הממשל זמין עד שתהיה הצפה או שריפה
החשש ממתקפות סייבר הולידו מערכות הגנה על השירותים ממשלתיים שניתנים לנו באינטרנט. לא ברור אם היא ערוכה נכון אבל די ברור שזה מיותר לטרוח: ההאקר יכול פשוט להכנס פיזית לחדר השרתים
האם המידע שלנו בטוח? על פי דו"ח המבקר, בכל הנוגע לתשתית פיזית, ישנם ליקויים רבים. בין השאר בנהלים, בהיערכות לאסונות טבע או תקלות כמו שריפה, ובאבטחה - שם הכשל התבטא בפעמיים בהם הצליח אדם שאינו מורשה להגיע עד לשרתים ולדמות השמדתם באמצעות פצצה. בדו"ח מצוין כי כשלים עשויים להביא ל-"ניתוק משרדי הממשלה מרשת האינטרנט". הסכנות של "מתקפת סייבר" מהעולם קיימות, אך ישנן סכנות שנמצאות ממש בבית.
תחזוקת השרתים ואבטחת המידע היא בסמכות ממשל זמין, גוף הכפוף למשרד האוצר ושמעביר פעילויות וטפסים של חלק ממשרדי ממשלה לאינטרנט ביניהם תשלום אגרות, הנפקת מסמכים שונים, קבלת מידע וביצוע פעולות במשרדי ממשלה מהבית או מהסלולר.
אין הערכות לאירוע אבטחה פיזי
על פי הדו"ח, "האבטחה הפיזית של מבנה ממשל זמין ושל מערכות תשתית האינטרנט והמחשוב של ממשל זמין אינה עולה בקנה אחד עם הדרישות, התקנים וההנחיות לפעילות ממשל זמין בכלל ולחדר המחשב בפרט. ליקויים אלו מצביעים על כך שההיערכות למניעת אירוע של אבטחה פיזית חסרה.
עוד מוסיף הדו"ח כי אין עדיין נהלים מסודרים בנושא "הגנה מפני איומים חיצוניים וסביבתיים, המציע דרכים להגנה פיזית מפני נזקים של שרפה, הפצצה, רעידת אדמה, פיצוצים וסוגים אחרים של אסונות".
מתרגל הצליח לחדור לחדר השרתים
מערך המחשוב של ממשל זמין מכונה תהילה והוא מספק שירותים ל-50 אלף משתמשים עובדי מדינה (ומשרת את כלל הציבור). המתקנים שלו נמצאים בירושלים ובטירת הכרמל וכוללים חדרי שרתים ותשתיות.
מאחר שמדובר בשירותים חיוניים, בשנת 2011 הורכז פרויקט תהיל"ה כתשתית חיונית על ידי הרשות לאבטחת מידע (רא"מ) בשב"כ. באותה שנה רא"מ הגישה דו"ח ליקויים לתהיל"ה וב-2012 הוגש דו"ח נוסף. על פי המבקר חלק מהתיקונים טרם ייושם נכון למועד הבדיקה בשנה שעברה. לא רק זאת אלא שהדו"ח מציין כי "ביולי 2011 ערכה רא"ם תרגיל אבטחת מידע בתהיל"ה. 'התרגיל הסתיים בכישלון' לממשל זמין, כאשר המתרגל הצליח להגיע עד לחדר השרתים, והטמין בו מדמה של אמצעי לחימה"
ובנסיון חדירה נוסף...
בממשל זמין הוציא מסמך ובו ריעננו את הנהלים של האבטחה במקום ומניעת גישה של זרים. רא"מ ערכה תרגיל נוסף, שנה ושלושה חודשים אחר הראשון, ובסיומו נכתב תוצאת התרגיל הינה - כישלון".
שוב יצא מסמך שמבקש למגן נקודות תורפה ולרענן נהלים. אך המבקר מבשר כי הפעולות הללו לא תועדו ולא ניתן לדעת אם אכן ננקטו צעדים למניעת אירוע נוסף. המבקר אומר כי "נדרשות פעולות נוספות בעיקר בכל הנוגע להתקנת אזעקה במתחם התקשורת בין אתרים והכנסת מערכת מבקרים ממוכנת".
בדו"ח מצוין עוד כי החדירה לא חייבת להיות פיזית למקום: לעתים נמסרים מחשבים לטיפול או תחזוקה אצל ספקים חיצוניים בצורה לא מסודרת ולא תקינה, כך שקיים חשש שמידע שקיים בשרתים יגיע לידיים לא מורשות.
