הדרך לענן הממשלתי צריכה להיות בטוחה ושקופה יותר

מבקר המדינה, מתניהו אנגלמן, פרסם היום (ד') דו"ח ובו התייחסות נרחבת לענן הממשלתי, ובמרכזו למכרז נימבוס. הוא מתייחס לשימוש הנוכחי של הממשלה בענן ולהיערכות למכרז הגדול, שמימושו הממשמש ובא יהווה פריצת דרך בכל הקשור לעבודת משרדי ממשלת ישראל, וצפוי להצעיד אותה קדימה מבחינה מחשובית. בשני ההיבטים האלה מצא המבקר ליקויים, שראוי שמי שאחראים על המחשוב הממשלתי יתנו עליהם את הדעת ואת תשומת הלב.

לגבי העידן שלפני נימבוס, המבקר מצא שרק 102 יישומים ממשלתיים מתוך אלפים הועברו לפלטפורמות ענן. אנגלמן קובע כי בנושא הזה, ישראל מפגרת בענק אחר העולם. הסיבות לכך ידועות, או לפחות הסיבה המרכזית: הממשלה לא יכולה להשתמש בענן שמבוסס על דטה סנטרים שלא נמצאים פיזית בישראל לטובת מרבית היישומים, המידע והתהליכים המחשוביים שלה. עכשיו, משהחברות השונות שהשתתפו במכרז נימבוס מקימות אזורי ענן בישראל (ולא רק אלה שניצחו), נראה שהמצב ישתנה.

מרכז הכובד של מכרז נימבוס סובב סביב נושא האבטחה, ובעיקר היבטי סייבר, בדגש על הגנה מפני פריצות. לגופי הביטחון יש נוכחות משמעותית בפרטי המכרז, שנכתב על ידי החשב הכללי במשרד האוצר והובל על ידי רשות התקשוב. אלא שעוד לפני שהמבקר נכנס לעניין המכרז הוא מגלה שבחלק משמעותי של מעט היישומים הממשלתיים שכבר עברו לענן נתגלו בעיות אבטחה וסייבר. זה ליקוי משמעותי וטעון תיקון דחוף. המבקר גם לא מסתיר את חוסר שביעות רצונו מהעובדה שבחירת ספקים שונים שקשורים בפעילות הענן של משרדי ממשלה שונים עד כה נעשתה ללא מכרז, על בסיס ספק יחיד – על אף שזה לפי החוק ומקובל מאוד במכרזי ממשלה רבים, במיוחד בעולמות ה-IT וההיי-טק.

דווקא בגלל זה, המבקר לא רגוע לגבי ההיערכות של הממשלה לנימבוס. הוא גורס שבחשב הכללי ובשאר הגופים הרלוונטיים היו יכולים להפיק לקחים מהתנהלות חלק ממשרדי הממשלה בענן בטרם המכרז, וליישם אותם בנימבוס – וזה לא קרה. כך, מציין אנגלמן, "לא גובש הליך ממשלתי סדור להפקת לקחים מיישום מערכות בסביבת הענן. הליך שכזה יכול לסייע בזיהוי החסמים, הקשיים והליקויים המקשים על משרדי הממשלה ליישם מערכות בענן".

ההיערכות של הממשלה לנימבוס עלולה ליצור בעיות

אשר למכרז, המבקר סבור שתהליכי ההיערכות של משרדי הממשלה אליו לא שלמים ועלולים ליצור בעיות בהמשך. הוא מצייר תמונת מצב שלפיה במרבית משרדי הממשלה יש בלבול וחוסר ידע מה יעבור לענן וכיצד זה ייעשה. נכון הוא שהחלו במשרדים שונים הכשרות והשתלמויות ברמה הכללית של הכרת הנושא, אבל תהליכי ההכנה למעבר לענן בהם לא מוסדרים מספיק.

מבקר המדינה, מתניהו אנגלמן. צילום: דוברות מבקר המדינה

הרושם הכללי שמתקבל מקריאת הדו"ח של המבקר הוא שהממשלה בישלה בהצלחה את מכרז נימבוס, המורכב מאין כמותו, אבל המשתמשים – משרדי הממשלה – עוד לא יודעים איך לאכול את התבשיל החדש. כל זה קורה כשכבר הוכרזו הזוכות בנימבוס – AWS וגוגל, החברות הזוכות – ואלה שלא – הודיעו, כאמור, על הקמת אזורי ענן ודטה סנטרים ייעודיים בישראל, וחלקן כבר עושות זאת, והשוק מתחיל להיערך ליישום המכרז. הטמעת הענן הממשלתי ללא אסטרטגיה ברורה ובלי תוכניות יישום ומהלכי בקרה קפדניים ביותר עלולה להוריד לטמיון את היתרונות הרבים הטמונים במעבר הממשלה לענן.

המבקר לא התייחס לעובדה שאחת המפסידות במכרז, אורקל, הגישה ערעור על התוצאות, ולא התייחס להשלכות שיש או עלולות להיות לכך, כמו גם לטענותיה. ייתכן שזה מאחר שהביקורת בוצעה לפני הגשת הערעור, או שאולי אנגלמן שומר את זה לדו"ח הבא. דבר אחד בטוח: צריך להמשיך לעקוב אחרי כל שלב ושלב של התקדמות המכרז, ולוודא שהשימוש בענן במשרדים השונים מבוצע תחת פיקוח ובאופן מוצלח. אין כאן מקום למעידות, ו-ודאי שלא לכישלון, מאחר שמדובר בשינוי מהותי של עבודת הממשלה, ללא דרך חזרה.