ערן יעקב, מנהל רשות המסים, התייצב לפני כמה חודשים בכנסת וביקש מהח"כים להפסיק לפחד ולהתחיל לאהוב את שלטונות המס. הטריגר: הצעת חוק ממשלתית ושנויה במחלוקת שנועדה להעניק לגוף שבראשו הוא עומד סמכות חריגה ופולשנית. גישה ישירה, נרחבת וכמעט נטולת תיווך לחשבונות בנק שבהם מתנהלים כספיהם של מיליוני ישראלים. מנהל רשות המסים, שבקרוב יסיים את תפקידו, תמך כמובן במהלך, שמנומק בצורך להילחם בכלכלה השחורה. הוא הגיע לכנסת כדי לשכנע את נבחרי הציבור לקדם את החקיקה.

בהרבה מובנים, טען ערן יעקב, הסוסים כבר ברחו מהאורווה. "תיכנסו לרשתות", אמר לבאי ועדת חוקה, חוק ומשפט, "תמצאו מידע פרטי של אנשים, של כרטיסי אשראי. איך זה מגיע לשם? אלוהים יודע. לא באופן חוקי, אבל מגיע". הוא הזכיר את אפליקציית ביט של בנק הפועלים, שמאפשרת להעביר את פרטי התשלומים ל"צדדים שלישיים" שזהותם עלומה. "אני לא צריך לספר לכם שהעולם משתנה. ולצורך השינויים האלה, העולמיים, שקורים, הצורך הוא בסופו של יום גם לשמר את עניין הפרטיות".

הח"כים לא השתכנעו. באופן חריג, שני יריבים פוליטיים מושבעים – ח"כ גלעד קריב מהעבודה וח"כ שמחה רוטמן מהציונות הדתית – התייצבו יחד בהתנגדותם לרשויות המס. "אני קצת מזועזע", אמר רוטמן, והסביר שהוא מסוגל לחיות עם הידיעה שחברת גוגל יודעת עליו הכל – אבל גוגל, בניגוד לרשות המסים, לא יכולה להשתמש במידע כדי לזמן אותו לחקירה או לשלוח אותו לכלא. "אני יכול לוותר על אינטרס הפרטיות שלי לאלף גופים, אבל אני לא מוכן לוותר עליו לטובת המדינה".

בדיון ההוא, שהתקיים בחודש אפריל, מנהל רשות המסים הבטיח שהגוף שבראשו הוא עומד מקפיד להגן על המידע הרגיש של האזרחים. "המידע היום נמצא בהרבה מקומות, אצל גופים שאין להם שום אחריות סודית. לנו ברשות המסים – יש חובת סודיות. בשונה, אגב, מגופים אחרים בעולם".

לרשות המסים אכן יש חובת סודיות כלפי אזרחי מדינת ישראל. ואולם, מעדויות ומידע פנימי שהגיעו לידי "העין השביעית" ו"שקוף" עולה שהאופן שבו מגינים על המידע הסודי אמור להדיר שינה מעיני האזרחים. לפי העדויות, מאגרי המידע של רשות המסים, שבהם אצור מידע אישי ולפעמים גם אינטימי של האזרחים, סובלים מתשתית מיושנת ופרצות – ועובדים שמתריעים על כך עוברים התנכלויות ומסתכנים בהדחה מתפקידם.

"מדובר במאגר שהערך האסטרטגי שלו לא יסולא בפז. אם הוא נופל לידי גורמים עוינים, זו סכנה למדינה", אומר גורם שעוקב מקרוב אחר פעילות רשות המסים.

אף ישראלי לא ישמח לשמוע שלאיראנים יש גישה לנתוני השכר שלו – אבל איך מגיעים מפגיעה בפרטיות לפגיעה בביטחון המדינה?

"לאיראנים אולי לא אכפת כמה את או אתה מרוויחים, אבל כן אכפת מה שמות הישראלים שעובדים במוסד, ובשב"כ, ובמשרד הביטחון, מה הנכסים שיש להם, איפה הם גרים ומי בן או בת הזוג שלהם. זה מידע פרטי שאין בשום מקום אחר חוץ מבמאגר של רשות המסים. ויש עוד סכנה. האפשרות לשתק את מערכת המס. דמיינו שכל גביית המס בישראל נעצרת, וכל מאגר המידע נמחק. מדינת ישראל תעדיף לקבל פצצת אטום טקטית, קטנה, באזור מסוים, אבל שהמאגר הזה לא ייפרץ וגביית המס תימשך".

