית (BCP)
ועל כן,
ביןהשאר,איןביכולתהלהגדיר אתהפערים בציודוברישיונותהנדרשיםלצורךעבודהמרחוקבשעתחירום
כדי לשמור על רציפות תפקודית תקינה בעבודה מרחוק, בניגוד לנדרש על פי תורת ההגנה, ולפיה על
הארגון
לוודא
כי הנהלת הארגון הגדירה ואישרה מדיניות ואסטרטגיה בנושא המשכיות עסקית (BCP
)
.
תרגולים להתמודדות עם אירועי חירום -
לא בוצעו תרגולים להתמודדות עם אירועי חירום, בניגוד
להנחיית מס"ל ולפיה יש לבצע תרגול עיתי של אירועים אלו. עקב כך קיים חשש כי הארגון לא יהיה ערוך
לאירוע סייבר ולא ידע לקבל החלטות בזמן אמת וכי העבודה מרחוק תינזק.
מבדקי חדירה למערכות עבודה מרחוק -
המשטרה ביצעה מבדק חדירה במערכת הטכנולוגית
המשמשת לעבודה מרחוק
במהלך הביקורת
בתחילת שנת 2025
, מבדק שבו נמצאו פערים, כשמונה שנים
אחרי המבדק הקודם. זאת בניגוד להנחיה של מס"ל,
שלפיה נדרש לבצע מבדק חדירה לפתרון הטכנולוגי
המשמש לעבודה מרח
וק. היעדר ביצוע של מבדקי חדירה גורם לכך שהארגון אינו
ער לחולשות
שבמערכותיו.
הגנת הסייבר בעבודה מרחוק בהנהלת בתי המשפט
נושאי עבודה מרחוקבמדיניות ובנוהלי אבטחת מידע -
בנוהלי העבודה מרחוק בהב"ה חסרות בקרות
מסוימות שנכללות בהנחיית יה"ב.
נושאים טכנולוגיים שנבדקו בנושא עבודה מרחוק -
נבדקו נושאים טכנולוגיים בכב"ה, במשטרה
ובהב"ה:
אבטחת הגיש
ה ל
מחשבים לו
מכשירים מרוחקים, אבטחת תווך התקשורת בין המכשירים
המרוחקים לארגון, אבטחת המערכות הארגוניות בהיבטי עבודה מרחוק, עדכוני מערכות הפעלה ואבטחה,
ניהול משתמשים והרשאות בגישה מרחוק, ניטוראירועיעבודהמרחוק. בחלקמנושאים אלו בחלקמהגופים
נמצאו פערים. יצוין כי חלק מן הפערים הללו תוקנו במהלך הביקורת.
כב"ה -
השבתת כלי י"ג לפני מתקפת הסייבר בינואר 2025
-
משרד מבקר המדינה מציין לחיוב את
כב"ה על ההחלטה להשבית את כלי י"ג הארגוני לעבודה מרחוק בדצמבר 2024
עם היוודע דבר קיומה של
חולשת אבטחה קריטית שהתגלתה בה.
המשטרה - ביצוע סקר סיכונים על מערכות ותהליכי העבודה מרחוק -
משרד מבקר המדינה מציין
לחיוב את המשטרה על שביצעה
בשנת 2024
סקר סיכונים לגבי המערכות והתהליכים הקשורים לעבודה
מרחוק, שכלל תחומי איום וחשיפות אפשריות וכן פירוט פעולות שבוצעו כדי לצמצם חשיפות אלו.
דוח מבקר המדינה
| סייבר ומערכותמידע
31
הגנת הסייבר בעבודה מרחוק בעיתות שגרה וחירום
סיוון התשפ"ו ▪
מאי 2026
מומלץכי
הרשות להגנת הפרטיות
תעדכן את מסמך הדגשים לעבודה מרחוק שפרסמה -
או תבחן את
הצורך בו -
באופן שיהיה רלוונטי ובהלימה להנחיות יתר הגופים האסדרתיים המדינתיים.
מס"לעל
ויה
"ב (שמונח
ית על ידי מס ל)"
לבחון ולהתאים את ההנחיות שפרסמו בנושא עבודה מרחוק
לגופים המונחים שלהם ולוודא שכלל הבקרות הרלוונטיות נמצאות בהן.
מס"לעל
ל
פקח באופן עיתי על מידת עמידתו של מערך הדיגיטל כגוף תמ
"ק, ובפרט
כגוף שמספק
תשתיות למשרדי הממשלה, בהנחיה לעבודה מרחוק שפרסם. לחלופין על מס"ל
ל
בקש באופן שוטף
ממערך הדיגיטל לדווח לו על מידת עמידתו בהנחיה.
יה"בעל
לבצע בקרה על הגופים שהיא מנחה בכל הנוגעלתחום העבודה מרחוק וכן לבקש מהגופים דיווח
על מידת עמידתם בהנחיה שקבעה בנושא.
על מס"ל לוודא שכל הנחיה חדשה שלו מועברת לכל יחידות הסייבר המגזריותושהנחיות אלו מיושמות.
על
היחידה המגזרית של המשרד לביטחון לאומי האחראית לעבודת כב"ה, לפקח על מידת עמידת כב"ה
בהנחיית מס ל בנושא עבודה מרחוק או לבקש מכב"ה לדווח לה על מידת עמידתם בהנחיה."
כימינהלהרכשבשיתוףיה"בומס"ליוודאוכיבכלהמכרזיםהמרכזייםהמספקיםמומלץפתרונותלעבודה
מרחוק ייכללו דרישות אבטחת מידע, וכי הגופים האסדרתיים המדינתיים בתחום הסייבר מצאו אותם
הולמים לשימוש.
כיאםמומלץתתגלהחולשהקריטיתבמוצריעבודהמרחוקבעתידוהיצרןלאיספקדרכיהתמודדותעימה
בטווח זמן קצר, יפרסמו מס"ל ויה"ב הנחיה רלוונטית בסמוך
לאחר גילויה של החולשה ויוודאו מול מינהל
הרכש שיש הלימה בין הנחיה זו למחויבות החוזית שבהסכמי המכרז המרכזי.
ומלץכייה"בתבחןאתיכולותהכליםהטכנולוגייםשמאפשריםעבודהממרחוקומוצעיםבמסגרתמכרזים
מרכזיים או במסגרת הסכמי מחירים מרכזיים אל מול דרישות אבטחת המידע הטכנולוגיות שלה ותביא
לידיעת המשרדים את ממצאי בחינה זו.
הגנת הסייבר בעבודה מרחוק ב
כב
"ה
כב"העל
לעדכן את מסמכי המדיניות והנהלים שלה באופן שהם יכללו את הבקרות הנדרשות בהנחיית
מס ל."
על היחידה המגזרית במשרד לביטחון
לאומי לוודא כי מסמכי המדיניות והנהלים לעבודה מרחוק
של הגופים הכפופים להנחיית
ה
תואמים להנחיות.
כב"העל
לטפל בפערים
בנושאים
הטכנולוגיים שנמצאו בביקורת ולתקנם.
דוח מבקר המדינה
| סייבר ומערכותמידע
32
הגנת הסייבר בעבודה מרחוק בעיתות שגרה וחירום
סיוון התשפ"ו ▪
מאי 2026
מומלץכיכב"התגבשותאשרתוכניתהמשכיותעסקיתטכנולוגית(BCP)
הכוללת התייחסות להתאוששות
המערך הטכנולוגי של הארגון ולעבודה מרחוק בעיתות חירום, כנדרש על פי תורת ההגנה.
כב"ה לבצע תרגולים עיתיים של ההמשכיות העסקית של התשתיות הטכנולוגיותעלשמאפשרות חיבור
ועבודה מרחוק, בהתאם להנחיית מס"ל.
כב"העל
לבצע מבדקי חדירה עיתיים
וייעודיים במערכות העבודה מרחוק, בהתאם להנחיית מס ל."
הגנת הסייבר בעבודה מרחוק ב
משטרה
כי המשטרה תעדכן את מסמךמומלץהמדיניות שלה כך שיכלול התייחסות לנושא העבודה מרחוק. כמו
כן, הכללת נושא העבודה מרחוק במסמך מדיניות אבטחת המידע של המשטרה עולה בקנה אחד עם
הנחיית מס"ל.
עלהמשטרהלטפלבפעריםבנושאיםהטכנולוגייםשנמצאובביקורתולתקנם.
כי המשטרה תגבש ותאשר תוכנית המשכיות עסקית טכנולוגיתמומלץ(BCP)
הכוללת התייחסות
להתאוששות
המערך
הטכנולוגי של הארגון ולעבודה מרחוק בעיתות חירום, כנדרש על פי תורת ההגנה.
המשטרה לבצע תרגולים עיתיים של ההמשכיות העסקית של התשתיות הטכנולוגיותעלשמאפשרות
חיבור ועבודה מרחוק, בהתאם להנחיית מס"ל.
על המשטרה לבצע מבדקי חדירה עיתיים וייעודייםבמערכת העבודה מרחוק, בהתאם להנחיית מס"ל.
הגנת הסייבר בעבודה מרחוק בהנהלת בתי המשפט
הב"ה לעדכן את מסמכי המדיניות והנהלים שלה באופןעלשהם יכללו את הבקרות הנדרשות בהנחיית
יה"ב.
על יה"בלוודאכי מסמכיהמדיניות והנהליםלעבודהמרחוקשלהגופיםהכפופים להנחייתה תואמים
להנחיות.
עלהב ה"לטפלבפעריםהטכנולוגייםשנמצאובביקורתולתקנם.
