מבקר המדינה: בית הנשיא לא מוגן היטב מאיומי סייבר
לפי מבקר המדינה, ההגנה על מאגרי המידע של בית הנשיא חסרה, אין לו תוכנית להמשכיות עסקית והוא עובר על חלק מהוראות החוק ● בבית הנשיא פועלים לתיקון הליקויים
בית נשיא המדינה, יצחק הרצוג, חשוף למתקפות סייבר: דו"ח שפרסם היום (ג') מבקר המדינה, מתניהו אנגלמן, מצא שלל ליקויי אבטחת מידע וסייבר במערכות ה-IT של ביתו של האזרח מספר אחת.
על פי הדו"ח, אין לבית הנשיא מדיניות להגנת סייבר ותוכנית התאוששות מאסון, והמבקר מצא ליקויים בהגנה על הפרטיות במאגרי המידע, כמו גם בדרישות שנוגעות לניטור מערכות המידע ובניהול אמצעי ההזדהות והחשבונות של המשתמשים ברשת המחשוב של בית הנשיא. בנוסף, בקשות חנינה, שמטבען מכילות מידע רגיש, הועברו ללא הצפנה, וחלק ממערכות ה-IT של בית הנשיא עדיין פעילות על אף שהגיעו לסוף מחזור החיים שלהן. כמו כן, הנהלת בית הנשיא לא הקצתה לעובדים תיבות מייל ארגוניות, מה שאומר שהם השתמשו בתיבות המייל האישיות שלהם במהלך עבודתם, על כל סיכוני הסייבר שזה מביא עימו.
מקור: דו"ח מבקר המדינה
המבקר כולל את הממצאים החמורים באחד הדו"חות האחרונים שלו, פחות מחודש לפני שהוא מפנה את הכיסא לעו"ד מיכאל ראבילו, שנבחר בכנסת בשבוע שעבר. הוא ערך את הביקורת בשנה שעברה. אחד הממצאים שעלו ממנה הוא שהנהלת בית הנשיא טרם גיבשה נהלים להתגוננות מפני איומי סייבר, חרף הנחיות גופי הסייבר בממשלה. בית הנשיא אמנם החיל נהלים מסוימים בתחום אבטחת המידע, אבל הם לא נוגעים להיבטי סייבר כגון ניהול משתמשים והרשאות, כללים לניטור אירועים, מחזור חיי התוכנה ועדכוני מערכות ההפעלה. ועדת היגוי בנושא הוקמה רק ביוני אשתקד, והתכנסה בפעם הראשונה חודש לאחר מכן.
עוד נמצא בדו"ח כי בית הנשיא לא קידם משימות מרכזיות בתחום הגנת הסייבר: ההנהלה לא העריכה נזקים, ולא בחנה ואישרה את מפת הסיכונים המשרדית; לא גיבשה יעדים מדידים לבחינת יישום תשתית הגנת הסייבר; לא ביצעה סקרי הנהלה; ולא בדקה את ישימות הפעילויות המוגדרות למערכת ניהול הגנת הסייבר בבית הנשיא ואת ביצוען. בביקורת נמצא גם שהנהלת בית הנשיא לא ביצעה סקר סיכונים – מרכיב מרכזי בהגנת המידע והסייבר, והחלה לבצע סקר שכזה רק לאחר מועד הביקורת, ביולי אשתקד. זאת, כ-10 חודשים לאחר שהוא אימץ את הנחיות יחידת הגנת הסייבר בממשלה (יה"ב).
אין אחראי על תחומי הליבה של ה-IT
המבקר מצא בנוסף כי בבית הנשיא לא הוחלט על מי להטיל את האחריות לתחומי ליבה בתחום ה-IT.
באשר לתשתיות הרשת ולאבטחה שלהן, אנגלמן מצא ש-"האופן שבו בנויה רשת בית הנשיא אינו תואם את הנדרש על פי ההנחיות ובקרות תורת ההגנה בסייבר, ויוצר סיכון. כמו כן, הוא לא עומד בהנחיות שמטרתן הגבלת הגישה לרשת, וכן לא עומד במלוא ההנחיות שנקבעו בהנחיות ובתורת ההגנה בסייבר לצורך מניעת דליפת נתונים".