"ציפו שאעצום עין"

רשות המסים מפעילה מאגר מידע עצום בגודלו, וברמות פירוט אינטימיות, שבו שמור תיק על כל אזרח ואזרחית בישראל. המאגר כולל נתוני שכר ופרטים אישיים כגון כתובת ומצב משפחתי, לצד מידע שנשלף משורה של גופים ממשלתיים: המוסד לביטוח לאומי, משרד הפנים, משרד התחבורה, הלשכה המרכזית לסטטיסטיקה ועוד. כשבביטוח הלאומי מכירים באדם כבעל נכות, למשל, ברשות המסים יודעים מה אחוזי הנכות שלו, ולאילו קצבאות או הטבות מס הוא זכאי – ובנוסף מקבלים את פרוטוקולי הוועדות הרפואיות, שבהם מפורט לעומק מצבו הגופני, הנפשי והחברתי.

דו"ח מבקר המדינה ממאי האחרון התריע מפני "סיכונים מהותיים שדורגו ברמת חומרה גבוהה וקריטית" במערכות הטכנולוגיות של רשות המסים, שתפקידן לשמור על המידע הרגיש של אזרחי ישראל. גורמים בענף ההייטק שהתראיינו לכתבה זו טוענים שהחולשות הטכנולוגיות של המערכות שבהו נשמר המידע הזה הן שם דבר בתחום. ואולם, הם מציינים, רק לעתים רחוקות הציבור שומע על כך.

לטענת אותם גורמים, השתיקה סביב הסוגיה נובעת מהתדמית הנקמנית של רשות המסים ומחשש שמי שיתבטא על כך יסומן. החשש בתעשייה, שבגינו סירבו להתראיין בשמם, הוא שמי שידבר יגלה יום אחד חוב מפתיע לרשויות המס.

לאחרונה, מאבקם של העובדים במצב המסוכן עלה מדרגה: בחודש יוני האחרון נשלח מכתב אזהרה חמור המצביע על פרצות וחולשות מדאיגות במערכות שנועדו לאבטח את המידע, על בזבוזי כספים ועל תרבות ארגונית שמבוססת על פחד והשתקה. המכתב, שהגיע לידי "העין השביעית" ו"שקוף" ושקטעים ממנו מתפרסמים כאן לראשונה, מבוסס על מידע שאספו עובדי רשות המסים מיחידת שע"מ – ראשי תיבות של "שירות עיבודים ממוחשבים" – היחידה שאחראית לתפעול ואבטחת המאגרים.

יו"ר ועד עובדי שע"מ דורון דודו, החתום על המכתב, מפנה את האצבע המאשימה לדרגים הבכירים. על-פי מכתבו, מנהלי הרשות מתנכלים לעובדים שמתריעים מפני פרצות האבטחה.

המצב האבסורדי המתואר במכתב מתאפשר, בין היתר, משום שבשע"מ לא מועסק מבקר פנים כבר ארבע שנים. "מר יוסי ברוך, שהיה נציג מבקרת רשות המסים, עזב את הרשות ומאז מִשרת המבקר בשע"מ לא אוישה, ולא מונה מחליף במקומו", כתב יו"ר הוועד במכתבו. "כתוצאה מכך, הבקרה על רכש, ביקורת מערכות והתנהלות עובדים לוקה בחסר. שתי העובדות של הביקורת בשע"מ עושות עבודה רבה מאוד, ונוצרים פערים גדולים".

"הייתי המבקר הראשון והאחרון של מערכות ויחידות המידע ברשות המסים – ויש שאומרים אחד יותר מדי", אומר יוסי ברוך, מבקר יחידת שע"מ ברשות המסים לשעבר, בשיחה עמו. "בתחושה שלי, ציפו שאעצום עין. ברשות המסים צריך להיות מוכן להביט למכלאה של החמורים בזמן שגונבים סוסים, ואני לא הייתי טוב בזה. ארבע שנים עברו מאז, וככל הידוע התקן שלי נלקח משע"מ ומסתובב איפשהו במס הכנסה. בנוסף, חשוב לציין שמבקר המדינה מעולם לא ערך ביקורת אמיתית, רחבה ועמוקה, על מכלול מערכות המידע של רשות המסים".

גורמים ברשות המסים ששוחחו עם "שקוף" ו"העין השביעית" מתארים את ההתנהלות בשע"מ כשילוב כרוני של רשלנות, בזבוז וניהול קלוקל. אחד מהם חולק דוגמה: "לפני כמה שנים היה מקרה שבו אחד מחדרי השרתים של שע"מ נפגע, כנראה מחבלה". החשש היה שאדם כלשהו ניסה להשתיל סוס טרויאני או ציוד שיאפשר לפרוץ למאגר, להדליף את תוכנו או לגרום לקריסתו.

לדברי הגורם, בדיקה מטעם הרשות העלתה שהגישה הפיזית לחדרי השרתים היתה קלה במיוחד, והתאפשרה לכל אדם שהחזיק במפתח לדלת. "כתוצאה מכך החליטו להתקין מצלמות בחדרי השרתים בכל משרדי המס", הוא אומר. "המצלמות נקנו. העלות היתה למעלה ממיליון שקל. האם התקינו אותן? לא. רובן יושבות עד היום במחסן".