דוח מבקר המדינה
| סייבר ומערכותמידע
33
הגנת הסייבר בעבודה מרחוק בעיתות שגרה וחירום
סיוון התשפ"ו ▪
מאי 2026
עבודה מרחוק הפכה לנפוצה בשנים האחרונות
והיא חלק משמעותי במערך העבודה של עובדים וארגונים. היכולת
לעבוד מרחוק משמשת עובדי שטח ועובדים שמעוניינים בגמישות, ונוסף על כך בשנים האחרונות,
וביתר שאת לאחר
משבר הקורונה, היא הפכה לחלק אינטגרלי במערך העבודה של ארגונים,
בין היתר כדי להבטיח איזון בין בית לעבודה
(כיוםנציבותשירותהמדינהמאפשרתלעובדימדינהלעבודיוםבשבועמהבית,ומרביתהגופיםבשירותהמדינהעובדים
כך.)
בארגונים האחראים לטיפול באירועי חירום העבודה מרחוק היא חלק משמעותי מהיכולת לנהל את האירועים ולטפל
בהם. כך למשל באירועי
ם
כגון שריפות ופעולות טרור עבודה מרחוק חיונית אפוא לשמירה על הרציפות התפקודית של
גופי חירום שנדרשים להמשיך לספק שירותים לתושבים, בעיקר בעיתות חירום. צורך זה בא
לידי ביטוי באופן בולט
במהלך מלחמת חרבות ברזל ובתקופת מגפת הקורונה.
בדוח זה נבחנו ההיערכות של גופים חיוניים והתמודדותם עם האתגרים שמציבה העבודה מרחוק בתחום הגנת הסייבר.
מדוברבאתגריםשנובעיםמכךשתצורתעבודהזו
חושפתאתהארגוןלתקיפותסייברעקבריבוי
אמצעיגישהמרוחקים.
בביקורת נבדקו
מידת מוכנותם ורמת
התמודדות
ם
של משטרת ישראל, הרשות הארצית לכבאות והצלה, הנהלת בתי
המשפטומערךהדיגיטל
עם סיכוניםאלו.כמוכןנבדקכיצדהגופיםהאסדרתייםהמדינתיים-
הרשותלהגנתהפרטיות,
מס"ל, יה"ב והיחידה המגזרית במשרד לביטחון לאומי -
מנחים את הגופים וכיצד הם מפקחים עליהם.
ממצאי הדוח
מעידים
על פערים מסוימים במוכנות של חלק מן הגופים
שנבדקו בביקורת
להתמודד עם איומי
ה
סייבר
הרלוונטיים לעומת ההנחיות של הגופים האסדרתיים המדינתיים בנושא עבודה מרחוק וכן לעומת התצורות ומאפייני
העבודהמרחוקהספציפייםשלכלגוף.
במסגרתהביקורתביצעמשרדמבקרהמדינהמבדקחדירה במערכתהעבודה
מרחוק המרכזית של כב"ה, בשיתוף עימה, מבדק שאיפשר להעריך את מוכנותו של הגוף
לעמוד בפני תקיפות סייבר
העלולות להתבצע דרך מערכת זו. במבדק נמצאו פערים
מסוימים. משרד מבקר המדינה מציין לחיוב את שיתוף
הפעולה מצד
כב"ה ויחידת הסייבר המגזרית של המשרד לביטחו
ן
לאומי בכל שלבי מבדק החדירה.
על משטרת ישראל, הרשות הארצית לכבאות והצל
ה, הנהלת בתי המשפט ומערך הדיגיטל, בשיתוף מס"ל ויה"ב,
לפעול בהקדם להשלמת תוכנית עבודה לטיפול
בפערי
ם שצוינו בדוח זה
. על מס"ל ויה"ב לוודא שאין פערים
כאלה
בגופים נוספים שמונחים על ידם.
ד ו ח מ ב ק ר ה מ ד י נ ה
אבטחת מערכות המידע
במשרד הבינוי והשיכון
▪ סיוון
▪ מאי
▪
התשפ"
ו
2026
דוח
מבקר המדינה
| סייבר ומערכותמידע
37
סיוון התשפ"ו ▪
מאי 2026
אבטחת מערכות המידע במשרד הבינוי והשיכון
תקציר
משרד הבינוי והשיכון משרד הבינוי)( אמון על הייזום והביצוע של מדיניות הממשלה בתחומי
הבנייה ו
השיכון. משרד
הבינוי
מתמקד בתכנון ובמתן של פתרונות דיור לכלל האוכלוסייה, בפעולות של התחדשות עירונית, בבנייה חדשה
וכפרית, בשיקום שכונות, במשכנתאות ובסיוע בדיור לשכבות
הראויות לקידום
. משרד הבינוי
מלווה את מסלול הייזום
והבנייה של מבני מגורים
ומוסדות ציבור: איתור ותכנון של
הקרקע, שיווק הקרקע ו
פיתוח תשת
יות.
המידע שמשרד
הבינוי אוס
ף,
שומר ומנהל במסגרת פעילותו
הוא מידע רגיש כהגדרתו בחוק הגנת הפרטיות, התשמ"א-
1981
.
מדובר
במיליונירשומותובהןביןהיתרמידעאישי עלדייריהדיורהציבורי,מקבליסיועלדיור,משתתפיםבתוכניותדיורבהנחה
וקבלנים רשומים.
משרד הבינוי נדרש להגן על סודיות המידע, אמינותו, זמינותו ומהימנותו, ועליו לוודא כי הנתונים לא
ישונו, לא יימחקו וייחשפו רק למי שמורשה לכך מתוקף תפקידו או למי שהמידע נוגע לו.
עשרות
שיעורמסוים
6.5
9
מי
ליוןש"ח
מערכות מידע שמשרד
ממערכות המידע
תקציב משרד הבינוי
מאגרי מידע שברשות
הבינוי משתמש בהן
במשרד הבינוי
הוקם
לאבטחת מידע וסייבר.
משרד הבינוי
לצורך ניהול
פעילותו
לפני שנים רבות
מדובר בכ-
9%
מתוך
שרישומם נדרש
74.5
מיליון ש"ח שהוקצו
במרשם
מאגרי המידע,
עבור
הוצאות מחשוב
אך המשרד לא
בשנת
2025
השלים את רישומם
באופן הנדרש בתקנות
הגנת הפרטיות
130%
43%
חלק
שיעור הגידול
שלושה
מ
שבעה מדדים
מנותני השירות
בהתרעות שהתקבלו
בנושא הגנת סייבר
שהיו
החיצוניים המשתמשים
ב-
SOC
הממשלתי
אמורים להידון בוועדת
במערכות המידע
לגבי משרד הבינוי בגין
היגוי סייבר במשרד
במשרד הבינוי לא עברו
פעילות החשודה
הבינוי בשנת 2025
לא
סקירה תקופתית לשם
כאיום סייבר בשנת
נדונו ונבחנו כנדרש
בדיקת התאמה בין
2024
(ב
עת
מלחמת
תפקידם להרשאות
חרבות ברזל),
לעומת
הקיימות
ההתרעות
שהתקבלו
בשנת 2023
דוח מבקר המדינה
| סייבר ומערכותמידע
38
▪
אבטחת מערכות המידע במשרד הבינוי והשיכון
סיוון התשפ"ו
מאי 2026
בחודשים פברואר עד ספטמבר 2025
בדק משרד מבקר המדינה את נושא אבטחת מערכות המידע
וההגנה על פרטיות המידע במשרד הבינוי והשיכון בין היתר נבדקו הנושאים האלה:.
הממשל
הוניהול של אבטחת
ה
מידע ו
הסייבר; ניהול הרשאות ומשתמשים; רישום מאגרי המידע; ותוכניות
להמשכיות תפקודית ולהתאוששות מאסון.
המדיניות והתקציב בנושא אבטחת המידע -
על אף שינויים ניכרים שהתרחשו בשנים האחרונות בתחום
המחשוב (כגון מעבר לשימוש בשירותי ענן ושימוש בכלי בינה מלאכותית במגזר הציבורי) וכן התפתחויות
טכנולוגיות בעולם והתקדמות ביכולות התקיפה של תוקפים פוטנציאליים,
הועלה כי בניג
וד להנחיית
היחידה
להגנת הסייבר בממשלה (יה"ב)
, מאז
אושרה
מדיניות הגנת הסייבר בשנת 2020
בוועדת היגוי סייבר של משרד
הבינוי היא לא עודכנה, לא נדונה ולא נבחנה על ידי הממונה על הגנת הסייבר במשרד הבינוי אחת לשנתיים,
וממילא גם לא עודכנה בוועדת היגוי סייבר. עקב כך עולה החשש שבעת התממשות של סיכונים ההגנה מפניהם
לא תהיה עדכנית כמו כן,.
בשנים
שנבדקו לא היה לוועדת ההיגוי סייבר מידע בדבר שיעור התקציב המיועד
לאבטחת מידע מכלל התקציב המיועד לטכנולוגיות המידע, כדי לוודא
שמשרד הבינוי עומד בהוראות החלטת
הממשלה ומקצה די משאבים להתמודדות עם סיכוני האבטחה הנשקפים לו.
מיפוי וסיווג של נכסי המידע -
בביקורת עלה כי מאז התכנסה ועדת היגוי סייבר של משרד הבינוי לראשונה
בשנת 2020
, היא לא פעלה לאישור, מיפוי וסיווג של נכסי המידע של המשרד, כנדרש בהנחיית יה"ב. בסיכומי
ועדת היגוי סייבר מהשנים2021
-
2025
אומנם צויןכי במסגרתהליךההסמכהשלמשרדהבינוילתקן270001
ISO
(אבטחת מידע מטעם מכון התקנים) בוצע מיפוי נכסים, וכי מיפוי נכסים הוצג באופן שוטף לחברי הוועדה, אולם
הוועדה עצמה לא דנה במיפוי, לא בחנה אותו וממילא לא אישרה אותו, כנדרש בהנחיית יה"ב.
