مراقب الدولة ينشر للجمهور تقريرًا حول مواضيع الذكاء الاصطناعي (AI) والأمن السيبراني

مراقب الدولة ينشر للجمهور تقريرًا حول مواضيع الذكاء الاصطناعي (AI) والأمن السيبراني
أبرز ما جاء في تقرير مراقب الدولة:
تصنيف إسرائيل العالمي في نشاطها واستثماراتها في مجال الذكاء الاصطناعي قد تراجع خلال الأعوام 2019 – 2024
حتى فبراير 2024، تتمّ يوميًا عشرات الآلاف من محاولات الهجوم السيبراني ضد مؤسسة التأمين الوطني
قد يتسبّب حادث سيبراني في مؤسسة التأمين الوطني بضرر جسيم لخصوصية الملايين من المواطنين والمقيمين الذين يتلقون خدمات من المؤسسة، وقد يتسبب كذلك في إعاقة عمل المؤسسة وحتى شلّها 
لم يقم التأمين الوطني بتحديث سياسة أمن المعلومات وحماية الأمن السيبراني الخاصة به لمدة تقارب عشر سنوات، منذ عام 2014
على شركة البريد العمل على تحسين أمن المعلومات لديها، وخاصةً في ظل حادثة السيبرانية التي وقعت في أبريل 2023
مراقب الدولة، متنياهو إنجلمان: 
حول الجاهزية الوطنية في موضوع الذكاء الاصطناعي: "لا توجد في إسرائيل استراتيجية وطنية طويلة الأمد في مجال الذكاء الاصطناعي. وعندما يكون هذا هو الحال، فلا عجب أن نتراجع في المؤشّرات الدولية".
حول حماية الأمن السيبراني في التأمين الوطني: "بالذّات في زمن الحرب - تُعتبر الثغرات في مجال الأمن السيبراني إخفاقًا. لا يجوز الانتظار حتى يضع أعداؤنا أيديهم على قواعد بيانات التأمين الوطني - يجب سدّ الثغرات قبل ذلك بكثير".

الجهوزية الوطنية في مجال الذكاء الاصطناعي
•    قبل ست سنوات، صدر قرار من رئيس الحكومة لتعزيز مجال الذكاء الاصطناعي ودفعه قدما كخطّة للتصديق عليها من قبل الحكومة، إلا أنه لم يتم التصديق على خطة وطنية شاملة لتعزيز هذا المجال بعد. وتبرز أهمية وجود جهة حكومية تتولى المسؤولية الشاملة لتنفيذ هذه الخطة على ضوء عدة أسباب: أهمية هذا المجال لاقتصاد الدولة وصمودها ومناعتها؛ تعدّد الوزارات والهيئات الحكومية التي تعمل على تعزيز تكنولوجيا الذكاء الاصطناعي وتطبيقها في القطاع الحكومي. لكن عمليًا، وحتى وقت إجراء هذا الفحص والتدقيق، لم تكن هناك جهة حكومية شاملة تتحمّل المسؤولية عن تنفيذ الخطّة.
•    تراجع تصنيف إسرائيل في مجال الذكاء الاصطناعي: تسعى إسرائيل لتكون دولة رائدة في مجالات التكنولوجيا وقطاع الهايتك. وقد تبيّن من الفحص والتدقيق أن تصنيف إسرائيل العالمي في نشاطها واستثماراتها في مجال الذكاء الاصطناعي قد تراجع خلال الأعوام 2019 - 2024. ففي تصنيف "تورتويس" تراجت إسرائيل من المركز الخامس من أصل 62 دولة إلى المركز التاسع من بين 83 دولة، وفي مؤشّر "أوكسفورد" تراجعت من المركز 20 إلى المركز 30 من بين 193 دولة، وفي مؤشّر الابتكار انخفض ترتيبها من المركز 10 إلى المركز 15 من بين 133 دولة.
