מבקר המדינה: "משרד החינוך לא יכול לזהות את הסיכונים למערכות ה-IT שלו"

מבקר המדינה, מיכה לינדנשטראוס, מצא בדו"ח שפרסם אתמול (ג') ליקויים במינהל התיקשוב ומערכות המידע במשרד החינוך. מהביקורת עולה, כי אין למשרד יכולת לזהות את הסיכונים למערכות ה-IT שלו, ההיערכות להתאוששות מאסון לקויה וקיימות פרצות אבטחת מידע. בנוסף, קבע המבקר, כי אין במינהל בקרה תקציבית וכי הועסקו בו עובדים בניגוד להוראות.

מינהל התיקשוב ומערכות המידע אחראי, בין היתר, לניהול תשתיות המיחשוב, הנתונים המערכתיים ושירותי ה-IT של משרד החינוך. הוצאות המינהל עמדו ב-2008, השנה האחרונה שפורסמו הנתונים לגביה, על 133 מיליון שקלים, מהם כ-99 מיליון שקלים (74% מהתקציב) עבור "שירותי מיחשוב ויישומים", שיועדו לשירותי כוח אדם חיצוני.

הביקורת העלתה, כי משרד החינוך לא הכין את תכניות העבודה המיחשוביות שלו על פי נוהל מפת"ח –  מתודולוגיה לפיתוח ולתחזוקה של מערכות מידע, המשמשת כתקן למערכות ה-IT הממשלתיות. "דרישות המשתמשים לא מוינו לפי סדרי עדיפויות, לא נבנתה מסגרת תקציבית מפורטת לפי אותן דרישות, לא נדונו חריגות בביצוע המשימות", כתב המבקר. "למינהל אין נתונים על העלות הכספית של כל פרויקט, אין קבלת התרעות על חריגות בביצוע המשימות".

כיוון שוועדת ההיגוי לענייני מיחשוב במשרד החינוך לא מילאה את התפקידים שנקבעו לה בהחלטת הממשלה, נכתב, "מיחשוב המשרד והשקעותיו רחבות ההיקף לא התנהלו תחת בקרה ומעקב סדורים".

לינדנשטראוס אף הביע ביקורת לגבי העסקת 310 העובדים המועסקים במינהל, שכ-85% מהם מועסקים במסגרת התקשרויות עם חברות כוח אדם ובתי תוכנה שזכו במכרזים לאספקת שירותים למשרדי ממשלה. הביקורת העלתה שבניגוד להוראות, אישר חשב המשרד התקשרות עם ספק שאינו נמנה עם קבוצת הספקים שעמה רשאי המשרד לעבוד, ובכך חרג מסמכותו ופעל בניגוד לחוק חובת המכרזים ולהוראות.

עוד קבע המבקר, כי העלות לעובד של העובדים החיצוניים הייתה גבוהה ביחס לזו של עובדים בכירים בשירות המדינה. כך, העלות לעובד של כ-120 מהעובדים עמדה על יותר מ-30 אלף שקלים, העלות לעובד של 11 עובדים הייתה בין 50 אלף ל-70 אלף שקלים. לדברי המבקר, "העסקת עובדים חיצוניים, שמטבעה אמורה להיות זמנית, התארכה למשך שנים. כמחצית מהם, בהם כאלה שעלות שכרם גבוהה מאוד, מועסקים במשרד יותר מ-5 שנים. כ-20% מהעובדים החיצוניים מועסקים יותר מ-10 שנים, מהם חמישה עובדים המועסקים יותר מ-20 שנים".

"המינהל לא עוקב אחר שימוש לרעה במערכת המיחשוב"

במאי 2004 נחתם בין משרד החינוך לאחד מספקי ה-IT הסכם לשכירת רישיונות תוכנה ושדרוגן עבור מערכת החינוך, בעלות של כ-53 מיליון שקלים. התשלום לספק אמור היה להיות על פי תפוקותיו. "למינהל אין כלים שיאפשרו לו למדוד את תפוקות המינהלת לפי המדדים שנקבעו בחוזה, כיוון שטרם הושלם פיתוח תוכנה המודדת ומנתחת את התפוקות", נכתב בדו"ח. "היות שכך, זה שנתיים וחצי משלם המשרד לספק 90% מהתמורה המרבית לפי ההסכם, באישור מינהלת המינהל וחשבות המשרד. משרד מבקר המדינה רואה בחומרה מצב שבו המינהל מתחייב בחוזה לשלם לספק לפי תפוקות, כשבידי המשרד אין אפשרות למדוד את התפוקות, והתשלום נעשה לפי הערכה".

לינדנשטראוס אף הביע ביקורתו על מערכת מנבסון – כלי פדגוגי לשימוש המורה, העוזר לנהל את תהליכי ההערכה של התלמיד. הוא קבע, כי על אף שהמערכת הוטמעה רק בשליש מבתי הספר, המינהל לא בחן את הגורמים להיקף השימוש הנמוך במנבסון ולא ערך סקר שביעות רצון של המשתמשים במערכת.

לגבי ה-DRP, קבע המבקר, כי "המשרד פעל רק באופן חלקי ליישום מרכיבי תוכנית חירום להמשך פעילות והתאוששות במקרה אסון או שיבוש חמור של מערכות המידע, לא מיפה את האיומים ולא דירג את הפעילויות לפי רמת החיוניות או הקריטיות שלהן". עוד נכתב, כי המשרד ביצע סקר סיכונים ומבחני חדירה חלקיים בלבד, ולא סיווג את מערכות ה-IT לפי רגישותן.

בהיבט האבטחה ציין המבקר, כי "לרוב יישומי ה-IT לא הופקו יומני פעילות, שהם כלי מהותי לביצוע מעקב ובקרה אחר פעולות חריגות הנעשות במערכת. משמעות הדבר היא שהמינהל לא עוקב באופן שוטף אחר פעילויות חריגות ושימוש לרעה במערכת המיחשוב".