בחלק מתחנות הקצה – יעד נפוץ לתקיפה באמצעות ניצול חולשות במערכת ההפעלה או ביישומים שונים המותקנים עליה – פעלו גרסאות של מערכות שפג תוקפן והן היו חשופות לפגיעויות. "ממצאים אלה משקפים היעדר שליטה של בית הנשיא בכל הנוגע לאבטחת תחנות הקצה", כתב אנגלמן.
עוד הוא מצא שבהעדר תוכנית המשכיות תפקודית בעת חירום, ובהעדר תרגול שלה, "בית הנשיא לא נקט מבעוד מועד את הפעולות הנדרשות כדי להבטיח שבעת חירום, עקב שיבוש תהליכים עסקיים קריטיים, פונקציות עסקיות יהיו זמינות, וכך יצומצם הנזק התפקודי והתדמיתי שעלול להיגרם לארגון".
ליקויים במאגר החנינות
אנגלמן כתב כי "בית הנשיא, כגוף ציבורי, נדרש לעמוד בדרישות מחמירות בכל הנוגע לאבטחת המידע והגנת הפרטיות במאגרים שברשותו. דרישות אלה חלות בין היתר על מאגר החנינות, שבו מצוי מידע רגיש על קרוב ל-100 אלף מבקשי חנינה, ועל מאגר ההתאמה הביטחונית, שבו מצוי מידע רגיש על מאות עובדי בית הנשיא בהווה ובעבר". המבקר מצא כי בביתו של הרצוג לא קיימו חלק מהוראות החוק שחלות על כלל הגופים המחזיקים במאגרי מידע: לא מונה ממונה שאמון על אבטחת המידע במאגרים, לא מופו מאגרי המידע, ולא גובש נוהל שכולל הוראות בדבר האבטחה הפיזית והסביבתית של אתרי המאגר והרשאות הגישה אליהם. כמו כן, לא נקבעו הרשאות גישה של עובדים למאגרים ולמערכותיהם, ולא נוהל רישום מעודכן של התפקידים והרשאות הגישה שניתנו לעובדים, ואין מנגנון בקרה על כך.
המבקר מצא שעל אף שבית הנשיא מקבל מאז 2019 שירותים מספק חיצוני לצורך אספקת שירותי אפיון, פיתוח, תמיכה ותחזוקה של מאגר החנינות, הוא לא פעל כנדרש בתקנות אבטחת המידע בכל הנוגע לקבלת שירותים אלה ממנו.
עוד העלה אנגלמן שבית הנשיא מעביר למשרד המשפטים ולפרקליטות הצבאית בקשות חנינה במייל – ללא הצפנה. בדרך הזו מועברים גם פריטי מידע בעלי רגישות מיוחדת, כגון פרטים אישיים, נסיבות אישיות ומשפחתיות, וכן נימוקים רפואיים, סוציאליים, כלכליים ושיקומיים. כמו כן, הוא שומר את הבקשות שהועברו במייל.
מהצד השני
הביקורת כוללת גם משוב חיובי, על כך שבית הנשיא פנה ליה"ב, הגוף המפקח, בבקשה לקבל הנחיה בכל הנוגע להגנת הסייבר ואבטחת המידע במאגרי החנינות. כמו כן, הוא מציין לחיוב את פעולותיו ליישום ההנחיות, את הקצאת התקציבים להגנת הסייבר וכן את כוונתו להמשיך ליישם את ההנחיות ולתקן ליקויים שעלו בביקורת.
המבקר ציין כי יש לראות בחיוב גם את פעולות בית הנשיא לביצוע חלקים ראשונים בסקר סיכונים ובמבדק חדירה תשתיתי.
עוד בצד החיובי, בית הנשיא הקצה לתחום הגנת הסייבר כ-15% מתקציב ה-IT הכולל שלו ב-2023 וכ-11% מהתקציב ב-2025. לעומת זאת, ב-2024 הנתון עמד על כ-5.8% מתקציב ה-IT שלו בלבד. כמו כן, נכתב, "בית הנשיא לא ניהל רישום נפרד של התקציבים המופנים באופן ייעודי לתחום הגנת הסייבר, כדי שניתן יהיה לבחון אם הוא עומד בהנחיה".
