המבקר: משרד החינוך לא ביצע תרגילי שחזור מידע והתאוששות מאסון
מסקנות סקרי סיכונים לא מומשו, ממונה על הגנת המידע מונה רק באחרונה ויש חורים באבטחת מאגר המידע של נתוני בחינות הבגרות - כך מצא מבקר המדינה, מתניהו אנגלמן, שממליץ למשרד להיעזר במשטרה
משרד החינוך לא ביצע תרגילים מסוימים לשחזור מידע ולהתאוששות מאסון כנדרש, וגם לא ביצע תרגיל לשחזור מלא של מערכת מחשב מסוימת שלו – כך עולה מהפרק על המשרד בדו"ח מבקר המדינה שעוסק בהיערכותה לסייבר, שפורסם היום (ג').
עוד קובע המבקר, מתניהו אנגלמן, כי המשרד לא יישם בשלוש השנים האחרונות מסקנות סקרי סיכונים במערכות קריטיות ומבדקי חדירה, כפי שנדרש על פי תקנות הגנת הפרטיות, שקובעות כי יש לבצע תרגילים כאלה אחת לשנה וחצי. בסקר הסיכונים האחרון שנעשה הוגדרו שבע משימות ברמת סיכון קריטית, אבל לפי ממצאי המבקר רק שלושה מהם יושמו, והשאר עדיין בטיפול.
אנגלמן מצא בנוסף כי למרות תקנות הגנת הפרטיות, שהותקנו לפני שלוש שנים (במקביל לתקני ה-GDPR של האיחוד האירופי), רק חמישה מאגרים עודכנו מתוך 50 מאגרי מידע שרשומים בפנקס המאגרים של התלמידים במערכת החינוך. כמו כן, המבקר ציין כי עד למועד הדו"ח, משרד החינוך לא עדכן מיהו הממונה על הגנת הסייבר בו, כפי שתקנות הרשות להגנת הפרטיות דורשות. "המשרד גם לא עמד בהנחיה ולפיה יש להקצות לכל הפחות 8% מתקציב תחום טכנולוגיית המידע עבור הגנת סייבר", כתב. "בפועל, שיעור התקציב הייעודי שהוקצה לכך ב-2019 היה 5.66%, וב-2020 הוא פחת ל-5.06%".
יצוין כי משרד החינוך מסר בתגובתו שביוני האחרון, לאחר תקופת הביקורת, מונה ממונה הגנת סייבר, וכי במהלך שנת 2022 הוא כינס פעמיים את ועדות ההיגוי לאבטחת מידע וסייבר.
עוד מצא המבקר ליקויים בפיקוח על החברה שמספקת שירותי ניטור ואבטחה למשרד החינוך – שאת שמה הוא לא ציין. הוא קורא למשרד לדרוש מהן תיעוד בכתב, וכן לשקול הטמעת אמצעים טכנולוגים שיאפשרו בקרה מסוימת על האבטחה שאותה חברה נותנת למשרד.
ליקויים באבטחת המידע על בחינות הבגרות
המבקר בדק את היבטי אבטחת המידע והסייבר במשרד החינוך בין פברואר 2021 למאי 2022, ובכלל זה את אבטחת מערכות המידע המרכזיות שתומכות בניהול ובתפעול של ציוני בחינות הבגרות ובסביבות התקשוב שבהן הן פועלות. הבדיקה בוצעה במטה המשרד, באגף הבחינות ובמינהל טכנולוגיות מידע דיגיטליות, וכן במרכז לבדיקת בחינות הבגרות והגמר (מערך המרב"ד), שמתפעלת חברה חיצונית. בדיקת השלמה בוצעה ביחידה להגנת הסייבר בממשלה (יה"ב) ובמשטרת ישראל. המבקר מצא שם ליקויים ברמת האבטחה.
"רוב המידע שמשרד החינוך אוסף, שומר ומנהל בעניין בחינות הבגרות וציוני הבגרות הוא מידע רגיש על תלמידים ועובדים, שכולל יותר מ-100 אלף רשומות, ובהיותו כזה, אבטחתו נדרשת להיות ברמה הגבוהה ביותר", כותב אנגלמן.
המבקר ממליץ למשרד החינוך להדק את הפיקוח על המידע שיש במאגרי בחינות הבגרות. "מומלץ שמשרד החינוך יבחן את רשימת מורשי הגישה למאגרים מסוימים, וכן יפנה למשטרת ישראל כדי לבחון כלים להתמודדות עם תופעת ההפצה הלא מורשית של נתוני הבגרויות, תוך הידוק המעקב", הוא מציין.
תגובות
(0)