המבקר: אירועי הסייבר זינקו בקורונה ב-50% – הממשלה ערוכה רק חלקית
בדו"ח המיוחד על הטיפול בקורונה כותב מבקר המדינה שלחלק ניכר ממשרדי הממשלה אין אתרי DR ותוכניות להמשכיות עסקית, ורשות התקשוב לא גיבשה מדיניות בנושא ● בנוסף, ערב המשבר היו חסרים בהם כ-2,500 מחשבים, כך שלא כל העובדים יכלו לעבוד מרחוק
הקורונה הביאה לעלייה של כ-50% בהיקף אירועי הסייבר, אולם משרדי הממשלה ערוכים למצב רק באופן חלקי – כך עולה מדו"ח מיוחד שהגיש היום (ג') מבקר המדינה, מתניהו אנגלמן, ועסק בטיפול הממשלה ובהתמודדות שלה עם המגפה וההשלכות שלה.
המבקר מציין שעל אף שחל גידול במספר אירועי הסייבר שנוטרו – מ-2,443 ב-2019 ל-3,662 ב-2020, לא נפתרו כל הליקויים במשרדי הממשלה בהיערכות לתחום, והם עדיין לוקים בשורה של בעיות הקשורות להגנת המידע והסייבר. כך, למחצית מ-36 המשרדים הממשלתיים (שפעלו ב-2020) אין אתרי התאוששות מאסון וחמישה מהם ציינו שבעבר התרחש בהם אירוע סייבר באמצעות ממשק החיבור מרחוק.
בדו"ח נכתב כי "רשות התקשוב פרסמה כמה הנחיות העוסקות בנושא הגישה מרחוק, שמתמקדות בעיקר בהיבטים של אבטחת מידע והמשכיות עסקית, אולם הנחיות אלה אינן בגדר מדיניות כוללת בנושא העבודה מרחוק, וחסרה בהן התייחסות למגוון היבטים בתחום התקשוב, כגון: התשתיות והציוד הנדרשים לעובדים לשם עבודה מיטבית; השירותים הממשלתיים הפרונטליים שניתן לתת במסגרת העבודה מרחוק (ואלה שלא); החלופות האפשריות ליישום מודל עבודה זה; ותפקידו של הענן במסגרת העבודה מרחוק".
לפי המבקר, "21 (58%) מ-36 משרדי הממשלה טרם גיבשו תוכנית המשכיות עסקית להבטחת המשך תפקודו התקין של הארגון; משרד התחבורה ומשרד המדע טרם השלימו את גיבושה של תוכנית ההמשכיות העסקית; ולמשרד הפנים, משרד המשפטים והמשרד להגנת הסביבה היו תוכניות להמשכיות עסקית, אך רק זו של משרד המשפטים עסקה בין היתר בנושא העבודה מרחוק".
עם פרוץ המשבר, לא היו מספיק מחשבים לכל העובדים
בפרק שדן בהיערכות התקשובית של המשרדים לעבודה מרחוק ויישומה במשבר הקורונה קובע המבקר כי בתחילת המשבר היו חסרים כ-2,500 מחשבים ניידים למשרדי הממשלה ולבתי החולים הממשלתיים.
בהיבטי תשתית, אנגלמן כותב כי "עם פרוץ המשבר במרץ 2020 ציינו 22 מ-42 משרדי הממשלה – יותר ממחצית מהם (52%) – שלא היו להם די מחשבים כדי שיוכלו להקצות מחשב לכל אחד מהעובדים הנזקקים לחיבור מרחוק. שניים מהמשרדים (4%) ציינו שהמערכות שלהם לא עמדו בעומס ולא אפשרו עבודה תקינה ורציפה מרחוק".
לפי דו"ח מבקר המדינה, "למעט משרד אחד, כל משרדי הממשלה שנבדקו (35) עומדים בבקרות שהיחידה לבקרת הסייבר בממשלה, יה"ב, קבעה כתנאי סף להתחברות מאובטחת מרחוק. עם זאת, נמצאו פערים ביישומן של בקרות נוספות: ב-15 (41%) מהמשרדים לא מתבצעים זיהוי ואימות של המכשירים שמהם מתבצעת ההזדהות מרחוק; ב-10 (27%) מהם לא מתבצע וידוא שמותקנת תוכנת אנטי וירוס; בשלושה (8%) אין הגבלה בנוגע למספר החיבורים המותרים בו זמנית של משתמש יחיד; בחמישה (14%) הגישה למערכות המשרד לא מתבצעת אך ורק באמצעות רכיב ייעודי מוקשח; ב-10 (27%) אין הגבלת גישה לכתובות IP מישראל בלבד; ובשלושה (8%) מהמשרדים מערכות החיבור מרחוק לא מחוברות למערכת ניטור".