המקרה הוזכר גם במכתבו של יו"ר הוועד. לפי התיאור שמופיע שם, שמאשים את הרשות ב"בזבוז כספים משווע", כמה מהמצלמות דווקא כן הותקנו, אך הן "לא מחוברות לשום מרכז בקרה – וחלק מחדרי התקשורת לא מתפקדים".

על-פי המכתב, זה המצב גם עם מערכת נוספת של מצלמות אבטחה, שהותקנה מחוץ למשרדי שע"מ בירושלים, באזור התעשייה תלפיות: "מצלמות האבטחה בשע"מ אשר צופות על המתרחש מסביב לבניין לא עובדות מספר שנים, ואין כל צפי לתיקון והשמשה שלהן. הייתכן כי ארגון כל-כך חשוב עם חומר רגיש איננו מצולם 24/7? מה מנסים להסתיר שקורה בשעות היום והלילה?".

המכתב הארוך והמפורט נשלח בחודש יוני למנהל רשות המסים ערן יעקב, לשר האוצר בצלאל סמוטריץ' ולמנכ"ל משרדו שלומי הייזלר, לנציב שירות המדינה דניאל הרשקוביץ, לראש הרשות להגנת הפרטיות גלעד סממה, למבקר המדינה ולבעלי תפקידים בכירים ברשות המסים. תגובותיהם מובאות בסוף הכתבה – למעט תגובתם של השר סמוטריץ' ומשרד האוצר, שסירבו להגיב לדברים.

חיטוט חופשי

הניצול לרעה של הפרצות במערכות המחשוב יכול להתבצע גם על-ידי גורם פנימי. "פעם אחת, עובד שנסע במכונית שלו הבחין בנהגת שמצאה חן בעיניו. הוא רשם את מספר הרישוי שלה, ואחר-כך במשרד איתר את שמה המלא ופרטים נוספים לגביה, כדי להחליט אם כדאי לו להתחיל איתה", מספר אחד הגורמים. אותו עובד מסוגל כמובן גם לבדוק מה מצבה הכלכלי. "נניח שהתמזל מזלך, ירשת מיליארדים והחלטת לקנות מזראטי", מסביר הגורם. "ונניח שאני רואה אותך על הכביש ומסקרנות רוצה לדעת מי אתה. מי נתן לי את הזכות?".

לאחרונה דווח על מקרה שבו עובד של רשות המסים שלף מידע אישי של אזרחים ושיתף אותו בקבוצת פייסבוק לאיתור מכרים מן העבר. הרשות להגנת הפרטיות, שחקרה את המקרה, קנסה את העובד ב-95 אלף שקל. "לצערנו קיימת תופעה שבמסגרתה עובדי ציבור מנצלים לרעה את תפקידם וגישתם למאגרי מידע רגישים על הציבור", מסר אז ראש הרשות להגנת הפרטיות, גלעד סממה. במקרה הזה, אומר גורם ברשות המסים, העובד נתפס רק משום שאחד הנפגעים גילה שפרטיו דלפו והגיש תלונה. לדבריו, לרשות אין דרך לאתר מקרים כאלה באופן עצמאי.

במקרה אחר, שכבר פורסם בעבר ותואר כ"מגה אירוע", דלפה רשימה של 6,000 עובדי רשות המסים, כולל מספרי הטלפון האישיים שלהם. "ערן יעקב, מנהל הרשות, היה מקבל טלפונים נון-סטופ, גם באחת בלילה", מספר גורם ברשות המסים. "אבל מילא ההטרדות, דלפו גם פרטים אישיים של עובדי יחידת יהלום, שאחראים על חקירת פשיעה כלכלית. בתיאוריה, המידע הזה מאפשר לארגוני פשע לאתר את החוקרים שמטפלים בהם ולאיים עליהם. או סתם לגרום לתיבות הדואר האלקטרוני שלהם, ושל כל הרשות, לקרוס".

המאגר הראשי של רשות המסים, זה שאוצר בתוכו את המידע הפיננסי הגולמי של אזרחי ישראל, נשמר מאחורי כמה שכבות הגנה. בעבר, כשעובדי הרשות או גופים אחרים של המדינה רצו לגשת למידע השמור שם – הם עשו זאת באמצעות מערכת טכנולוגית שמנטרת את הגישה ומוודאת שלא נעשה בה שימוש לרעה. בשנים האחרונות, טוען יו"ר ועד עובדי שע"מ, הגישה הזהירה הופרה – והמידע הגולמי שוכפל והועבר למערכות חיצוניות, ופחות מוגנות.

"יש חשש לדלף מידע רגיש וענק של כלל אזרחי מדינת ישראל", התריע יו"ר הוועד במכתבו. "מאגר שע"מ שוכפל והועבר ללא בקרה למערכת שער עולמי השייכת למכס-מע"מ, וכן שוכפל והועבר לפרויקטים אסטרטגיים למערכות מחשב, שפועלות ללא בקרה וניטור משתמשים".

