דוחות מבקר המדינה ונציב תלונות הציבור
ד ו ח מ ב ק ר ה מ ד י נ ה
הגנת המידע הממוחשב
בבית הנשיא - דוח מיוחד
▪ סיוון
▪ יוני
▪
התשפ"
ו
2026
מבקר המדינה | דוחמיוחד
3
סיוון
התשפ"ו ▪ יוני
2026
הגנת המידע הממוחשב בבית הנשיא - דוח מיוחד
תקציר
נשיא המדינה הוא ראש מדינה בלתי מפלגתי המייצג את המדינה כלפי פנים וכלפי חוץ. נשיא המדינה נבחר בידי
הכנסת לתקופת כהונה של שבע שנים, וזאת
מכוח חוק יסוד:
נשיא המדינה. חלק גדול מסמכויות הנשיא הן סמכויות
טקסיות באופיין, כגון חתימה על חוקים ואמנות עם מדינות
חוץ, וחלק אחר מסמכויותיו
הן ייחודיות, ובהפעלתן נתון
לנשיא שיקול דעת, דוגמת הסמכות לחון עבריינים ולהקל בעונשם והסמכות להטיל את הרכבת הממשלה על אחד
מחברי הכנסת. נוסף
על כך, הנשיא מייצג את מדינת ישראל בפני הקהילה הבי
ן-
לאומית ויהדות התפוצות וכן עוסק
במיסוד ו
ב
הובל
ה שותפויותמקומיותובי
ן-
לאומיות בנושאיםשונים,דוגמתהתמודדות עם משברהאקלים. ביתהנשיא,
בהיותו מוסד של המדינה, הוא גוף מבוקר מכוח סעיף 9
(
2) לחוק מבקר המדינה, התשי"ח-
1958
[נוסח משולב]
.
לשכת נשיא המדינה נכללת ביחידות שירות המדינה,
ועובדיה הם עובדי מדינה.
פעילותו התקינה של בית הנשיא מושפעת ותלויה בין השאר ברמת הסודיות, השלמות, הזמינות והשרידות של המידע
שברשותו, גם במערכות המחשוב המעבדות ומאכסנות אותו
וברכיבי התקשורת של
מערכות אלה. במערכות
הממוחשבות של בית הנשיא אצור מידע רב, לרבות מידע בעל רגישות מיוחדת
ע
ל קרוב ל-
100,000
מבקשי חנינה.
המידע ומערכות המחשוב בבית הנשיא הם נכס מרכזי וחיוני,
ויש להגן עליהם ככל משאב אחר בעל ערך ארגוני.
פגיעה ב
הם עלול
ה לגרום לנזקים בהיבטים תפעוליים, טכנולוגיים וכספיים, ואף ל
פגוע
בצנעת הפרט ובסמל מרכזי
שלהמדינה ובאופןשבו הואנתפס בתודעההלאומית והבין-
לאומית.הדבר נכוןבשגרה, ועלאחתכמה וכמה בעיתות
מלחמה, כשכמות תקיפות הסייבר
(סבר) מתגברת.
בית הנשיא מפעיל
כמה רשתות תקשורת.
100,000
ב
חלק
אין
כמעט
מספר מבקשי החנינה
מהחשבונות הקיימים
לבית הנשיא תוכנית
שמידע רגיש לגביהם מצוי
בבית הנשיא, נמצא
להתאוששות מאסון
במאגר מידע של בית
ליקוי משמעותי מסוים
הנשיא. מאגר זה נוהל
בתחום
הזדהות
בידי בית הנשיא שלא על
המשתמשים וניהול
פי חלק מהוראות הדין
הרשאות
החלות על גופים
המחזיקים במאגרי מידע
ניטור
חלק
בחלק
נמצאו ליקויים המתייחסים
מהמערכות הממוחשבות
מתחנות הקצה בבית
לעמידת בית הנשיא
בבית הנשיא הגיעו לסוף
הנשיא פעלו גרסאות
בדרישות הנוגעות לניטור
מחזור החיים שלהן
שפג תוקפן ולכן הן היו
מערכות מידע.
