אנגלמן חושף: כשלים רוחביים בתחום הסייבר במשרדי הממשלה
מותח ביקורת חריפה על הניהול והפיתוח של מערכות המידע במשרד החוץ ואבטחת המידע והגנת הסייבר במשרד. קורא לשינוי רוחבי בהבנת חומרתם של סיכוני הסייבר ובמתן המענה התקציבי הדרוש
בשנים 2024-2020 אירעו אירועי סייבר חריגים ברשתות המחשוב של משרד החוץ. במהלך מלחמת "חרבות ברזל", חל גידול של כ-500% באירועי הגנת מידע בנציגויות ישראל בחו"ל והתרחשו מאות אירועים. כך מגלה מבקר המדינה, מתניהו אנגלמן, המותח ביקורת חריפה על מצב הגנת הסייבר של המשרד.
אנגלמן: השירות הממשלתי המקוון נמצא הרחק מהיעדים שנקבעו לו
אנגלמן: חשש לפגיעה בעבודה מרחוק במשטרה ובנציבות הכבאות בשעת חירום
אנגלמן מציין, כי פגיעה במערכות הממוחשבות של משרד החוץ עלולה לגרום לפגיעה בתפקוד המשרד ובשירות שהוא נותן לציבור, ולפגיעה ביחסי החוץ של המדינה ותדמיתה בעולם. למרות זאת, הביקורת מצאה "פערים בשני התחומים שנבדקו - הניהול והפיתוח של מערכות המידע ואבטחת המידע והגנת הסייבר. תמונת המצב העולה מביקורת זו מלמדת על פער טכנולוגי מתמשך במערכות המחשוב של משרד החוץ של שנים רבות, ועל תרבות ארגונית שאינה הולמת את איום הייחוס שהוגדר למשרד החוץ".
- אנגלמן: השירות הממשלתי המקוון נמצא הרחק מהיעדים שנקבעו לו
- אנגלמן על בדיקת המלחמה: יש חשיבות לוועדת חקירה בהיבט הכולל
- המלצת המערכת: כל הכותרות 24/7
בניגוד להנחיות מערך הדיגיטל, ועדת ההיגוי המשרדית לתקשוב לא התכנסה בשנים 2023-2020; היא קיבלה רק בספטמבר 2024 דיווח חלקי על שורה של אירועי סייבר חריגים שהתרחשו מאז 2020. תקציב אגף התקשוב של המשרד עמד לפני שנתיים על 85 מיליון שקל – 4.5% מתקציב המשרד וסכום שלא הספיק לצרכים בפועל; האגף טען שהוא זקוק לפחות ל-20 מיליון שקל נוספים. בשל המחסור בתקציב, עוכבו פרויקטים. במקביל, קיימים פערים ביכולתו של המשרד להתאושש מאסון.
תרבות ארגונית לקויה בשמירה על מידע פרטי
משרד החוץ אמור היה להשיק בשנת 2019 מערכת מידע מסוימת במטרה לשפר את השירות הקונסולרי, אך כיום הצפי הוא שהפרויקט יסתיים רק ב-2028 ולאחר הוצאה של קרוב ל-20 מיליון שקל נוספים. מסמך הגנת הסייבר של המשרד עודכן לאחרונה בשנת 2018, בניגוד להנחיה המקצועית הדורשת אשרור של המדיניות מדי שנתיים-שלוש, ולמרות השינויים הניכרים במפת האיומים ובמיוחד מאז פרוץ המלחמה.
- האוצר עובד על פתרון לפרוטקשן - בכנסת דורשים לוחות זמנים
- דיון סוער בוועדת הכספים על הטבות מס ליישובים ביו"ש
- תוכן שיווקי שוק הסקנדרי בישראל: הציבור יכול כעת להשקיע ב-SpaceX של אילון מאסק
- רשות המסים: מ-1 ביוני גם חשבונית של 5,000 שקלים תידרש לאישור
אנגלמן אומר: "נמצאו ליקויים חמורים המשקפים תרבות ארגונית לקויה במשרד החוץ בכל הנוגע לשמירה על מידע רגיש ופרטי. ליקויים אלה מעלים את הסיכון לדלף מידע, דבר שיכול אף להביא לחשיפה של זהותם של עובדי המשרד. הליקויים הם : העדר נוהל המסדיר את סיווג נכסי המידע ואת מעטפת ההגנה הנדרשת בהתאם לסיווגם של הנכסים; ניתנה גישה לכונן שהיה פתוח לכלל משתמשי רשת מסוימת ושהכיל עשרות אלפי מסמכים, חלקם כוללים מידע רגיש, כגון מידע אישי-פרטי".
