לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור
הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
אבטחת מידע; הגנת פרטיות; חסמים; סיכונים; סייבר

רקע

התפתחות טכנולוגיית מחשוב הענן מאפשרת למגזר הממשלתי להתמודד טוב יותר עם אתגרים רבים הניצבים לפניו, כגון שיפור השירות לאזרח, צמצום השונות בין משרדים והתייעלות תפעולית. אך לצד היתרונות, השימוש בטכנולוגיה זו טומן בחובו גם סיכונים ממשיים בתחומי אבטחת המידע והגנת הסייבר, הגנת הפרטיות ועוד.

בשנים האחרונות הכירה ממשלת ישראל בצורך בתכנון צופה פני עתיד ובהתוויית חזון, מטרות ויעדים שיאפשרו את מיצוי הפוטנציאל הגלום בטכנולוגיית הענן, ויקלו את ההתמודדות עם האתגרים הכרוכים בשימוש בטכנולוגיה זו. 

נתוני מפתח

  • 2%

    שיעור הניצול השנתי הממוצע של משאבי תשתיות המחשוב המקומיות הקיימים בממשלה בשנת 2018

  • 1%

    בשנת 2019 השקיעה הממשלה במחשוב ענן פחות מאחוז אחד מסך השקעתה בתקשוב, לעומת 8% בעולם

  • 102

    מספר המערכות אשר הועברו לסביבת ענן מתוך אלפי מערכות מידע ותשתיות מחשוב במגזר הממשלתי

  • 773%

    גידול במספר האיומים על שירותי ענן במגזר הממשלתי בעולם בחודשים מרץ ואפריל 2020 לעומת ינואר ופברואר באותה השנה

  • 60%

    שיעור המשרדים אשר השיבו לשאלון משרד מבקר המדינה כי לא ביצעו תהליך הפקת לקחים לאחר יישום מערכת בענן

  • 61%

    שיעור המשרדים אשר השיבו לשאלון משרד מבקר המדינה כי אין להם תוכנית אב למחשוב או שאין בתוכנית התייחסות למחשוב ענן

  • 99%

    רוב מוחלט של המשרדים אשר השיבו לשאלון משרד מבקר המדינה כי לא נתקלו בתקלות מרובות במערכות הענן שלהם

פעולות הביקורת

​בחודשים מרץ עד אוקטובר 2020 בדק משרד מבקר המדינה היבטים בשימוש משרדי ממשלה בענן ציבורי וההיערכות להקמת ענן מרכזי. הביקורת נעשתה ברשות התקשוב הממשלתי שבמשרד הדיגיטל הלאומי, במינהל הרכש שבאגף החשב הכללי שבמשרד האוצר ובמערך הסייבר הלאומי שבמשרד ראש הממשלה. בדיקות השלמה נעשו באגפי מערכות מידע של כמה משרדי ממשלה ויחידות סמך, במרכז השלטון המקומי, ברשות להגנת הפרטיות שבמשרד המשפטים ובמינהלת הטרנספורמציה הדיגיטלית שבאגף התקשוב בצה"ל. במסגרת הביקורת פנה משרד מבקר המדינה ל-72 מנהלי אגפי מערכות מידע ראשיים (להלן - מנמ"רים) במשרדים הממשלתיים וביחידות הסמך שלהם, וביקשם למלא שאלון בנושא השימוש בשירותי ענן ציבורי. על השאלון השיבו 45 (כ-62%) מהמנמ"רים.