•    تنظيم ومراقبة الذكاء الاصطناعي: على الرغم من المخاطر القائمة في تكنولوجيا الذكاء الاصطناعي والحاجة لتنظيم استخدامه بشكل مسؤول مع الحفاظ على الحقوق الأساسية، تبيّن أنه حتى موعد انتهاء التدقيق لم يتم التصديق بعد على الأنشطة المشتركة بين وزارة الابتكار ووزارة العدل لتعزيز تنظيم الذكاء الاصطناعي، كما أن المبادئ التي تم وضعها في وثيقة مبادئ السياسة لم يتم التصديق عليها بعد من قبل الحكومة. تخلّفت إسرائيل في هذا الجانب مقارنةً بالتقدّم في التنظيم داخل الاتحاد الأوروبي، حيث توجد بالفعل تشريعات تنظّم استخدام الذكاء الاصطناعي وفقًا لمستويات المخاطر. غياب التنظيم في إسرائيل في مجال الذكاء الاصطناعي ينطوي على مخاطر مختلفة، تُثير قضايا قانونية وتنظيمية جديدة. يجب التأكّد من أنه على الرغم من التقدّم التكنولوجي، يبقى الإنسان في صميم عملية اتخاذ القرار، وأن تطوير الذكاء الاصطناعي واستخدامه يتم بطريقة مسؤولة تحترم الحقوق الأساسية والمصالح العامة؛ مثل كرامة الإنسان وخصوصيته؛ المساواة ومنع التمييز؛ والشفافية الكاملة.

•    الحوسبة عالية الأداء (الحوسبة العملاقة - HPC): رغم أنه في عام 2020 تم تحديد الحاجة إلى بنى تحتية للحوسبة العملاقة كشرط أساسي لتعزيز مكانة إسرائيل كدولة رائدة في مجال الذكاء الاصطناعي، إلا أن التدقيق أظهر أن البنى التحتية الحالية للحوسبة بعد خمس سنوات ما زالت محدودة ولا تلبّي احتياجات البحث والصناعة في إسرائيل. هذا النقص في بنية الحوسبة يؤخّر قدرات القطاع العام والأكاديميا والصناعة على تعزيز وتطوير مجال الذكاء الاصطناعي.

•    التثقيف الرقمي: على الرغم من أن التثقيف الرقمي يُعتبر مهارة ضرورية ومتوقّعة أن تُطلب في جميع المجالات والقطاعات، فإن الدفعة الأولى التي صادقت عليها الحكومة وكذلك اتفاقية الشراكة في الدفعة الثانية لم تتناول هذا المجال. كما تبيّن أن وزارة التربية والتعليم لم تُدرج كجزء من اتفاقيات الشراكة لتعزيز الذكاء الاصطناعي. غياب التثقيف الرقمي في سنّ مبكرة قد يؤثر على استعداد واندماج الجيل القادم في العالم التكنولوجي، حيث إن الذكاء الاصطناعي يشمل جميع مجالات الحياة ومن المتوقّع أن يكون في استخدام يومي من قبل جميع الجمهور.
قرّر مراقب الدولة، متنياهو إنجلمان، أنه من أجل الحفاظ على التفوق التكنولوجي والعلمي لإسرائيل في مجال الذكاء الاصطناعي، الذي تم تعريفه كأولوية وطنية، يجب على وزارة الابتكار أن تقود سياسة الحكومة في هذا المجال وتعمل وفقًا لقرار الحكومة واتفاق وزير الابتكار السابق مع مجلس الأمن القومي. ضمن هذا الإطار، يجب عليها استكمال إعداد الخطة الاستراتيجية الوطنية التي بدأت في صياغتها منذ عام 2022. وفي هذا الوقت، يُطلب من وزارة الابتكار والعلوم والتكنولوجيا ممارسة مسؤوليتها بحيث يتم تنفيذ قرار الحكومة كما هو. إن قيادة واضحة لخطة وطنية كبيرة أمر ضروري للحفاظ على القدرات التكنولوجية ومزاياها النسبية مقارنةً بالدول الأخرى. أي انحراف عن مسار التنفيذ المحدّد للقرار يتطلب تحديث الحكومة في الموضوع لغرض فحص الوضع وتقديم حل يضمن تحقيق هدف تعزيز مجال الذكاء الاصطناعي من قبل الحكومة.