חשופות לפגיעויות
מבקר המדינה | דוחמיוחד
4
הגנת המידע הממוחשב בבית הנשיא
סיוון
התשפ"ו ▪ יוני
2026
בחודשים מרץ עד ספטמבר 2025
ביצע משרד מבקר המדינה ביקורת בנושא הגנת המידע הממוחשב
בבית הנשיא. הביקורת התמקדה ברשת
המרכזית, ונבדקו הנושאים האלה: ניהול העל של הגנת
המידע; הזדהות המשתמשים וניהול ההרשאות; עדכניות הגרסאות של מערכות ההפעלה והתוכנה;
תשתיות רשת בית הנשיא; אבטחת תחנות קצה; והגנת הפרטיות. בדיקת השלמה נערכה ביחידה
להגנת הסייבר בממשלה שבמערך הדיגיטל הלאומי.
ועדתהמשנהשלהוועדהלענייניביקורתהמדינהשלהכנסתהחליטהשלאלהניחעלשולחןהכנסת
ולא לפרסם נתונים מפרק זה לשם שמירה על ביטחון המדינה, בהתאם לסעיף 17
לחוק מבקר
המדינה, התשי"ח-
1958
[נוסח משולב]. חסיון נתונים אלה אינו מונע את הבנת מהות הביקורת.
עיקרי הליקויים שעלו בביקורת
מבקר המדינה | דוחמיוחד
5
הגנת המידע הממוחשב בבית הנשיא
סיוון
התשפ"ו ▪ יוני
2026
ניהול העל של הגנת המידע בבית הנשיא
•
עד ספטמבר 2024
פעל בית הנשיא ללא גורם מנחה בתחום הגנת הסייבר במערכות המידע
שנבדקובביקורת -
משמעות הדבר היא שעד מועד זה לא הוחלו על בית הנשיא הכללים ודרכי הפעולה
שהוחלו על משרדי הממשלה, שנועדו לשפר את רמת ההגנה בסייבר, להפחית את הסיכונים הנשקפים
לנכסי המיד
ע ולפעול בתחום זה על פי סטנדרטים בין-לאומיים.
זאת, בשונה מתחומי ניהול ההון האנושי,
הכספים והמשק,
שלגביהם
אימץבית הנשיאזהמכבראתהכלליםהחליםעלמשרדיהממשלה, בשינויים
המחויבים. בספטמבר 2024
אימץ בית הנשיא
את הנחיות יה"ב1
בתחום הגנת הסייבר ואבטחת המידע
הבלתי מסווג.
•
עד יוני 2025
לא הוקמה בבית הנשיא ועדת היגוי לנושאי הגנת סייבר -
יצוין כי במהלך הביקורת,
ביוני 2025, הוקמה לראשונה ועדת היגוי משרדית לנושאי הגנת הסייבר בבית הנשיא בראשות מנכ"ל בית
הנשיא,
ובתחילת יולי 2025
היא התכנסה לראשונה. נמצא כי משימות מרכזיות לא קודמו בבית הנשיא:
הנהלת בית הנשיא לא העריכה נזקים ולא בחנה ואישרה את מפת הסיכונים המשרדית;
לא גיבשה יעדים
מדידים לבחינת יישום תשתית הגנת הסייבר; לא ביצעה סקרי הנהלה;
ולא בדקה את ישימות הפעילויות
המוגדרות למערכת ניהול הגנת הסייבר בבית הנשיא ואת ביצוען.
•
הנהלת
בית הנשיא טרם גיבשה
או
אישרה מדיניות להגנת הסייבר גם לאחר שאימצה את
הנחיות יה"ב המחייבות לעשות כן -
בית הנשיא פועל ב
תחום
הגנת הסייבר ללא מסמך מדיניות
מאושר,
שנועד בן היתר להבהיר מהן המסגרות הארגוניות
המיישמות
את הגנת הסייבר במשרד, להגדיר
את העקרונות שיאפשרו גיבוש נהלים ויתמכו בהמשכיות
התפקודית ולהבטיח עמידה בהוראות הדין
הנוגעות להגנת הסייבר.
•
נהלים -
בכל הנוגע לאבטחת המידע
ברשת שנבדקה, בית הנשיא גיבש נהלים העוסקים רק בחלק
מהנושאים הרלוונטיים, ואינם עוסקים
בנושאי ליבה בתחום הגנת הסייבר, כגון במשתמשים ובהרשאות;
בכללים לניטור של אירועים, חריגות ואיומים;
ב
מחזור חיי תוכנה; ו
בעדכוני מערכות הפעלה. הנהלים
שגובשו לא אושרו כנדרש בהנחיות יה"ב.
•
הערכה ומיפוי של סיכוני סייבר -
סקר סיכונים הוא מרכיב מרכזי בהגנת המידע והסייבר.