כדי להתמודד עם מקרים כאלה, ברשות המסים התקינו מערכות ייעודיות שנועדו לתעד כניסות חריגות לתיקים של אזרחים ולאותת עליהן בזמן אמת. מערכת אחת כזאת נועדה לאתר חדירה לפרטיות של אנשים מפורסמים, עשירים או כאלה שממלאים תפקידים חשובים – שעלולים ליפול קורבן לסקרנות של עובדים עם גישה למאגר.

לפי מכתבו של יו"ר הוועד, האחראי לטפל בתחזוקת המערכות הללו היה אחד מעובדי מחלקת אבטחת מידע בשע"מ. ואולם, בשלב מסוים העובד "הועף" לתפקיד אחר משום ש"חשף פערים חמורים באבטחת מידע". לדברי גורמים ברשות המסים, מקרה זה משקף את חוסר היכולת של הרשות להתמודד עם ביקורת.

"עובד שמזהה כשל באבטחה מחויב לפנות לדרגים הניהוליים", אומר על כך המבקר לשעבר ברוך. "כמבקר, הייתי גם נציב פניות הציבור – ועובד שזיהה כשל באבטחה יכול היה לפנות אלי, אחרי שפנה לדרגים הניהוליים. הם אמרו: 'אני רוצה להתריע, אני לא ישן טוב בלילה – המצב לא תקין ודרוש פתרון'. אבל ב-2016 זה נפסק. לא אִפשרו לי יותר לקבל תלונות ציבור. וזה לא שהעבירו את הסמכות למישהו אחר. זה פשוט לא קיים יותר".

במקרה הספציפי שתואר כאן, מעבר להאשמה החריפה על הענשה פסולה של עובד שחשף תקלות, התוצאה של הפסקת עבודתו היתה הוצאה מכלל שימוש של המערכת שנועדה לזהות חיטוט חריג במאגר המידע. כעת, נטען במכתב, חברה חיצונית שמעוניינים לשכור כדי לתחזק את המערכת דורשת עבור אותה עבודה שלושה מיליון שקלים לשלוש שנים. ובכל מקרה, גורס יו"ר הוועד, המערכת מסוגלת לנטר רק את המאגר המרכזי, ולא את המאגרים החיצוניים שאליהם שוכפל המידע.

חשש לגניבה ושתילת נתונים

פרצה מסוכנת נוספת נוגעת לגישה הניתנת לרואי חשבון המייצגים חברות ועצמאים, שמתחברים למערכת של רשות המסים כדי להזין מסמכים ונתונים באופן מקוון. "כרואה חשבון", מסביר גורם המעורה בנושא, "אתה חותם על איזה חוזה לא רציני מול הרשות, בודקים אותך, ואז נותנים לך את כרטיס. התגלה שבאמצעות הכרטיס הזה הם יכולים להגיע גם לפרטים של אנשים אחרים. על כל הדבר הזה אין באמת השגחה".

דרך הפרצה הזו התגלה לאחרונה אירוע שממדיו עדיין לא התבררו עד תום, ועלול לכלול שתילת מידע כוזב או גניבת נתונים. "לאחרונה נחשפה תקלה חמורה במערכת, נמצא שמייצגים עשו כרצונם במאגרי המידע", נטען במכתבו של יו"ר הוועד. ברשות המסים אישרו את עצם קיומו של המקרה ומסרו בתגובה שהוא נתון בחקירה משותפת של משטרת ישראל, משרד המשפטים ורשות הסייבר.

"הטיפול בתקלה זו נעשה בהיחבא, ואין גילוי נאות לגופים המספקים את המידע לרשות המסים", הוסיף יו"ר הוועד במכתבו. "עוד עלה מהבדיקה שמאות חיבורי API נעשו ללא הגנה, וצריך לבצע בדיקה מקיפה לכולם ולדאוג להגנתם – אך לא נעשה דבר". API הוא מונח מקצועי המתאר את הממשק שמאפשר למערכת מחשוב מסוימת, במקרה זה המערכת של רשות המסים, לייבא ולייצא מידע למערכות חיצוניות.

לפני כשנתיים בעיה דומה הובילה להשבתת מערכות, אחרי שברשות המסים הגיעו למסקנה שחברה מסחרית יצרה מאגר מידע פרטיזני באמצעות משיכת מידע על אזרחים בצורה בלתי מבוקרת ובהיקף נרחב. "זו היתה פִרצה קטסטרופלית", אומר אדם שנחשף למקרה. "מבחינה טכנית, היה אפשר לשלוף את כל טפסי ה-106 של כל אזרח ישראלי שמיוצג על-ידי רואה חשבון (טופס 106 מסכם את שכרו השנתי של כל עובד; א"ב וא"א) ולהיחשף גם למספרי חשבונות הבנק שלו. כל מה שהיה צריך לעשות בשביל לשלוף את זה היה להחזיק בכרטיס חכם מהסוג שניתן לרואי חשבון".