בהיעדר דיון ובחינה לגבי מיפוי נכסי המידע של משרד הבינוי נפגעת יכולתה של הנהלת המשרד לבצע בקרה
מיטבית על היעילות והאפקטיביות של יישום מדיניות הגנת הסייבר במשרד ועל מידת התאמתה של תוכנית
העבודה לניהול הגנת הסייבר של המשרד לרמת הסיכון של כל מערכת.
סקרי סיכונים -
בשנים 2022
-
2024
ביצע משרד הבינוי
שמונה סקרי סיכונים. ואולם
על אף החובה לפי תקנה
5
ג)(
לתקנות הגנת הפרטיות (
אבטחת מידע), התשע"ז-
2017
תקנות הגנת הפרטיות או תקנות אבטחת מידע,)(
לדון בממצאי הסקרים, לגבש תוכנית עבודה מתועדפת להתמודדות עם הסיכונים ולהפחתתם ולהגישה לוועדת
היגוי סייבר לקבלת אישורה,
בפועל קיימה ועדת ההיגוי דיונים רק לגבי ממצאי שניים
מהסקרים שבוצעו. יתר
הסקרים לא נדונו, וממילא הוועדה לא קבעה תוכנית להפחתת הסיכונים שעלו
בהם.
מבדקי חדירה - על אף חובתו של בעל מאגר מידע לביצוע מבדקי חדירה למערכות המאגר אחת ל-
18
חודשים
לפחות,
בהתאם לתקנה 5
(ד) לתקנות אבטחת מידע, בשנים 2021
-
2024
ביצע משרד הבינוי שני מבדקי חדירה
אפליקטיביים לשתי מערכות מידע ומבדק חדירה תשתיתי אחד בלבד
. כמו כן, ממצאי המבדקים שביצע משרד
הבינוי לא הובאו
לפני ועדת היגוי סייבר כמתחייב. יתרה מכך, לא נמצאו מסמכים המעידים על טיפול כלשהו של
משרד הבינוי
בסיכונים שהתגלו במבדקים, ובכלל זה פעולות לתיקון הליקויים ומבדקים חוזרים במטרה לוודא
שהליקויים תוקנו ואינם חוזרים על ע
צמם.
דוח מבקר המדינה
| סייבר ומערכותמידע
39
▪
אבטחת מערכות המידע במשרד הבינוי והשיכון
סיוון התשפ"ו
מאי 2026
אי-
עמידה על
ביצוע
מלא של
סקרי סיכונים ומבדקי חדירה שנקבעו בהסכ
ם התקשרות עם ספק -
אף
שבהסכם התקשרות של משרד הבינוי עם חברה חיצונית לתפעול ותחזוקה של מערכות מחשוב נקבע שעליה
לבצע סקרי סיכונים למערכות
לפחות אחת ל-
18
חודשים ומבדקי חדירה, משרד הבינוי לא עמד על ביצועו המלא
של ההסכם
. בפועל החבר
ה ביצע
ה באופן חלקי בלבד סקרי סיכונים מבדקי חדירה שנדרש
ו בהסכם.
קביעת מדדים בנושא הגנת סייבר ועמידה בהם -
בביקורת עלה כי משנת 2022
ועד למועד סיום הביקורת
ועדת היגוי סייבר בחנה את מידת היישום של מדדי האב בנושאי הגנת הסייב
ר
באופן חלקי בלבד, ולא בכל חצי
שנה, כנדרש בהנחיית יה"ב.
למשל,
בדיו
ן
ועדת היגוי סייבר שהתקיים בפברואר 2023
הוצגו לוועדה שלושה
משבעת המדדים שאושרו (כ-
43%
), בינואר 2024
- חמישה משבעת המדדים שאושרו (כ-
71%
),
ובינואר 2025
-
ארבעה משבעת המדדים שאושרו (כ-
57%
.)
עקב כך נפגעה יכולתה של הוועדה לבחון את רמת האפקטיביות
של תשתית הגנת הסייבר ולבצע שינויים כאשר הדבר נדרש.
ניהול הרשאות גישה -
בביקורת עלה כי לגבי יותר ממחצית המערכות לא נסקרו הרשאות המשתמשים אחת
לשנה כנדרש בהנחיות יה"ב. עוד נמצא כי חלק מהעובדים הפעילים וחלק מנותני השירות החיצוניים של משרד
הבינוי לא עברו סקירה תקופתית כנדרש בהנחיות יה"ב. עוד עלה כי
ההרשאה של חלק מה
משתמשים שהוגדרו
"לא פעילים" בקובץ המשתמשים נמצאה תקפה בסקר ההרשאות ולא הוקפאה כנדרש.
ניהול משתמשים "פריווילגיים"
(משתמשי-
על) - משתמשי-
על הם משתמשים בעלי הרשאות ברמה גבוהה
יותרממשתמשיםרגילים,המאפשרותלבצעשינויים רביםיותר, לנהלאתרשימתהמשתמשים ולבצעשינויימבנה
בתשתית.
בביקורת נמצא כי משרד הבינוי לא ביצע בשלוש השנים האחרונות סקירה תקופתית חצי-
שנתית של
הרשאות משתמשי-ה
על, כנ
דרש בהנחיית יה"ב.
היעדר בחינה שיטתית זו מגביר את הסיכון להימצאות הרשאות
עודפות שאינן נדרשות לצורך ביצוע התפקיד בפועל ועלול לחשוף את מערכות המידע לאיומי אבטחה, לגישה
גורפת למידע רגיש ולפעולות בלתי מורשות.
בקרהעלהגישהלמאגריהמידע-נמצא בין היתר,, כי מערכות המידע במשרד הבינוי מתעדות את הגישה של
המשתמשים אל רוב מאגרי המידע ומאפשרות בקרה על כך. ואולם במערכות אלה לא הוגדרו פעולות חריגות,
ולא קיימים מנגנונים אוטומטיים להתרעה על פעולות חריגות.
עקב כך ניסיונות לבצע פעולות לא מורשות
במערכות המידע אינם מנוטרים באמ
צעות ניתוח רשומות תיעוד הפעולות (הלוג)
סמוך ככל שניתן לזמן אמת,
והבקרה על הגישה למערכות המידע אינה מיטבית ואינה תואמת את הדרישות.
תוכניותהמשכיותתפקודית(BCP
)והתאוששותמאסון(DRP
-)
עלהכי
במועדסיוםהביקורתנמצאופערים
בנוגע לנושא הכנת תוכנית להמשכיות תפקודית הכוללת תוכנית התאוששות מאסון, כנדרש בהנחיות יה"ב, בין
השאר לצורך המשך פעילות מערכות המידע של המשרד במקרה אסון.
רישוםמאגריהמידע- משרד הבינוי לא הסדיר את רישוםכל תשעת מאגרי המידע שעליו לרשום
באופן הנדרש
בתקנות הגנת הפרטיות
, אף שעברו כשמונה שנים מ
אז נכנסו התקנות לתוקפן. מאגרים אלה
כולל
ים
במצטבר
מיליוני רשומות,
ובהן
מידע אישי
על דיירי הדיור הציבורי, מקבלי סיוע לדיור, משתתפים בתוכניות דיור בהנחה
וקבלנים רשומים.
התמודדות עםנוזקהמסוגכופרה- עלה כי למרות המלצות מערך הסייבר ולמרות תקיפות סייבר מסוג כופרה
על מוסדות ממשלתיים, משרד הבינוי טרם השלים את היערכותו לאירוע כופרה.
הטיפול בהתרעות מה-
SOC
הממשלתי -
מצבו של משרד הבינוי טוב יותר לעומת
הממוצע במשרדי ממשלה
אחרים (
90%
מההתרעות שנשלחו למשרד הבינוי נסגרו לאחר קבלת מענה, לעומת
85%
מההתרעות במשרדים
אחרים.)
דוח מבקר המדינה
| סייבר ומערכותמידע
40
▪
אבטחת מערכות המידע במשרד הבינוי והשיכון
סיוון התשפ"ו
מאי 2026
על משרד הבינוי לדון בתוצאות סקרי הסיכונים
ולגבש תוכנית עבודה להתמודדות עם הסיכונים שהתגלו
ולהפחתתם. יש להביא תוכנית זו לדיון ו
לאישור בוועדת היגוי סייבר.
משרד הבינוי לבצע מבדקי חדירה בהיקף נרחב יותר, כמתחייבעלמתקנות אבטחת מידע.
נוסף על כך,
על משרד הבינוי לדון בתוצאות מבדקי החדירה, לעדכן את ועדת היגוי סייבר בסיכונים ובאיומים העולים
מה
מבדקים ולנקוט פעולות לתיקון הליקויים שעלו בהם, בהתאם לדרישות תקנות אבטחת מידע. על ועדת
היגוי סייבר
לעקוב אחר תיקון הליקויים.
משרד הבינוי לוודא עמידה שלעלספקי שירות בהתחייבויותיהם לביצוע סקרי סיכונים ומבדקי חדירה
בהתאם להסכמי ההתקשרות עימם. מומלץ כי המשרד יקיים תהליך של הפקת לקחים בעניין אי-
ביצוע
מלוא הסקרים והמבדקים כנדרש ויחיל מנגנוני פיקוח ובקרה שיבטיחו עמידה של ספקים בתנאי
ההתקשרות עימם.
משרדהבינויעללבצעסקירתהרשאותבכללמערכותיו,כנדרשבהנחיותיה"ב,
ולוודא שקיימות הרשאות
פעילות למשתמשים מורשים בלבד.
משרדהבינוילבצעסקירהעלתקופתיתחצי-שנתיתשלהרשאותמשתמשי-
על, כנדרש בהנחיית יה"ב.