עוד נכתב כי שישה מ-40 המשרדים המונחים על ידי יה"ב לא עומדים בתקן האבטחה ISO 27001, "הגם שלפי החלטת הממשלה הם היו אמורים לעמוד בו כבר בפברואר 2020". אנגלמן אף מביע ביקורת על יה"ב בציינו שהיחידה "מבצעת מבדקי חדירות לבדיקת המוגנות של המשרדים – אולם היא לא ביצעה מבדקי חדירות בהיבט של עבודה מרחוק".
חשש לאירועי סייבר עקב שימוש בתוכנות מסרים מיידיים חיצוניות
"משרדי הממשלה נאלצים להשתמש בתוכנות מסרים מיידיים מסחריות, בעיקר לנוכח היעדרו של תחליף מאובטח ואיכותי לתוכנות אלה", קובע המבקר. "הדבר גורם לחשיפה של המידע הארגוני ומגדיל במידה ניכרת את נגישותו של מידע זה לגורמים בלתי מורשים ולמזיקים. המידע השמור במכשיר אינו מוגן ואינו מנוהל, ולכן הוא חשוף לכל נוזקה פשוטה. ב-2020 בחנה יה"ב את האפשרות לספק למשרדי הממשלה מערכת מסרים מיידיים ממשלתית מאובטחת ומוצפנת מקצה לקצה, אולם פיתוח יישום זה לא קודם".
עוד מציין אנגלמן כי "סקרים שבוצעו בתקופת החירום העלו כי כשליש מהעובדים נתקלו בתקלות בחיבור מרחוק… יש צורך בקיום הדרכות לעובדים, על מנת לשפר את יכולת העבודה מרחוק ולהבטיח את יעילותה".
ההמלצות
המבקר ממליץ לרשות התקשוב "לגבש מדיניות תקשובית בנושא העבודה מרחוק, לאחר מיפוי של המצב הקיים, ניתוח צרכים והגדרה של המצב הרצוי, תוך זיהוי אתגרים והזדמנויות לטווחים הקרוב והרחוק". עוד הוא מציין ש-"על כל הגורמים הממשלתיים הרלוונטיים לבחון את הצורך בהסדרת היבטים הנוגעים למעבר שוק העבודה לעבודה מרחוק וליצירת תנאים המאפשרים את הרחבת העבודה מרחוק בכלל המשק".
כמו כן, נכתב בדו"ח, "על 21 משרדי הממשלה שטרם השלימו את גיבוש התוכנית להמשכיות עסקית להשלימה בהתאם להנחיות יה"ב. על משרדי הממשלה לבסס בעיתות שגרה את התשתיות הנדרשות לעבודה מרחוק באופן שיבטיח מענה שלם וגמיש גם במצבי חירום. לנוכח הסיכונים הטמונים במודל עבודה זה, על יה"ב לפעול מול המשרדים על מנת שיעמדו בכלל בקרות אבטחת המידע שבהנחיותיה. יש להשלים את ביצועו של סקר סיכונים עדכני, אשר במסגרתו המשרדים יבחנו אילו שינויים חלו באופן עבודתם, ולבצע מבדקי חדירות שבמסגרתן ייבחן אף נושא החיבור מרחוק. בנוסף, יש להשלים את פיתוחה של מערכת מסרים ממשלתית ולהטמיע את השימוש בה בהקדם".
התגובות
משרד העבודה, הרווחה והשירותים החברתיים מסר כי "החלה בחינת הסוגייה של עבודה מרחוק עוד בטרם התפרצות משבר הקורונה, נערך פיילוט לאתר את הכלים הנדרשים לעידוד עבודה מרחוק, נבחן הצורך בשינויי חקיקה נדרשים ונוסחה טיוטה ראשונית של תזכיר חוק שמבצע אסדרה של אופן העבודה מהבית".
מרשות המסים נמסר כי היא "נערכת לקראת ההשפעות השונות של משבר הקורונה, בכל ההיבטים של עולם המס, ובכלל זה בנושא העבודה מהבית".
במוסד לביטוח לאומי ציינו כי "יש לאסדר את אופן העבודה מרחוק ולהתחשב במורכבות הטמונה בצורת עבודה זו".
משרד הפנים מסר כי "מבוצעת פעילות לעדכון ולתיקוף של התוכנית לעבודה מרחוק".
ממשרד התחבורה נמסר כי "בשנתיים האחרונות פעלנו לגיבוש ולאפיון של תפיסה חדשה לעניין מצבי חירום, לעדכון ולריענון של נהלים, להכנת תיק אב ולעדכון תרחישי הייחוס ותוכניות המענה. תוכנית ההמשכיות העסקית גובשה, אך עדיין לא אושרה סופית וטרם הוטמעה".
במשרד להגנת הסביבה אמרו ש-"תוכנית ההמשכיות העסקית הקיימת עוסקת בהיערכות להתאוששות לאחר אסון באמצעות קיומו של אתר גיבוי. היא לא עוסקת בנושא של עבודה מהבית".
על פי משרד המדע, הטכנולוגיה והחדשנות, "אין ברשותנו מסמך תוכנית המשכיות עסקית מעודכן וחתום על ידי ההנהלה. המשרד ישלים את גיבוש התוכנית השנה".
תגובות
(0)