ביולי 2025
-
במהלך הביקורת וכעשרה חודשים לאחר שבית הנשיא אימץ את הנחיות יה"ב, בית הנשיא עדכן כי הוא
החל לראשונה בביצוע סקר סיכונים תשתיתי, ובמסגרתו מבוצע מבדק חדירה.
•
ביצוע מבדקי חדירה - נמצא כי בית הנשיא ביצע מבדק חדירה תשתיתי חלקי בלבד.
עוד נמצא כי בית
הנשיא לא ב
יצע מבדק חדירה ליישומים המותקנים על גבי מערכות המחשוב שלו.
•
תוכניות עבודה שנתיות -
הנהלת בית הנשיא לא ניהלה במהלך השנים את פעילותה בתחום הגנת
הסייבר בהתאם לת
ו
כניות עבודה ייעודיות לתחום הגנת הסייבר. עם זאת, ת
וכניות העבודה הכלליות של
בית הנשיא כללו גם משימות
ה
נוגעות להגנת הסייבר.
תוכנית העבודה לשנת 2025
כללה שתי משימות
בלבד הנוגעות להגנת הסייבר. ציון שתי משימות בלבד בתכנית העבודה ל-
2025
מעלה חשש כי חסרו
בה משימות ליבה חיוניות בתחום הגנת הסייבר
. כמו כן גם שתי המשימות שצוינו בתוכנית חסרות ציון של
לוחות
הזמנים לביצוע וציון הגורם האחראי לכך.
•
תחומי ליבה בתחום טכנולוגיות המידע - תחומי ליבה
של אחריות וסמכות בתחום הגנת הסייבר כפי
שהוגדרו בידי נש"ם ויה"ב,לאהוטלו רשמיתעלממלאי תפקידים בביתהנשיא,ובכלל זה:התכנון,הניהול
והבקרה של מכלול היבטי הגנת הסייבר; גיבוש מדיניות הגנת הסייבר ותוכניות העבודה; ניתוח והערכה
שוטפים של ת
ו
כנית הגנת הסייבר בהתאם לצרכים, לאיומים ולמענים; הכנת ת
וכנית תקציבית לטיפול
1
יה"ב הוקמה מכוח החלטת ממשלה 2443
מפברואר 2015
.על פי ההחלטה, ייעוד היחידה הוא לכוון ולהנחות מקצועית
אתמשרדיהממשלהויחידותהסמךבתחוםהגנתהסייברולהקיםמרכזשליטהובקרהממשלתילהתמודדותעםאיומי
סייבר (SOC
ממשלתי.)
מבקר המדינה | דוחמיוחד
6
הגנת המידע הממוחשב בבית הנשיא
סיוון
התשפ"ו ▪ יוני
2026
בהגנת הסייבר ובקרה על
ה
יישום ו
הניהול של תחום
הגנת הסייבר; יישום מדיניות אבטחת המידע
במערכותהמידע, לרבותבקרהעלפעילויותממוחשבותלשםמניעתפרצותבמערכותהמחשוב;וכןניהול
תחום הגנת הסייבר והנחיה מקצועית ב
תחום זה.
הזדהות משתמשים וניהול הרשאות -
ממצאי הביקורת העלו ליקויים בעלי משקל בנושא הזדהות
משתמשים וניהול הרשאות.
שימושב
תיבותדוא"לאישיות-
ביתהנשיאלאהקצה
תיבות
דוא"למשרדיותלכלעובדיביתהנשיאהעושים
שימוש בדואר אלקטרוני ב
מסגרת עבודתם השוטפת, ובכך למעשה יצר פתח לשימוש לא תקין בדוא"ל -
שימוש של עובדים בתיבת
דוא"ל פרטי
ת לצורכי עבודה, דבר ה
עלול לגרום לדלף מידע ולאובדן מידע וכן
לפגו
ע ביכולת
ו
של
בית הנשיא ל
בצע בקרה על השימוש בתיב
ות הדוא"ל.
ניטור מערכות המידע ברשת בית הנשיא -
נמצאו ליקויים המתייחסים לעמידת בית הנשיא בדרישות
הנוגעות לניטור מערכות המידע.