תמונת מצב העולה מן הביקורת

  • dislike
    תוכנית מעבר ממשלתית מאושרת למחשוב ענן: תוכנית המעבר הממשלתית למחשוב ענן שהוכנה ברשות התקשוב לא הוצגה לוועדת השרים כנדרש בהחלטת הממשלה 2097 משנת 2014, בשל פיזורה של הוועדה בשנת 2015 ואי-הקמתה מחדש. יצוין כי שיעור הניצול השנתי הממוצע בשנת 2018 של משאבי ת...
  • dislike
    פרויקט נימבוס: פרויקט נימבוס הוא פרויקט רב-שנתי שהחל בשנת 2019 ושנועד לתת מענה מקיף לנושא אספקת שירותי ענן למשרדי הממשלה. הפרויקט מורכב מארבעה רבדים המרכיבים את המכרז המרכזי של מינהל הרכש הממשלתי. במהלך שנת 2020 פורסמו מכרזים לרובד הראשון (אספקת שירות...
  • dislike
    מיפוי מערכות שיושמו בסביבת ענן: נכון למועד הביקורת לא היו בידי רשות התקשוב או בידי גורם ממשלתי אחר מיפוי מלא ועדכני של כל המערכות הממשלתיות שכבר יושמו בענן. מיפוי זה נדרש לשם קבלת תמונת מצב מלאה ומדויקת של הנעשה במשרדי הממשלה ווידוא כי כל משרדי הממשלה...
  • dislike
    אבטחת מידע לעבודה בענן: על אף הנחיה ייעודית של מנהל היחידה להגנת הסייבר בממשלה (להלן - יה"ב) הקובעת כי כל מערכת אשר פועלת בסביבת הענן נדרשת לאישור הוועדה המייעצת לנושא העברת מידע ויישומי מחשוב לסביבת הענן הציבורי, בין אם היא מתוכננת למעבר לענן ובין א...
  • dislike
    הנחיות אבטחת מידע בגופים שאינם כפופים ליה"ב: גופים הכפופים להנחיות המגזריות של משרדים ממשלתיים אך אינם כפופים להנחיות יה"ב, כגון חברות תקשורת, תחבורה ואנרגיה, מנהלים באופן עצמאי את תחום הגנת הסייבר במערכות המחשוב שלהם, לרבות בתחום יישום מערכות ענן, ללא...
  • dislike
    בקרה על יישום הנחיות בתחום אבטחת המידע בסביבת הענן: אין בקרה על יישום הנחיות מערך הסייבר בידי הגופים השונים. כמו כן עלה כי למערך הסייבר אין הסמכות לקיים פיקוח ובקרה על יישום הנחיותיו בנושא הענן.
  • dislike
    התקשרות בפטור ממכרז להקמת מערכת בסביבת ענן: בשניים מתוך שלושה פרויקטים להקמת מערכת בסביבת ענן שנבחנו, במשרד הבינוי והשיכון ובמשרד רה"ם, הוחלט להתקשר עם ספק לביצוע הפרויקט ללא ביצוע הליך מכרזי אלא בוצעה התקשרות עם הספק בפטור ממכרז בעילה של ספק יחיד, תוך...
  • dislike
    הליך הפקת לקחים ממשלתי: לא גובש הליך ממשלתי סדור להפקת לקחים מיישום מערכות בסביבת הענן. הליך שכזה יכול לסייע בזיהוי החסמים, הקשיים והליקויים המקשים על משרדי הממשלה בבואם ליישם מערכות בסביבת הענן ולסייע בהתמודדות עימם.
  • like
    פרסום מדיניות והנחיות: משרד מבקר המדינה רואה בחיוב את העובדה כי פרסומי המדיניות וההנחיות של רשות התקשוב ויה"ב בנושא מחשוב ענן מעודכנים בהתאם להתפתחויות הטכנולוגיות. יצוין כי בנובמבר 2020 פרסם מינהל הרכש הוראת תכ"ם "קווים מנחים לאישור ובקרת התקשרויות בענן"
  • like
    שילוב גופים נוספים בפרויקט נימבוס: משרד מבקר המדינה מציין את שילובם של גופים נוספים, כגון גופים מוסדיים ופיננסיים וכן צה"ל, בפרויקט נימבוס. ריבוי גופים המשתתפים בפרויקט מאפשר איגום משאבים לאומי ויעילות תקציבית.

