המבקר: וירוסים וליקויי אבטחה במשרדי ממשלה
בעיות אבטחה באתרים ממשלתיים נובעות ככל הנראה מחוסר נהלים וארגון לקוי. על פי הדוח ישנם מחשבים נגועים במחשבי משרד התחבורה, החקלאות, הגנת הסביבה והמשפטים. מהדו"ח עולה כי רשת ממשלתית הייתה חשופה לתקיפה כ-3 שנים
שורשיו של פרויקט מחשוב אתרי המממשלה והנגשתם לגולשים ניטעו כבר בסוף המאה הקודמת. מאז הפך הדבר נחוץ הרבה יותר בד בבד עם האיומים על הפרטיות של הגולשים והעבודה התקינה. מדו"ח מבקר המדנה לשנת 2013 שמתפרסם רשמית היום (ד') עולה כי בממשל זמין, הגוף האחראי על הדבר וכפוף למשרד האוצר, ישנן עדיין בעיות אבטחה ונהלים שעוצרות את הפרויקט ומאיימות על פרטיות האזרחים.
"ממשל זמין לא יישם בהיבטים שונים הוראות ונהלים בתחום אבטחת המידע", נכתב בדוח "ובכך גדלה רמת הסיכון לפגיעה בתשתיות המחשוב ובשירותי המחשוב למשרדי ממשלה וגופים ציבוריים". עוד קובע הדו"ח כי על ממשל זמין להעלות את נושא האבטחה לראש סדר עדיפויותיו.
לפי דו"ח המבקר, תקציבו של ממשל זמין ב-2011, ב-116 מיליון שקל, והוא אירח באותה שנה כ-300 אתרי אינטרנט ממשלתיים. באותה שנה נרשמו יותר מ-5.5 מיליון כניסות לאתר האינטרנט של ממשל זמין, ובאמצעות המערכת הממוחשבת שולמו כ-17 מיליארד ש"ח בכ-3.4 מיליון עסקאות לגופי מדינה.
דו"ח המבקר מספר כי אתר ממשל זמין עומד מדי שנה בשנה בכ-5 מיליון ניסיונות תקיפה, ולמרות השרידות נגד מתקפות אלו, עדיין קיימים ליקויי אבטחה שעלולים "לגרום לפגיעה בשירותים הניתנים לאזרח ובצנעת הפרט". ממשל זמין מסר בתגובה לטענות: "עם קבלת ההערות ממשרד מבקר המדינה דאג מערך ממשל זמין ליישם חלק מההמלצות. ממשל זמין רואה חשיבות עליונה בשיפור אבטחת המידע ובכוונתו להמשיך לפעול ליישום המלצות המבקר".
כשלי אבטחה ונהלים
בדו"ח מתואר מקרה בו נמשכה בעיה כמה שנים: אל גורם ממלכתי המתארח בחוות השרתים של ממשל זמין (תהיל"ה) נשלחו באוקטובר 2009 שני נציגים לצורך איתור מחשב המכיל סוס טרויאני או וירוס, שאילו היה חודר לשרתי ממשל זמין, היה מהווה סכנה לכל הגופים המחוברים אליו. הווירוס שהתגלה, היה אמור לחפש במחשב נתונים פיננסיים כדי להעבירם ליוצר הווירוס ולצרף אותו לרשת של מחשבים נגועים המשמשים את השולט בהם למתקפות רשת מבוזרות ולביצוע עברות מחשב שונות (בוטנט), אך הוא לא יצא לפועל.
בתחקיר עלה כי תכנת האנטי-וירוס במחשב הנגוע לא עודכנה למעלה מחצי שנה ושאילו הייתה מעודכנת, היא הייתה מונעת את חדירתו של הווירוס למחשב כבר בהגעתו. בתחקיר צוין כי קיים שימוש בהחסנים ניידים (דיסק און קי לדוגמה) שאינם נבדקים לפני חיבורם למחשב במשרד.
הווירוס ממשיך לככב בדו"חות
שנתיים לאחר מכן, במאי 2011 כתב עובד בגורם הממלכתי לצוות בקרה בתהיל"ה על בעיה שנתקל בה. שלושה חודשים לאחר מכן, נכתב למנהל הרשת של אותו גורם, שכנראה יש במערכת המחשוב שלהם "סוס טרויאני" או תכנה זדונית אחרת - שוב, או אותו וירוס מפעם שעברה. מבקר המדינה קובע כי מאז 2009 המשיך הגורם להופיע בדוחות השבועיים של תהיל"ה, ובכמה מהם אף במקום הראשון, בכל הנוגע למספר הניסיונות של תכנות זדוניות להתקשר עם יוצרן.
