בלוג

דוח מבקר המדינה 2026: פערי הסייבר שמאיימים על הרציפות התפקודית של המדינה

דוח הסייבר של מבקר המדינה לשנת 2026 מצביע על פערים בעבודה מרחוק, באבטחת מידע במשרדי ממשלה ובשירותים הדיגיטליים לאזרח. הממצאים ממחישים כי מערכות מידע ממשלתיות הן תשתית חיונית המחייבת ניהול סיכונים, ניטור ותגובה רציפים. המאמר מרכז את הממצאים ואת הצעדים שכל ארגון יכול ללמוד מהם.

ארבעה דוחות חדשים מצביעים על בעיה מערכתית: המדינה מתקדמת בדיגיטל, אך מנגנוני ההגנה, הניהול והבקרה אינם מתקדמים תמיד באותו הקצב

דוח מבקר המדינה בנושא סייבר ומערכות מידע, שפורסם במאי 2026, מציג תמונת מצב רחבה של הגנת הסייבר במגזר הציבורי. הביקורת אינה מתמקדת רק בחולשה טכנולוגית מסוימת או במשרד ממשלתי אחד. היא מצביעה על פערים בעבודה מרחוק, בהגנת מידע רגיש, בניהול סיכונים, בשירותים ממשלתיים דיגיטליים וברציפות התפקודית של גופים חיוניים.

במסגרת הפרסום נכללו ארבעה דוחות העוסקים בהגנת הסייבר בעבודה מרחוק, באבטחת המידע במשרד החוץ, באבטחת מערכות המידע במשרד הבינוי והשיכון ובמערכת ההזדהות הלאומית והאזור האישי הממשלתי. המכנה המשותף ברור: מערכות המידע הפכו לתשתית חיונית לפעילות המדינה, אך האחריות, הבקרות, התשתיות ותהליכי הפיקוח עדיין אינם אחידים או מספקים בכל הגופים.

עבודה מרחוק בגופים חיוניים: נוחות שהפכה לסיכון תפעולי

המעבר לעבודה מרחוק החל עוד לפני מלחמת חרבות ברזל, אך תקופות חירום הפכו אותו לחלק בלתי נפרד מיכולת המדינה להמשיך לתפקד. משרדי ממשלה, גופי חירום ועובדים המספקים שירותים חיוניים נדרשים להתחבר למערכות גם מחוץ לרשת הארגונית.

דוח המבקר מצביע על ליקויים בהגנת הסייבר בעבודה מרחוק, לרבות בגופים חיוניים כגון משטרת ישראל וכבאות והצלה. לפי פרסום המבקר, במסגרת הביקורת אף בוצע מבדק חדירה למערכת העבודה מרחוק של כבאות והצלה. הדוח מדגיש את הצורך להבטיח שהחיבור מרחוק יהיה מוגן, מנוטר ומתורגל, במיוחד כאשר מדובר בגופים שתפקודם נדרש דווקא בזמן חירום.

האתגר אינו מסתכם בהפעלת VPN או באימות רב־שלבי. נדרש מנגנון מלא הכולל ניהול זהויות והרשאות, הקשחת תחנות קצה, ניטור חריגות, עדכון מערכות, הגבלת גישה לפי צורך ותהליך תגובה מסודר לאירוע.

כאשר עובד מתחבר מרחוק למערכת קריטית, נקודת הקצה שלו הופכת לחלק מהתשתית הארגונית. אם היא אינה מנוהלת כראוי, היא עלולה להפוך גם לנקודת הכניסה של התוקף.

משרד החוץ: ארגון הנמצא באופן טבעי על הכוונת וברמת סיכון גבוהה

משרד החוץ מחזיק מידע מדיני, קונסולרי ודיפלומטי רגיש ופועל מול נציגויות, גורמים בינלאומיים ומערכות מבוזרות ברחבי העולם. מאפיינים אלה הופכים אותו ליעד אטרקטיבי במיוחד עבור תוקפים, לרבות גורמים מדינתיים.

דוח 2026 מצביע על פערים באבטחת המידע ובהגנת הסייבר במשרד החוץ. לפי פרסום המבקר, נמצאו פערים טכנולוגיים, ליקויים במדיניות ובניהול הסיכונים ותרבות ארגונית שאינה מותאמת במלואה לאיום הייחוס שעמו המשרד נדרש להתמודד.

המשמעות רחבה מאירוע IT מקומי. חדירה למערכות מסוג זה עלולה לאפשר חשיפה של תכתובות, מידע אישי, מסמכים רגישים, מערכות קונסולריות או דפוסי פעילות של המדינה.

בארגונים בעלי פריסה גלובלית, אין די במערכת הגנה מרכזית. נדרש מודל אחיד של Governance, מדיניות, ניהול הרשאות, ניטור, סיווג מידע, הדרכות ותגובה לאירועים בכל היחידות והאתרים.