במקרה ההוא האצבע המאשימה הופנתה לחברה בשם Fibo, מיזם הייטק שפיתח מערכת אוטומטית שסייעה לעשרות אלפי ישראלים לדרוש ולקבל החזרי מס. הלקוחות של Fibo מילאו שאלון קצר, ובסופו אישרו לחברה לפעול בשמם מול רשות המסים.

באוקטובר 2022 הוחלט לנתק את Fibo מהמאגר עקב חשד לשימוש פסול בגישה למידע. מאז חלפה כמעט שנה. גורם ברשות טוען שהפִרצה לא נסתמה לגמרי עד היום. "החבר'ה של Fibo היו היחידים שנתפסו. בפועל, כולם יכולים לעשות מה שהם עשו. יש הרבה חברות שעובדות על בסיס אוטומציה, אבל לרשות אין יכולת ממשית לנטר אותן", הוא מציין.

חברת Fibo קרסה וסגרה את פעילותה זמן קצר לאחר מכן. גורם בכיר שעבד בה שולל את הטענה שלפיה הוא ואנשיו הקימו מאגר מידע בלתי חוקי. "היו הרבה גרסאות של מה שהם ניסו לטעון, וכל פעם הפרכנו את מה שהם אומרים", טוען אותו גורם בכיר. לדבריו, המידע לא הועבר לגופים חיצוניים, ונמחק כשהחברה נסגרה.

הוא לא חוסך ביקורת על מה שהוא ואנשיו גילו על תשתיות המחשוב של הרשות. "כשחקרנו את הטכנולוגיה של רשות המסים כדי להבין איך לעשות לה אוטומציה, גילינו שהמערכת שם עובדת על MS-DOS – פרוטוקול שהומצא עבור מחשבי IBM בשנות השמונים. וזה מטורף בעיני, זה אבסורדי. אין שום גוף היום שעובד עם פרוטוקולים משנות השמונים", הוא אומר.

"במקרה ההוא, רשות המסים עצרה תוך יומיים את הממשק מול כל חברות החזרי המס", אומר על כך המבקר לשעבר יוסי ברוך, שעבד ברשות למעלה מ-20 שנה ואחרי שעזב יצא לדרך עצמאית כעורך-דין המתמחה בתחום המיסוי. "כשניסיתי להבין מה קרה חיפשתי פסקי דין או הודעות דוברות – אבל לא מצאתי ביטוי לשום הליך משפטי או צעד אכיפה מינהלי או פלילי. אין כתב אישום ואין מכתבי התראה, רק כתבות בעיתון. מנסיוני, בדרך כלל כשמצופפים ככה שורות זה בגלל כשל פנימי. מישהו ברשות כנראה עשה טעות".

עם זאת, מדגיש ברוך, הוא סבור שמצבן הכללי של המערכות הטכנולוגיות ברשות המסים תקין, ושמקרים מסוג זה הם היוצא מן הכלל שמעיד על הכלל. גם על הדרג המקצועי בשע"מ יש לו רק מילים טובות. הבעיה, לדבריו, נעוצה בניהול. "בתקופתי, ואני מאמין שגם כיום, העובדים בשע"מ חשו חוסר אמון כלפי הנהלת רשות המסים – תחושה שלרשות יש אג'נדה לא פורמלית להתערב בשיקולים המקצועיים של היחידה מתוך החלטה להרעיב אותה ולהביא להתפרקותה", הוא אומר.

"זה בא לידי ביטוי לאורך הדרך בחוסר אמון והערכה לאנשי המקצוע בארגון, ובנסיונות לאייש תפקידי ניהול – גם זוטרים – במועמדים מבחוץ. לתחושתי מנהלי שע"מ האחרונים, מהזמן הסמוך לפני עזיבתי, הם שליחים מטעם – הם ממונים כבר בידי הנהלת הרשות ומטעמה, ומגיעים עם אוריינטציה מבחוץ וללא הבנה או הערכה ממשיים של היחידה ואנשיה".

"ניהול רע"

מבחינת עובדי שע"מ, המצב הבעייתי של מאגרי המידע והיחס העוין לחושפי כשלים הם השלכה ישירה של הנסיונות לייבש את היחידה – שנענו בעיצומים. מבקר המדינה נדרש למאבק העובדים בדו"ח מ-2022 שבו קשר בין העיצומים בשע"מ לעיכובים שחלו בפרויקטים של היחידה. עם זאת, המבקר גם אישר ששע"מ לוקה במחסור קבוע בכוח אדם. בתקופה שנבדקה, צוין בדו"ח, כ-10% מהתקנים ביחידה לא אוישו, וכך גם כ-32% מהמשרות שנועדו לסטודנטים.

חלק מהתקנים הללו קשורים באופן ישיר ליכולת להגן על המידע האישי של אזרחי ישראל. "ישנו תקן מנהל חטיבה באבטחת מידע, אבל משום מה במשך חודשים המשרה אינה מאוישת. נשאלת השאלה, למי מחכים?", כתב בהקשר זה יו"ר הוועד במכתבו.

