מבקר המדינה מתריע: ליקויים באבטחת מבנה ממשל זמין ומערכות ה-IT שלו
"האבטחה (...) אינה עולה בקנה אחד עם הדרישות, התקנים וההנחיות לפעילות ממשל זמין בכלל ולחדר המחשב בפרט", קובע המבקר, השופט בדימוס יוסף שפירא ● לדבריו, "יש לפעול לאלתר למזעור הסכנות הנשקפות לחיי אדם באתר הראשי, ובראשם עובדי ממשל זמין"
"האבטחה הפיזית של מבנה ממשל זמין ושל מערכות תשתית האינטרנט והמיחשוב של ממשל זמין אינה עולה בקנה אחד עם הדרישות, התקנים וההנחיות לפעילות ממשל זמין בכלל ולחדר המחשב בפרט", כך קובע מבקר המדינה, השופט בדימוס יוסף שפירא, בדו"ח 64-ג' שפרסם אתמול (ד').
על פי המבקר, "ליקויים אלו מצביעים על כך שההיערכות למניעת אירוע של אבטחה פיזית היא חסרה; וכן על סיכון לפגיעה בפעילות השוטפת של ממשל זמין במקרה שתתרחש פגיעה במבנה ממשל זמין, או באחת המערכות הקריטיות שבו, וכן לפגיעה בזמינות המידע הממשלתי לציבור ולניתוק משרדי הממשלה מרשת האינטרנט".
במערך ממשל זמין, הכפוף למטה התיקשוב הממשלתי שבמשרד האוצר, נעשתה ביקורת על כמה היבטים של האבטחה הפיזית של תשתיות אינטרנט ומחשוב עבור משרדי הממשלה ועל שרידותן של התשתיות. נבדקו בעיקר האבטחה הפיזית וההיערכות לסיכונים ביטחוניים, סיכוני אש וסיכוני מים.
ממשל זמין סיפק בשנת 2012 למשרדי הממשלה ולגופים ציבוריים וכן לכ-50 אלף ממשתמשיהם את השירותים האלה: תשתית למתן שירותי רשת מאובטחים, שירותי גלישה מאובטחת באינטרנט, דואר אלקטרוני, אירוח אתרים – תשתית מחשבים (חוות שרתים) לאחסון של דפי אינטרנט ועוד. כמן כן, ממשל זמין מנהל את פרויקט כרטיס חכם, את מנור"ה (ר"ת מערכת ניהול ותיעוד הרכש הממשלתי), את שירות הטפסים הלאומי ועוד. בממשל זמין מועסקים כ-250 עובדים במקומות שונים באמצעות חברות כוח אדם ובתי תכנה.
המבקר בדק בעיקר את האבטחה הפיזית וההיערכות לסיכונים ביטחוניים, סיכוני אש וסיכוני מים. הביקורת נערכה באתר הראשי של ממשל זמין שבמשרד האוצר ובאתר החלופי (DRP) של ממשל זמין בטירת הכרמל.
"קיים עיכוב משמעותי ביישום נוהלי תורה ומתודולוגיה רוחבית (תמ"ר) בממשל זמין", נכתב, "בביקורות שעשתה הרשות הממלכתית לאבטחת מידע של שירות הביטחון הכללי (רא"ם) בתהיל"ה הושגו ציונים נמוכים מהמצופה. בנוסף, הליקויים שעלו בתרגילים שעשתה רא"ם מצביעים על חולשות ממשיות בתחום האבטחה. חמורה בעיקר העובדה, כי ליקויים משמעותיים שהועלו בתרגיל הראשון שבו ועלו בתרגיל השני, למרות שעל חלקם הוער כבר בעבר בביקורות קודמות שערכה רא"ם בנושא".
עוד נכתב, כי "ממצאי סקר מערכות ותחזוקה לחדר השרתים של ממשל זמין שנערך ביולי 2012 לא נדונו בוועדת ההיגוי לאבטחת מידע. עד מועד סיום הביקורת, מאי 2013, לא תוקנו הליקויים שהועלו בסקר בנושא מערכות האל-פסק".
על פי המבקר, "בחדר השרתים של ממשל זמין קיימים פערים מול המלצות התקן הישראלי 1243. בין היתר, קיימים שני פערים יסודיים: האחד, לחדר המחשב של ממשל זמין ארבעה חלונות חיצוניים, והשני, אחד מקירות חדר המחשב עשוי מזכוכית, ואין בו דלת אש כנדרש בתקן. חדר המחשב של ממשל זמין הוקם במבנה שאינו מבנה ייעודי עמיד אש. כל מערכות המחשב מקוררות על ידי מערכת קירור מבוססת מים (צ'ילר), הפרושה בצינורות על קירות חדר המחשב, בתוך ארונות השרתים ועל רצפת החדר. רצפת החדר אינה מנוקזת כמומלץ בתקן 1243, זאת למרות כל הסיכונים הקיימים ממים".
עוד צויין בדו"ח, כי "מערכת מיזוג האוויר באתר הראשי של ממשל זמין אינה מושבתת באופן אוטומטי במקרה של תקלה. כמו כן, ובניגוד להמלצות תקן 1243, באתר החלופי של ממשל זמין נמצאו קרטונים, שידות ושולחנות העשויים מעץ. לא הוכנו כל הנהלים, הנדרשים להבטחת תקינות הפעילות של ממשל זמין, כגון נוהל בנושא הגנה מפני איומים חיצוניים וסביבתיים, המציע דרכים להגנה פיזית מפני נזקים של שרפה, הפצצה, רעידת אדמה, פיצוצים וסוגים אחרים של אסונות".
על פי המבקר, "בכניסה לחדר המחשב לא קיימת רשימת מורשים, וחדר המחשב אינו מסומן כחדר ממודר. כמו כן, אורחים או גורמים זרים, הנדרשים בתוקף תפקידם לשהות בחדר המחשב, אינם מלווים על ידי גורם מורשה. עוד נמצא, כי בדלתות הכניסה למתחם ממשל זמין אין התראת דלת פתוחה".
לפי הדו"ח, "מחלקת מערכות מידע אינה עורכת מעקב אחר ציוד מיחשוב הנמצא מחוץ למתחם ממשל זמין לצורך תחזוקה; מצעי מידע, שלא ניתן לנתקם מהציוד, מוצאים מהמתחם ללא אישור מנהל אבטחת מידע וללא קביעה של סדרי שמירתם. כמו כן אין מתעדים השמדת מצעי מידע פגומים".
נוכח זאת, קובע המבקר לסיכום, "על הממונה על התיקשוב הממשלתי לפעול לכך שממשל זמין, המספק בין השאר את שער היציאה של משרדי הממשלה לרשת האינטרנט, יעמוד, כאתר המיחשוב המרכזי של הממשלה, בתקנים הנדרשים ובהנחיות הגופים המנחים אותו. עד למציאת פתרון העומד בסטנדרדים הנדרשים לאתר ממשל זמין, מן הראוי כי ממשל זמין יתקן את כל הליקויים שהועלו בביקורות שנערכו בנושא האבטחה הפיזית נוכח הסיכונים הגלומים בהם לפעילותו השוטפת. כמו כן, על ממשל זמין ליישם את הוראות הנהלים שהוא עצמו קבע בנושא אבטחה פיזית, ומעל לכל, יש לפעול לאלתר למזעור הסכנות הנשקפות לחיי אדם באתר הראשי, ובראשם עובדי ממשל זמין, כפי שפורטו בדו"ח".
מאות דוחות ביקורת ודבר ולא השתנה... אולי יצליחו להגיע למסקנה שהבעיה בראש ולא בזנב?!