מבקר המדינה: חסמים וליקויים בענן הממשלתי

"ישנם חסמים שונים, המעכבים, או מונעים, יישום של מערכות במחשוב ענן במשרדי ממשלה. משרדי הממשלה עלולים לגרום נזק, כספי ותדמיתי. קיים קושי בבקרה על יישום המשרדים את ההנחיות למעבר לסביבת מחשוב ענן. חסרה מסגרת עבודה כוללת ומאושרת להעברת שירותי המחשוב של הממשלה לסביבת ענן", כך קובע מבקר המדינה, מתניהו אנגלמן, בדו"ח 72-א', המתפרסם היום (ד').

"התפתחות טכנולוגיית מחשוב הענן מאפשרת למגזר הממשלתי להתמודד טוב יותר עם אתגרים רבים הניצבים לפניו, כגון שיפור השירות לאזרח, צמצום השונות בין משרדים והתייעלות תפעולית", כותב המבקר, "אך לצד היתרונות, השימוש בטכנולוגיה זו טומן בחובו גם סיכונים ממשיים בתחומי אבטחת המידע והגנת הסייבר, הגנת הפרטיות ועוד".

לפי המבקר, שיעור הניצול השנתי הממוצע של משאבי תשתיות המחשוב המקומיות בממשלה עמד על 2% ב-2018. ב-2019 השקיעה הממשלה במחשוב ענן פחות מ-1% מסך השקעתה בתקשוב, לעומת 8% בעולם. עוד נתון: רק 102 מערכות הועברו לסביבת ענן מתוך אלפי מערכות IT ותשתיות מחשוב במגזר הממשלתי. 60% מהמשרדים (שהשיבו למבקר) לא ביצעו תהליך הפקת לקחים לאחר יישום מערכת בענן. 61% מהם הודו כי אין להם תוכנית אב למחשוב, או שאין בתוכנית התייחסות למחשוב ענן.

לפי המבקר, "תוכנית המעבר הממשלתית לענן לא הוצגה לוועדת השרים כנדרש בהחלטת הממשלה". לגבי פרויקט נימבוס, שנועד לספק שירותי ענן למשרדי הממשלה, מציין המבקר, כי "טרם פורסם מכרז לרובד הרביעי, שירותי ניטור ומיטוב, ולא נקבע מועד משוער לפרסומו. אי-קיומה של מסגרת זמנים מוגדרת לפרויקט בכללותו עלולה להביא להתארכות יישומו ולעיכוב בתוכנית להעברת משרדי הממשלה לענן".

עוד מציין מבקר המדינה, כי "אין בידי רשות התקשוב או גורם ממשלתי אחר מיפוי מלא ועדכני של כל המערכות הממשלתיות שכבר יושמו בענן… (ואין) תמונת מצב מלאה ומדויקת של הנעשה במשרדי הממשלה, ואין יכולת לוודא שכל משרדי הממשלה פועלים בהתאם להנחיות רשות התקשוב בנושא ענן".

בהיבט אבטחת מידע בענן, המבקר מציין, כי היקף האיומים על הענן בעולם זינק ב-773% ב-2020, ו"על אף הנחיה ייעודית של מנהל היחידה להגנת הסייבר בממשלה (יה"ב), שלפיה כל מערכת בענן נדרשת לאישור אבטחה, הרי שהמערכות עובדות בלא אישורים שכאלה… מצב העלול להביא להתממשות סיכוני אבטחת מידע". המבקר מציין, כי "גופים שאינם כפופים ליה"ב מנהלים באופן עצמאי את הגנת הסייבר במערכות ה-IT שלהם, לרבות בענן, בלא גורם מקצועי-אסדרתי מוביל ומפקח… אין בקרה על יישום הנחיות מערך הסייבר בידי הגופים השונים. למערך הסייבר אין סמכות לקיים פיקוח ובקרה על יישום הנחיותיו בנושא הענן".

מבקר המדינה, מתניהו אנגלמן. צילום: ניב קנטור צילום: ניב קנטור

המבקר קובע, כי באחת מהמערכות שעלו לענן – על אף החלטות הממשלה במשרד ראש הממשלה, לא בוצעו מבדקי חדירה וסקר סיכונים זה יותר משנתיים, אף שנדרש לבצעם כל 18 חודשים. עוד הוא כותב, כי "בשניים משלושה פרויקטי ענן, במשרדי הבינוי והשיכון ורה"ם, בוצעה התקשרות עם ספק לביצוע הפרויקט בלא הליך מכרזי".

"לא גובש הליך ממשלתי סדור להפקת לקחים מיישום מערכות בסביבת הענן", ציין המבקר, "הליך שכזה יכול לסייע בזיהוי החסמים, הקשיים והליקויים המקשים על משרדי הממשלה ליישם מערכות בענן".

