מערך המיחשוב הממשלתי: אבטחת המידע לקויה והנהלים לא קיימים או לא מיושמים
מבקר המדינה, השופט בדימוס יוסף שפירא, מצא שוועדת ההיגוי לאבטחת מידע מונתה רק חמש שנים לאחר שנקבע נוהל אבטחת המידע בממשל זמין - וכלל לא התכנסה מאז ● המבקר אף ציין שהנהלת ממשל זמין לא הגדירה את הסיכונים בחלק מהפרויקטים ולא קבעה מתי הנהלים בנושא ייכנסו לתוקף ● ממשל זמין בתגובה: "מדובר בפערים של שנים שיש להשלים, נדרש פרק זמן גדול יותר מזה שניתן"
מבקר המדינה גילה במערך המיחשוב הממשלתי שורה של ליקויים באבטחת המידע ובנהלים בתחום. על פי הדו"ח שפרסם היום (ד') המבקר, השופט בדימוס יוסף שפירא, בחלק מהמקרים אותם בדק אין כלל נהלי אבטחת מידע ובמקרים שכבר יש נהלים כאלה, הם לא מיושמים. המבקר ציין בנוסף שהנהלת ממשל זמין לא הגדירה את הסיכונים בחלק מהפרויקטים ומינתה ועדת היגוי לאבטחת מידע רק חמש שנים לאחר פרסום הנוהל בנושא.
בדיקותיו של המבקר נעשו בחודשים מרץ-יולי 2012 וכללו כמה היבטים של אבטחת מידע ושרידות מערכות בתהיל"ה. בין היתר, הוא בחן ניהול אבטחת מידע, תוכניות שיקום מאסון והמשכיות עסקית, טיפול באירועי אבטחת מידע, יישום מסקנות של דו"חות בדיקה ושל אירועי אבטחת מידע ותהליך קבלת החלטות לחסימת גישה לשירותים הניתנים באתר.
שפירא ציין שהחוקים שקיימים בעניין מחייבים כל אחד ממשרדי הממשלה למנות ממונה על אבטחת מידע, שיופקד על אבטחת המידע במאגרים המוחזקים ברשותם; למנות ממונה ביטחון, שאחראי גם לאבטחת מערכות ממוחשבות חיוניות; ולנהל את מערכות ה-IT לפי נוהל מפת"ח (ר"ת מתודולוגיית פיתוח ותחזוקה), שבין השאר מטפל בנושא אבטחת מידע.
שפירא מצא, כי ועדת ההיגוי לאבטחת מידע בממשל זמין מונתה רק בדצמבר 2010, כחמש שנים לאחר פרסום הנוהל, "אולם הרכבה לא תאם את ההרכב שנקבע בו". בנוסף, חברי הוועדה כלל לא התכנסו מאז מינויה ב-2010, וחלקם התחלפו מבלי שמונו תחתיהם חברי ועדה אחרים. "מאחר שהוועדה לא התכנסה כלל, היא ממילא לא מילאה את תפקידה כנדרש בנוהל", כתב המבקר. "אם הנהלת ממשל זמין סבורה שוועדת ההיגוי שמונתה לפי הנחיות רא"ם (הרשות לאבטחת מידע בשב"כ) מייתרת את הצורך בוועדת ההיגוי שאמורה לקום מכוחו של נוהל מדיניות אבטחת מידע ומקיפה את כלל פעילותה, עליה לפעול לשינוי הנוהל או לביטולו".
בנוסף, המבקר כתב שעל כרמלה אבנר, הממונה על התיקשוב הממשלתי, לאמץ את "נוהל מסגרת לאבטחת מידע", שפרסם האגף הבכיר לביקורת המדינה במשרד ראש הממשלה עוד ב-2005, כאמור. מטרתו של הנוהל היא לקבוע מדיניות ולמפות מידע, והוא עוסק אף בגורם האנושי ואבטחת המידע, אבטחה לוגית ופיזית, גיבוי, שחזור והתאוששות, אבטחת תקשורת ושימושי אינטרנט, ואבטחת מידע במחשבים המנותקים מרשתות המשרד.