משרד הבינוי והשיכון: הגנת פרטיות היא חלק מהגנת הסייבר

משרד הבינוי והשיכון מחזיק מאגרי מידע הכוללים פרטים על אזרחים, זכאי דיור, קבלנים, ספקים ומשתתפים בתוכניות ממשלתיות. כאשר גוף ציבורי מחזיק מידע אישי בהיקף רחב, פער אבטחה הוא גם סיכון לפרטיות וגם סיכון לאמון הציבור.

הביקורת הצביעה על פערים בניהול הרשאות, בניהול סיכונים, במנגנוני התרעה ובטיפול במאגרי מידע. לפי הודעת המבקר, בשנת 2024 נרשמה גם עלייה משמעותית בהיקף התרעות הסייבר הנוגעות למשרד.

הלקח אינו ייחודי למשרד אחד. ארגונים רבים יודעים אילו מערכות הם מפעילים, אך אינם תמיד יודעים מי מחזיק בהרשאה לכל מערכת, מתי נבדקה ההרשאה לאחרונה ואילו פעולות חריגות מתבצעות בה.

ניהול מאגר מידע מחייב חיבור בין מנהל המערכת, CISO, DPO, הייעוץ המשפטי, משאבי האנוש ובעלי התהליך העסקי. ללא חלוקת אחריות ברורה, הרשאות נשארות פעילות, ספקים מקבלים גישה רחבה מדי והתראות אינן מטופלות בזמן.

ההזדהות הלאומית: חזון דיגיטלי שמיושם באופן חלקי

אחד הפרקים המשמעותיים בדוח עוסק במערכת ההזדהות הלאומית ובאזור האישי הממשלתי. מערכות אלה נועדו לאפשר לאזרחים לקבל שירותים ממשלתיים באופן מזוהה, מאובטח ומרוכז.

אולם יותר מעשור לאחר שהממשלה החלה לקדם את המהלך, הביקורת מצאה פערים ניכרים ביישומו.

נכון לאוגוסט 2025, שמונה מתוך 31 משרדי ממשלה לא היו מחוברים למערכת ההזדהות הלאומית. רק חלק קטן מהרשויות המקומיות התחבר למערכת, ורק כ־16% מהשירותים הממשלתיים שמופו הוצעו באמצעותה. בנוסף, רק כ־23% מהטפסים המקוונים המזוהים נוהלו באמצעות מערכת ההזדהות.

נכון לינואר 2026, מערך הדיגיטל דיווח כי באזור האישי הונגשו 321 שירותים של 50 גופים ציבוריים. למרות ההתקדמות, המבקר קבע כי המדיניות הממשלתית מיושמת באיטיות ובאופן חלקי וכי האזרחים עדיין אינם יכולים לקבל את מרבית השירותים הציבוריים באופן מקוון, מרוכז וידידותי.

הבעיה אינה רק חוויית משתמש. כאשר משרדים ורשויות מפעילים מנגנוני הזדהות עצמאיים, גדלים מספר מאגרי הסיסמאות, מספר נקודות הכניסה ומספר התהליכים שיש לאבטח. ריבוי פתרונות גם מקשה ליישם מדיניות אחידה של אימות, הרשאות, פרטיות וניטור.

הרשויות המקומיות נשארות מאחור במעבר לשירות דיגיטלי מאובטח

אחד הממצאים הבולטים בדוח 2026 נוגע לחיבור המצומצם של הרשויות המקומיות למערכת ההזדהות הלאומית. במועד הביקורת רק 15 מתוך 258 רשויות מקומיות, כ־6% בלבד, היו מחוברות למערכת. בתשובת מערך הדיגיטל נמסר כי המספר עלה בהמשך ל־17 רשויות, אך גם לאחר העדכון מדובר בשיעור נמוך מאוד.

המשמעות אינה מסתכמת בנוחות השימוש. הרשויות המקומיות מספקות שירותים דיגיטליים בתחומי גבייה, רווחה, חינוך, רישוי, הנדסה, חירום ושירות לתושב. כאשר כל רשות מפעילה מנגנוני זיהוי ותהליכים עצמאיים, גדלים מספר המערכות, מאגרי המשתמשים ונקודות הכניסה שיש להגן עליהן. חיבור למערכת הזדהות לאומית אחידה יכול לסייע בצמצום כפילויות, בשיפור ניהול הזהויות ובהחלת רמת אבטחה עקבית יותר.

