דו"ח המבקר: משרד החינוך נכשל באבטחת מידע

מבקר המדינה קובע כי הגוף האמון על מחשוב וניהול פרוייקטים בתחום המערכות במשרד החינוך פעל בניגוד לנהלים, וחשף את המערכות לפריצות ונזקים. משרד החינוך: בדיקת המבקר היתה חלקית בלבד

ynetפורסם: 11.05.10 , 16:04

דו"ח מבקר המדינה, אשר מתפרסם היום (ג'), הציג נתונים מדאיגים אודות נהלי אבטחה וניהול שוטף של מערכות מחשבים ומאגרי מידע במשרד החינוך. נושא המחשוב במשרד מוטל על מנהל תקשוב ומערכות מידע – גוף שמטרתו פיתוח ותחזוקת המערכות, אבטחתן והתקשורת ביניהן ובין מערכות ממשלתיות אחרות.

בלתי מספיק באבטחה

כדי למנוע דלף מידע או פגיעה במקרה של התקפה מקוונת, על כל המערכות הממשלתיות, לרבות אלו של משרד החינוך, להיות מאובטחות בהתאם לנוהל סדור וקבוע. הנוהל, נכלל בקובץ תחת מפת"ח - מתודולוגיה לפיתוח ותחזוקה של מערכות מידע - שהיא תורת הפעלת המערכות של משרדי הממשלה בישראל.

הדו"ח גילה ליקויים חמורים בנושאי אבטחת המידע השוטפת במערכות משרד החינוך. דוגמה בולטת לכך היא יומני פעילות: דו"חות אלו, אשר ניתן באמצעותם לגלות כניסות חריגות למערכת, אינם מופקים ממערכות המשרד, למעט מערכת ציוני הבגרויות.

בתוך כך, יכול פורץ לחדור למאגרי מידע ולהוציא נתונים אישיים כמו הישגים לימודיים, ופרטים כלליים אודות תלמידים בני כל הגילים, פעילויות בתי ספר ועוד. בנוסף, פריצה עמוקה עשויה לאפשר להאקר לבצע גם עריכה ושינויים במערכת.

בדו"ח נכתב: "המשרד פעל רק באופן חלקי ליישום מרכיבי תכנית חירום להמשך פעילות והתאוששות במקרה של אסון או שיבוש חמור של מערכות המידע, לא מיפה את האיומים ולא דרג את הפעילויות על פי רמת החיוניות או הקריטיות שלהן. המשרד ביצע סקר סיכונים ומבחני חדירה חלקיים בלבד, ולא סיווג את מערכות המחשוב לפי רגישותן".

משמעות הדבר, שלו היתה מתבצעת התקפה מקוונת על מאגרי המידע של משרד החינוך, אשר בהם נתונים פדגוגיים ולוגיסטיים באחד – היה הדבר עלול להשבית את מערכת החינוך ולהסב לה נזקים קשים, או לפגוע בפרטיותם של מיליוני תלמידים ומורים.

תוכנות פדגוגיות מוזנחות

דו"ח המבקר קובע, כי משרד החינוך אינו מבצע שימוש נכון גם במשאבים הטכנולוגיים שבידיו: מערכת המנב"סון, כלי פדגוגי חשוב אשר פותח במטרה לעזור למורים לבצע הערכה להישגי תלמידיהם, אינה נמצאת בשימוש על ידי מרבית המורים - פחות משליש מבתי הספר בישראל משתמשים בתוכנה זו.

למורים גישה למערכת הן מחדר המורים והן מרחוק, דרך מחשביהם הפרטיים ועל אף גמישות זו, פחות משליש מהמורים משתמשים בה בפועל. לפי אתר מיקרוסופט, אשר כלי פיתוח שלה שימשו לבניית המנב"סון, התוכנה נועדה גם לשימושם של הורים, ושל התלמידים עצמם.

סופיה מינץ, מנהלת מנהל תיקשוב ומערכות מידע במשרד החינוך אמרה בראיון ל-ynet: "ישנן כ-180 מערכות שונות ו-130 אתרי אינטרנט שונים תחת משרד החינוך, ובדיקת מבקר המדינה היתה חלקית ובחנה רק בודדות מתוכן. אמנם ישנם מספר ליקויים בסיסיים, שנמצאים בתיקון, אך המצב טוב יחסית, ומשתפר".

על אף הליקויים המתוארים בדו"ח, משרד החינוך מתכנן לבצע שינויים ופיתוחים בתחום המחשוב בבתי הספר. המשרד אף פרסם בשבוע שעבר מכרז למפעיל שירותי מחשוב ענן עבור הרשויות המקומיות - במטרה לייעל את פעולת מערכת החינוך ולחסוך עלויות של ניהול שרתים, אבטחתם ועוד.

מצאתם טעות בכתבה? כתבו לנו