דו"ח המבקרכשלים ביישום הנחיות אבטחת מידע במערכות המחשוב של משרדי הממשלה
דו"ח המבקר
כשלים ביישום הנחיות אבטחת מידע במערכות המחשוב של משרדי הממשלה
על פי ממצאי המבקר, למרות הנחיה ייעודית של מנהל היחידה להגנת הסייבר, לפחות עשרה משרדי ממשלה מפעילים מערכות בסביבת ענן מבלי שביקשו או קיבלו את אישורה של ועדה מייעצת. המבקר מתייחס גם לפרויקט נימבוס וקובע, כי "אי-קיומה של מסגרת זמנים מוגדרת לפרויקט עלולה להביא להתארכות יישומו". עוד עולה, כי המדיניות שנועדה להסיר חסמים בירוקרטים בשירות הממשלתי לציבור - רחוקה מיישום מלא
מערכות המחשוב בענן של ממשלת ישראל סובלות מכשלים ביישום הנחיות אבטחת מידע, כאשר לגורמי המקצוע הרלוונטיים אין אפילו סמכות לאכוף את הנחיותיהם או לפקח על יישומם – כך לפי דו"ח מבקר המדינה שמתפרסם היום. התעלמות ממצאי הדו"ח, מתריע המבקר, עלולה לגרום לנזקים כספיים ותדמיתיים ניכרים.
ממצאי המבקר מבוססים על בדיקה של השימוש של משרדי הממשלה בענן ציבורי וההיערכות להקמת ענן מרכזי שנערכה בין מרץ לאוקטובר 2020.
כמה מהממצאים המרכזיים ביותר עוסקים בסוגיות אבטחת מידע. בהקשר זה עולה מהדו"ח, בין השאר, שלמרות הנחיה ייעודית של מנהל היחידה להגנת הסייבר בממשלה (יה"ב), לפחות עשרה משרדי ממשלה מפעילים מערכות בסביבת ענן מבלי שביקשו או קיבלו את אישורה של ועדה מייעצת. "הפעלת מערכות כאמור בסביבת ענן בלא שהוועדה בחנה אם יש מקום לאשרן עלולה להביא להתממשות סיכוני אבטחת מידע הכרוכים בהפעלת מערכות אלה", התריע המבקר.
עוד כותב המבקר: "גופים שכפופים להנחיות של משרדים ממשלתיים אך אינם כפופים להנחיות יה"ב, כגון חברות תקשורת, תחבורה ואנרגיה, מנהלים באופן עצמאי את תחום הגנת הסייבר במערכות המחשוב שלהם, לרבות בתחום יישום מערכות ענן, ללא גורם מקצועי-אסדרתי מוביל ומפקח - למעט אלו המוגדרים כתשתית מדינה קריטית". בנוסף, אין בקרה על יישום הנחיות מערך הסייבר, ולמערך אין הסמכות לקיים פיקוח ובקרה על יישום הנחיותיו בנושא הענן.
פרויקט נימבוס, פרויקט רחב היקף ורב-שנתי שנועד להקים תשתית שירותי ענן מרכזית למשרדי הממשלה, זוכה גם הוא לביקורת בדו"ח. "הפרויקט מורכב מארבעה רבדים", נכתב. "במהלך 2020 פורסמו מכרזים לרובד הראשון (אספקת שירותי ענן) והרובד השני (מרכז מצוינות במחשוב ענן) של המכרז, ובמהלך פברואר 2021 פורסם מכרז לרובד השלישי (שירותי מודרניזציה והגירה)". עד כאן הכל טוב ויפה, ואולם המבקר מתריע: "טרם פורסם מכרז לרובד הרביעי (שירותי ניטור ומיטוב), ולא נקבע מועד משוער לפרסומו. אי-קיומה של מסגרת זמנים מוגדרת לפרויקט בכללותו עלולה להביא להתארכות יישומו ולעיכוב בתוכנית להעברת משרדי הממשלה לסביבת הענן".
מנגד, המבקר מציין לשבח את השילוב של גופים מגוונים בפרויקט נימבוס, כמו צה"ל וגופים מוסדיים ופיננסיים. "ריבוי גופים המשתתפים בפרויקט מאפשר איגום משאבים לאומי ויעילות תקציבית", כתב. בהקשר זה, הוא ממליץ גם להוסיף ולשלב בפרויקט רשויוות מקומיות. "צירוף הרשויות המקומיות למכרז נימבוס עשוי להביא לחיסכון במשאביהן ולסטנדרטיזציה בתחום מחשוב הענן", כתב המבקר.