במקום למלא את השורות, ברשות המסים מעדיפים להסתייע בחברות חיצוניות ועובדי קבלן. אחת החברות הללו היא טלדור מקבוצת One טכנולוגיות – "חברת גולגלות" שמספקת כוח אדם חיצוני (ובעגת ענף ההייטק: גולגלות) לגופים ממשלתיים רבים.

המנכ"ל לשעבר של טלדור, אריה רימיני, מכהן כיום כמנהל שע"מ. יו"ר הוועד, דורון דודו, מסמן אותו כגורם הבכיר ביותר מבין האחראים לכשלים המתוארים במכתב. הוא מציין שלפני מינויו ספג רימיני מרשות ניירות ערך קנס אישי של 100 אלף שקל בגין אי-סדרים שהתגלו בחברת טלדור כשעמד בראשה. בנוסף נדרש להחזיר בונוס בסך 176 אלף שקל שניתן לו על בסיס נתונים שקריים שהופיעו בדו"חות החברה.

"אמות המידה והניהול הרע של מר רימיני בטלדור", טוען יו"ר הוועד במכתבו, "נכנסו לכאורה גם לשע"מ והורסות כל חלקה טובה. כל עוד מדובר בחברה פרטית מילא, אך פה מדובר בכספי ציבור ונורמות אתיות שנדרסו".

אחראי נוסף שעליו מצביע יו"ר הוועד הוא אבנר שריקר, מנהל אבטחת המידע של שע"מ. "מנהל אבטחת המידע לכאורה התגאה והתרברב שהוא מנהל רכש של 30 מיליון שקל לשנה", נטען במכתב לגבי שריקר. "לצערי, ההתרברבות נכונה והאדון לכאורה בִזבז וקנה מערכות בסכומי עתק שעד היום לא מתופעלות ונמצאות על המדפים בשע"מ כאבן שאין לה הופכין". להאשמה הזאת צירף יו"ר הוועד תיאור של כל אחת מהמערכות המדוברות.

על בסיס מידע שאסף ועד העובדים, היו"ר מאשים את שריקר ב"אי-סדרים חמורים" שנוגעים ליחסיו עם חברה גדולה שמעניקה שירותים לשע"מ: "מנהל אבטחת המידע דרש ממנהל פרויקטים בחברת מלם-תים לממן לכאורה קורס מנהלי אבטחת מידע לעובדיו ללא ההליך הנדרש של מחלקת ההדרכה בשע"מ, ובעלות של כ-14.5 אלף שקל לכל עובד. סך העלות הכוללת: 72.5 אלף שקל, ובתמורה לקבלת פרויקטים ומתן שירותים לשע"מ. באותה תקופה מלם-תים קיבלה פרויקטים במאות אלפי שקלים, ועד היום לחברת מלם-תים יש פרויקטים בשע"מ".

שריקר בחר לא להתראיין לכתבה זו, והסתפק במסר מאיים: "אני בימים הקרובים אגיש תביעת דיבה כלפי כל המעורבים בנושא".

"בשע"מ מחזיקים במערכות המחשוב הממשלתיות מהמתקדמות במדינה", מסכם מבקר הפנים לשעבר יוסי ברוך. "הבעיה היא שעם השנים המסגרת הארגונית של רשות המסים הפכה יותר ויותר פוליטית ואינטרסנטית, והרבה פחות עניינית. הכל הפך למאבק פוליטי על משאבים וכבוד – מי ייקח יותר תקנים ותקציב לאנשים שלו, כדי שיוכל לנהל בשקט תעשייתי".

אחת התוצאות, הוא אומר, היא "תקציב שלדי" ומצוקה כרונית של היחידה הטכנולוגית. "יש פה יותר מדי חזיתות, ואי-אפשר להילחם בזה. לא נציבות שירות המדינה ולא מבקר המדינה ולא בית-הדין לעבודה – אף אחד לא רוצה לתת קשב אמיתי ולהתעסק בזה. מסים וטכנולוגיה לחוד, ובטח ביחד, זה תחום עמוק מדי עבורם, ומה שקורה ברשות המסים מסריח מדי. וכולם, כולל עיתונאים שמחפשים תהילה, לא רוצים להיפגע בעצמם".

רשות המסים בתגובה: "אמירות חסרות בסיס"

ברשות המסים מסרו בתגובה שהטענות של ועד עובדי שע"מ מוכרות, ושחלקן נבדקו בעבר או נבדקות בימים אלה על-ידי חטיבת ביקורת הפנים של הרשות, שבראשה עומדת כיום אביגיל פינטו, בשיתוף נציבות שירות המדינה. "שע"מ פועל באופן שוטף ומתמיד לטיוב המערכות כך שיפעלו באופן המיטבי", מסרה דוברת רשות המסים, עידית לב-זרחיה. "יש להצטער על אמירות חסרות בסיס של הוועד שמביאות לפגיעה בעובדים ומנהלים בארגון".