שיר של אש ומים
חדירה פיזית אפשרית של גורמים עוינים אינה הבעיה היחידה, על פי הדו"ח - קיימות סכנות שנובעות מהצפה, בעיות חשמל או שריפה אפשרית במבנה.
חדרי השרתים אמנם מקוררים, כדי למנוע חימום יתר של המחשבים, אלא שמערכת הקירור מבוססת על מים ויש סכנה של פגיעה פיזית בשרתים, גם מכיוון שאין ניקוז ברצפה שעומד בתקן. לדעת המבקר יש בעיות שמצריכות הקמת חדר שרתים חדש, אך יש למצוא פתרון ביניים בהקדם.
כמו במחשבים הביתיים שלנו שלפעמים קורסים, או נפגעים כתוצאה מבעיות בחשמל, או הפסקות חשמל - כך גם שרתים צריכים הגנה. בחדרי השרתים מותקנות מערכות אל-פסק, אלא שנמצאו בהן כשלים, והן מתוחזקות על ידי גורם חיצוני.
עוד קובע המבקר כי ישנם פערים בין המבנה של חדר השרתים בממשל זמין, לבין התקן הלא-רשמי בנוגע לעמידות בפני שריפה, וכי המבנה אינו ייעודי עמיד בפני אש. מערכות המיזוג לא מנוטרלות במקרה שריפה (בשביל למנוע דילול של חומרי הכיבוי), ובאתר החלופי של ממשל זמין נמצאו "קרטונים, שידות ושולחנות מעץ" (שעל פי ממשל זמין כבר פונו משם מאז שנכתב הדו"ח).
הדו"ח מפרט ליקויים נוספים כמו היעדר רישום של בקר חדר המחשבים, מידור לא תקין של אנשים לא מורשים מהחדר, ובעיות בניקוז - בעיות שטופלו בחלקן על פי בדיקה נוספת של רא"מ.
מתקנים את הליקויים?
לממשל זמין אתר חלופי בטירת הכרמל, שעל פי המכרז להקמתו עומד בתנאי אבטחה מחמירים יותר. בהקשר הזה, משרד המבקר ממליץ לבדוק את הפערים, אך בממשל זמין אומרים כי המבנה החלופי אמור לעמוד במקרי קיצון.
ממשל זמין השיב למבקר כי "כי הותקן תא סינון בכניסה לחדר השרתים, והותקנה "דלת מוטרדת" בכניסה לחדר מעדכני האתרים" וכי סטטוס טיפול בפערים (...) מיולי 2013 נמצא שנושא הסורגים בחלונות נמצא תקין, וכי כל החלונות הינם ממוגני הדף". ברשא לתרגול אמו בממשל זמין למבקר כי "כי נוהל החירום (פק"מ חירום) אושר במאי 2013 כחלק מהליכי ההסמכה של ממשל זמין".
עוד אמרו כי "נקבעו הנחיות למבקר במתקן ממשל זמין הכוללות הצהרה על שמירת סודיות; הותקנו אמצעי אבטחה פיזיים מתקדמים, כגון: דלת מבוקרת בקומה הראשונה, תריס גלילה בכניסה לחניון הרכבים; עמדת השומרים נבנתה מחדש תוך התקנת אמצעי אבטחה מהמתקדמים בשוק; הותקן אמצעי בקרה על דלת הכניסה מגרם המדרגות; התקיימה הדרכה בנושא אבטחת מידע בסוף שנת 2012; והוסף מאבטח נוסף."
בנוגע לבעיות באל-פסק אמרו בממשל זמין כי "טמפרטורת חדר מערכות האל-פסק הותאמה לנדרש; הכניסה לחדר מצברים ולחדר אל-פסק אפשרית רק למורשים; וכי המערכות (המצברים והאל-פסק) מנוטרות כחלק ממערכת ניטור המבנה".
לעניין העמידות באש מסרו למבקר מממשל זמין כי "אין ספק כי נתונים אלה בעייתיים מאוד באשר למיקומה של החווה הממשלתית, ויחד עם זאת מטרידים ביותר לאור העובדה שבבניין עובדים 250 עובדי ממשל זמין, הנמצאים בסכנה יומיומית עקב ממצאים אלו".