עדכניות הגרסאות של מערכות ההפעלה והתוכנה -
פגיעויות המתגלות במוצרי חומרה ותוכנה
שבהם
נעשה שימוש ברשת הארגון עלולות לחשוף את מערכות המידע בארגון לפעילות עוינת מצד תוקף פנימי או
חיצוני, לרבות שימוש לא מורשה במידע בתוך הארגון, דליפת מידע אל מחוץ לארגון או חדירה של גורם עוין
שעלולה לחבל במידע הארגוני א
ו ל
פגוע בזמינותו
. פגיעויות כאל
ה מתגלות חדשות לבקרים,
וההתמודדות
איתן מחייבת ניהול מדוקדק ומעקב אחר מחזור החיים של כלל המוצרים בארגון כדי לוודא שלא נעשה שימוש
במוצרים שהגיעו לסוף מחזורהחיים שלהם ואינם נתמכיםעוד בידי היצרן, ו
שכל עדכוני האבטחה שמפרסמים
יצרנ
י המוצרים מותקנים במערכות הארגון.
נמצא כי בבית הנשיא מצויות
מערכות שאינן נתמכות עוד בידי היצרן. כמו כן בית הנשיא אינו מקפיד על
התקנת כל עדכוני
האבטחה המתפרסמים למוצרים השונים. משמעות הדבר היא שחלק מהמערכות
הממוחשבות של בית הנשיא חשופות לפגיעויות שונות.
ת
שתיות רשת בית הנשיא ואבטחתה
•
ארכיטקטורת הרשת וניטורה -
נמצא כי האופן שבו בנויה רשת בית הנשיא אינו תואם את הנדרש על
פי הנחיות יה"ב ובקרות תורת ההגנה בסייבר, ויוצר סיכון.
•
מערכת הגנה להגבלת הגישה
לרשת -
נמצא כי בית הנשיא לא עומד בהנחיות יה"ב שמטרתן הגבלת
הגי
שה לרשת.
•
מניעת דליפת מידע -
נמצא כי בית הנשיא לא עומד במלוא ההנחיות שנקבעו בהנחיות יה"ב ובתורת
ההגנה בסייבר לצורך מניעת דליפת נתונים.
אבטחת תחנות הקצה -
תחנות הקצה בארגון
הן
יעד נפוץ לתקיפה באמצעות ניצול חולשות במערכת
ההפעלה או ביישומים שונים המותקנים על
יה. לפיכך מעקב שוטף אחר תחנות קצה חיוני כדי ל
הבטיח
שהן
מאובטחות כנדרש וכדי לוודא שתחנות שאינן פעילות
מנותקות
מהרשת ולא
משמשות
יעד לתקיפה.
נמצא כי בחלק
מתחנות הקצה פעלו גרסאות
של מערכות הפעלה שפג תוקפן והן היו
חשופות
לפגיעויות.
ממצאים אלה משקפים
היעדר שליטה של בית הנשיא בכל הנוגע לאבטחת תחנות הקצה.
ניהול המשכיות תפקודית בעת חירום -
לבית הנשיא אין תוכנית המשכיות עסקית ותפקודית ואין ברשותו
תוכניתלהתאוששות מאסוןהמבוססתעלהערכת סיכונים.
כמוכן בית הנשיאלא ביצע ניסוי תרגיל)( לבחינת
מערך ההתאוששות שלו, כנדרש
הבנחיות יה"ב. יוצא אפוא כי בית הנשיא לא נקט מבעוד מועד
את הפעולות
מבקר המדינה | דוחמיוחד
7
הגנת המידע הממוחשב בבית הנשיא
סיוון
התשפ"ו ▪ יוני
2026
הנדרשות כדי להבטיח שבעת חירום, עקב שיבוש תהליכים עסקיים קריטיים, פונקציות עסקיות
יהיו
זמינות,
וכך יצומצם
הנזק
ה
תפקודי ו
התדמיתי שעלול להיגרם לארגון.
הגנת הפרטיות בבית הנשיא -
בית הנשיא,
כגוף ציבורי, נדרש לעמוד בדרישות מחמירות בכל הנוגע
לאבטחת
המידע והגנת הפרטיות
במאגרים שברשותו. דרישות אלו חלות בין היתר על מאגר החנינות, שבו
מצוי מידע רגיש על קרוב ל-
100,000
מבקשי חנינה, ועל מאגר התאמה הביטחונית, שבו מצוי מידע רגיש על
מאות עובדי בית הנשיא
בהווה ובעבר. נמצא כי בית הנשיא לא קיים חלק מהוראות הדין החלות על כלל
הגופים המחזיקים במאגרי מידע:
א)( לא מונה ממונה אבטחת מידע האמון על אבטחת המידע במאגרים; ב)(
לא ג
ובש מסמך הגדרות מאגר; ג)(
לא מופו מאגרי המידע,
ולא הוכנה רשימת מצאי של מערכות המאגרים;
ד)( לא גובש נוהל אבטחה
הכולל
הוראות
בדבר
האבטחה הפיזית והסביבתית של אתרי המאגר והרשאות
גישה אליהם; ה)( לא
נ
קבע
ו הרשאות גישה של עובדים למאגרים ולמערכותיהם ולא נ
והל רישום מעודכן של
התפקידים והרשאות הגישה שניתנו לעובדים;
(ו) אין בבית הנשיא מנגנון תיעוד אוטומטי
המ
אפשר וציבע
בקרה
על הגישה למערכות המאגר
ים
, כנדרש בתקנות אבטחת מידע.