ברשות שוללים את הטענה שלפיה עובדים שהצביעו על כשלים נענו בהתנכלות והועברו מתפקידם. "'חושפי הפערים' לכאורה עברו תפקיד במסגרת העברה תוך יחידתית, חלקם על-פי בקשתם וחלקם מכיוון שלא מצאו את מקומם באגף אבטחת מידע וסייבר", מסרה הדוברת בהקשר זה. "אנו דוחים את האמירה על 'מכרזים תפורים', שנובעת ככל הנראה מתסכול של הוועד, שאינו מצליח לקדם מינויים בלתי ראויים מטעמו", הוסיפה.

בעניין היעדרו של מבקר פנים בשע"מ נמסר: "המבקרת הפנימית ברשות המסים אחראית על ביצוע הביקורת בכלל מערכי המס, ובכלל זה על הביקורת ביחידת ה-IT של הרשות – שע"מ. בשע"מ לא היה מבקר פנים נפרד, אלא ראש צוות שהיה אחראי על ביצוע הביקורת, וזאת בכפיפות מִנהלית ומקצועית למבקרת הפנים של הרשות.

"מאז כניסתה לתפקיד של המבקרת הפנימית הנוכחית (אוקטובר 2019) הוחלט על שינוי מהותי בכל הקשור לביצוע הביקורת בשע"מ הן מבחינת סדרי העבודה והן מבחינת התכנים המקצועיים. מבחינה מִנהלתית הוחלט לשנות את תקן המשרה כך שבדיקות של טכנולוגיות המידע ייעשו בכלל רשות המסים ולא בשע"מ בלבד, וכן הוחלט לשלב יועץ חיצוני למתן שירותי ביקורת בתחום עיבוד נתונים אוטומטי, על מנת לבצע בדיקות מקצועיות בתחומים אקוטיים של אבטחת מידע, סייבר, הרשאות וכדומה, שלא בוצעו קודם לכן ולהן נדרש ידע מקצועי ייעודי – וזאת כאמור במיקור חוץ.

"יצוין כי כיום, עד לאיוש המשרה החדשה, מופעלת יחידת הביקורת בשע"מ ישירות על-ידי מבקרת הפנים, ויש בה שתי עובדות אורגניות שעובדות בשיתוף עם צוותי מיקור חוץ בניהול ישיר של מבקרת הפנים. בצד זאת, מבקרת הפנים, אשר משמשת גם נציבת תלונות הציבור והעובדים, עורכת בדיקות עומק בנושא מִנהל וכוח אדם, ובכלל זה בודקת תלונות שהגיעו אליה, בין היתר ממר דורון דודו.

"ממצאי הבדיקות מועברים לגורמים הרלבנטיים בהנהלת הרשות ובאגף חקירות ומשמעת בנציבות שירות המדינה, ובעקבותיהם, ככל שנדרש, ננקטים הליכים. גם היום הביקורת ממשיכה בבדיקות נוספות של תלונות שהועברו על-ידי מר דורון דודו. לסיכום, הצגת הדברים במכתבו של יו"ר הוועד מטעה, כי למעשה ביקורת הפנים בשע"מ עברה שדרוג מהותי".

בנוגע לתקרית שתוארה במכתב כ"תקלה חמורה במערכת המייצגים" נמסר מהרשות: "הנושא מטופל על-ידי שע"מ, רשות הסייבר, משטרת ישראל ומשרד המשפטים. מתוקף כך לא נוכל להרחיב בעניין. מעבר לכך נציין כי על אף ביקורת שספגה בעניין, רשות המסים לא נרתעה מלנקוט את הצעדים הנדרשים על מנת להגן על המידע של לקוחותיה".

כמו כן נמסר שהרשות "קיבלה את המלצות מבקר המדינה בנושא בדיקת החוסן האפליקטיבית, והיא פועלת יד ביד עם רשות הסייבר, מבקרת הפנים ומבקר המדינה לתיקון הליקויים שנמצאו בה".

באשר לטענות על ניסיון להחליש את יחידת שע"מ נמסר כך: "הטענות המייחסות למנהל רשות המסים שאיפה לסגור את שע"מ חסרות בסיס וסותרות את הנתונים והעובדות. בשש השנים האחרונות תקציב שע"מ אמנם מנוהל בקפדנות, אך בפועל הכפיל את עצמו. כמו כן, רשות המסים בהובלת ערן יעקב היתה שותפה מלאה למאמצים הרבים שהביאו לחתימת הסכם שכר היסטורי לעובדי שע"מ לפני כשנה – הסכם המקדם שינוי ארגוני מקיף שיאפשר בצד השקעת משאבים ותגמול עובדים גם את הגמישות הניהולית הנדרשת כדי לקדם שורה ארוכה של פרויקטים בעלי חשיבות לאומית באמצעות שע"מ".

