כמה הערות על דו"ח מבקר המדינה

היום (ב') הגיע שוב הריטואל התקופתי שבו חושף מבקר המדינה ליקויים חמורים במחשוב הממשלתי. בדו"ח, שסומן כ-69 ב', חשף המבקר שורה ארוכה של ליקויים בתחום, לרבות במכרזים הטכנולוגיים של הממשלה וחמור מכך, בהגנה על הפרטיות שלנו ובמוכנות של מערך המחשוב של הממשלה למתקפות סייבר. הקו המשותף לכל הליקויים הוא אי קיום נהלים, תקנות והחלטות ממשלה.

אם המשמעות של הליקויים האלה לא הייתה מעבר לביורוקרטיה – מילא, אבל הממצאים של המבקר מעלים חשש ממשי לחשיפה לאיומי סייבר, פוטנציאל לפגיעה בפרטיות של אזרחים שמידע עליהם קיים בכל משרדי הממשלה, ובמיוחד סכנה לפגיעה בפרטיות של ילדים במערכת החינוך.

מהקל אל הכבד: הליקויים שמצא המבקר בפעילות של החשב הכללי במשרד האוצר מלמדים על העדר סנכרון מתבקש בין משרדי הממשלה בכל מה שקשור לעבודה מול הספקים כתוצר של מכרזי המחשוב. הליקויים הללו נובעים מכך שהגופים שאמורים לפקח על יישום הנהלים לא עושים זאת.

בנוסף, אם חשבתם שכל מכרזי המחשוב הממשלתיים עוברים דרך החשב, כפי שהתכוונו הממשלה והכנסת – טעיתם. חלק לא מבוטל מהם מוצאים באופן עצמאי על ידי כל משרד ומשרד, כאשר התיאום ביניהם שואף לאפס, לפי מיטב המסורת הביורוקרטית בימי טרום עידן הדיגיטל.

בפועל, יוצא שיש מכרזים שהיו יכולים לשמש משרדים רבים אבל זה לא קורה, כי אף אחד מחוץ לכתלי המשרד הספציפי לא יודע עליהם. כלומר, אין שיתוף מידע. כמובן שיש נהלים ותקנות שמחייבים זאת, אבל גם כאן, אין מי שאוכף אותם. כל מה שהחשב הכללי צריך לעשות הוא לקבוע נהלים למערכת מכרזים מרוכזת, כדי ששני משרדים לא ישלמו עבור אותה מערכת תוכנה מחירים שונים. המבקר מציין שרשות התקשוב הציעה זאת בעבר, אבל אף אחד לא הקשיב לה. שוב עולה פה הסממן של רשויות ממשלתיות שיש להן אחריות אבל אין להן סמכות. שאלת העדר הסמכות של רשות התקשוב עלתה לא פעם בעבר, וממצאי הדו"ח הנוכחי הם תוצאה ישירה של זה.

אין סנכרון, אין אכיפה – יש פוטנציאל לפגיעה

בתחום הסייבר מצא המבקר שהתשתיות הקריטיות לא ערוכות למתקפות סייבר על הצד הטוב ביותר ושאין בידי הגופים המפקחים תמונת המצב אמיתית ונכונה. לא במפורש, אלא בין השורות, צפה בדו"ח סוגיית הכפילות וחוסר התיאום בין מערך הסייבר הלאומי שבמשרד ראש הממשלה לבין השב"כ, שבמשך שנים הכתיב את תורת הלחימה של ישראל בתחום המערכות הממוחשבות. הקמת מערך הסייבר יצרה שתי מערכות שלא תמיד מסונכרנות: השב"כ כתב את הנהלים, בעוד שהסמכת גופי התשתיות הקריטיות והווידוא שהם עושים את הדברים על הצד הטוב ביותר הועברו למערך הסייבר. לפי המבקר, הדבר לא נעשה על הצד הטוב ביותר והמצב אינו משביע רצון.

מבקר המדינה, השופט בדימוס יוסף שפירא. צילום: ניב קנטור

תמונה דומה מצטיירת בפרק על הגנת הפרטיות. הרשות להגנת הפרטיות אמנם עשתה לא מעט בשנים האחרונות, ואף הוציאה את תקנות הגנת הפרטיות החדשות אחרי עבודה של שש שנים, אבל עד היום היא לא אוכפת אותן, כי הלכה למעשה, אין להן תוקף חוקי. מי שהייתה צריכה לפעול בנושא היא הכנסת, אבל זה לא קרה – לא בגלל פגרת הבחירות, אלא עקב חילוקי דעות אופייניים בין רשויות – במקרה זה בין הרשות להגנת הפרטיות למערך הסייבר. יוצא, אפוא, שהתקנות החדשות אינן נאכפות, מה שמאפשר פגיעה בפרטיות של כולנו. זאת ועוד, מסתבר שמשרדי הממשלה בעצמם לא מיישמים חלק מהתקנות, לפקידים הבכירים לפעמים אין מושג מה נדרש מהם והם לא טורחים אפילו לבוא לדיונים. במצב זה, ידיה של הרשות כבולות.

המבקר מאיר את הזרקור בפרק זה על השמירה על הפרטיות בשני משרדי ממשלה ספציפיים – משרד החינוך ומשרד הבריאות. בביקורת על משרד החינוך מציין שפירא שהרשות הארצית לבחינות והערכה, שמחזיקה במידע רגיש על תלמידים, פועלת ללא שום סמכות חוקית בנושא, ובזו על משרד הבריאות נכתב שהוא שלא מצליח לאכוף את תקנות ההגנה על חסיון המידע שהוא עצמו קבע ופרסם.

עוד טוען השופט בדימוס שפירא כי על הרשות להגנת הפרטיות לקחת חלק בכל פרויקטי המחשוב הממשלתיים – והיא לא עושה כן. הרשות חולקת על דעתו וטוענת שבעידן הנוכחי, שבו השימוש במערכות דיגיטליות גובר, אין הצדקה אסטרטגית לכך. מי צודק? זאת סוגיה ששווה לבדוק אותה לעומק.

השורה התחתונה: אחת התופעות שמדינת ישראל צריכה להיפטר מהן בפרוס יום הולדתה ה-71 היא העדר המשילות והזלזול בתקנות ובחוקים, לרבות זלזול של הממשלה בהחלטות שהיא עצמה מחליטה. התופעות האלה הן הביצה שבה גדלים זרעי השחיתות, הפגיעה בזכות הדמוקרטית הבסיסית של כל אזרח לפרטיות והכי חמור – הכשל במערך ההגנה מפני מתקפות סייבר על המערכות הקריטיות שלנו. יש לקוות שהממצאים בדו"ח זה יזכו לתשומת לבה של הממשלה שתקום בקרוב.