משרדהבינוילהגדירמההןפעולותחריגותולהפעילמנגנעל
ונים אוטומטיים להתרעה מפניהן.
שמשרדהבינוי יוכללהבטיחאת המשך פעילותו גם באירועיחירוםהעלוליםלפגועכדיבמערכותהמידע
והמחשוב שלו, עליו להכין תוכנית להמשכיות תפקודית, הכוללת תוכנית התאוששות מאסון, על בסיס
העקרונות שתאשר ועדת היגוי סייבר.
משרד הבינוי להסדיר אתרישומםעלשל מאגרי המידע שברשותו באופן הנדרש בתקנות, ועל ועדת היגוי
סייבר לעקוב אחר
ביצוע הרישום והשלמתו כנדרש.
202
דוח מבקר המדינה
| סייבר ומערכותמידע
41
▪
אבטחת מערכות המידע במשרד הבינוי והשיכון
סיוון התשפ"ו
מאי 2026
משרד הבינוי אמון על ייזום וביצוע של מדיניות הממשלה בתחומי השיכון והבנייה למגורים. לצורך ניהול פעילותו
משתמש המשרד ב
כמה עשרות מערכות מידע הכוללות במצטבר מיליוני רשומות,
ובהן
מידע
אישי ורגיש בין השאר
על דיירי הדיור הציבורי,מקבלי סיוע לדיור, משתתפים בתוכניות דיור בהנחה וקבלנים רשומים. מידע זה נדרש לאבטח
ברמת אבטחה גבוהה.
ביקורת זו העלתה ליקויים מהותיים בפעולותיו של משרד הבינוי בנוגע לניהול אבטחת המידע שברשותו וההגנה על
מערכותיו. בין היתר נמצא כי ועדת היגוי סייבר של המשרד -
שאמורה להתוות מדיניות בתחום אבטחת המידע ולפקח
על יישומה, להתעדכן בסיכונים ובאיומים בתחום הסייבר שהמשרד חשוף אליהם ולפקח על ניהול סיכוני הסייבר
במשרד - לא בחנה ולא אישרה את המיפוי ואת הסיווג של נכסי המידע של המשרד, לצורך קיום בקרה מיטבית;
מיעטה לדון בממצאי סקרים ומבדקים שבוצעו, וממילא לא קבעה תוכנית להפחתת הסיכונים שעלו מהם; וגם לא
וידאה ביצוע של תוכניות
ה
עבודה,
כמתחייב בהנחיות יה"ב. עוד עלה כי משרד הבינוי לא עמד
על ביצוע מלא של
סקרי סיכונים ומבדקי חדירה שנקבעו בהסכם
התקשרות עם ספק
חיצוני.
בדיקה לגבי ניהול הרשאות גישה למערכות מידע העלתה שיותר ממחצית המערכות לא נסקרו אחת לשנה כנדרש
בהנחיות יה"ב, וכי למשרד הבינוי אין רשימה עדכנית של עובדי מיקור-
החוץ שבאמצעותה ניתן לבדוק באופן שוטף
אם עובדים שכבר אינם מועסקים בו עדיין מוגדרים כמשתמשים במערכת. משרד הבינוי גם לא הגדיר לגבי גישה
למערכות המידע מה הן פעולות חריגות שמצריכות בדיקה
ואף
לא הסדיר מנגנונים אוטומטיים להתרעה מפניהן,
ולפיכך ה
בקרה שהוא מבצע על הגישה למערכותיו אינ
ה
מיטבית.
עוד עלה כי במועד סיום הביקורת נמצאו פערים בנושא תוכנית להמשכיות תפקודית,
הכוללת תוכנית התאוששות
מאסון, לשם המשך פעילות מערכות המידע של משרד הבינוי
במקרה כזה.
עלמשרדהבינוילפעוללתיקוןהליקוייםשצוינו בדוחזה,לצורךשיפורההגנהעלהמידעשבידיו והגברתהאפקטיביות
של פעולותיו בתחום זה.
ד ו ח מ ב ק ר ה מ ד י נ ה
מערכות מידע ואבטחת מידע
וסייבר במשרד החוץ
▪ סיוון
▪ מאי
▪
התשפ"
ו
2026
דוח מבקר המדינה
| סייבר ומערכותמידע
45
סיוון התשפ"ו ▪
מאי 2026
מערכות מידע ואבטחת מידע וסייבר במשרד החוץ
תקציר
משרד החוץאחראילגיבוש מדיניותהחוץשלממשלת ישראל, ביצועה והסברתה.
פעולותהמשרדמתבצעות באמצעות
המשרדהראשיבירושליםובאמצעות109
הנציגויותהדיפלומטיותוהקונסולריותבחו
"ל.
המערכותהממוחשבותבמשרד
החוץמהוותאתהתשתיתהתפעוליתשלמשרדהחוץ,והןחיוניותלפעולתוהתקינהשלהמשרד.גורמיהמקצועבמשרד
החוץ האמונים על מערכות המידע והטכנולוגיה ועל הגנת המידע במשרד הם אגף התקשוב וחטיבת
הביטחון במשרד
בטמ"ח.)(
משרד החוץ נדרש להתמודד עם
אתגר מובנה וייחודי, שנגזר מהצורך לנהל מידע מדיני ודיפלומטי רגיש בין המטה
לנציגויות.
מערך התקשוב במשרד החוץ - מאפיינים ייחודיים
מערך הדיגיטל הלאומי מנחה מתוקף סמכויותיו את אגף התקשוב במשרד החוץ בכל הנוגע לפעילויות ולתהליכי
העבודה העיקריים שלו באשר להגנה על המידע,.
יה"ב (יחידת ההגנה בסייבר במערך הדיגיטל הלאומי)
מנחה את
המשרד לגבי
רשת הבלמ"ס, והשב"כ
מנחה אותו
בכל הנוגע לרשתות
מסוימות
במשרד.
משרד החוץ הוא יעד מרכזי לתקיפות סייבר של מגוון יריבים, החל בפצחנים בודדים וכלה
בגורמים מדינתיים
. פעילויות
סייבר שזוהו במשך השנים יוחסו לגורמים איראניים, לגורמים מח
יזבאללה, מחמאס ואחרים.
בשנים 2020
-
2024
אירעו
אירועיסייברחריגים ברשתותהמחשובשלמשרדהחוץ.במהלךמלחמת"חרבותברזל",חלגידולשלכ-
500%
באירועי
הגנת מידע בנציגויות ישראל בחו"ל, ואירעו מאות אירועים בשנת 2023
, בהם למשל ניסיון פריצה לדואר אלקטרוני של
עובד הנציגות.
דוח מבקר המדינה
| סייבר ומערכותמידע
46
מערכות מידע ואבטחת מידע וסייבר במשרד החוץ
סיוון התשפ"ו ▪
מאי 2026
85.3
EOL
מאות
הגנהחלקית
מיליוןש"ח
תקציב תחום התקשוב
נמצאו מערכות
אירועי הגנת מידע
רמת ההגנה על
במשרד החוץ לשנת
ש
הוגדרו כפגות תוקף
התרחשו בנציגויות
המידע ברשתות
2024, המהווה כ-
4.5%
(
1
EOL
,)
או ככאלו
ישראל בחו"ל בשנת
מסוימות
נמוכה
מסך תקציב המשרד
הדורשות שדרוג או
2023
מרמת ההגנה
(
1.9
מיליארד ש"ח.)
החלפה
הנדרשת ואינה
מתוכו התקציב
עומדת בדרישות
שהוקצה לתחום
הגורם המנחה
הסייבר עמד על
כ-
13
מיליון ש"ח
ספריות
רשת
תשתיות
2018
15
משנת
ממצאים
משותפות
ומערכותמידע
לא עודכן
מסמך
נמצאו ספריות
בחלק
נמצאו פערים
זוהו במבדק החוסן
מדיניות הגנת הסייבר
מרשתות המשרד
שהיו
בעדכניות תשתיות
שביצע משרד מבקר
ואבטחת המידע
פתוחות לכלל
ומערכות המידע
המדינה. הממצאים
במשרד החוץ. זאת אף
משתמשי הרשת
ברמות סיכון שונות:
שחלו שינויים מהותיים
רמה גבוהה ביותר,
במפת האיומים
רמה גבוהה, רמה
ובמבנה הארגוני של
בינונית ורמה נמוכה
מערך התקשוב
בחודשים מרץ 2024
עד אפריל 2025
במהלך מלחמת "חרבות ברזל",,
ביצע משרד מבקר המדינה
ביקורת על מערכות המידע ואבטחת המידע במשרד החוץ. הביקורת בחנה נדבכים הנוגעים לניהול
ופיתוח של מערכות המידע במשרד: ממשל טכנולוגיות המידע; ניהול פרויקטים ופיתוח מערכות
מידע; תוכנית התאוששות מאסון. כמו כן נבחנו נדבכים הנוגעים לאבטחת המידע והגנת הסייבר
במשרדהחוץ:ממשלאבטחתמידע;הגנהעלהמידע ברשתותהמחשוב;עדכניות תשתיות ומערכות
המידע; הגנה על רשת
מסוימת
במשרד; הזדהות משתמשים וניהול הרשאות; הגנה על מאגרי מידע
לפי חוק הגנת הפרטיות.
בנוסף, במהלך חודש מרץ 2025
בוצע מבדק חוסן הכולל סקר הערכת
פגיעויות ומבדק חדירה ברשת
מסוימת
במשרד.
הביקורת נערכה בעיקרה במשרד החוץ. בדיקות השלמה נעשו במערך הדיגיטל הלאומי, לרבות
ביה"ב הפועלת בו, במס"ל ובשב"כ.
ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח דוח זה במלואו
על שולחן הכנסת אלא לפרסם רק חלקים ממנו, לשם שמירה על ביטחון המדינה, בהתאם לסעיף
17
לחוק מבקר המדינה, התשי"ח-
1958
נוסח משולב.][
1
.
End of Life
דוח מבקר המדינה
| סייבר ומערכותמידע
47
מערכות מידע ואבטחת מידע וסייבר במשרד החוץ
סיוון התשפ"ו ▪
מאי 2026
ניהול ופיתוח של מערכות המידע במשרד החוץ
הקמת ועדת היגוי משרדית לתחום התקשוב ופעילותה -
בניגוד להנחיות מערך הדיגיטל, ועדת ההיגוי
המשרדית לתקשוב שתפקידה בין היתר לקבוע את האסטרטגיה של המשרד ומדיניותו בנושאי תקשוב;
לאשר
את תוכניות העבודה והתקציבים הרב-
שנתיים והשנתיים של כלל הפעילויות המתקיימות במשרד בתחומים
של מערכות מידע ותקשוב;
לקבו
ע ולאשרר סדרי עדיפות וחלוקת משאבים;
ולעקוב אחר ביצוע התוכניות
לווודא את
מימושן, לא התכנסה במשך כשלוש שנים (2021
-
2023
). ועדת
ההיגוי שבה והתכנסה רק באפריל
2024
.
תקציב אגף התקשוב -
תקציב משרד החוץ לשנת 2024
עמד על כ-
1.9
מיליארד ש"ח. התקציב שהוקצה
לתפעול שוטף של תחום התקשוב עמד על 85.3
מיליון ש"ח
, המהווה כ-
4.5%
מסך התקציב. ממסמכי אגף
התקשוב עולה
שהתקציב
שהוקצה לשנת 2024
אינו מספק ואינו תואם את צורכי המשרד בפועל, ו
כי יש
צורך
בתקצוב נוסף של לפחות 20
מיליון ש"ח. כתוצאה מכך, נכון לשנת 2024
,
14
פרויקטים -
ובהם שדרוג מערכת
מרכב"ה,המערכתהקונסולרית,ותהליכימעברלענן-
הוקפאואועוכבובשלהיעדרתקציב.כמוכןהיופערים
בתחזוקת מערכות קיימות ועיכובים בשדרוג תשתיות חיוניות.
ועדות היגוי לפרויקטים -
בניגוד להנחיות מערך הדיגיטל
ולפיהן יש
להקים ועדות היגוי לכל פרויקט פיתוח
מערכת מידע המוגדר מורכב או שבגודל בינוני ומעלה, משרד החוץ לא מינה ועדות היגוילארבעה מתוך שישה
פרויקטים משמעותיים שנבדקו.
בהיעדר ועדת היגוי לפרויקט, לא יכול להתבצע הליך סדור ומיטבי של פיקוח
והנחיה, אישור אבני דרך, ניתוח וניהול סיכונים, בקרה שוטפת של ביצוע מול תכנון וקביעת דרכי הפעולה
להתמודדות
עם אתגרים שעולים. זאת ועוד, עלה
כי היות שהצוותים עובדים על כמה פרויקטים במקביל, אין
למשרד החוץ דרך לגזור עלויות לפרויקט מסוים.
בהיעדר תשתית מידע מלאה ומפורטת בנוגע לתקציב
הפרויקט ויכולת לגזור את עלויותיו, לא ניתן לפקח על הפרויקט ועל ההחלטות המתקבלות במסגרתו בצורה
מיטבית.
ניהול סיכוניםבפרויקטים -
בניגוד לנדרש בהנחיות מערך הדיגיטל
ולפיהן ניהול סיכונים הוא מרכיב הכרחי
בניהול הפרויקט בשלביו השונים, משרד החוץ אינו מקיים תהליכים של ניהול סיכונים בפרויקטים לכל אורך
מחזור חיי הפרויקט. זאת, אף על פי שמדובר בפרויקטים משמעותיים, שמטבעם בעלי סיכונים טכנולוגיים,
פיננסיים ותפעוליים למשרד החוץ. בהיעדר ניהול סיכונים, גדל הסיכון לאי-
עמידה בלוחות הזמנים שהוגדרו
לפרויקט, לחריגה בתקציב, לפגיעה באיכות תוצרים, לכישלון פרויקטים ולפגיעה במתן שירות לציבור
ובתפקוד יחידות שונות במשרד החוץ.
פיתוח מערכת מידע
מסוימת - המערכת נועדה להחליף מערכת מסוימת במשרד החוץ ולהביא לשיפור
השירות הקונסולרי.
עלה כי:
אף שהפרויקט תוכנן מלכתחילה להסתיים בשנת 2019
, הרי שלפי לוחות הזמנים
המעודכנים הפרויקט עתיד להסתיים לכל המוקדם בשנת 2028
כעשר שנים לאחר המועד המקורי שתוכנן;,
בנוסף,מדוברבפרויקטשניהולולקהבאופןיסודיבהיבטיהמעקבוהבקרההתקציביים.משרדהחוץלאהעריך
לאורך השנים את עלויות הפרויקט ולא אמד את עלויותיו עד כה -
עלות בפועל מול התכנון ואיתור חריגות
תקציביות; נוכח העיכוב הניכר שחל בפיתוח הפרויקט נדרש להקצות כוח אדם נוסף, דהיינו להשקיע תקציב
נוסף
שהוערך על-ידי ועדת ההיגוי של הפרויקט בכ-
12
-
18
מיליוני ש"ח, כדי להביאו לידי גמר; זאת ועוד, נכון
ליולי2024
,חמששניםמהמועדהמקורילסיוםהפרויקט, בוצעה רקכמחצית התכולההנדרשת ברמתהפיתוח
(
53%
ואף זאת לאחר שהוחלט על צמצום התכולות שתוכננו מלכתחילה.),
דוח מבקר המדינה
| סייבר ומערכותמידע
48
מערכות מידע ואבטחת מידע וסייבר במשרד החוץ
סיוון התשפ"ו ▪
מאי 2026
תוכניתהתאוששותמאסון -
נכון לספטמבר 2024
ישנם פערים ביכולתו של משרד החוץ להתאושש מאסון.
בכלל זה:
אין למשרד תוכנית DRP
2 מעודכנת, סדורה ותקפה להתאוששות מאסון; נמצאו ליקויים ביכולת
ההתאוששות של אתר ה-
DR
; המשרד לא תרגל באתר ה-
DR
תהליך של העלאת מערכות מידע משחזור, ולא
בחן את הישימות הטכנית של התהליך, את מוכנות כוח האדם לבצע את התהליך ואת לוחות הזמנים שיידרשו
למימושו.
יוצא אפוא שבפועל משרד החוץ נעדר את ההיערכות ואת היכולת הנחוצות על מנת להתאושש
מאסון.
אבטחת המידע והגנת הסייבר במשרד החוץ
מדיניות הגנת הסייבר ואבטחת המידע במשרד החוץ ועדכונה -
נכון לינואר 2025
,
ועדת ההיגוי להגנת
הסייבר ומנכ"להמשרדלא עדכנו ולא תיקפואת מסמך מדיניותהגנתהסייבר,
אףשחלפוכשבעשניםממועד
אישורו ע
ל ידם ב
שנת
2018. זאת בניגוד להנחיות הגורמים המנחים שלפיהן יש לאשרר את המדיניות מדי
שנתייםעדשלוששנים, ואףעלפישבשנים 2018
-
2024
חלושינוייםמהותייםבמפתהאיומיםובמבנההארגוני
של מערך התקשוב של משרד החוץ, ובכלל זה באיום הייחוס של המשרד
ובפרט לאור העלייה באיומי הסייבר
במהלךמלחמת "חרבות ברזל". בהיעדרמדיניותהגנת סייברמקיפה ועדכניתגוברתהחשיפה שלמשרדהחוץ
לתקיפות סייבר ולדליפת מידע רגיש, וכן גובר הסיכון הכרוך בכך.
פעילות ועדת ההיגוי להגנת הסייבר - ועדת ההיגוי להגנת הסייבר
בראשות
סמנכ"לי תיאום
ותכנון מדיני
במשרד החוץ אמורה לשמש מסגרת ארגונית ניהולית לקבלת החלטות בתחום הגנת הסייבר ולמעקב אחר
יישומן. עלה כי ועדת ההיגוי במשרד החוץ לא עקבה בשנים 2018
-
2024
באופן שיטתי ורציף אחר יישום
החלטות שקיבלה בנוגע לנושאים מהותיים, כגון -
מדיניות לסיווג מידע רגיש
(שאינו מסווג מהבחינה
הביטחונית),
שימוש העובדים ביישום
מסוים ו
הגנת הפרטיות.
היעדר מעקב אחר יישום החלטות שנועדו לקדם
טיפול בסוגיות אבטחת מידע חושף את המשרד לסיכונים ופוגע ביכולת לשפר את רמת ההגנה על המשרד
ונכסיו.
ביצוע סקרי סיכוניםומבדקיחדירה -
נמצא כי משרד החוץ פעל במהלך השנים 2017
-
2024
לביצוע סקרי
סיכונים (הן סקרים כוללים והן סקרים ייעודיים) ומבדקי חדירה. עם זאת, סקרי הסיכונים ומבדקי החדירה היו
חסרים, או שלא נגעו לכלל נכסי המידע והתהליכים הקריטיים במשרד.
כך לדוגמה,
בשנים 2017
ו-
2019
ביצע
המשרד סקרי סיכונים רק על
חלק מ
רשתות המשרד ובחלק מיחידות המשרד.
2
Disaster Recovery Plan
.