לא הוגדרו סיכונים בפרויקטי IT
אחד הסעיפים בדו"ח נוגע לחתימה על נהלי אבטחת המידע שהוכנו בעקבות הטמעת תקן 27001 בממשל זמין. המבקר קבע, כי על הנהלים מופיע שמו של סגן מנהל ממשל זמין כמאשר הנוהל, אך ללא חתימתו. כמו כן, בכל הנהלים שנכתבו לא נרשם מתי הם ייכנסו לתוקף.
הנוהל מחייב את הנהלת ממשל זמין לקבוע את סיכוני אבטחת המידע ובאיזו רמה הם, אולם המבקר מצא שהנהלת ממשל זמין עשתה זאת באופן חלקי בלבד. "ההנהלה לא הגדירה את הסיכונים ואת רמתם לגבי חלק מהפרויקטים ותתי-הפרויקטים בממשל זמין", כתב שפירא. הוא המליץ לה לעשות זאת, לאחר ש-"תשלים את עדכונו של הנוהל האמור".
המבקר מצא פגמים חמורים גם בהתנהלותו של מנהל אבטחת המידע בממשל זמין, ספציפית. שפירא כתב בדו"ח ש-"הוא לא קבע את רמת האבטחה הנדרשת לכל סיווג של מידע המצוי ברשות ממשל זמין, לא הגדיר את האמצעים ואת התהליכים לטיפול באבטחת רשומות ולא התווה את רמת האבטחה הלוגית לרכיבים השונים של מערכות המחשוב והתקשורת. כמו כן, לא נקבעו נהלים המתווים את אופן ביצוע השינויים בנתונים, בתוכנה ובחומרה, ולא נקבע מי אחראי לקביעתם. מנהל אבטחת המידע לא הגדיר למשתמשים הרשאות גישה לפרטי מידע הדרושים להם לביצוע עבודתם, וממילא לא שיתף בכך את בעלי המידע. עוד נמצא, כי שלא על פי הנוהל, את הרשאות הגישה למשתמשים נותן מנהל המערכת (סיסטם) ולא מנהל אבטחת המידע".
עוד קבע שפירא, כי "מנהל אבטחת המידע לא התווה את התהליכים ואת שיטות הטיפול בממשקים עסקיים הפועלים בממשל זמין ולא ערך תוכנית ביקורת שנתית, כפי שנקבע בנוהל. כמו כן, הוא לא עורך ביקורת על הפעילויות הנערכות במידע. בנוסף, בנוהל לא פורט אילו אירועים הם חריגים ובעלי השלכות על אבטחת המידע ולא הוגדרו אופן רישומם, הדיווח עליהם ואופן התגובה הנדרש".
רא"ם בחנה היבטי אבטחת מידע במיחשוב הממשלתי וביולי 2011 הוציאה הנחיות מפורטות לטיפול בליקויים שעלו בדו"ח. "כמה מהליקויים, שהיה צריך לתקנם עד סוף שנת 2011, טופלו חלקית בלבד או לא טופלו כלל", קבע המבקר.
הוא כתב, כי "על מנהל אבטחת המידע ועל ועדת ההיגוי לכתוב ולתקף נהלי אבטחת מידע תפעוליים לטיפול במצבי חירום היכולים להתרחש בממשל זמין, כפי שכבר החלו לעשות. בנהלים יש להגדיר, בין השאר, את הסיכונים מהתקפות שונות ואת דרכי ההתמודדות עמם, ולקבוע הוראות ביצוע לצוותים המטפלים".
