המבקר: חלק מגופי הממשלה לא מוכנים להתמודדות עם סייבר
אנגלמן בחן את העבודה מרחוק בממשלה, ומצא חוסר תאימות בהנחיות, העדר תוכניות BCP במשטרה ובמכבי האש, ועוד ליקויי אבטחה ● 65% מגופי הממשלה השתמשו בתשתית מסוכנת ומרובת פגיעויות - על אף הנחיה שלא להשתמש בה
קיימים ליקויים חמורים במוכנות של כמה מגופי הממשלה למתקפות סייבר – מה שמעלה חשש לאבטחת המידע שנמצא במאגרים שלהם. מבקר המדינה, מתניהו אנגלמן, מצביע על הליקויים הללו – "פערים במוכנות להתמודדות עם איומי סייבר", כלשונו – בדו"ח שהוציא היום (ג'), שאחד הפרקים בו עוסק בעבודה מרחוק של גופי ממשלה, בעתות שגרה וחירום. עיקר הביקורת היא על מערך הסייבר הלאומי, היחידה להגנת הסייבר בממשלה, מערך הדיגיטל הלאומי, מכבי האש, המשטרה והנהלת בתי המשפט. בחלקם, ציין המבקר, הליקויים תוקנו תוך כדי הביקורת.
חלק מהממצאים בדו"ח היו חמורים עד כדי כך שוועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא לפרסם אותם, מטעמים של שמירה על ביטחון המדינה.
הנחיות שלא תואמות זו את זו
בדו"ח צוין כי "בעידן הטכנולוגי, עבודה מרחוק הפכה לחלק בלתי נפרד מתפקוד המשק. מאות אלפי עובדים במגזר הציבורי עובדים כך. מערכות העבודה מרחוק הן כיום רכיב קריטי בתפקודו של מערך הביטחון הלאומי".
אנגלמן ציין כי בשנים האחרונות התרחשו אירועי סייבר, שבהם האקרים חדרו לארגונים תוך שהם מנצלים חולשות אבטחה במערכות העבודה מרחוק. פגיעויות רבות כאלה נמצאו גם בתשתית העבודה מרחוק של מערך הדיגיטל הלאומי, ומערך הסייבר הלאומי אסר עליו, ועל משרדי וגופי הממשלה בכלל, להשתמש בהן. ההנחיה ניתנה במרץ 2024, אולם המבקר מצא כי רוב משרדי הממשלה (65%) המשיכו לעשות שימוש בהן גם לאחר מכן.
המבקר השווה בין הנחיותיהם של מערך הסייבר הלאומי (מס"ל) והיחידה להגנת הסייבר בממשלה (יה"ב), ומצא כי אין ביניהן תאימות, וכי על אף שיה"ב מונחית על ידי מס"ל, זו "לא ביצעה בקרה על אופן יישום ההנחיה במשרדי הממשלה המונחים על ידה". עוד הוא הצביע על כך שיש פער בין מדד יה"ב, שלפיו הוא בוחן את עמידתם של משרדי ממשלה בהיבטי אבטחת מידע, לבין ההנחיה. המדד כולל רק חמש בקרות על עבודה מרחוק, בזמן שההנחיה כוללת 45 בקרות. "יש חשש שפיקוח לפי המדד מספק תמונת מצב חלקית בלבד על מצב האבטחה", כתב אנגלמן.
לכיבוי האש אין תוכנית המשכיות עסקית
המבקר ציין כי מסמך מדיניות אבטחת המידע של מערך כיבוי האש כלל לא עוסק בנושא העבודה מרחוק, ובנוהלי העבודה מרחוק שלו חסרות בקרות מסוימות שנכללות בהנחיית מערך הסייבר הלאומי.
עוד ממצא חמור שמעלה הדו"ח הוא שלכיבוי האש אין כלל תוכנית המשכיות עסקית (BCP), "ולכן, אין ביכולתו להגדיר את הפערים בציוד וברישיונות הנדרשים לצורך עבודה מרחוק בשעת חירום כדי לשמור על רציפות תפקודית תקינה בעבודה מרחוק. זאת, בניגוד לנדרש על פי תורת ההגנה". אנגלמן אף הצביע על כך שבניגוד להנחיית מערך הסייבר, מערך כיבוי האש לא ביצע תרגולים להתמודדות עם אירועי סייבר בחירום. "קיים חשש כי הארגון לא יהיה ערוך לאירוע סייבר ולא ידע לקבל החלטות בזמן אמת, וכי העבודה מרחוק תינזק", כתב אנגלמן. עוד הנחיה של מערך הסייבר שמערך כיבוי האש הפר היא החובה לבצע מבדקי חדירה למערכת העבודה מרחוק – שלא נעשו. "כך, הארגון אינו ער לחולשות שבמערכותיו", ציין.