כשל אחר שאותר הוא ביצוע התקשרויות להקמת מערכות ענן ללא מכרז. "בשניים מתוך שלושה פרויקטים להקמת מערכת בסביבת ענן שנבחנו, במשרד הבינוי והשיכון ובמשרד ראש הממשלה, הוחלט להתקשר עם ספק לביצוע הפרויקט ללא ביצוע הליך מכרזי אלא בוצעה התקשרות עם הספק בפטור ממכרז בעילה של ספק יחיד, תוך הסתמכות על הסכם מחירים מרביים שנחתם בין הספק למינהל הרכש הממשלתי. זאת על אף שהסכם המחירים המרביים עם הספק לא חל על שירותי הענן של הספק, וניתן היה לקיים הליך מכרזי", כתב המבקר.
הדו"ח מצא גם שלא בוצע הליך ממשלתי סדור להפקת לקחים מיישום מערכות ענן. "הליך שכזה יכול לסייע בזיהוי החסמים, הקשיים והליקויים המקשים על משרדי הממשלה בבואם ליישם מערכות בסביבת הענן ולסייע בהתמודדות עימם", נכתב. עוד עולה מהביקורת שתוכנית המעבר הממשלתית למחשוב ענן שהוכנה ברשות התקשוב לא הוצגה לוועדת השרים לענייני תקשוב כנדרש בהחלטת ממשלה מ-2014, בשל פיזורה של הוועדה ב-2015 ואי-הקמתה מחדש.
"בשנים האחרונות פועלת ממשלת ישראל להעברת משרדי הממשלה ויחידות הסמך למודל מחשוב ענן", סיכם המבקר. "תמונת המצב המצטיירת לנוכח ממצאי דוח זה מלמדת על חסמים שונים המעכבים או מונעים יישום של מערכות במחשוב ענן במשרדי ממשלה; על היבטים שונים שהמשרדים אינם מביאים בחשבון במסגרת היישום ועלולים לגרום נזק, החל בנזק כספי וכלה בנזק תדמיתי; על קושי בבקרה על יישום המשרדים את ההנחיות למעבר לסביבת מחשוב ענן, וכן על קושי בבקרה על גופים הכפופים להנחיות המגזריות של המשרדים אך אינם כפופים להנחיות של רשות התקשוב ויה"ב; ועל מחסור במסגרת עבודה כוללת ומאושרת להעברת שירותי המחשוב של הממשלה לסביבת ענן. לשם יישום מיטבי של השימוש במערכות מחשוב ענן קיימות וכאלו שיוקמו בעתיד, ראוי כי החסמים והליקויים שפורטו וההמלצות שניתנו יקבלו מענה כולל, לרבות במסגרת מכרז נימבוס והקמת מרכז המצוינות התפעולית בענן".
"תצלום תעודת זהות נדרש לשם קבלת 261 שירותים שונים בממשלה"
"מדיניות פעם אחת", שנועדה להסיר חסמים בירוקרטים באמצעות ביטול הדרישה למסור למשרד ממשלתי אישור או מידע שבידי משרד אחר, רחוקה מיישום מלא, אף שהיתה אמורה להכנס לתוקף השנה – כך לפי דו"ח מבקר המדינה שמתפרסם היום, שמצא שמאות שירותים עדיין שדורשים אישורים כאלו.
"מדיניות פעם אחת", שאומצה בהחלטת ממשלה מ-2016, נועדה לשפר את השירות הממשלתי לציבור ולהפחית את הנטל הבירוקרטי, ובכך לקדם יעדים כמו שיפור מיצוי זכויות האזרחים וצמצום פערים חברתיים. לפי החלטת הממשלה, עד 2021 אמורה היתה המדיניות להכנס לתוקף לאישור אודות אזרח, עד 2022 למידע אודות אזרח ואישור אודות תאגיד, ועד 2023 למידע אודות תאגיד.