أمن المعلومات وحماية الأمن السيبراني في مؤسّسة التأمين الوطني
تحتفظ مؤسسة التأمين الوطني بقاعدة بيانات كبيرة تحتوي على معلومات تصل من العديد من المنظمات والهيئات الحكومية، بحجم يصل إلى عدة “تيرابايت"، (TB) وتزداد بنسبة 10% تقريبًا كل عام. تتضمّن هذه القاعدة معلومات عن جميع مواطني دولة إسرائيل من يوم الولادة حتى يوم الوفاة. تتطلب قواعد البيانات الخاصة بالتأمين الوطني مستوى عاليا من الأمان وفقًا لأنظمة حماية الخصوصية (أمن المعلومات) لعام 2017.
حتى فبراير 2024، تتمّ يوميًا عشرات الآلاف من محاولات الهجوم السيبراني ضد مؤسسة التأمين الوطني. قد يتسبّب حادث سيبراني في مؤسسة التأمين الوطني بضرر جسيم لخصوصية الملايين من المواطنين والمقيمين الذين يتلقون خدمات من المؤسسة، وقد يتسبب كذلك في إعاقة عمل المؤسسة وحتى شلّها، مما يؤثر على قدرة المؤسسة على دفع المخصّصات (مثل: الشيخوخة، الإعاقة، المعيشة، مخصّصات البطالة، والمكافآت لجنود الاحتياط). في فبراير 2022، تم الإبلاغ عن حادثة سرقة هوية نتج عنها كشف معلومات شخصية تخص 2000 مواطن أمام أطراف غير مخوّلة بذلك.
سياسة أمن المعلومات وحماية الأمن السيبراني: لم يقم التأمين الوطني بتحديث سياسة أمن المعلومات وحماية الأمن السيبراني الخاصة به لمدة تقارب عشر سنوات، منذ عام 2014، رغم أن المخاطر في هذا المجال قد تغيرت بشكل كبير، ورغم أن ذلك يتعارض مع سياسة التأمين الوطني التي تنص على ضرورة مناقشة سياسة أمن المعلومات وتحديثها سنويًا. أثناء التدقيق، تم تحديث وثيقة السياسة إلى مستوى مسودّة وتمت المصادقة عليها في مارس 2024 من قبل القائم بأعمال المدير العام لمؤسسة التأمين الوطني، لكن لم يُعقد اجتماع للجنة التوجيه لأمن المعلومات لمناقشة السياسة كما هو مطلوب في وثيقة السياسة.
إجراءات أمن المعلومات: لم يتطرّق التأمين الوطني إلى 6 من 12 موضوعًا محدّدًا في لوائح أمن المعلومات التي يجب تنظيمها في إطار سياسة أمن المعلومات. فيما يخص 4 من بين 12 موضوعًا، لم يتم تحديث الإجراءات القائمة منذ عشر سنوات، وبالنسبة لموضوعين آخرين، لم يُحدّد آخر موعد تم فيه تحديث الإجراءات ذات الصلة.
لجنة التوجيه لحماية الأمن السيبراني: لم تجتمع لجنة التوجيه السيبراني برئاسة المدير العام منذ بداية عام 2022 حتى يناير 2024، وذلك خلافًا لسياسة التأمين الوطني التي تفرض انعقاد اللجنة كل ستة أشهر. ولأن اللجنة لم تجتمع خلال تلك الفترة، لم يكن هناك في هذا الإطار الزمني جهة تصادق على سياسة حماية الأمن السيبراني، وعلى خطط العمل السنوية، وتتابع تنفيذها وتعرض مستوى الحماية السيبرانية لرئيس المؤسسة، بما في ذلك الفجوات، الحوادث الهامة، والتهديدات. كذلك، خلال الاجتماع الأول للجنة التوجيه في يناير 2024، لم يُعرض مستوى الحماية السيبرانية على القائم بأعمال المدير العام لمؤسسة التأمين الوطني، ولم تتم المصادقة على مسودة السياسة، ولم تُعرض مواضيع رئيسية أخرى تم تحديدها في رسالة التكليف للجنة.
إدارة المخاطر: لا تدير مؤسّسة التأمين الوطني قائمة جرد لجميع أصولها وعملياتها التجارية، ولا تصنفها حسب مستوى الأهمية بالنسبة للمؤسسة، كما هو مطلوب في لوائح أمن المعلومات والمعايير المتّبعة في مجال الأمن السيبراني والحماية. بالإضافة إلى ذلك، لا يجري التأمين الوطني مسوحًا دورية للمخاطر كل 18 شهرًا حول قواعد بياناته، كما هو مطلوب من المنظمات التي تمتلك قواعد بيانات تتطلب مستوى عاليا من الحماية.

