לידיעת ההאקרים: משרד הבינוי והשיכון לא ערוך למתקפות כופרה

מבקר המדינה, מתניהו אנגלמן, מצא "ליקויים מהותיים" באבטחת מערכות המידע ובהגנת הפרטיות במשרד הבינוי והשיכון. בין השאר הוא גילה כי המשרד לא ערוך כמו שצריך להתגוננות מפני מתקפות כופרה.

בדו"ח שפרסם היום (ג') מצביע המבקר על כך שוועדת הסייבר במשרד הבינוי והשיכון לא דנה ולא בחנה כנדרש את כמחצית – שלושה מתוך שבעה – המדדים בנושא הגנת סייבר, כאשר היא הייתה אמורה לעשות זאת במהלך השנה שעברה. כמו כן, חלק מנותני השירות החיצוניים, שמשתמשים במערכות המידע של המשרד, לא עברו בדיקה שתמצא האם ההרשאות שיש להם מתאימות לתפקיד שעליהם לבצע.

"בשנים האחרונות התרחשו שינויים ניכרים בתחום ה-IT, כגון מעבר לענן ושימוש בכלי AI, לצד התקדמות ביכולות התקיפה של התוקפים", ציין אנגלמן. "חרף זאת, בניגוד להנחיית היחידה להגנת הסייבר בממשלה, מאז אושרה מדיניות הגנת הסייבר ב-2020 בוועדת היגוי הסייבר של משרד הבינוי והשיכון – היא לא עודכנה, לא נדונה ולא נבחנה על ידי הממונה על הגנת הסייבר במשרד, וגם לא עודכנה בוועדת היגוי הסייבר. לכן, עולה החשש שבעת התממשות של סיכונים, ההגנה מפניהם לא תהיה עדכנית".

עוד עלה בביקורת כי לא היה לוועדת היגוי הסייבר מידע על התקציב של המשרד שמיועד לתחום, מכלל תקציב ה-IT שלו. לכן, לא היה ביכולתה לוודא שמשרד הבינוי והשיכון עומד בהוראות הממשלה ומקצה די משאבים להתמודדות עם סיכוני האבטחה.

ליקויי ועדת היגוי הסייבר בהרחבה

"מאז התכנסה ועדת היגוי הסייבר של משרד הבינוי והשיכון בראשונה ב-2020, היא לא פעלה לאישור, מיפוי וסיווג של נכסי המידע של המשרד, כנדרש בהנחיות. הוועדה לא דנה במיפוי, לא בחנה אותו וממילא לא אישרה אותו כנדרש. כך נפגעת יכולת המשרד לבצע בקרה מיטבית על היעילות והאפקטיביות של יישום מדיניות הגנת הסייבר, ועל מידת התאמתה של תוכנית העבודה לניהול הגנת הסייבר של המשרד לרמת הסיכון של כל מערכת", כתב אנגלמן.

בין 2022 ל-2024 ביצע משרד הבינוי והשיכון שמונה סקרי סיכונים. למרות זאת, "ועדת היגוי הסייבר קיימה דיונים רק על שניים מהסקרים, ולא נקבעה תוכנית להפחתת הסיכונים שעלו", צוין בדו"ח.

בשנים 2021-2024 ביצע המשרד שני מבדקי חדירה אפליקטיביים לשתי מערכות מידע ומבדק חדירה תשתיתי אחד בלבד. הנתון נמוך מההנחיות, קבע המבקר. עוד הוא ציין ש-"ממצאי המבדקים לא הובאו לפני ועדת היגוי הסייבר כמתחייב. לא נמצאו מסמכים שמעידים על טיפול כלשהו של המשרד בסיכונים שהתגלו במבדקים, ובכלל זה פעולות לתיקון הליקויים ומבדקים חוזרים". כמו כן, כך אנגלמן, "המשרד ערך הסכם התקשרות עם חברה חיצונית ונקבע שעליה לבצע סקרי סיכונים למערכות לפחות אחת ל-18 חודשים, כמו גם מבדקי חדירה – אך זה קרה חלקית".

"מ-2022, ועדת היגוי הסייבר בחנה את מידת היישום של מדדי האב בנושאי הגנת הסייבר באופן חלקי בלבד, ולא בכל חצי שנה, כנדרש בהנחיות. כך נפגעה יכולת הוועדה לבחון את רמת האפקטיביות של תשתית הגנת הסייבר ולבצע שינויים", נכתב.