•
הסדרת הטיפול במאגר החנינות באמצעות ספק -
מאגר החנינות של בית הנשיא מכיל מידע רגיש
של קרוב ל-
100,000
מבקשי חנינה, לרבות נתונים רפואיים, סוציאליים וכלכליים. משנת 2019
קיבל בית
הנשיא שירותים
מספק חיצוני לצורך
אספקת שירותי אפיון, פיתוח, תמיכה ותחזוקה של מאגר החנינות.
בית הנשיא לא פעל כנדרש בתקנות אבטחת מידע בכל הנוגע לקבלת
שירותים אלה
מהספק:
(א) הוא
לא ביצע בדיקה מקדימה בנוגע לסיכוני אבטחת המידע הכרוכים בהתקשרות עם הספק החל בשנת
2019
;
ב)( בהסכם ההתקשרות עם הספק לא עוגנו
הוראות ב
דבר המידע שהספק רשאי לעבד והמטרות
שלשמן בלבד הוא רשאי להשתמש במידע שעיבד; (ג) בהסכם לא פורטו המערכות
שהספק רשאי לגשת
אליהן והפעולות שהוא מורשה לבצע; ד)( לא
נקבע מנגנון להשבת המידע לבית הנשיא בסיום תקופת
הה
תקשרות;
ה)(
לא
הוטלה על
הספק החובה
לדווח ל
בית הנשיא
על עמידתו בהוראות תקנות אבטחת
מידע,
ו
אף לא על אירוע אבטח
ת
מידע
במאגר,
אם התרחש;
ו)( החל
בשנת 2022
מקבל בית הנשיא
שירותי תמיכה למאגר החנינות מספק שירותים חיצוני ללא הסכם תקף. לפיכך לא
עוגנו
בהסכם מחייב
ההוראות ה
נדרשו
ת להסדר
ת
אופן ההתקשרות עם ספק חיצוני, שנועדו להתמודד עם האתגרים והסכנות
הנוגעים לפגיעה בפרטיות וכרוכים בהתקשרות כאמור.
•
העברת מידע ממאגר החנינות לגופים ממשלתיים -
נמצא כי בית הנשיא מעביר למשרד המשפטים
ולפרקליטות הצבאית בקשות חנינה המכילות מידע
ממאגר החנינות,
באמצעות דוא
"ל, דהיינו דרך רשת
האינטרנט - ללא הצפנה
. בדרך הזו מועברים גם פריטי מידע
בעל רגישות מיוחדת, כגון
פרטים אישיים,
נסיבות אישיות ומשפחתיות וכן
נימוקים רפואי
ים, סוציאליים, כלכליים ושיקומיים. בכך פועל בית הנשיא
שלא כנדרש בתקנות
אבטחת מי
דע
ותורת ההגנה בסייבר.
כמו כן בית הנשיא שומר בקשות חנינה
שהועברו למשרד המשפטים ולפרקליטות הצבאית בתיבת דוא"ל של הלשכה המשפטית בבית הנשיא
לפרק זמן לא מוגבל. תיבת הדוא"ל אינה מתרוקנת באופן קבוע,
ונשמרים בה פרטי בקשות חנינה ישנות,
הכוללות מידע
בעל רגישות מיוח
דת. לכן גורם הנ
יגש לתיבת הדוא"ל (כגון מנהל מערכת) נחשף לפרטים
אישיים של מבקשי חנינות לאורך שנים רבות, בלי
שהיה צורך בשמירתם.
יש לראות בחיוב את פנייתו של בית הנשיא ליה"ב בספטמבר 2024
בבקשה לקבל הנחיה בכל הנוגע להגנת
הסייבר ואבטחת המידע הבלתי מסווג, את פעולותיו ליישום ההנחיות, את הקצאת
התקציבים להגנת הסייבר
וכן את כוונתו להמשיך ליישם את הנחיות יה"ב ולתקן ליקויים שעלו בביקורת.