תרשים התקציר

יתרונות ואתגרים ביישום מחשוב ענן

עיקרי המלצות הביקורת

  • [alt]
    על מנת להקל את יישומם של פרויקטים בסביבת ענן בעתיד, הן על ידי המשרדים באופן עצמאי והן במסגרת פרויקט נימבוס, מוצע כי רשות התקשוב תבחן את מכלול ממצאיו של דוח זה והמסקנות העולות מהם - תשובות המנמ"רים על השאלון; הצורך בעדכון הנחיותיה; הצורך בביצוע בקרה על...
  • [alt]
    מומלץ כי משרד הפנים יגבש תוכנית רב-שנתית לשילוב הרשויות המקומיות במכרז נימבוס. במסגרת הכנת התוכנית ראוי לתת את הדעת לקיומו של מתווה ראשוני אשר ירכז הנחיות של המשרד לרשויות המקומיות, בכלל זה היבטים של הסברה, הדרכה והטמעה, תקצוב וכיו"ב. כמו כן מוצע כי מש...
  • [alt]
    על אגפי מערכות המידע במשרדי הממשלה להעביר ליה"ב מיפוי של כלל מערכות הענן במשרדים ולהביא לשולחנה של הוועדה המייעצת את המערכות שהוקמו בסביבת הענן ללא שאושרו על ידה. על יה"ב להשלים מיפוי של כלל מערכות הענן במשרדי הממשלה. במסגרת זו מומלץ כי הוועדה המייעצת...
  • [alt]
    על מנת להבטיח את רמת אבטחת המידע והגנת הסייבר בעת יישום מיזמי מעבר לענן בקרב גופים הכפופים להנחיות המגזריות של משרדי ממשלה, מוצע כי משרדי הממשלה המשמשים כמאסדרים של מגזר פעילות יבחנו את הצורך בהקמת ועדות ענן ייעודיות לגופים הכפופים להנחיות המגזריות, כג...
  • [alt]
    מומלץ כי מערך הסייבר יבחן ביצוע עריכת סקר עיתי לבדיקת קריאת ויישום הנחיותיו בנושא יישום מערכות בענן בידי משרדי הממשלה ויחידות הסמך, הן על מנת לצמצם את הסיכון כי לא ניתן מענה ראוי לנושא אבטחת המידע ביישום מערכת בסביבת הענן והן על מנת לבחון את אפקטיביות...

סיכום

טכנולוגיית הענן מאפשרת גישה נוחה ורחבה למאגר משותף של משאבי מחשוב. בשנים האחרונות פועלת ממשלת ישראל להעברת משרדי הממשלה ויחידות הסמך למודל מחשוב ענן.

תמונת המצב המצטיירת לנוכח ממצאי דוח זה מלמדת על חסמים שונים המעכבים או מונעים יישום של מערכות במחשוב ענן במשרדי ממשלה; על היבטים שונים שהמשרדים אינם מביאים בחשבון במסגרת היישום ועלולים לגרום נזק, החל בנזק כספי וכלה בנזק תדמיתי; על קושי בבקרה על יישום המשרדים את ההנחיות למעבר לסביבת מחשוב ענן, וכן על קושי בבקרה על גופים הכפופים להנחיות המגזריות של המשרדים אך אינם כפופים להנחיות של רשות התקשוב ויה"ב; ועל מחסור במסגרת עבודה כוללת ומאושרת להעברת שירותי המחשוב של הממשלה לסביבת ענן. לשם יישום מיטבי של השימוש במערכות מחשוב ענן קיימות וכאלו שיוקמו בעתיד, ראוי כי החסמים והליקויים שפורטו וההמלצות שניתנו יקבלו מענה כולל, לרבות במסגרת מכרז נימבוס והקמת מרכז המצוינות התפעולית בענן.