לפי הדוח, בין החסמים לחיבור הרשויות נמצאים מגבלות תקציב, פערים בתשתיות ובמערכות קיימות ומחסור בכוח אדם מקצועי. לכן הפער משקף בעיה רחבה יותר: השלטון המקומי מתקדם בשירותים דיגיטליים, אך אינו תמיד מקבל את המשאבים, ההכוונה והתשתית הנדרשים כדי להגן עליהם באופן אחיד.

ממצאים אלה מצטרפים לדוחות קודמים של המבקר, ובהם הביקורת על מערכות המידע והגנת הסייבר בבחירות לרשויות המקומיות שפורסמה ב־2025. אותו דוח הצביע על פערים בניהול הרשאות, ניטור, הפרדת סמכויות וטיפול באירועי סייבר. האזכור חשוב כאן כרקע בלבד: דוח 2026 מראה שהאתגר אינו נקודתי או קשור רק לבחירות, אלא חלק מפער מתמשך בממשל הדיגיטלי ובחוסן הסייבר של הרשויות.

עוד על דוח מבקר המדינה 2026 ביחס לרשויות המקומיות

תשתיות דיגיטליות הן תשתיות קריטיות

דוח המבקר מחזק שינוי תפיסתי חשוב:
מערכות מידע ממשלתיות אינן עוד מערכות תמיכה. הן התשתית שעליה נשענים שירותים לאזרח, פעילות דיפלומטית, ניהול דיור, עבודת גופי החירום ורציפות הפעילות של משרדי הממשלה.

כאשר מערכת דיגיטלית אינה זמינה, השירות הציבורי עלול להיעצר. כאשר היא נפרצת, המידע עלול להיחשף או להשתנות. כאשר מערך ההזדהות אינו אחיד, המדינה מגדילה את שטח התקיפה ואת המורכבות התפעולית.

לכן חוסן סייבר ממשלתי חייב לכלול:

  • מיפוי מלא של מערכות, נכסים, ממשקים וספקים
  • ניהול סיכונים ארגוני ועדכון תקופתי של תמונת האיום
  • ניהול זהויות והרשאות לפי עקרון הצורך לדעת
  • SIEM ו־SOC המספקים תמונת מצב רציפה
  • בדיקות חדירה וסקרי פגיעויות
  • תוכניות תגובה לאירועים
  • BCP ו־DRP שנבדקו בתרגול
  • פיקוח על שרשרת האספקה
  • מדיניות ברורה לעבודה מרחוק
  • חיבור בין אבטחת מידע, פרטיות, משפט, תפעול והנהלה

הבעיה החוזרת: לא רק טכנולוגיה, אלא Governance

הדוח מצביע שוב ושוב על פער בין רכישת טכנולוגיה לבין ניהול אפקטיבי שלה.

אפשר להפעיל מערכת ניטור, אך אם אין גורם שמטפל בהתראות, היא אינה מספקת הגנה מלאה. אפשר לכתוב מדיניות, אך אם היא אינה מתעדכנת ואינה נאכפת, היא נשארת מסמך. אפשר להפעיל מערכת הזדהות, אך אם גופים מרכזיים אינם מתחברים אליה, המדינה ממשיכה לפעול באמצעות אוסף פתרונות מקבילים.

Governance הוא המנגנון שמחבר בין הנהלה, בעלי תפקידים, מערכות, נהלים, סיכונים ומדדים. הוא מגדיר מי אחראי, מי מאשר, מי בודק ומה נעשה כאשר מתגלה פער.

גם דוחות קודמים, ובהם הביקורת על מערכות המידע בבחירות לרשויות המקומיות בשנת 2025, הצביעו על פערים בניהול הרשאות, ניטור, הפרדת סמכויות וטיפול באירועים. דוח 2026 מראה כי אין מדובר בכשל נקודתי אלא במגמה רחבה המחייבת טיפול מערכתי.

מה ארגונים יכולים ללמוד מהדוח?

למרות שהביקורת מתמקדת במגזר הציבורי, המסקנות רלוונטיות לכל ארגון המחזיק מידע רגיש או מספק שירותים חיוניים.

השאלה אינה רק האם קיימת מערכת הגנה. השאלות החשובות הן:

האם כלל הנכסים ידועים? האם ההרשאות נבדקות? האם ספקים מנוהלים? האם אירועים מנוטרים בזמן אמת? האם הנהלת הארגון מקבלת תמונת סיכון ברורה? האם ניתן להמשיך לפעול גם אם מערכת מרכזית אינה זמינה?

ארגון שאינו יודע לענות על שאלות אלה עלול לגלות את הפער רק בעת אירוע אמיתי.

מדוח ביקורת לתוכנית עבודה

דוח מבקר המדינה 2026 אינו רק רשימת ליקויים. הוא מספק מפת סיכונים לארגונים המסתמכים על מערכות דיגיטליות.