יש לראות בחיוב את פעולות בית הנשיא לביצוע חלקים ראשונים בסקר סיכונים ו
במבדק חדירה תשתיתי.
תקציב בית הנשיא להגנת הסייבר -
בית הנשיא הקצה לתחום הגנת הסייבר כ-
15%
מתקציב תחום
טכנולוגיית המידע הכולל שלו בשנת 2023; כ-
5.8%
בשנת 2024
; ובשנת 2025
כ-
11%
. יש לראות בחיוב את
הקצאת התקציב להגנת הסייבר בידי בית הנשיא בשנים 2023
ו-
2025
. עם זאת, בית הנשיא לא ניהל רישום
נפרדשלהתקציביםהמופנים באופןייעודילתחוםהגנתהסייבר,כדישניתןיהיהלבחוןאםהואעומדבהנחיית
יה"ב.
מבקר המדינה | דוחמיוחד
8
הגנת המידע הממוחשב בבית הנשיא
סיוון
התשפ"ו ▪ יוני
2026
על בית הנשיא לפעול על פי הנחיות יה"ב בתחום הגנת הסייבר ואבטחת המידע הבלתי מסווג.
מנכ"ל בית הנשיא, העומד בראש הנהלתבית הנשיא והמשמש יו"ר ועדת ההיגוי,על
לוודא כי הוועדה פועלת
כנדרש בהנחיות יה"ב, ובכלל ז
ה
מאשרת את מיפוי נכסי המידע של המשרד; מאשרת מפת סיכונים ארגונית
על סמך סקר סיכונים; פועלת להעלאת מודעות העובדים לסיכונים בסייבר; מקצה משאבים בהיקף הנדרש
להגנה על הסייבר; ומתכנסת בתדירות הנדרשת. על ועדת ההיגוי של בית הנשיא לקבוע מדיניות להגנת
הסייבר בהתאם לנדרש בהנחיות יה"ב,,
ולתקפה בתדירות הנדרשת.
בית הנשיא להשלים את סקר הסיכונים ואת הטיפול בממצאיו,עללהשלים את סקרי
הסיכונים במערכות
המידע ולטפל בממצאיהם ולבצע סקרי סיכונים בתדירותהנדרשת על פי הנחיות יה"ב. כמו כן על בית הנשיא
להשלים את מבדק החדירה התשתיתי, לבצע מבדקי חדירה יישומיים ולבצע מבדקי חדירה למערכות על
בסיס תקופתי, כנדרש בהנחיות יה"ב.
על בית הנשיא לבנות תוכניות עבודה שנתיות המתמקדות בתחום הגנת הסייבר, כנדרש בהנחיות יה"ב.
כדי
ל
הבט
יח את
אפקטיביות ת
וכניות העבודה, יש לפרט בהן את לוחות
ה
זמנים לביצוע ו
את הגורמים האחראים
לביצוע המשימות השונות ולעקוב אחר מימושן.
כמו כן על בית הנשיא להשלים את החסר בנהלים מרכזיים
ולגבש נהלים נוספים בתחום הגנת הסייבר, כנדרש.
להבטיחשביתהנשיאמקצהדימשאביםלהגנתכדיהסייבר
, עליו לנהל רישום נפרד של
ה
תקציב
ים
המופנים
ל
תחוםזה.
כמוכן,
מומלץלביתהנשיאלהשליםהטלתתחומיהאחריותוהסמכותעלבעליתפקידיםמתאימים
בתחום הגנת הסייבר.
ביתהנשיאלעל
תקן את הליקויים ולעמוד במלוא הנחיותשנקבעו בעניין הזדהות משתמשים וניהול הרשאות.
ביתהנשיאלהקצותתיבותדוא"למשרדיותלכלהעובדיםהעושיםשימושבדוא"לבשגרתעבודתםולוודאעל
כי לצורכי עבודה ייעשה שימוש אך ורק בתיבות דוא"ל משרדיות.
ביתהנשיאלפעוללשיפורמערךהניטורעלמערכותהמידעעלשלו.
בית הנשיא לגבש מנגנון יעיל העוקב באופן שיטתי ולאורך זמןעלאחר מחזור החיים של המוצרים הפועלים
במערכותיו ואחר פרסום עדכוני האבטחה הנוגעים
להם, לוודא כי לא ייעשה שימוש במוצרים
שהגיעו ל
סוף
מחזור החיים שלהם ולהתקין בהם עדכוני אבטחה בהתאם להנחיות יה"ב ולתקנות
אבטחת מידע, כדי
להבטיח את הגנת המידע האצור במערכותי
הם.