דוח מבקר המדינה
| סייבר ומערכותמידע
49
מערכות מידע ואבטחת מידע וסייבר במשרד החוץ
סיוון התשפ"ו ▪
מאי 2026
התעדכנות באיר
ועי סייבר חריגים במשרד -
לפי הנחיות יה"ב, אחד מתפקידי ועדת ההיגוי הוא להתעדכן
באירועי סייבר חריגים שאירעו במשרד, לקיים הערכת נזקים בעקבות תקלות ולגבש המלצות לטיפול.
נמצא
כי בשנים 2020
-
2024
אירעו אירועי סייבר חריגים, אולם רק בספטמבר 2024
הובא דיווח תמציתי
לוועדת
ההיגוי על התרחשותם, ודיווח זה נגע רק לחלק מהאירועים.
העברת מידע על חלק מאירועי הסייבר, באיחור
ניכר לאחר מועד התרחשותם, אינה מאפשרת לחברי הוועדה להעריך במועד את הנזק שנגרם לרמת הגנת
הסייבר המשרד ולגבש המלצות לצורך תיקון הפערים שהועלו.
הגנה על המידע ברשתות המחשוב במשרד החוץ -
נמצאו ליקויים חמורים המשקפים תרבות ארגונית
לקויה במשרד החוץ בכל הנוגע לשמירה על מידע רגיש ופרטי.
ליקויים אלה מעלים את הסיכון לדלף מידע,
דבר שיכול אף להביא לחשיפה של זהותם של עובדי המשרד. להלן פירוט הליקויים: היעדר נוהל המסדיר את
סיווג נכסי המידע ואת מעטפת ההגנה הנדרשת בהתאם לסיווגם של הנכסים;
ניתנה גישה לכונן שהיה פתוח
לכלל
משתמשי רשת
מסוימת ושהכיל עשרות אלפי מסמכים, חלקם כוללים מידע רגיש, כגון מידע אישי-
פרטי.
מסמכים הכוללים מידע אישי
שהיו נגישים לכלל משתמשי רשת מסוימת במשרד
עמידה ברמת ההגנה הנדרשת ברשתות
מסוימות -
נמצא כי רמת ההגנה על המידע ברשתות
מסוימות
נמוכה מרמת ההגנה הנדרשת ואינה עומדת בדרישות הגורם המנחה.
עדכניות תשתיות
ו
מערכות המידע במשרד החוץ -
נמצאו פערים בעדכניות תשתיות ומערכות המידע.
הגנה על רשת
מסוימת במשרד החוץ -
עלו פערים בנוגע להגנה על רשת מסוימת במשרד החוץ.
הזדהות משתמשים - נמצאו ליקויים בהזדהות משתמשים לרשתות המחשב במשרד החוץ.
דוח מבקר המדינה
| סייבר ומערכותמידע
50
מערכות מידע ואבטחת מידע וסייבר במשרד החוץ
סיוון התשפ"ו ▪
מאי 2026
ניהול הרשאות -
נמצאו
פערים בכל הנוגע לניהול הרשאות הגישה למערכות המידע במשרד החוץ.
הגנה על מאגרי מידע לפי חוק הגנת הפרטיות -
הנהלת משרד החוץ מחויבת להגן על מאגרי מידע
הכוללים מידע פרטי בהתאם להוראות הדין, לרבות תקנות הגנת הפרטיות, כדי למזער את הסיכון לפגיעה
בזכות לפרטיות. עלה כי משרד החוץ אינו מיישם באופן מלא את דרישות חוק הגנת הפרטיות ותקנותיו, ובכלל
זהלאביצעמיפוימלאשלהמאגריםשברשותו;לאקבעאתרמתהאבטחההנדרשתבעניינםולאנקטפעולות
הנדרשותלפיהחוקוהתקנותכדילהגןעליהםבאופןמספק;
בפנקסמאגריהמידעבמשרדהמשפטיםרשומים
רק
שלושה מאגרי מידע של משרד החוץ, אף שהמשרד מנהל עשרות מאגרים נוספים. אי-
עמידה בחוק
ובתקנותיו עלולה להביא לפגיעה בפרטיותם של עובדי המשרד ושל אזרחים המקבלים שירותים ממנו. נוסף
על כך, היא חושפת את המשרד לסיכוני אבטחת מידע.
מבדק חוסן
שבוצע על ידי משרד מבקר המדינה באחת הרשתות במשרד החוץ -
המבדק העלה 15
ממצאים
בתחומים שונים וברמות סיכון שונות:
רמה גבוהה בי
ותר, רמה גבוהה, רמה בינונית ורמה נמוכה.
תוכניתאסטרטגיהדיגיטלית -
משרד מבקר המדינה מציין לחיוב את יוזמת המשרד לגיבוש הצעה לתוכנית
אסטרטגית בתחום התקשוב בשנים 2023
-
2024
. לנוכח
הפערים הניכרים שהתוכנית הציפה בנוגע לפעילות
התקשובית במשרד החוץ ובהם פערים הנוגעים למבנה הארגוני, להיקף כוח האדם המוקצה לתחום התקשוב,
לתהליכי העבודה, לתשתיות הטכנולוגיות ולתקציב התקשוב, על מנכ"ל משרד החוץ להידרש לנושא בהקדם,
לכנס את ועדת ההיגוי המשרדית לשם דיון בתוכנית האסטרטגית ובהשלכותיה, ולקדם את קבלת ההחלטות
הנדרשות לטיפול ולצמצום הפערים שהועלו, כמו גם לקביעת לוחות זמנים ותקציב נדרש לטובת הנושא.
בקרה על ניהול הרשאות -
יצוין לחיוב כי בשנת 2024
אגף התקשוב השווה מדי חודש בין מידע שקיבל
מאגף הון אנושי במשרד בנוגע לעובדים שסיימו את העסקתם לבין משתמשים פעילים בכל אחד מהדומיינים
במשרד. כמו כן האגף ביצע את הבקרות בנוגע למשתמשים שסיסמתם חלשה וניתנת לפיצוח בזמן קצר.
עלמנכ"למשרדהחוץלוודאכיועדתההיגוילתקשובתתכנסבאופןסדיר,בתדירותשלפעמייםעדארבע
פעמים בשנה, ותמלא את כל תפקידיה כמוגדר בהנחיות מערך הדיגיטל, ובכלל זה אישור תוכנית העבודה
ומעקב אחר יישומה. כמו כן עליו למנות לחברי הוועדה סמנכ"לים מקצועיים במשרד, שכן הם מושפעים
בעבודתם השוטפת מתפקוד אגף התקשוב וממערכות המידע של הארגון ומביאים עימם תובנות בנוגע
לצורכי היחידות.
תקציב מאפשר הוא תנאי הכרחי למימוש אפקטיבי של ממשל טכנולוגיות מידע, שכן ללא תקצוב מספק,
הארגון חשוף לסיכוני תפעול ואבטחה רבים. לנוכח הקשיים המשמעותיים שהוצפו בעניין זה, נדרש כי
מנכ"ל משרד החוץ יבצע בחינה מעמיקה בנוגע לתקצוב תחום התקשוב, במטרה להבטיח כי במציאות של
מחסור יסודי במשאבים התקציב מנוצל בהלימה לסדרי העדיפויות המשרדיים. כמו כן עליו לוודא כי
המחסור בתקציב לא יוצר סיכונים עכשוויים או עתידיים שהמשרד אינו יכול לקבל (למשל בתחום אבטחת
מידע, ביצוע משימות ליבה או ה
י
ערכות עתידית לעבודה בענן.)
דוח מבקר המדינה
| סייבר ומערכותמידע
51
מערכות מידע ואבטחת מידע וסייבר במשרד החוץ
סיוון התשפ"ו ▪
מאי 2026
על משרד החוץ לפתח מדיניות מקיפה ומפורטת לניהול סיכוני התקשוב בפרויקטים, תוך שימוש
במתודולוגיה סדורה ובהלימה עם הנחיות מערך הדיגיטל. במסגרת זו יש להקים מנגנון זיהוי והערכה של
סיכונים בכל שלבי הפרויקט, לתעד את הסיכונים ולגבש תוכנית פעולה מותאמת
להתמודדות עם כל
סיכון. עוד מומלץ להכשיר את מנהלי הפרויקטים בתחום זה ולהקצות משאבים לצורך פיתוח כלים
וטכנולוגיות שיסייעו בניהול סיכונים מיטבי.
ועדתההיגויהייעודיתשלפרויקטעל
מסוים
וועדת ההיגוי המשרדית לתחום התקשוב לבחון לעומקם את
הליכי ההערכה והתכנון בפרויקט ולנהל מעקב הדוק אחר התקדמות אבני הדרך שלו בכל שלב ושלב.
זאת כדי למנוע עיכובים נוספים ביישומו של הפרויקט וכדי להבטיח כי המשך היישום בשנים הבאות ייעשה
בהתאםלתוכניותולתכולותשאושרו.
כמןכן,עלהוועדותהאמורותלתתאתהדעתלהיעדרהיכולתלאמוד
את עלויות הפרויקט. יוער כי בהיעדר תשתית מידע מלאה ומפורטת בנוגע לתקציב הפרויקט ויכולת לגזור
את עלויותיו, לא ניתן לפקח על הפרויקט ועל ההחלטות המתקבלות במסגרתו בצורה מיטבית.
להבטיח את הרציפות התפקודיתשל משרדהחוץ, על משרדהחוץ לבחון אילו צעדיםעליוכדילנקוט כדי
להבטיח את התאוששות מערכות מידע מסוימות
באתר ה-
DR
בהתאם למדדי ההתאוששות שאישרה
הנהלת המשרד בספטמבר 2024
-
וליישמם. במקביל, עליו לגבש באופן מיידי תוכנית DRP
, שתיתן מענה
לכלל רשתות המשרד, ולוודא כי באתר ה-
DR
קיים עותק מעודכן עם המידע הנדרש לשם שחזור מערכות
מידע
מסוימות
והקמתן באתר זה.
