זו לא בעיית אבטחה, זו בעיית משילות
מצב אבטחת המידע הממשלתי בכי רע וכל פגיעה בו עלולה להיות קריטית לא פחות מפגיעת טיל או התקפת סייבר ● אז למה הצוות נתניהו ולפיד שותק ומכשיר את הפגיעה בממשל זמין ובתיקשוב הממשלתי?
הדברים החמורים שהשמיע יו"ר הוועדה לביקורת המדינה, חבר הכנסת אמנון כהן, במסגרת הדיון אתמול (ב') על מצב אבטחת המידע – מן הראוי שלא יישארו בין כותלי הוועדה בלבד.
כרמלה אבנר, האחראית על התיקשוב הממשלתי היוצאת, ואופיר בן אבי, מנהל ממשל זמין, הם לא הכתובת הבלעדית להערות הנכונות של מבקר המדינה. פרוטוקול הדיון צריך להיקרא קודם כל על ידי שר האוצר יאיר לפיד, שאחראי גם למחדל הזה במשרדו, וכמובן גם ראש הממשלה בנימין נתניהו.
ליקויים באבטחת מידע בתיקשוב הממשלתי הם כבר לא עניין של פקיד כזה או אחר, וגם לא של משרד מסוים. השרתים שיושבים בממשל זמין חולשים על מידע ופעולות שקשורים לאספקטים מרכזיים בחיינו. כל פגיעה בהם עלולה להיות קריטית – לא פחות מפגיעת טיל או התקפת סייבר.
מישהו צריך להסביר לצוות לפיד את נתניהו שהבעיה היא הרבה יותר גדולה. יש כאן בעיית משילות, ניהול ושליטה על כל מה שנקרא התיקשוב הממשלתי. מי שחייב לשים לב לכך בהקדם הוא לפיד, שכן רק לפני חודש שיחרר את אבנר לדרך חדשה, לאחר שעמדה כאמור בראש התיקשוב הממשלתי והביעה רצון לעזוב.
נכון לרגע זה, לא רק שלא מונה מחליף, אלא שכלל לא ידוע מי מועמד, אם בכלל. היעדר מחליף פוגע קשות בעבודת המטה והחלטות לטווח ארוך לא מתקבלות באופן טבעי. ניכר כי הדברים מחלחלים למטה לכל הדרגים.
נכון, הדו"ח נכתב בתקופה בה אבנר כיהנה בתפקידה וממשל זמין קיים מזה זמן רב. אפשר להאמין לאבנר ולבן אבי שאבטחת המידע היא בבת עיניהם והם שוקדים עליה יומם ולילה, אבל הבעיה אינה באנשים או בנהלים. היטיב לזהות אותה ח"כ כהן: זו בעיית משילות חמורה, שבה בנושא כל כך מקצועי, רגיש ואקוטי – הממשלה כגוף על ובאמצעות מטה התיקשוב אינה מצליחה ליישם כהלכה את המדיניות שהיא התוותה. ההנחיות אלו מועברות אל מנהלי המיחשוב באותם משרדים או למנהלי אבטחת המידע – שתי פונקציות שלא בהכרח חופפות אחת את השנייה. וישנה גם בעיה אחרת: הם צריכים לשכנע את מנכ"ל המשרד שאכן צריך לנקוט בפעולות כדי להגן על הנכסים היקרים של הממשלה. כאן בדיוק מצוי החור השחור.
אבנר ובן אבי יכולים לכתוב המלצות, הנחיות ומכתבים עד מחר. כל עוד הדרג הניהולי במשרד לא יבין שזו גם אחריות שלו, כל עוד השרים העומדים בראש המשרדים יבהירו לכפופים להם כי גם על חורים באבטחה והרבה יותר הם נשפטים – עד אז שום דבר לא ישתנה.
וזה בדיוק מתחבר לסיבות הכלליות שהביאו את אבנר ללכת הביתה. היא העריכה כי אם לא יינתנו כלים מתאימים לתיקשוב לאכוף את מדיניות המשרד, אם לא יהיו הסמכויות המחייבות, הרי ששום דבר לא יזוז.
זאת ועוד, אבטחת מידע אינה החור היחיד במערכת ה-IT הממשלתית שלא טופלה עדיין. טרם דיברנו על DRP, מערכות אחסון וגיבוי, תוכניות לשיפור השירות לאזרח, שאמורות להיות באמצעות מערכות ומוקדים חכמים, ועוד. הכל נכרך בהכל – ואין דין ואין דיין.
מנמ"ר בממשלה נהנה מאוטונומיה בקבלת החלטות אילו פרויקטים לעשות, אבל רק מעטים באמת מקורבים למי שאחראי ישירות על המשרד, המנכ"ל או השר, ומסוגלים להשפיע. מטה התיקשוב היה אמור לסייע להם להתקרב לגורמים האחראים, אבל זה לא קורה. השרים הם אנשים פוליטיים, המנכ"לים הם אנשי משרות אמון שחייבים את הקריירה שלהם לשר או למפלגה ממנה הוא בא. במקרים טובים יותר הם ייתנו גיבוי חלקי למנמ"רים, ימליצו על ביצוע פרויקט זה או אחר, אבל לא יתאבדו על זה. למה? כי אף אחד לא מאיים עליהם ואף אחד לא מתנה את המשך קידומם באחריות על אבטחת מידע. אצל מרבית השרים והמנכ"לים אבטחת מידע ומחשבים זה טכנולוגיה, משמע עוד הוצאות, ואם אפשר לקצץ שם, זה הרבה יותר נוח מאשר לקצץ בבשר החי.
לא במקרה נקבע דיון לשבוע הבא בוועדת המדע והטכנולוגיה על מצבו של התיקשוב הממשלתי, לאור הקיצוצים שהממשלה החליטה עליהם בתקציב המדינה. אם זו לא תתעשת ותבין שהתיקשוב אינו גוף שעומד בפני עצמו, אלא כל פעולה או כל תקלה בו משליכה על כל הממשלה ופעילותה, הרי שמצבנו ימשיך להיות בכי רע.
ח"כ כהן אמר כי העובדה שלא קרה אסון עד היום בגלל מחדלי האבטחה היא כי מישהו שומר עלינו משמיים. יש לקוות שה"ה לפיד ונתניהו מבינים כי אי אפשר להסתמך על זה, ויש לעשות פעולות מיידיות כדי לאפשר לתיקשוב הממשלתי לעבוד וגם להשפיע – רגע לפני דו"ח ועדת החקירה על אסון שעלול לקרות פה.
תגובות
(0)