דו"ח: חורי אבטחה חמורים בגלגלי המרכב"ה
מרכז המחקר של הכנסת מצא ש-33 אלף עובדים במשרדי הממשלה שאינם עובדי מדינה יכולים לגשת ללא פיקוח למידע הרגיש עלינו ● גורמים בממשלה מתריעים: "קשה לעלות על עובדים שרוצים לבצע עבירות אבטחה ויש במערכת חלקים שאינם עומדים בתנאי החוק"
האם מאגרי המידע של משרדי הממשלה, שכוללים את הפרטים הכי רגישים וחסויים על אזרחי המדינה, מוגנים היטב ומונעים מעובדים שאינם עובדי מדינה גישה למידע רגיש – גם אחרי שהפסיקו את עבודתם? בשאלה זו עסקה אתמול (ג') ועדת המדע והטכנולוגיה של הכנסת, בראשות ח"כ אורי מקלב, שזימן דיון מעקב בנושא שימוש לרעה במאגרי מידע במערכת מרכב"ה של משרד האוצר ובכלל משרדי הממשלה.
הדיון נערך בעקבות דו"ח של מרכז המחקר של הכנסת, שהראה כי במרכב"ה יש 10,613 משתמשים בעלי גישה לשימושי ליבה של המערכת, ביניהם 8,456 עובדי מדינה, והיתר הם יועצים, אנשי מחשוב, רואי חשבון ועוד 15% שאינם עובדי מדינה. הם יכולים לגשת ללא פיקוח למאגרי מידע שקשורים במשאבי אנוש, כספים, מכירות, מכרזים ועוד.
על פי אותו דו"ח, יש בשירות הממשלתי 33 אלף משתמשי מרכב"ה מכל המשרדים שאינם מועסקים ישירות על ידי הממשלה ומשתמשים במערכת לדיווח שעות, ספקים המגישים הצעות למכרזים, גופים שמבקשים תמיכות ועוד. הפיקוח על אנשים אלה לא נעשה ממקור אחד והבקרה אמורה להיעשות על פי נהלים שקיימים אצל כל המשרדים, אבל אף אחד לא בודק אם הם נאכפים.
ח"כ מקלב אמר בדיון כי "התופעה מטרידה מאוד. אני פחות מוטרד מעובדי המדינה ויותר מהעובדים החיצוניים. אלה הם אנשים שיש להם הרבה מאוד אינטרסים והמחויבות שלהם למשרד הממשלתי קצרה. הם זרים למערכת, אף אחד לא בדק את האמינות שלהם ולא ברור אם יש מנגנונים שיודעים לאתר איזה שימוש הם עושים במידע ומתי – האם רק בזמן תקופת ההתקשרות עם משרדי הממשלה או גם אחרי זה". הוא ציין כי "העובדה שטוענים שהכל בסדר אינה מרגיעה אותי, והנושא מחייב חידוד ובדיקה".
"כמעט שלא קיים מצב של הרשאה כוללת לעובדים"
עוזי שר, האחראי על מערכת מרכב"ה במשרד האוצר, אמר כי "מדיניות ההרשאות של המערכת תוכננה מראש כך שהאחריות תהיה בכל משרד ומשרד – ולא אצלנו. אנחנו אחראים על מה שקורה אצלנו ויש לנו מנגנוני בקרה, אבל כל משרד אחראי על מתן ההרשאות לכל אחד, ניהולן ופיקוח עליהן".
עם זאת, הוא הוסיף שההרשאות שניתנות לעובדים הן נקודתיות וכמעט שלא קיים מצב של הרשאה כוללת. "אם גורם מסוים דורש דו"ח או מידע רחב יותר, הוא צריך להגיש בקשה ולדון אתנו על הנושא. אנחנו לא נותנים לו את ההרשאה באופן אוטומטי", אמר שר.
"עובדים שרוצים לעשות עבירות אבטחה – קשה מאוד לעלות עליהם"
ראובן אליהו, ממונה האבטחה במשרד הבריאות, הודה כי אין אפשרות לבצע פיקוח מסודר ויזום על מערכת ההרשאות. "כיום כמעט בלתי אפשרי להיכנס ללוגים של מרכב"ה ואז גם אין לנו אפשרות לפקח על העובדים בזמן אמת", אמר אליהו. "אם רוצים לפקח, זה דורש עבודה ידנית, שכמעט בלתי אפשרית לביצוע. עובדים שרוצים לעשות עבירות בתחום האבטחה – קשה מאוד לעלות עליהם".
עלי קלדרון, ממונה הפיקוח ברשות להגנת הפרטיות, ציין כי תקנות ההגנה של משרד המשפטים חלות גם על כל משרדי הממשלה ויש בהן דרישות מפורטות איך להגן על המידע. "עצם העובדה שהמערכת אינה מאפשרת אפילו בדיעבד הגעה לפרטי הכניסות הספציפיות של כל משתמשי הקבצים יוצר מצב שבו חלקים של המערכת אינם עומדים בתנאי החוק", אמר.
בדיון נאמר עוד כי קיימים כלים שניתן ליישם אותם בממשלה והם יאפשרו בקרה אוטומטית על ידי מי שאחראי לכך. ח"כ מקלב אמר שיש לבדוק סוגיה זו.
תגובות
(0)