מנכ"למשרדהחוץלקייםעלבחינהמעמיקהויסודית,בשיתוףעםועדתההיגויהמשרדיתלתקשוב,בנוגע
לפערים בתהליכי ניהול ופיתוח של מערכות מידע, כמו גם בנוגע לממצאים שהועלו בתוכנית האסטרטגית
ובסקר הסיכונים, תוך ניתוח השלכותיהם על פעילות המשרד. בחינה זו תסייע בזיהוי בעיות השורש
ותאפשר קבלת החלטות מושכלת תוך תיעדוף משימות, וגיבוש תוכנית פעולה ברורה הכוללת צעדים
אופרטיביים, לוחות זמנים וגורמים אחראים לביצוע. זאת ועוד, דבר זה יסייע גם להבטיח כי תחום התקשוב
במשרד החוץ יטופל באופן יסודי ומקיף תוך מתן התמיכה הנדרשת ליחידות המשרד בביצוע תפקידיהן
ובהשגת יעדיהן בתחומי הפעולה השונים בזירה הבין-
לאומית ובתחומים הקונסולריים.
מנכ"ל המשרד לוודא כי מדיניות הגנת הסייבר תתוקף כנדרש באופן עתי על ידיעלועדת ההיגוי להגנת
הסייבר ובכלל זה לנוכח האיומים שנוספו במהלך מלחמת "חרבות ברזל".
משרדהחוץ,בשיתוףהגורמיםהמנחיםיה"בועל
השב"כ, לבצע סקר סיכונים הכולל את כלל נכסי המידע
והתהליכים הקריטיים,
ובהתאם לכך ליצור מפת סיכונים משרדית שתאושר על ידי ועדת ההיגוי להגנת
הסייבר. כמו כן, על המשרד לגבש תוכנית להפחתת הסיכונים שהועלו, שתאושר גם היא על ידי ועדת
ההיגוי במשרד.
מנכ"לעלמשרדהחוץלוודאכיגורמיהמקצועבמשרדיעבירודיווחמפורטעלאירועיסייברחריגיםלוועדת
ההיגוי בכינוס הוועדה בסמוך למועד התרחשותם, כך שלפני חברי הוועדה תוצג תמונת המצב המלאה
בנושא, מהלך שיאפשר להם לקדם את רמת ההגנה בסייבר במשרד.
נדרש להשלים את גיבוש הנוהל הנוגע לסיווג נכסי המידעהמשרד
ולהגביל את הגישה למסמכים רק
לעובדים שהמידע דרוש להם לצורך עבודתם.
מנכ"ל משרד החוץ להבטיח כי ייעשועלהפעולות הדרושות להשגת רמת
ההגנה הנדרשת ברשתות
מסוימות בהקדם, כמתחייב מרמת איום הייחוס שהוגדרה
ושעל המשרד לעמוד בה.
כמו כן, על
הגורם
המנחה
להמשיך ולעקוב אחר יישום הנחיותיו במסגרת
בחינת עמידת המשרד
ברמת הגנה הנדרשת.
דוח מבקר המדינה
| סייבר ומערכותמידע
52
מערכות מידע ואבטחת מידע וסייבר במשרד החוץ
סיוון התשפ"ו ▪
מאי 2026
על מנהל אגף התקשוב לשקף להנהלת המשרד ולוועדת ההיגוי להגנת הסייבר את הפער הקיים בנושא
מסוים על פי הנחיות הגורמים המנחים, את הסיכונים הכרוכים בפער זה ולגבש תוכנית סדורה להשלמת
הפער תוך גיבוש משאבים תקציביים. על מנכ"ל משרד החוץ לפעול להשלמת פער זה.
על
הגורמים
המנחים
לבצע בקרה כדי לוודא כי הפער הקיים
בנושא זה
מטופל כנדרש.
מנכ"ל משרד החוץ, בשיתוף הגורמים הרלוונטיים במשרד ובהם אגףעל התקשוב, הלשכה המשפטית
וחטיבת בטמ"ח, לוודא עמידת המשרד בדרישות חוק הגנת הפרטיות ותקנותיו באופן מקיף, סדור ושיטתי
ולהקצות לכך משאבים מתאימים, כך שהמידע הפרטי של העובדים והאזרחים שנשמר במאגרי המידע של
המשרד יהיה מוגן כנדרש.
היקף הממצאיםנוכחשעלו במבדק החוסן שבוצע
על
משרד החוץ
ל
קיים הערכת מצב ו
לבנות
תוכנית
אופרטיבית לתיקון הליקויים שפורטו בדוח הטכני המפורט שנמסר למשרד החוץ.
ה
פערים
ה
מרכזיים בתהליכי הניהול והפיתוח של מערכות המידע
דוח מבקר המדינה
| סייבר ומערכותמידע
53
מערכות מידע ואבטחת מידע וסייבר במשרד החוץ
סיוון התשפ"ו ▪
מאי 2026
ה
פערים ה
מרכזיים
באבטחת המידע והגנת הסייבר
משרד החוץ אמון על גיבוש מדיניות החוץ של מדינת ישראל, ביצועה והסברתה, ומתוקף תפקידו הוא מחזיק במידע
רגיש. המערכות הממוחשבות של משרד החוץ חיוניות לפעילותו התקינה ולמימוש יעדיו, ופגיעה בהן או במידע המצוי
בהן עלולה לגרום לפגיעה בתפקוד המשרד בכללותו ובשירות שהוא נותן לציבור,
ולפגיעה ב
יחסי החוץ של המדינה
ותדמיתה בעולם. נוכח תפקידו, משרד החוץ הוא יעד מרכזי לתקיפות סייבר של מגוון יריבים, החל מפצחנים וכלה
בגורמים מדינתיים.
ממצאידוחזהמלמדיםעלפעריםבשניהתחומיםשנבדקו-הניהולוהפיתוחשלמערכותהמידעבמשרדהחוץואבטחת
המידע והגנת הסייבר במשרד.
תמונתהמצבהעולהמביקורת זומלמדתעלפערטכנולוגימתמשך במערכותהמחשוב שלמשרד החוץשלשנים רבות
ועל תרבות ארגונית שאינה הולמת את איום הייחוס שהוגדר למשרד החוץ.
ממצאי ביקורת זו מדגישים את הצורך בחיזוק מנגנוני הפיקוח והבקרה
של הנהלת משרד החוץ
וועדת ההיגוי להגנת
הסייבר בראשות מנכ"ל משרד החוץ בכל הנוגע למערכות המידע ואבטחת המידע במשרד.
על מנכ"ל משרד החוץ להידרש לממצאי דוח זה ולוודא כי הליקויים והפערים שהועלו בו יטופלו. בכלל זה, יש להכין
תוכנית עבודה סדורה ומפורטת, לרבות לוחות זמנים, כדי לתעדף את הטיפול בכלל הפערים שהועלו ולצמצם את
הסיכונים הקיימים. כל זאת, במטרה להבטיח פעילות תקינה של מערך התקשוב במשרד החוץ ולשפר את רמת ההגנה
על המשרד ונכסיו.
דוח מבקר המדינה
| סייבר ומערכותמידע
54
מערכות מידע ואבטחת מידע וסייבר במשרד החוץ
סיוון התשפ"ו ▪
מאי 2026
זאת ועוד, על
השב"כ ויה"ב להידרש אף הם לממצאי דוח זה ולעקוב אחר הטיפול בפערים שהועלו בו, כדי לשפר את
רמת ההגנה על המידע במשרד החוץ ולהבטיח שרמת ההגנה תהיה בהלימה לאיום הייחוס של המשרד.
ואולם בסופו של
דבר
התובנות והלקחים העולים מדוח זה אינם מסתכמים בפעולת משרד החוץ והפיקוח על פעולתו.
משרד מבקר המדינה ביצע בשנים האחרונות שורה של ביקורות בגופים ממשלתיים ובגופים ציבוריים רגישים בתחום
התקשוב ובפרט בנושא אבטחת המידע והסייבר. ממצאים שעלו בדוחות אלו - ובאים לידי ביטוי ברור גם בדוח זה -
מחייבים בחינה מעמיקה בקרב הרגולטורים המדינתיים - מערך הדיגיטל הלאומי, מערך הסייבר הלאומי, השב"כ
והרשות להגנת הפרטיות -
בנוגע לכמה סוגיות יסודיות וזאת בקשר לכלל משרדי הממשלה:
1
.
בחינת הצורך בהטמעה ממשית ועמוקה של הסיכונים הטמונים בתחום הסייבר ופוטנציאל הנזק העלול להיגרם
בגינם לארגון ולמדינה בכלל וכי איום הסייבר הוא איום ביטחוני ואסטרטגי לאומי. הטמעה זו נדרשת לה
יעשות
בראש ובראשונה בקרב כלל המנהלים הכלליים של משרדי הממשלה ומכך אף נגזרת הדרישה בנוגע למידת
מעורבותם בנושא.
2
.
כנגזרת של תפיסת האיום, נדרשת בחינה בנוגע לחיזוק מנגנוני הפיקוח והרגולציה של הגורמים המנחים, ובפרט
כאשר ישנם כמה גורמים המנחים את אותו הגוף. זאת, על מנת להבטיח את אפקטיביות פעילות הגורמים המנחים
למול גופים ממשלתיים ומתן מענה לכלל הסיכונים בצורה הוליסטית.
3
.