משרד החוץ אינו מיישם באופן מלא את דרישות חוק הגנת הפרטיות ותקנותיו בנוגע למאגרי המידע שברשותו: הוא לא ביצע מיפוי מלא של המאגרים; לא קבע את רמת האבטחה הנדרשת בעניינם ולא נקט פעולות הנדרשות כדי להגן עליהם באופן מספק; בפנקס מאגרי המידע במשרד המשפטים רשומים רק שלושה מאגרי מידע של משרד החוץ, אף שהמשרד מנהל עשרות מאגרים נוספים. אי-עמידה בחוק ובתקנותיו עלולה להביא לפגיעה בפרטיותם של עובדי המשרד ושל אזרחים המקבלים שירותים ממנו. נוסף על כך, היא חושפת את המשרד לסיכוני אבטחת מידע, מזהיר אנגלמן.
ליקויים מהותיים במשרד השיכון
דוח נפרד עוסק במשרד הבינוי והשיכון, עליו אומר אנגלמן: "ביקורת זו העלתה ליקויים מהותיים בפעולותיו של משרד הבינוי בנוגע לניהול אבטחת המידע שברשותו וההגנה על מערכותיו". מדיניותו של המשרד לא עודכנה מאז 2020; ועדת היגוי סייבר של המשרד לא בחנה ולא אישרה את המיפוי ואת הסיווג של נכסי המידע של המשרד; מיעטה לדון בממצאי סקרים ומבדקים שבוצעו, וממילא לא קבעה תוכנית להפחתת הסיכונים שעלו מהם; ולא וידאה ביצוע של תוכניות העבודה.
בדיקה לגבי ניהול הרשאות גישה למערכות מידע במשרד העלתה, שיותר ממחצית המערכות לא נסקרו אחת לשנה כנדרש. למשרד אין רשימה עדכנית של עובדי מיקור-החוץ, שבאמצעותה ניתן לבדוק באופן שוטף אם עובדים שכבר אינם מועסקים בו עדיין מוגדרים כמשתמשים במערכת. המשרד לא הגדיר לגבי גישה למערכות המידע מהן פעולות חריגות שמצריכות בדיקה ולא הסדיר מנגנונים אוטומטיים להתרעה מפניהן, ולפיכך הבקרה שהוא מבצע על הגישה למערכותיו אינה מיטבית.
חיזוק מנגנוני הפיקוח והאסדרה
אנגלמן מוסיף, כי לאור שורה של ביקורת בתחום הסייבר שביצע בשנים האחרונות בגופים ממשלתיים ובגופים ציבוריים רגישים, יש צורך בבחינה מעמיקה בקרב הרגולטורים המדינתיים - מערך הדיגיטל הלאומי, מערך הסייבר הלאומי, השב"כ והרשות להגנת הפרטיות - בנוגע לכמה סוגיות יסודיות בנוגע לכל משרדי הממשלה:
* בחינת הצורך בהטמעה ממשית ועמוקה של הסיכונים הטמונים בתחום הסייבר ופוטנציאל הנזק העלול להיגרם בגינם לארגון ולמדינה בכלל, וההבנה לפיה איום הסייבר הוא איום ביטחוני ואסטרטגי לאומי. הטמעה זו נדרשת להיעשות בראש ובראשונה בקרב כל המנכ"לים של משרדי הממשלה ומכך נגזרת הדרישה בנוגע למידת מעורבותם בנושא.
* נדרשת בחינה בנוגע לחיזוק מנגנוני הפיקוח והרגולציה של הגורמים המנחים, ובפרט כאשר ישנם כמה גורמים המנחים את אותו הגוף. זאת, על מנת להבטיח את אפקטיביות פעילות הגורמים המנחים מול גופים ממשלתיים ומתן מענה לכל הסיכונים בצורה הוליסטית.
* בחינה מעמיקה של הפערים הקיימים במגזר הממשלתי בנוגע לתקצוב תחום התקשוב, ובכלל זה תחום אבטחת המידע והגנת הסייבר, במטרה להבטיח, כי במציאות של מחסור יסודי במשאבים, היקף התקציב יתן מענה הן לדרישות המקצועיות ולהתפתחויות הטכנולוגיות והן לאיום הקיים. זאת, במטרה להבטיח כי המחסור בתקציב לא יוצר סיכוני תקשוב או סיכוני אבטחת מידע, עכשוויים או עתידיים, כמו גם נזקים הנובעים מאי-הטמעת טכנולוגיות חדשות.
* מתן הדעת על כך שחלק מהפערים, דוגמת אלו הנוגעים להגנה על הפרטיות, נובעים מתרבות ארגונית לקויה. אפשר לתת להם מענה באמצעות טיפול וקשב מצד הנהלות הגופים ובאמצעות כלים, לרבות כלים טכנולוגיים, שאינם דורשים בהכרח הקצאת משאבים, כגון הדרכות ונקיטת פעולות להעלאת מודעות העובדים.