על
בית הנשיא להתאים את מבנה הרשת לנדרש על פי הנחיות יה"ב ובקרות תורת ההגנה בסייבר
ולהתקין
את מלוא מערכות ההגנה הנדרשות.
ביתהנשיאלוודאכיהואמנהלעלאתכל
תחנות
הקצה בארגון,
כנדרש בהנחיות יה"ב.
בית הנשיא לגבש תוכנית עסקית ותפקודית, הכוללת גם תוכניתעל
להתאוששות מאסון, המבוססת על
הערכת סיכונים ומפרטתאתהאמצעיםשישלנקוט בעקבותאירועחירוםהמסכןאתפעילותהמשרד. תוכנית
זות
כלולהתייחסותלארבעהשלבים(שלבהתגובה,שלבההתאוששות,
שלבהשיקום
ושלבהתחקור),ו
תובא
ל
דיון והחלטה בידי ועדת ההיגוי לנושאי הגנת הסיי
בר. כמו כן, על בית הנשיא לבצע ניסוי
ים
לבחינת מערך
השיקום וההתאוששות שלו בתדירות הנדרשת בהנחיית יה"ב. כן מומלץ כי הנהלת בית הנשיא תשתתף
בניסויים אלו.
מבקר המדינה | דוחמיוחד
9
הגנת המידע הממוחשב בבית הנשיא
סיוון
התשפ"ו ▪ יוני
2026
על בית הנשיא לפעול על פי הוראות חוק הגנת הפרטיות ותקנות אבטחת מידע, ובכלל ז
ה
עליו למנות ממונה
אבטחת מידע למאגרי המידע; לגבש מסמך הגדרות למאגרי המידע; למפות את מאגרי המידע; לגבש נוהל
אבטחהלכלאחדממאגרי המידע; ולקבועאתהרשאות הגישהשיקבלכל עובד בבית הנשיאלמאגריהמידע
ולמערכותיהם, כמו כן, על
יו לערוך ביקורת על עמידה בהוראות תקנות אבטחת מידע על ידי גורם שאינו
ממונה על אבטחת המידע בבית הנשיא, זאת לכל הפחות אחת ל-
24
חודשים.
ביתהנשיאלהיערךלביצועעל
הפעולות הנדרשות מגוף המחזיק במאגר מידע הטעון רמת אבטחה גבוהה
בכל הנוגע ל
מאגר החנינות;
מאגר זה צפוי להכיל מידע על 100,000
אנשים ומעלה בתוך זמן קצר.
כמו כן על
בית הנש
יא לפעול על פי תקנות אבטחת מידע: להעביר בקשות חנינה לגורם חיצוני, כגון משרד המשפטים,
תוך שימוש בשיטות הצפנה מקובלות; וכן לצמצם את המידע הנשמר בידיו, לרבות בתיבת
הדוא"ל, למינימום
הנדרש בהתאם
ל
תקנות ו
להוראות הרשות להגנת הפרטיות.
בית הנשיא לפעולעלפי תקנותאבטחתמידע בכלעלהנוגע לקבלתשירותיםמספקחיצוניהמורשהלגשת
למאגר מידע של בית הנשיא. כמו כן, על
יו ל
עגן בהסכם ה
התקשרות עם הספק את ההתניות והכללים
הנדרשים על פי תקנות אבטחת מידע.
פעילותו התקינה של בית הנשיא מושפעת ותלויה בין השאר ברמת הסודיות, השלמות, הזמינות והשרידות של המידע
המצויברשותו,
ובכללזהבמערכותהמחשובשלו.פגיעהבמידע
עלולהלהוביללנזקיםבהיבטיםתפעוליים,טכנולוגיים
וכספיים, ואף ל
פגוע
בצנעת הפרט
ו
בשם הטוב ובתדמית של בית הנשיא ושל העומד בראש המדינה.
הביקורת על
ה
ניהול ו
ה
הפעל
ה
של רשת התקשורת המרכזית של בית הנשיא, המשמשת את כלל עובדיו לשם ניהול
תחומי העשייה העיקריים של בית הנשיא, העלתה
הליקויים בתחומים
ה
אלה:
1
.