בפרק ההמלצות מציין המבקר, כי "על רשות התקשוב לבחון את מכלול ממצאיו של דו"ח זה והמסקנות העולות מהם. על הרשות לעדכן את הנחיותיה… יש צורך בביצוע בקרה על הגופים כדי לוודא כי הם מיישמים את ההנחיות. יש למסד הליך הפקת לקחים, ולקבוע מדיניות אחידה לכלל הגורמים, כבסיס לאסדרות פרטניות… מומלץ כי משרד הפנים יגבש תוכנית רב-שנתית לשילוב הרשויות המקומיות במכרז נימבוס… על משרד הפנים ומערך הסייבר הלאומי לפעול בהקדם ולקדם הקמת מרכז שליטה ובקרה מרכזי לטיפול באירועי סייבר ברשויות המקומיות… על המנמ"רים במשרדי הממשלה להעביר ליה"ב מיפוי של כלל מערכות הענן, לרבות אלה שלא אושרו על ידי הוועדה המייעצת… על הוועדה המייעצת לוודא שבמיזמי ענן שיושמו לפני הקמתה נבחרו ספקים המחזיקים בהסמכות אבטחת מידע מספקות. על יה"ב לנקוט פעולות בקרה כדי לוודא שהמשרדים מיישמים את הנחיותיה".

"לשם יישום מיטבי של השימוש במערכות מחשוב ענן, קיימות ועתידיות, ראוי כי החסמים והליקויים יקבלו מענה כולל, לרבות במסגרת מכרז נימבוס והקמת מרכז המצוינות התפעולית בענן", מסכם המבקר.

תגובות

רשות התקשוב מסרה בתגובה, כי "גובש מתווה לתקצוב מעבר מערכות מידע לענן, הכולל קיצוץ רוחבי של 3% מתקציבי אגפי מערכות מידע והפניית הכסף לקרן ייעודית שמטרתה לסייע למשרדים בהעברת המערכות לסביבת ענן… תקציב פרויקט נימבוס טרם הועבר לידיה וטרם סוכם אופן המימוש שלו. במסגרת הרובד השני של פרויקט נימבוס תיבנה תוכנית מפורטת – לרבות שלבי הכנה, הערכות עלות ביצוע לשלבים אלו ועוד… רשות התקשוב קיימה בשנים האחרונות עבודת מטה יסודית עם כלל גופי האסדרה על מנת לוודא כי הפתרון שפרויקט נימבוס מספק יאומץ על ידם ויבטיח מענה מיטבי לצורכיהם בהיבטים של רכש, סטנדרטיזציה והיבטים תפעוליים ורגולטוריים נוספים. בכוונת רשות התקשוב להקים מרכז מצוינות תפעולי בענן (CCoE), שיעקוב אחר האופן שבו גופים ממשלתיים מקדמים ומיישמים את המעבר למחשוב ענן, ויוודא כי כל התחומים הרלוונטיים נלקחים בחשבון. הרשות תפעל להנחיל מדיניות אחידה לכלל גורמי האסדרה אשר תוכל לשמש בסיס לרגולציות פרטניות, על אף שהנחיה כזאת אינה מתחייבת מתוקף תפקידיה הרשמיים של הרשות… מכרז נימבוס הוא דו-שלבי, והוא כלל שלב לימוד ארוך בתחום סבוך ומורכב עם שותפים רבים. למרות המורכבות בתחום המקצועי ובהיקף התיאום הנדרש, נשמרו לוחות הזמנים באופן מוקפד ומדוקדק, תוך גיוס תשומות ניהוליות של כלל הגורמים והגופים הרלוונטיים, וכל זאת בעת משבר עולמי ובתקופה של אי-יציבות ממשלתית".

מערך הסייבר מסר, כי הוא "פועל ברמה הלאומית ומשפיע על מגזרי המשק באמצעות היחידות המגזריות של משרדי הממשלה השונים… משרד הפנים העלה קושי משפטי לפיו הסמכויות בתחום אבטחת מידע, ככל שחלות על רשויות מקומיות, נמצאות למעשה בתחום הסמכות והאחריות של משרדים אחרים, ולכן לטענת משרד הפנים אין בידיו הסמכות ואחריות הפיקוח בתחום זה. עם זאת, נוכח חשיבות הנושא, מערך הסייבר פועל לבחינה מעמיקה של נושא הגנת הסייבר ברשויות מקומיות ולקידום הנושא על כלל רבדיו והיבטיו יחד עם שותפים נוספים, לרבות הקמת מרכז ניטור מגזרי לרשויות המקומיות".

משרד הפנים מסר בתשובתו, כי הוא אינו רגולטור בתחום הסייבר לרשויות המקומיות, "אך הוא פועל כגורם מסייע לרשויות המקומיות במסגרת היערכותן לשעת חירום והבטחת הרציפות התפקודית בה".