מבקר המדינה, מתניהו אנגלמן. צילום: ניב קנטור

ממצא נוסף הוא שביותר ממחצית מערכות המשרד לא נסקרו הרשאות המשתמשים אחת לשנה כנדרש. ההרשאה של חלק מהמשתמשים שהוגדרו "לא פעילים" בקובץ המשתמשים נמצאה תקפה ולא הוקפאה כנדרש. לגבי ניהול משתמשים פריבילגיים (משתמשי על) קבע המבקר כי "משרד הבינוי והשיכון לא ביצע בשלוש השנים האחרונות סקירה תקופתית חצי שנתית של הרשאות משתמשי העל, כנדרש. זה מגביר את הסיכון להימצאות הרשאות עודפות, שאינן נדרשות לצורך ביצוע התפקיד בפועל, ועלול לחשוף את מערכות המידע לאיומי אבטחה, לגישה גורפת למידע רגיש ולפעולות בלתי מורשות".

לפי המבקר, "הבקרה על הגישה למאגרי המידע אינה מיטבית ולא תואמת את הדרישות. במערכות לא הוגדרו פעולות חריגות, ולא קיימים מנגנונים אוטומטיים להתרעה על פעולות שכאלה. עקב כך, ניסיונות לבצע פעולות לא מורשות במערכות המידע אינם מנוטרים".\

"פערים" בנוגע להכנת תוכנית BCP

אנגלמן אף מצביע על ליקויים – "פערים", כלשונו – בנוגע להכנת תוכנית להמשכיות עסקית (BCP), שכוללת תוכנית התאוששות מאסון, ואי הסדרת הרישום של כל תשעת מאגרי המידע שעל המשרד לרשום באופן הנדרש בתקנות הגנת הפרטיות, אף שעברו כשמונה שנים מאז שאלה נכנסו לתוקפן. "מאגרים אלה כוללים במצטבר מיליוני רשומות, ובהן מידע אישי רב", נכתב.

בביקורת עלה כי "למרות המלצות מערך הסייבר ולמרות תקיפות כופרה על מוסדות ממשלתיים, משרד הבינוי טרם השלים את היערכותו לאירוע כופרה".

"על משרד הבינוי והשיכון לבצע מבדקי חדירה בהיקף נרחב יותר, לדון בתוצאות מבדקי החדירה, לעדכן את ועדת היגוי הסייבר בסיכונים ובאיומים העולים מהמבדקים ולנקוט פעולות לתיקון הליקויים שעלו בהם, בהתאם לדרישות תקנות אבטחת המידע", סיכם אנגלמן. "על המשרד להכין תוכנית להמשכיות עסקית, שכוללת תוכנית התאוששות מאסון. כמו כן, עליו להסדיר את רישומם של מאגרי המידע שברשותו כנדרש בתקנות. הבקרה שהוא מבצע על הגישה למערכותיו אינה מיטבית".

התגובה

משרד הבינוי והשיכון מסר בתשובתו למבקר כי "נמפה את קובץ הנכסים הדיגיטליים שלנו עד סוף 2026. סיווג נכסי המידע יובא לדיון ואישור של ועדת ההיגוי כנדרש. במסגרת תוכנית העבודה הרב שנתית ובהתאם לאסטרטגיית המחשוב שתיקבע, יבוצע שדרוג של המערכות שהטכנולוגיה בהן היא ישנה, ובאופן הדרגתי הן ישודרגו למערכות עדכניות ומופחתות סיכונים".

המשרד מצביע על כך ש-"בשנה שעברה בוצעו עוד כמה סקרים ומבדקי חדירה. כמו כן, בתוכנית העבודה של 2026 נכללים עוד מבדקי חדירה וסקרי סיכונים תשתיתיים ואפליקטיביים".

עוד נמסר בתשובה כי "אגף טכנולוגיות דיגיטליות ומידע במשרד החל לוודא את עמידתם של ספקי השירותים בהתחייבויותיהם החוזיות בנושא אבטחת מידע, ויוודא את הביצוע על פי תוכנית העבודה בשנים הבאות".