מבקר המדינה, מתניהו אנגלמן. צילום: ניב קנטור
עיקרי ההמלצות
אנגלמן כתב שעל מנכ"ל בית הנשיא לפעול על פי ההנחיות בתחום הגנת הסייבר ואבטחת המידע; לגבש מדיניות לתחום הגנת הסייבר, לבנות תוכניות עבודה שנתיות, שכוללות לוחות זמנים לביצוע; לוודא כי ועדת ההיגוי פועלת כנדרש; להשלים את סקר הסיכונים שבית הנשיא החל בביצועו ולקיים סקרי סיכונים בתדירות הנדרשת בהנחיות; לקבוע תוכנית להמשכיות עסקית ורציפות תפקודית; להבטיח שבית הנשיא משקיע מספיק משאבים להגנת סייבר; להטיל תחומי אחריות בנושא על בעלי תפקידים שונים; לתקן את הליקויים ולעמוד במלוא הנחיות שנקבעו בעניין הזדהות משתמשים וניהול הרשאות; להקצות תיבות מייל משרדיות לעובדים; ולפעול לשיפור מערך הניטור על מערכות המידע שלו.
עוד ממליץ אנגלמן לגבש מנגנון יעיל שעוקב באופן שיטתי ולאורך זמן אחר מחזור החיים של המוצרים הפועלים במערכות ה-IT של בית הנשיא, לוודא שלא ייעשה שימוש במוצרים שהגיעו לסוף מחזור החיים שלהם ולהתקין בהם עדכוני אבטחה בהתאם להנחיות. בכלל זה, עליו למנות ממונה על אבטחת מאגרי המידע.
לסיכום כתב אנגלמן כי "פעילותו התקינה של בית הנשיא מושפעת ותלויה בין השאר ברמת הסודיות, השלמות, הזמינות והשרידות של המידע המצוי ברשותו, ובכלל זה במערכות המחשוב שלו. פגיעה במידע עלולה להוביל לנזקים בהיבטים תפעוליים, טכנולוגיים וכספיים, ואף לפגוע בצנעת הפרט ובשם הטוב ובתדמית של בית הנשיא ושל העומד בראש המדינה".
התגובות
ממערך הדיגיטל הלאומי נמסר כי "יחידת ההגנת סייבר בממשלה (יה"ב) במערך הדיגיטל מסייעת למשרדים הממשלתיים ולגופים ציבוריים מסוימים המצוינים בהחלטת ממשלה, ובכלל זה מקנה ליווי מקצועי לגופים ממשלתיים בהתאם לצורך. בית הנשיא לא נמנה עם הגופים המחויבים בפיקוח יה"ב. שיתוף הפעולה עימו נעשה ביוזמת בית הנשיא, ומתוך רצון להסתייע בידע ובמומחיות המקצועית של היחידה. זו פעלה בהתאם לבקשה ובמסגרת שיתוף פעולה מקצועי, שמטרתו מתן מענה מקצועי בתחום ההגנה על התשתיות והשירותים הדיגיטליים".
מבית הנשיא נמסר כי הוא רואה חשיבות רבה בהגנת הסייבר ופועל לתיקון הליקויים. כך, צוין, בית הנשיא פועל בימים אלה לגיבוש תוכנית המשכיות עסקית, ובוחן התקשרות עם חברה שמספקת את השירות הזה. עוד נמסר מבית הנשיא שבעקבות הביקורת, הוא יבחן את ההתקשרויות שלו עם ספקים בתחומי אבטחת המידע והגנת הסייבר, הורה לשמור על בקשות חנינה לתקופה של שנה בלבד ופועל לתיקון הליקויים הנוגעים להרשאות הגישה.
עוד אומרים בביתו של האזרח מספר אחת כי הארגון מיפה את מאגרי המידע שברשותו, כחלק מההיערכות לרישומם, וכי הוא פועל למינוי ממונה אבטחת מידע.
תגובות
(0)