עוד הועלה כי עד מועד סיום הביקורת עדיין לא הותקנו במערכת המחשוב של אותו גורם מערכות לניקוי התקני אחסון ניידים. בהתייחסותה מנובמבר 2012 לממצאי הביקורת מסר הגורם, כי "החל מחודש אוגוסט 2012 הותקנה מערכת חדשה... לראיה אודות איכות המערכות שהותקנו, דו"חות אבטחת המידע שמנפיקה תהיל"ה מציגים ירידה דרמטית בכמות התוכנות הזדוניות". כלומר, נעשה תיקון כלשהו, אבל המערכת הייתה חשופה לווירוסים.
אך לא רק גורמים מבחוץ. גם המידור מבפנים היה בעייתי לפי הדו"ח. עובדים בגופי ממשלה שונים אמורים לקבל הראשות למערכות מסוימות ולמידע מסוים על פי תפקידם. זאת כדי למנוע נזקים וגישה לא מורשית למידע. דו"ח המבקר קובע שניהול מערך ההרשאות היה לקוי, ולא חולק כהלכה לעובדים שמורשים לכך מתוקף המשימות שלהם.
נגועים
המבקר בדק מחשבים במשרדי ממשל זמין ובמשרדים האחרים המקבלים ממנו שירותים. מהבדיקה עולה כי על פי דו"חות ממשל זמין יש וירוסים במחשבי משרד החקלאות, הגנת הסביבה, משרד התחבורה והמשפטים. מהדו"ח עולה כי ישנם בעיות נהלים בדיווח על אירועי אבטחה וכי אין שרשרת מסודרת של הודעה. לדוגמה, במאי 2012 נמצא סוס טרויאני בשני מחשבים ניידים במשרד המשפטים והם פורמטו. לא נכתב לאירוע דו"ח טיפול.
מבקר המדינה ממליץ על מתכונת דיווח לגופים המתארחים בתהיל"ה על ניסיונות חדירה לאתריהם. עוד מוצע כי בנוהל שייקבע יפורטו, בין היתר, הפעולות שעל המשרד המתארח בתהיל"ה לבצע בעקבות קבלת הדיווח, וכן הגורמים שהוא נדרש לדווח להם על הפעולות שעשה ועל תוצאותיהן.
ואם הכל יישרף?
בדו"ח המבקר נקבע גם כי אתרי ממשל זמין אינם ערוכים למקרים של אסונות או מצבי חירום. הדו"ח מציין כי הנוהל נועד "לסכל הפרעות בפעילותו השוטפת של ממשל זמין ולהגן על נתונים במערכות המידע שלו מפני הרס, שיבוש ומחיקה הנגרמים ממקרי כשל או ממקרים כמו שריפה, הצפה, אסונות טבע וכדומה". כלומר, צריך לדאוג לגיבוי של המערכות במקרה של תקלה פיזית או אסון שישבית את מערך המחשבים.
הדבר נקרא "המשכיות עסקית", והנהלת ממשל זמין אחראית למנות בעל תפקיד האחראי לנושא ההיערכות. הביקורת העלתה כי עד מועד סיום הביקורת לא הוכנה כל תכנית להמשכיות עסקית בממשל זמין. רק בנובמבר 2012 מינתה הנהלת ממשל זמין בעל תפקיד האחראי להיערכות. עוד נקבע כי בארגון לא נערכו תרגולות של מצבי חירום.
אז של מי האחריות?
בהתייחסותה מנובמבר 2012 לממצאי הביקורת מסרה הנהלת ממשל זמין, כי "יש לציין כי האחריות על ניהול המערכות ואבטחת המידע בכל משרד ומשרד הינה על מנהל מערכות המידע של המשרד, ולממשל זמין אין כל סמכות להתערב בנעשה בתוך הרשת המשרדית". לדעת משרד מבקר המדינה "מן הראוי שהנהלת ממשל זמין תקבע מתכונת דיווח לגופים המתארחים בתהיל"ה על ניסיונות חדירה לאתריהם. עוד מוצע כי בנוהל שייקבע יפורטו, בין היתר, הפעולות שעל המשרד המתארח בתהיל"ה לבצע בעקבות קבלת הדיווח, וכן הגורמים שהוא נדרש לדווח להם על הפעולות שעשה ועל תוצאותיהן.