עובדים בלי הסכמים
"הביקורת העלתה, כי לממשל זמין אין הסכם עם אף לא אחד מלקוחותיו, שלהם מאגר מידע כהגדרתו בחוק הגנת הפרטיות, המגדיר מי הם מורשי הגישה למאגרי המידע שלהם כנדרש בחוק הגנת הפרטיות", הוסיף שפירא. "ממשל זמין גם לא מסר דיווח שנתי לרמו"ט שבמשרד המשפטים כנדרש בחוק זה, בתוקף היותו מחזיק במאגרים של בעלים שונים. על הנהלת ממשל זמין לקיים את הוראות חוק הגנת הפרטיות ותקנותיו בכל מאגרי המידע שממשל זמין מחזיק בהם".
"מן הראוי שהנהלת ממשל זמין תיישם את פעולות ההדרכה בתחום אבטחת המידע לפי הקבוע בנוהל מודעות לנושאי אבטחת איכות ומידע, לרבות גיבוש תכנית הדרכה שנתית. כמו כן, על מנהל אבטחת מידע להקפיד ולנהל באופן קבוע את רישום ההדרכות כנדרש בנוהל, וזאת לצורך ניהול מערך ההדרכה ומעקב אחריו", ציין.
לסיכום כתב המבקר, כי "אבטחת מידע היא אבן יסוד בפעילותו של ממשל זמין ומשום כך, עליו להעלות את הנושא לראש סדר עדיפויותיו. כספק העיקרי של תשתיות מיחשוב ושל שירותי מיחשוב למשרדי ממשלה ולגופים ציבוריים נדרש ממשל זמין לקיים פעילות מלאה ושוטפת בתחום אבטחת המידע, במטרה למנוע פגיעה בזמינות המידע הממשלתי לציבור". בניגוד לכך, על פי הדו"ח, "העובדה שממשל זמין לא יישם בהיבטים שונים הוראות ונהלים בתחום אבטחת המידע הגדילה את רמת הסיכון לפגיעה".
"לנוכח הליקויים שהועלו בדו"ח נדרשת הנהלת ממשל זמין לנקוט כמה וכמה פעולות: עליה לקבוע את הסיכונים הנשקפים לכל הפרויקטים בממשל זמין ואת רמת הסיכון הנשקפת מכל אחד מהם; אין להכפיף את מנהל אבטחת מידע בממשל זמין באופן שיפגע בעקרון אי התלות שלו; מומלץ שממשל זמין יקבע קובץ נהלים לגופים הציבוריים המתארחים בו שלפיהם עליהם לפעול; ועל הנהלת ממשל זמין לבצע את פעולות ההדרכה הדרושות בתחום אבטחת מידע, לרבות הכנת תכנית הדרכה שנתית ומימושה, וכן בקרה על מידת הטמעתן של ההוראות וההנחיות בתחום זה".
תגובה
ממשל זמין מסר בתגובה לדו"ח המבקר, כי "מדובר בפערים של שנים שיש להשלים. רק עם הקמת התיקשוב הממשלתי החל ממשל זמין לטפל בהם. אי לכך נדרש פרק זמן גדול יותר מזה שניתן, על מנת להכיל את כל הפערים וליצור את כל שיתופי הפעולה הנדרשים, לגייס את בעלי ההתמחויות הנדרשות ולרכוש את הכלים שיסייעו בסגירת הפער. עם זאת, החל תהליך של ניהול נושא החירום להבטחת המשכיות עסקית במצבי חירום בקרב התיקשוב הממשלתי. ב-1 במאי התקיים תרגיל מוכנות לחירום בקרב כל יחידות התיקשוב הממשלתי ובכללן בקרב יחידת ממשל זמין. חשוב לציין, כי ממשל זמין רואה בחשיבות עליונה את כל נושא אבטחת המידע ובשנה האחרונה הוקם התיקשוב הממשלתי, שודרג מערך אבטחת המידע בהיבטים שונים, חודדו נהלים ואף נערך תרגיל התאוששות מאסון וממתקפות סייבר".