הממצא הבולט ביותר בבדיקת המבקר, שנערכה בין מרץ לדצמבר 2020, הוא שהממשלה לא עמדה ביעד שלפיו החל מ-2021 משרד ממשלתי לא יבקש מהציבור אישור שהנפיק גוף ממשלתי אחר. "עולה כי תצלום תעודת זהות (תעודה המונפקת בידי גוף ממשלתי - רשות האוכלוסין) נדרש לשם קבלת 261 שירותים שונים בממשלה", הדגים המבקר. "תצלום תעודת בגרות (תעודה המונפקת בידי משרד החינוך) נדרש לשם קבלת 188 שירותים; ותצלום רישיון עסק (אישור המונפק על ידי משרד הפנים) נדרש לשם קבלת 68 שירותים". בנוסף, תעודת נישואין נדרשת ב-36 שירותים ותעודת פטירה ב-29.
כחלק מההיערכות ליישום המדיניות מיפתה רשות התקשוב 3,094 שירותים ב-55 יחידות ממשלתיות. במיפוי זוהו 3,562 סוגים שונים של שדות מידע, 1,935 מתוכם זהים. כן זוהו 2,104 אישורים שנדרשו בשירותים השונים, 858 מהם זהים. "עולה כי האזרח נדרש לספק את אותו המידע או האישור יותר מפעם אחת, לשם קבלת שירותים שונים בממשלה. כך למשל, כל שדה מידע שמופה בשירותים השונים נדרש ב-1.8 שירותים ממשלתיים בממוצע, וכל אישור שמופה בשירותים השונים נדרש ב-2.4 שירותים ממשלתיים בממוצע", נכתב בדו"ח המבקר.
כן העלתה הבדיקה כשלים תהליכיים רבים ביישום המדיניות. "לפני שלוש שנים 19 (56%) מבין 34 משרדים כללו בדיווחי תכניות העבודה שלהם לרשות התקשוב נתונים על מספר השירותים שהופחתה בהם הדרישה למסור מידע באותה שנה, ושמונה מהמשרדים (23%) ציינו באילו שירותים מדובר", כתב. "תשעה (30%) מבין 30 משרדים שהציבו בתוכנית העבודה שלהם לשנת 2019 יעדים ליישום מדיניות פעם אחת דיווחו על יישום מתוכנן בחמישה שירותים דיגיטליים חדשים או יותר, כנדרש בהנחיות רשות התקשוב".
בנוסף, דווקא הגופים שנכון ל-2019 טיפלו בבקשות רבות להסדרת העברת מידע מגוף אחר, לא התחברו למערכת המחשב שנועדה לייעל את הליך ההסדרה. אלו כוללים את משרד הבריאות (43 בקשות), הביטוח הלאומי, משרד הביטחון (40 בקשות) ורשות המסים (13 בקשות). בנוסף, זמן הטיפול בבקשות הסדרה שהוגש במערכת היה ארוך במיוחד.
בהיבט אבטחת המידע מציין המבקר: "בפברואר 2021 עדיין לא הושלמה התקנת שדרת המידע בארבעה (15%) מבין 26 גופים שבהם תוכננה התקנתה לשנת 2020, בין היתר בשל קשיים טכנולוגיים.
המבקר ממליץ, בין השאר, להשלים את מיפוי השירותים השונים על ידי המשרדים, ליצור תהליך קצר ויעיל להעברת מידע בין גופי ממשלה, ולהציב יעדים שייצרו מחויבות של המשרדים לתהליך. "ממצאי דוח זה מלמדים כי עוד ארוכה הדרך ליישום מלא של החלטת הממשלה שקבעה כי החל משנת 2021 משרד ממשלתי לא יבקש מהציבור, לשם מתן שירות, אישור שהנפיק משרד ממשלתי אחר", סיכם המבקר.
ממשרד הביטחון נמסר בתגובה: "משרד הביטחון ביצע בשנים האחרונות ומבצע קפיצת מדרגה בהנגשת השירות לאזרחים באמצעות האינטרנט, בדגש על אוכלוסיות נכי צה"ל, המשפחות השכולות, החיילים המשוחררים, ספקי המשרד והיצואנים הביטחוניים. עם זאת משרד הביטחון, בדומה לגופי הביטחון האחרים (מוסד, שב"כ וכו') מנהל את המערכות התפעוליות שלו ברשת פנימית וסגורה, שמטעמים של אבטחת מידע אינה יכולה להתחבר לרשתות מחשב חיצוניות".