בנוגע לטענות האישיות של ועד העובדים כלפי אריה רימיני, מנהל שע"מ, נמסרו הדברים הבאים: "נושא הקנס המִנהלי שהוטל על-ידי הרשות לניירות ערך הינו גלוי וידוע ועמד בפני ועדת האיתור שבחרה ברימיני לתפקיד מנהל שע"מ, ואף עמד בפני היועץ המשפטי של משרד האוצר, שאישר לקדם את מינויו, וכן בפני הממשלה שאישרה אותו".

במענה לטענה על כך שמנהל אבטחת המידע בשע"מ דרש מחברת מלם-תים, שמספקת שירותים לרשות המסים, לממן קורס לעובדים, נמסר כך: "תלונה הכוללת את טענותיו של מר דורון דודו ביחס למר אבנר שריקר התקבלה בשנת 2018 ונבדקה, ומהבדיקה עלה כי פעל בתיאום עם מחלקת הדרכה ובאישור המנהל דאז. יחד עם זאת, בעקבות הבדיקה הופקו לקחים וחודדו הכללים למכרזים הבאים בכל הקשור לשירותי הדרכה".

* * *

דורון דודו, יו"ר ועד עובדי שע"מ, מסר בתגובה: "המכתב שפרסמתם הוא אחד ממכתבים רבים שהעברתי לאורך השנים אל הגורמים הרלבנטיים, עם טענות של עובדים ושלי בגין מחדלים רבים שקיימים לכאורה בשע"מ. עד היום, אחרי אינספור מכתבים שהועברו לגורמים הרלבנטיים, לא התקבלה כל תשובה או תגובה בנושאים השונים. כל בר דעת מבין שמדובר במחדלים על גבי מחדלים שהאזרח הפשוט היה רוצה שייבדקו. לצערי, עד היום הנושאים הללו לא נבדקו, או שהביקורת נעשתה בחשאי ולא בצורה שקופה כנדרש.

"בתור יו"ר ועד ועובד המגזר הציבורי, האינטרס של העובדים ושל הציבור בכלל עמד ויעמוד תמיד בראש מעייני, ולכן לא אחשוש להילחם למען מִנהל תקין בכל מחיר. כך עשיתי וכך אמשיך לעשות תמיד. לצערי הרב, התחושה היא שמישהו מבחוץ שומר על בעלי התפקידים הבכירים שאחראים על המחדלים השונים שמפורטים במכתב הנ"ל, ולא מבצע בדיקה מעמיקה של כל הטענות הקיימות. צריך לבדוק מי נותן להם את הגיבוי הזה – ולמה.

"מחדלי ההנהגה הבכירה, ככל שיוכחו כאמת, עומדים בסתירה מלאה לעבודתם המסורה של עובדי המשרד, שאחראים בין היתר על כספי הציבור בשגרה ובחירום (בימי הקורונה) ועושים זאת בצורה ראויה להערצה. לכן, דרושה בדיקה חיצונית של גורמי המקצוע המוסמכים: הרשות להגנת הפרטיות, מבקר המדינה, נציבות שירות המדינה והגורמים הממשלתיים שמעליה. ללא מענה זה, כל הבעיות הללו, שפוגעות בציבור הישראלי, לא ייפתרו".

צחי פנחס, דובר הרשות להגנת הפרטיות, מסר כי "מכתבו של דורון דודו, יו"ר ועד העובדים בשע"מ, התקבל ברשות, והסוגיות המתוארות בו הועברו לבדיקת מחלקת אכיפה ברשות. עם סיום הבדיקה וככל שיתעורר חשד להפרת הוראות החוק תפעל הרשות בהתאם לסמכויותיה".

אריה גרינבלט, דובר נציבות שירות המדינה, מסר כי "כלל הנושאים שפורטו במכתב התלונה מיום 7.6.2023 נבחנו ונבחנים על-ידי אגף חקירות משמעת בנציבות שירות המדינה, כאשר חלק מהם נמצאים בבירור מול מבקרת הפנים של רשות המסים. כבר עם קבלת הפנייה בחודש יוני ביקש אגף חקירות משמעת מהמבקרת לבדוק את הטענות העולות במכתב ולהעביר לאגף את הממצאים, על מנת שהם ייבחנו, ככל שיעלו בהם היבטים של עבירות משמעת.

"לאחרונה העבירה מבקרת הפנים של רשות המסים את ממצאי בדיקתה בשלל נושאים. בהמשך לקבלת ממצאי בדיקתה נעשים כעת, בשותפות עמה, עוד מספר בירורים בנושאים שונים. אירועים נוספים שהעלה במכתבו יו"ר הוועד דורון דודו נבחנים על-ידי הגורמים המקצועיים הרלבנטיים בנציבות שירות המדינה. לכשיסתיימו הבדיקות והבירורים יעודכן על כך גם יו"ר הוועד".

במשרד האוצר סירבו להגיב לדברים.