اختبارات الاختراق: لا تُجري مؤسسة التأمين الوطني اختبارات اختراق لقواعد البيانات الخاصة بها، كما هو مطلوب في لوائح أمن المعلومات ووثيقة السياسة الخاصة بها. فقط حوالي 7% من الاختبارات التي أجريت كانت على الأنظمة المتّصلة بالمنظومة المركزية، والتي تحتوي على جميع قواعد البيانات التابعة للمؤسسة. كما أن التأمين الوطني لا يتابع معالجة الثغرات المكتشفة في الاختبارات، حيث توجد ثغرات عالية الخطورة لم يتم إصلاحها، مما يُعرّض المؤسسة للخطر. علاوة على ذلك، لا يجري التأمين الوطني اختبارات اختراق للمنظومة المركزية.
تشخيص أحداث سيبرانية ومعالجتها: تبيّن وجود فجوات في قدرة مؤسسة التأمين الوطني على تشخيص أحداث سيبرانية ومعالجتها. فلا يوجد فرق متخصّصة لإدارة الأزمات - مثل فريق إدارة حدث (IR) وفريق للتحقيق الجنائي الرقمي (DFIR). الفريق الإداري لإدارة حدث سيبراني، الذي تم إنشاؤه في نهاية يناير 2024، لم يجتمع، ولم يتلقَ تدريبًا، ولم يتم إجراء تدريبات له؛ كما تبيّن وجود فجوة في تشغيل مركز العمليات الأمنية (SOC). الفريق الذي يشغل مركز SOC لم يتلقَ تدريبًا خاصّا لهذا الموضوع؛ كما أن مركز SOC ليس تحت مسؤولية قسم أمن المعلومات، بل هو تحت مسؤولية قسم البنية التحتية. هناك عدم تطابق بين الحاجة إلى فحص عشرات الآلاف من الإنذارات يوميًا، وبين تشغيل مركز SOC بواسطة محلّل واحد فقط. في ضوء ذلك، هناك قلق من أنه قد لا يكون من الممكن التعرف على الأحداث الحقيقية في وقت معقول أو حتى في غضون أي وقت.
إدارة مخاطر سلسلة التوريد: لا يوجد لدى مؤسّسة التأمين الوطني سياسة بشأن سلسلة التوريد، ولا يوجد لديها خرائط لجميع مزوّدي تكنولوجيا المعلومات وتصنيفهم حسب مستوى الخطر الذي يشكّلونه. كما أنه لا يوجد ملحق خاص بأمن المعلومات في مناقصات المؤسسة يلزم المزوّد باستيفاء الضوابط المطلوبة في سلسلة التوريد. بالإضافة إلى ذلك، لا تجري مؤسّسة التأمين الوطني عمليات تفتيش على مزوّدي تكنولوجيا المعلومات. في ضوء ذلك، هناك خطر أن تتعرّض المؤسسة للمسّ والأذى عبر مزوّد رئيسي لها. في حالات محدودة قامت مؤسسة التأمين الوطني بإجراء عمليات تفتيش، تم العثور على ثغرات.
نقل المعلومات من التأمين الوطني إلى جهات خارجية: تقوم مؤسّسة التأمين الوطني بنقل معلومات إلى العديد من الجهات الخارجية عبر أنظمة مشاركة المعلومات التي تم الكشف عن فجوات في أمن المعلومات فيها. كما أن المؤسسة لا تجري رقابة على تطابق المعلومات المنقولة إلى الجهات العامة مع ما تمت الموافقة عليه من قبل لجنة نقل المعلومات. علاوة على ذلك، لا تجري المؤسسة عمليات تفتيش دورية على صلاحية واجهة نقل المعلومات، ولا تتوقّف عن نقل المعلومات بعد خمس سنوات كما هو مطلوب وفقًا للوائحها.