המסקנה המרכזית היא שהגנת סייבר אינה יכולה להתבסס על פתרונות נקודתיים. היא דורשת ניהול מתמשך של אנשים, תהליכים, טכנולוגיה, פרטיות ורציפות עסקית.

הארגונים שיפעלו נכון לא ימתינו לביקורת הבאה או לאירוע הבא. הם יבצעו מיפוי, יבדקו את הבקרות, יתרגלו את הצוותים ויוודאו שההגנה אינה קיימת רק על הנייר, אלא פועלת בפועל.

השאלה היא לא האם יש סיכון – אלא האם הארגון מוכן אליו

האיומים לא הולכים להיעלם, והמערכות רק הופכות מורכבות יותר.

לכן, השאלה האמיתית שכל רשות וארגון צריכים לשאול את עצמם היום היא:
האם קיימת אצלנו תוכנית מסודרת לניהול אבטחת מידע וסיכונים — או שאנחנו עדיין מגיבים רק כשכבר יש אירוע?

רוצים להבין איפה אתם עומדים?

שיחה מקצועית קצרה יכולה לעזור להבין:

  • מהם הפערים המרכזיים
  • איפה נמצאות נקודות החשיפה
  • ואילו צעדים נכון לבצע עכשיו כדי לבנות סביבת עבודה בטוחה ויציבה יותר לאורך זמן.

דברו איתנו ונבחן את דרכי הפעולה והפתרונות יחד.

המידע המוצג במאמר זה נועד למטרות מידע והעשרה בלבד ואינו מהווה ייעוץ מקצועי, רגולטורי, משפטי או טכנולוגי. כל ארגון נדרש לבחון את צרכיו, הסיכונים והדרישות החלות עליו באמצעות אנשי מקצוע מתאימים.
המאמר נכתב בשיתוף מומחי אבטחת המידע והסייבר של Infoguard מקבוצת IDOR, ונערך על ידי רועי קיש, חובב אבטחת מידע, סייבר ומנהל השיווק של קבוצת חברות עידור (Messagent, Infoguard, Idornext).

/ 5.

בלוג

הישארו תמיד צעד קדימה

בעולם דיגיטלי שמשתנה בקצב מהיר, ידע הוא שכבת ההגנה הראשונה. בבלוג של Infoguard תמצאו ניתוחים עדכניים, מדריכים פרקטיים ותובנות מקצועיות – כדי לעזור לכם ולארגון שלכם להיערך, להגן ולהוביל בבטחה.

5 דק׳ קריאה

Statement of Applicability או SoA, בתקן ISO 27001: מהו ולמה הוא חשוב?

ה-Statement of Applicability, או בקיצור SoA, הוא אחד המסמכים המרכזיים במערכת ניהול אבטחת מידע לפי ISO/IEC 27001:2022. SoA - מסמך ניהולי ולא רק דרישת תיעוד. המשך קריאה

5 דק׳ קריאה

Annex A בתקן ISO 27001: מהו ולמה הוא חשוב?

הכירו את 93 הבקרות של Annex A בתקן ISO 27001. תקנות אבטחת מידע ליישום בארגונים בהתאם למפת הסיכונים. להמשך קריאה

5 דק׳ קריאה

ISO 27001 בשנת 2026 – כל העדכונים והשינויים

2026 היא שנה משמעותית מאוד מבחינת היישום, הביקורות והתקנים המשלימים. ISO 27001 צריך לשקף את הארגון כפי שהוא היום: מערכות, ספקים, ענן, AI וסיכונים עדכניים. זה הזמן לבדוק אם סקר

לקבלת ייעוץ מקצועי, השאירו פרטים
ומומחי הסייבר שלנו יצרו איתכם קשר

ביטחון המידע שלכם מתחיל בשיחה אחת. אנחנו כאן כדי לתת מענה מקצועי, מהיר ואישי לכל שאלה, ייעוץ או פרויקט. משירותי CISO במיקור חוץ, דרך ניהול סיכונים ותקינה, ועד הדרכות עובדים ומבדקי חדירה. אנחנו מגיעים עם גישה פרואקטיבית של שותפים ונכנסים לעומק הארגון והמערכות, מבינים את האתגרים והרגולציה הרלוונטית, ובונים יחד תהליך הגנה שנותנים שליטה, מאפשרים שקיפות ויוצרים סביבה בטוחה יותר לאורך זמן.

אנו זמינים עבורכם לייעוץ מקצועי

לקבלת ייעוץ מקצועי, השאירו פרטים
ומומחי הסייבר שלנו יצרו איתכם קשר

דברו איתנו

077-9011117

בקרו אותנו

השחם 1 פתח תקווה, 4951701 ת.ד 11058 בסר סיטי בניין C קומה 11

תכתבו לנו

sales@infoguard.co.il