בחינה מעמיקה של הפערים הקיימים במגזר הממשלתי בנוגע לתקצוב תחום התקשוב ובכלל זה תחום אבטחת
המידע והגנת הסייבר, במטרה להבטיח כי במציאות של מחסור יסודי במשאבים, היקף התקציב ייתן מענה הן
לדרישות המקצועיות ולהתפתחויות הטכנולוגיות והן לאיום הקיים. זאת במטרה להבטיח כי המחסור בתקציב לא
יוצר סיכוני תקשוב או סיכוני אבטחת מידע, עכשוויים או עתידיים כמו גם נזקים הנובעים מאי-
הטמעת טכנולוגיות
חדשות.
4
.
מתן הדעת על כך שחלק מהפערים, דוגמת אלו הנוגעים להגנה על הפרטיות, נובעים מתרבות ארגונית לקויה וכי
ניתן לתת להם מענה באמצעות טיפול וקשב מצד הנהלות הגופים ובאמצעות כלים, לרבות כלים טכנולוגיים,
שאינם דורשים בהכרח הקצאת משאבים, כגון הדרכות ונקיטת פעולות להעלאת מודעות העובדים.
ביצוע בחינה מעמיקה כאמור תסייע במיקוד המאמצים וטיוב עבודת משרדי הממשלה בכל הנוגע לתחום התקשוב,
אבטחת מידע והגנת הסייבר ובקידום רמת ההגנה באופן שיהלום את רמת האיום והשלכותיו, כמו גם לשיפור יעילות
פעילות עבודת הממשלה ושיפור השירות לציבור.
Report of the State ComptrollerofIsrael | CyberandInformationSystems
VI
May 2026
coupled with close collaboration among all
publicentities.Ensuringadequateprotection
of information systems and digital services
is not merely a technological requirement,
butanecessaryprerequisiteformaintaining
public trust, safeguarding citizens’ privacy,
and securing the proper and continuous
functioningofpublicservices.
The audited entities are responsible
foractingexpeditiouslyandeffectively
torectifythedeficienciesidentifiedin
thisreport.
Iextendmygratitudetothepersonnelwithin
the Office of the State Comptroller who
prepared this report with professionalism,
thoroughness, dedication, and a strong
sense of mission. It is my hope that the
report’sfindingsandrecommendationswill
contribute to the strengthening of cyber
and information security systems within
thepublicsectorandenhancethequalityof
servicesdeliveredtothecitizensofIsrael.
We express our hopes and prayers for
the swift recovery of the injured, the
rehabilitation of the hostages who have
returnedtousandtotheirfamilies,thesafe
return of all evacuees to their homes, the
safetyofoursoldiers,andthesuccessofthe
securityforcesinsafeguardingournation.
Matanyahu Englman
State Comptroller
Jerusalem,
and Ombudsman
May 2026
Report of the State ComptrollerofIsrael | CyberandInformationSystems
V
May 2026
registration of approximately 4.6 million
processes, absence of sufficient alert
citizens within the national identification
mechanisms, and incomplete registration
system, policy implementation remains
of databases as mandated by law. These
partial and sluggish. Only 16% of
findingsgainparticularsignificanceinlight
mapped services are connected to the
of the substantial increase (approximately
identification system; only approximately
130%) in cyber alerts received by the
23% of the identified online forms are
Ministry in 2024, underscoring the critical
managed through it; and merely 233 out
importance of effective protection of the
ofthousandsofgovernmentserviceshave
state’sinformationassets.
been made accessible via the personal
area. Furthermore, it was found that only
cyber
The
report
further
examines
15of258localauthoritieshaveconnected
protection in remote work, which
to the national identification system, and
has become integral to the operations of
the integration of government ministries
public and security bodies in recent years,
and other public bodies with these
particularlyduringtheCOVID-19pandemic
systems is limited, thereby hindering the
and the Swords of Iron War. The audit
public’s ability to receive comprehensive,
assessedthereadinessofcriticalagencies,
straightforward, and accessible digital
includingtheIsraelPoliceandtheNational
governmentservices.
Fire and Rescue Authority, to manage
the cyber threats associated with remote
Another chapter addresses the security
work. Findings exposed certain gaps in
of
information
systems
within
the adaptation of protection and control
the Ministry of Construction and
mechanisms with respect to extant risks.
Housing, which maintains millions of
Moreover, a penetration test conducted
records containing personal and sensitive
by the Office of the State Comptroller on
data about citizens, housing beneficiaries,
the Fire and Rescue Authority’s remote
and contractors. The Ministry utilizes
work system revealed deficiencies. These
numerous information systems, and in
outcomeshighlightthenecessitytofinalize
2025, its information and cyber security
workplansandtoenhancecyberprotection
budget amounted to approximately NIS
preparedness within the nation’s critical
6.5 million, representing roughly 9% of
bodies.
its total computing budget. The audit
identified significant shortcomings in the
Overall, the report findings indicate that
management of information and cyber
Israel’sadvancementtowardasophisticated
security within the Ministry, including
digital government mandates sustained
deficienciesinaccessauthorizationcontrols,
investment in cyber infrastructure, risk
inadequateapplicationofriskmanagement
management, oversight, and enforcement,
Report of the State ComptrollerofIsrael | CyberandInformationSystems
IV
May 2026
The four chapters of this report address
systems, ensuring operational continuity,
distinct yet complementary dimensions
and advancing the digital transformation of
withinthedomainofcyberandinformation
publicserviceconstitutenationalchallenges
systemsinthepublicsector:
necessitating systemic, coordinated, and
sustainedintervention.
• Information
Systems
and
InformationandCyberSecurity
TheauditofInformationSystemsand
attheMinistryofForeignAffairs
Information and Cyber Security at
the Ministry of Foreign Affairs was
• Cybersecurity in Remote Work
during
Routine
Times
and
conducted during the Swords of Iron
Emergencies
War and identified deficiencies in the
management and development of the
• Information System Security
Ministry’s information systems, as well
at the Ministry of Construction
as in the domains of information security
andHousing
and cyber protection. Given its role, the
• Online Public Services: The
Ministry of Foreign Affairs represents a
National Identification System
key target for cyber-attacks perpetrated
and the Government Personal
byarangeofadversaries,fromhackersto
Area
stateactors.Theauditfindingsunderscore
thenecessityofenhancingthesupervisory
The first three chapters underwent a
and control mechanisms governing the
confidentialityprocessintheKnessetState
Ministry of Foreign Affairs’ management
Audit Committee sub-committee, which
of information systems and information
decided not to bring them in their entirety
security, in order to ensure the proper
before the Knesset, but to publish only
functioning of its IT infrastructure and to
partsthereof,toprotectthestate’ssecurity.
augment the protective measures for the
Ministryanditsassets.
The audit findings reveal deficiencies in
preparedness,riskmanagement,supervision,
One chapter of the report addresses the
and the execution of government policy in
implementationofgovernmentpolicy
this field, alongside only partial progress
for promoting digital public services
in enhancing digital service accessibility
through the national identification
and in deploying advanced protection
systemandthegovernmentpersonal
and control mechanisms. Although each
area. The audit disclosed that despite
report examines a specific subject area,
numerous governmental resolutions since
their collective results demonstrate that
2014 concerning the enhancement of
strengtheningtheprotectionofinformation
online services, and notwithstanding the
Report of the State ComptrollerofIsrael | CyberandInformationSystems
III
May 2026
Foreword
The State Comptroller’s annual audit
security-related information on a massive
report on Cyber and Information Systems
scale and serve as essential infrastructure
is hereby submitted to the Knesset in
for government ministries, emergency
accordancewiththeprovisionsoftheState
bodies, and critical public services. In an
ComptrollerLaw,5718-1958[Consolidated
era marked by escalating cyber threats,
Version].Thisreportaddresseskeyaspects
and particularly during emergencies and
of cyber protection, information security,
crises,thestatemustundertakeadvanced
anddigitalserviceswithinthepublicsector.
preparationstoguaranteesystemintegrity,
safeguard citizens’ privacy, and maintain
uninterrupted, secure, and reliable public
In recent years, the digital domain has
servicedelivery.Strengtheningthisdomain
emerged as a fundamental infrastructure
isnotonlyatechnologicalrequisite,butalso
underpinning the activities of the State
a fundamental pillar of national security,
of Israel. Information systems, online
public confidence in state institutions, and
services, and digital work processes
governmental capacity to deliver efficient,
currently
constitute
the
operational
advanced,andaccessiblepublicservicesto
foundation for government ministries,
allcitizens.
emergency bodies, public authorities,
and
citizen
service
systems.
While
digital transformation offers numerous
Theimportanceofenhancingtheprotection
advantages – including the streamlining
of
information
systems
and
digital
of
public
services,
enhancement
of
infrastructures is especially pronounced
accessibility, resource optimization, and
given the complex security environment
reinforcement of functional continuity – it
thattheStateofIsraelhasfacedinrecent
concomitantly engenders elevated risks
years. During this period, hostile entities
associated with cyber threats, information
haveincreasinglyattemptedcyberattacks,
breaches,andvulnerabilitiesininformation
while state bodies have been required
system protection. This prevailing reality
to assure operational continuity and the
necessitates
that
all
public
entities
provision of essential public services
ensure their systems are secure, reliable,
even under emergency conditions. These
accessible, and resilient in both routine
developments have demonstrated that
timesandduringemergencies.
information systems, digital services, and
remote work infrastructures function not
merelyasadministrativeandtechnological
Cyber
protection
and
information
instruments, but as integral components
system security presently constitute the
ofnationalresilienceandthestate’sability
cornerstones of good governance in
to operate continuously, efficiently, and
the contemporary state. Digital systems
securely.
aggregate
personal,
financial,
and
StateofIsrael
ReportoftheStateComptroller
Cyberand
Information
Systems
May2026
Jerusalem