استيفاء متطلبات القانون واللوائح: تبيّن أن مؤسسة التأمين الوطني لا تملك خطة رقابة مستمرة لاستيفاء قواعد بياناتها متطلبات لوائح أمن المعلومات، كما هو مطلوب بموجب المادة 3 من هذه اللوائح. قاعدة البيانات الخاصة بالمؤسسة، التي تعتبر كبيرة الحجم وتحتوي على معلومات حساسة بحجم عدة تيرابايت، تتطلب وجود خطة منظمة لضمان مستوى أمني ملائم. كما تبيّن أن الغالبية العظمى من لوائح أمن المعلومات (13 من أصل 15 لائحة، أي 87%) يتم استيفاؤها جزئيًا فقط.
طاقم اختبارات الاختراق الداخلي: تشغّل مؤسسة التأمين الوطني فريقًا من الفاحصين المهرة بدوام كامل، يقوم بشكل مستمر بإجراء اختبارات اختراق على الأنظمة والتطبيقات. ومع ذلك، لا يتم إجراء اختبارات على المنظومة المركزية.
حرب "السيوف الحديدية": خلال حرب "السيوف الحديدية" كان من المطلوب من مؤسسة التأمين الوطني تنفيذ إجراءات عاجلة لمعالجة ضحايا الأعمال العدائية، وأسرى الحرب، والأسر النازحة، وجنود الاحتياط. شملت هذه الإجراءات، من بين أمور أخرى، تطوير خدمات جديدة لخدمة هذه الفئات؛ تطوير واجهات لنقل المعلومات إلى جهات أخرى؛ وإيجاد حلول جديدة تسمح لموظفي المؤسّسة بالعمل من المنزل لضمان استمرار تقديم الخدمات.
موقع النسخ الاحتياطي (DR): يشيد مكتب مراقب الدولة بعملية نقل موقع النسخ الاحتياطي (DR) لمؤسسة التأمين الوطني إلى الموقع الجديد في مارس 2024، أثناء فترة التدقيق.
خلص مراقب الدولة، متنياهو إنجلمان، إلى أن على القائم بأعمال المدير العام لمؤسسة التأمين الوطني والإدارة ولجنة التوجيه الخاصة بالأمن السيبراني أن يعملوا سريعًا على تحديد مخاطر الأمن السيبراني الجوهرية التي تواجه المؤسسة وتطوير خطة عمل لمعالجة الفجوات في أمن المعلومات، بما في ذلك الفجوات المذكورة في هذا التقرير.
أنظمة المعلومات في شركة بريد إسرائيل وبنك البريد
ربط مركز العمليات الأمنية (SOC) الخاص بشركة البريد بمركز العمليات الأمنية التابع لوزارة الاتصالات: يُعتبر مركز العمليات الأمنية (SOC) أداة مهمة في نظام حماية البيانات والموارد التنظيمية، حيث يقوم بالإبلاغ عن الأنشطة غير العادية وغيرها. تقوم شركة البريد بتشغيل SOC تحت مسؤولية قسم أنظمة المعلومات في الشركة، ويتم استئجار خدمات مركز العمليات الأمنية من شركة خاصة. وقد تبيّن من التدقيق أنه رغم توجه وحدة وزارة الاتصالات، التي تشغل SOC ممول من قبل وزارة الاتصالات وهيئة الأمن السيبراني الوطنية، إلى شركة البريد عدة مرات خلال عامي 2022-2023 لطلب ربط SOC الخاص بشركة البريد بـ SOC الخاص بوزارة الاتصالات، إلا أن الشركة لم تقم حتى الآن بالاتصال بـ SOC لوزارة الاتصالات. بذلك، فإن الشركة لا تستفيد من المزايا التي يوفرها هذا الربط، بما في ذلك مراقبة خارجية إضافية عند وقوع هجمات سيبرانية.

خطط العمل السنوية والمتعدّدة السنوات في مجال أنظمة المعلومات: على الرغم من أن ميزانية قسم أنظمة المعلومات في شركة البريد كبيرة، وتتراوح بين 102 مليون شيكل و136 مليون شيكل (ما بين 17.2% و19.6% من إجمالي الميزانية)، إلا أن الشركة وبنك البريد ليس لديهما بروتوكول لتنظيم خطط العمل، ولم يكن هناك برنامج عمل متعدد السنوات في مجال أنظمة المعلومات خلال السنوات 2019-2023.