ההיבט הניהולי: עד אמצע שנת
2025
פעל בית הנשיא ללא ועדת היגוי להגנת הסייבר
וללא מדיניות מאושרת
ויעדים מדידים בתחום
הגנת הסייבר. החסר המהותי בהיבטי ניהול-
העל בבית הנשיא ואי הטלת האחריות לתחומי
ליבה על ממלאי תפקידים בבית הנשיא מובילים למסקנה כי תחומי הגנת הסייבר
בבית הנשיא
נזנחו במידה
מסוימת ולא טופלו באופן
ה
הולם את הסיכונים הנשקפים לגוף של המדינה.
2
.
ההיבטהאבטחתי:
הועלו ליקוייםבעלימשקל בניהולאמצעי
ה
הזדהות ו
החשבונותשל
המשתמשים ברשת; בית
הנשיא לא הקצה
תיבות דוא"ל משרדיות לכל עובדי הארגון העושים שימוש בדוא"ל ב
מסגרת עבודתם השוטפת,
ובכך יצר למעשה פתח לשימוש לא תקין בדוא"ל;
נמצאו ליקויים
המתייחסים
לעמידת בית הנשיא בדרישות
הנוגעות לניטור מערכות מידע; בבית הנשיא פועלות מערכות
שאינן נתמכות עוד בידי היצרן, והוא אינו מקפיד על
התקנת כל עדכוני
האבטחה הנדרשים במערכותיו, ולכן
חלק
מהן חשופות לפגיעויות שונות;
האופן שבו בנויה
רשת בית
הנשיא, אינו תואם את ה
הנחיות
ויוצר סיכון; בית הנשיא לא התקין
חלק ממערכות ההגנה הנדרשות;
בית הנשיא לא פעל כנדרש להבטח
ת שליטה באבטחת תחנות הקצה של הרשת; והוא לא נקט מבעוד מועד את
ה
פעולות הנדרשות להבטח
ת
זמינות פונקציות עסקיות
בעת חירום, עקב שיבוש תהליכים עסקיים קריטיים,
באופן
שהיה מצמצם את הנזק
ה
תפקודי ו
התדמיתי שנגרם לארגון.
3
.
היבטההגנהעלהפרטיות:
ביתהנשיאלאקיים
חלקמהוראותהדיןהחלותעליובכלהנוגעלאבטחתהפרטיות
במאגרים שברשותו: לא מונה ממונה אבטחת מידע האמון על אבטחת המידע במאגרים; לא מופו מאגרי המידע,
ולא הוכנה רשימת מצאי של מערכות המאגרים; לא גובש נוהל אבטחה,
ולא נקבעו הרשאות גישה למאגרים;
ואין
מנגנון תיעוד אוטומטי של הגישה למערכות המאגר. ממצאים אלה עלו גם בנוגע למאגר החנינות של בית הנשיא,
המכיל מידע רגיש
על קרוב ל-
100,000
מבקשי חנינה, לרבות נתונים רפואיים, סוציאליים וכלכליים. נוסף על כך,
בית הנשיא קיבל שירותים
מספק חיצוני לצורך
הטיפול במאגר זה, אך לא נקט
את הפעולות הנדרשות על פי
מבקר המדינה | דוחמיוחד
10
הגנת המידע הממוחשב בבית הנשיא
סיוון
התשפ"ו ▪ יוני
2026
תקנות אבטחת מידע; בית הנשיא מעביר למשרד המשפטים ולפרקליטות הצבאית בקשות חנינה המכילות מידע
המוגדר
מידעבעלרגישותמיוחדתבאמצעותדוא"לוללאהצפנה,
בניגודלדרישותהדין;ביתהנשיאשומרבקשות
חנינה שהועברו לגופים אלה בתיבת דוא"ל לפרק זמן לא מוגבל, ואינו מצמצם את המידע הנשמר בידיו למינימום
הנדרש.
יש לראות בחיוב את פנייתו של בית הנשיא ליה"ב בספטמבר 2024
בבקשה לקבל הנחיה בכל הנוגע להגנת הסייבר
ואבטחת המידע הבלתי מסווג,
את
פעולותיו ליישום ההנחיות,
את הקצאת
התקציבים להגנת הסייבר וכן את כוונתו
להמשיך ליישם את הנחיות יה"ב ולתקן ליקויים שעלו בביקורת.
עלביתהנשיאכגוףציבוריבעלחשיבותלאומיתמהמעלההראשונה,
להמשיך
לפעוללתיקוןהליקוייםשעלובביקורת,
במטרה להבטיח את הסודיות, השלמות, הזמינות והשרידות של המידע המצוי ברשותו, למנוע פגיעה בצנעת הפרט של
תושבי המדינה ולמנוע פגיעה בשם הטוב ובתדמית של בית הנשיא.