יו"ר הוועדה לביקורת המדינה: "אבטחת המידע בממשלה מופקרת – נס שלא קרה אסון עד היום"

"אבטחת המידע בממשלה מופקרת ואני מאוד מודאג. העובדה שלא קרה אסון עד היום היא נס וזה מאחר שמישהו שומר עלינו מלמעלה", כך אמר היום (ב') ח"כ אמנון כהן (ש"ס), יו"ר הוועדה לביקורת המדינה. לדבריו, "תקלה באבטחת המידע של ישראל עלולה להיות אסון כבד כמו מלחמה".

ח"כ כהן אמר את הדברים בתום דיון שערכה הוועדה בעקבות דו"ח מבקר המדינה האחרון, שחשף ליקויים חמורים בכל מה שקשור להיערכות החירום של ממשל זמין ואי מילוי נהלי אבטחת המידע. בין יתר המשתתפים בדיון היו כרמלה אבנר, הראש היוצאת של מטה התקשוב הממשלתי, אופיר בן אבי, מנהל מימשל זמין, נציגים נוספים מהממשלה ונציג מבקר המדינה, יובל חיו.

לפי ממצאי המבקר, הנהלת ממשל זמין, שמנהלת את תשתית האינטרנט של כל משרדי הממשלה, לא הגדירה בחלק מהפרויקטים את סיכוני אבטחת המידע ואת רמתם. מנהל אבטחת מידע בממשל זמין לא מילא חלק מהתפקידים שהוגדרו לו, בהם קביעת רמת האבטחה הנדרשת לכל סיווג; הגדרת אמצעי טיפול ותהליכי טיפול באבטחת רשומות; התוויית רמת האבטחה הלוגית המחייבת עבור הרכיבים השונים של מערכות המיחשוב והתקשורת; הגדרה והענקה של הרשאות גישה למשתמשים על פי נוהל המדיניות; וקיום ביקורות על הפעילויות הנערכות במידע.

בנוסף קבע המבקר שלא תורגלה כנדרש התאוששות מאסון, כולל תדירות התרגול הנדרשת, למרות ההוראות שנקבעו בנושא ואף שכבר מ-2008 קיימים אתר חלופי ותוכנית מפורטת להפעלת מערך ההתאוששות מאסון. הוא הוסיף שבמאי אשתקד פרסמה מחלקת אבטחת המידע של ממשל זמין טיוטת נוהל "פעולות לביצוע בעת מתקפת מניעת שירות", אולם היא לא אושרה – לא על ידי מנהל אבטחת המידע ולא על ידי ועדת ההיגוי של ממשל זמין. כמו כן, מנהל האבטחה לא גיבש תוכנית הדרכה כוללת להגברת מודעות העובדים לכל היבטי אבטחת המידע, הוא לא מעודכן לגבי העובדים חדשים בממשל זמין וממילא, הם לא מקבלים את ההדרכה הנדרשת לפני קבלת הרשאות הגישה.

ח"כ כהן הפנה לאנשי הממשלה שאלות נוקבות וביקש להבין כיצד מטפלים בהערות החמורות של המבקר. אבנר השיבה שמאז שהדו"ח נכתב הנהלים השתנו וכיום יש גוף חיצוני שמבצע ביקורת על אבטחת המידע של מערך התקשוב הממשלתי. "עשינו עבודה מאומצת מאוד", אמרה. "אבטחת המידע היא תחום דינמי שמשתנה כל הזמן והוא מדיר שינה מעינינו, כי יש לנו אחריות יומיומית לכך".

לדברי בן אבי, "אנחנו מונחים על ידי השב"כ ועשינו תרגול של כל היחידות להמשך הפעילות במקרה של מתקפה קיברנטית". הוא ציין כי אחת לשנה עוברים אנשי המיחשוב הממשלתיים הדרכה בעניין אבטחת המידע ואחת לשלושה חודשים מקבלים העובדים החדשים הדרכה פרטנית בנושא.

לסיכום אמר ח"כ כהן כי "תפקידו של גוף המטה הוא לייצר הנחיות מחייבות לכל משרדי הממשלה. ההנחיות האלה צריכות להיות מועברות למנהל שאחראי על האבטחה בכל משרד והוא זה שצריך להציף את הבעיה בפני המנכ"ל. זו לא בעיה ניהולית אלא מקצועית ולכן, אנשי המקצוע צריכים להתריע ולוודא שאכן נעשות פעולות. לא מספיק לתת הנחיות והמלצות".