الأعطال في أنظمة المعلومات بشركة البريد وبنك البريد: في عام 2018، قدم قسم أنظمة المعلومات عرضًا يوضح الحاجة إلى استبدال معدات الحوسبة القديمة بسبب كثرة الأعطال في الأجهزة. وفقًا لبيانات الشركة، من 1 أبريل 2022 حتى 21 يوليو 2023، قدم مستخدمو الأنظمة 46,349 بلاغًا تم تصنيفها كأعطال في الأجهزة. وكانت نسبة البلاغات بسبب مشاكل الأجهزة هي الأكبر، حيث بلغت حوالي 35% من إجمالي البلاغات في الشركة. كذلك، حوالي 80% من أعطال الأجهزة التي أدّت إلى تعطيل محطات العمل، و92% من أعطال الأجهزة التي تسببت بتعطيل وحدات البريد كانت بسبب معدات الحاسوب التي تم تصنيف بعضها عام 2018 كمعدات تحتاج إلى استبدال. تعكس هذه البيانات مدى تأثير المعدّات القديمة على أداء وحدات البريد، وما ينتج عنه من تأثير على جودة الخدمة المقدمة للعملاء.
مشروع استبدال المعدات المحوسبة القديمة في شركة البريد وبنك البريد: تمت الموافقة على مشروع استبدال المعدات ضمن خطط العمل للأعوام 2019-2023. تزامنًا مع استبدال الحواسيب، تم أيضًا ترقية أنظمة التشغيل إلى Windows-10. حتى نهاية التدقيق، وبعد أكثر من أربع سنوات من تحديد الحاجة لاستبدال المعدات القديمة، ما زالت الأعطال تحدث بسبب عدم استبدالها، مما يعزز الحاجة الماسة لاستبدال هذه المعدات. تحافظ الشركة على الوضع الحالي ولا تعمل على التحسين المستمر في مجال أنظمة المعلومات.
نظام إدارة الأدوار المحوسب: في عام 2007، بدأت شركة البريد وبنك البريد بتشغيل أنظمة لإدارة الأدوار في بعض وحدات البريد. تبيّن من التدقيق أن النظام الحالي لا يسمح لزبائن الشركة بإدخال معلومات حول الخدمة التي تم تحديد الموعد لأجلها، ولا يخصص للزبائن وقتًا محددًا بناءً على احتياجاتهم. على سبيل المثال، الوقت المطلوب للزبون الذي يأتي لفتح حساب في بنك البريد عادةً أطول بكثير من الوقت المطلوب للزبون الذي يأتي لاستلام طرد بريدي. نتيجة لذلك، قد يحدث في بعض الأحيان أن تنتظر أدوار طويلة في فروع بنك البريد، وقد يتلقى الزبائن الخدمة بعد وقت طويل من الموعد المحدد لهم. النظام لا يتيح إدخال معلومات حول نوع الخدمة المطلوبة ولا يتعرّف على الإجراءات التي يرغب العميل في تنفيذها. كان يمكن للتعرف المسبق على الإجراءات أن يساعد في إعلام الزبون مسبقًا بالمستندات المطلوبة أو التحضيرات اللازمة لتلقّي الخدمة. أيضًا، يمكن للزبون إلغاء الموعد بشكل شخصي، ولكن النظام لا يرسل إشعارات للتأكد من حضور الزبائن للموعد أو لإلغاء الموعد في حال عدم حضورهم. عدم توافق نظام إدارة الأدوار مع طبيعة عمل الشركة واحتياجاتها يعرقل إدارة الأدوار بشكل فعال ويؤثر سلبًا على جودة الخدمة المقدمة للزبائن.
حدّد مراقب الدولة، متنياهو إنجلمان، أن على شركة البريد العمل على تحسين أمن المعلومات لديها، وخاصةً في ظل حادثة السيبرانية التي وقعت في أبريل 2023. يجب على الشركة تحسين الرقابة الداخلية والنظر في الثغرات التي تم الإشارة إليها في هذا التدقيق، وبلورة طرق لمعالجة هذه الثغرات بشكل فوري.

مرفق فيديوهات:

https://youtu.be/eHYH3gbsbJs

https://youtu.be/j6_6T6tymOE

https://youtu.be/gKmp5J03E28