ממצאים חמורים על אבטחת הסייבר במשטרת ישראל. צילום: ShutterStock
גם למשטרה אין תוכנית BCP
לא רק מכבי האש: אנגלמן מצא שגם למשטרה אין תוכנית המשכיות עסקית, ולכן גם היא לא יכולה "להגדיר את הפערים בציוד וברישיונות הנדרשים לעבודה מרחוק בחירום", כתב המבקר. גם שם לא בוצעו תרגילים להתמודדות עם אירועי חירום – מה שמעלה את "החשש שהמשטרה לא תהיה ערוכה לאירוע סייבר ולא תדע לקבל החלטות בזמן אמת, והעבודה מרחוק תינזק".
עם זאת, המשטרה אימצה באופן וולונטרי חלקים מההנחיות. אלא שאליה וקוץ בה: היא עשתה זאת בצורה לא מסודרת ולא מוגדרת – מה שלדברי המבקר "עלול לרוקן מתוכן את המהלך". יתרה מזאת, מסמך מדיניות אבטחת המידע של המשטרה לא עוסק בנושא העבודה מרחוק. מה שכן, בניגוד למכבי האש, המשטרה ביצעה מבדק חדירה במערכת לעבודה מרחוק במהלך הביקורת, בשנה שעברה. אנגלמן ציין כי "במבדק זה נמצאו פערים, והוא נערך כשמונה שנים אחרי המבדק הקודם".
ליקויים – גם בהנהלת בתי המשפט. צילום: Opachevsky Irena, ShutterStock
הנהלת בתי המשפט
הליקוי המרכזי שמצא המבקר בנוהלי העבודה מרחוק בהנהלת בתי המשפט – שסגורים בחלק מזמני המלחמה והחירום, ולכן השופטים, צוותיהם ועובדי המנהלה נדרשים לבצע את העבודה מרחוק – "חוסר בבקרות מסוימות שנכללות בהנחיית היחידה להגנת הסייבר בממשלה".
לסיכום כתב המבקר כי "על מס"ל ויה"ב לבחון ולהתאים את ההנחיות שפרסמו בנושא עבודה מרחוק לגופים המונחים שלהם, ולוודא שכלל הבקרות הרלוונטיות נמצאות בהן. מומלץ שמינהל הרכש, יה"ב ומס"ל יוודאו שבכל המכרזים לפתרונות לעבודה מרחוק ייכללו דרישות אבטחת מידע, ושהרגולטורים על תחום הסייבר יאשרו אותן. על כלל הגופים לטפל בפערים הטכנולוגיים שנמצאו בביקורת ולתקנם".
התגובות
ממערך הסייבר הלאומי נמסר כי "ההנחיות שלנו הן הנחיות כלליות, שמופצות לכלל גופי המשק וגופי תשתיות המדינה הקריטיות. קיימת שונות גדולה בין המגזרים והגופים השונים, ולכן לא מן הנמנע שיהיו פערים בין ההנחיות שלנו לאלה של כל יחידה מגזרית, ושל היחידה להגנת הסייבר בממשלה בפרט"
ממערך הדיגיטל הלאומי נמסר כי הוא יבחן, בשיתוף מערך הסייבר, את אחידות ההנחיה. "מבדק החדירה שביצענו מייתר את הבדיקה של יישום ההנחיה, שכן במסגרת מבדק זה נבחן גם תחום העבודה מרחוק", נמסר.
במשרד לביטחון לאומי אומרים שלנוכח ממצאי הביקורת תינתן קדימות לביקורת ייעודית בנושא, בתיאום עם מערך כיבוי האש. מהמערך נמסר כי הליקויים תוקנו, וכי המבקר שיבח אותו על כך.
מהמשטרה נמסר כי "אין היא רואה את העבודה מרחוק כתת נושא ייחודי שמצריך התייחסות פרטנית במסמך המדיניות. כמו כן, ישנה התייחסות פרטנית לנושא האבטחה והשמירה הפיזית על המכשירים". עוד נכתב בתגובה כי המשטרה "מבצעת מעת לעת מבדקי חדירה", וציון שהארגון "לא קבע לעצמו מדיניות לעניין העבודה בעתות חירום ולא הגדיר מהם צרכיו בתקופות אלה, ולכן לא ניתן לומר מהו הפער בציוד הארגוני שיידרש לתמיכה בעבודה מרחוק בשעת חירום". המשטרה ציינה כי היא נמצאת בימים אלה בשלבי כתיבה מתקדמים של תוכנית המשכיות עסקית.
ידיעות מובילות
"כבר לא מדובר רק על פרויקטי AI – אלא על תפיסת עבודה חדשה"
חדשנות בשמיים: ירוחם הפכה לשדה הניסויים של תעשיית הרחפנים
נשים ומחשבים: עדי ברקובר, נובה
פרויקט מחשוב גדול: מלם תים תטמיע ERP של סאפ בבנק לאומי
ליאור אביב פורש מפאלו אלטו לאחר 10 שנים
תגובות
(0)