אבטחת מידע מוגדרת בחוק הגנת הפרטיות, התשמ"א-1981 (להלן - חוק הגנת הפרטיות), כ"הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין". בשנת 1997 החל אגף החשב הכללי שבמשרד האוצר בפרויקט להסדרת תשתית האינטרנט למשרדי הממשלה (תהיל"ה) , ובשנת 1999 החל בביצוע תת-פרויקטים במסגרת מה שכונה לאחר מכן "פרויקט ממשל זמין" . במאי 2002 החליטה הממשלה לבסס את מימוש "פרויקט ממשל זמין" מול הציבור באמצעות פרויקט תהיל"ה שייעל את זרימת המידע בין הממשלה לציבור ולהיפך, על ידי יצירת מנגנון מאובטח ברשת האינטרנט, המקשר בין "מערכת רוחבית כוללת במשרדי הממשלה" (להלן - מרכב"ה) ומערכות המידע הממשלתיות לבין הציבור (להלן - ממשל זמין או תהיל"ה).
ממשל זמין סיפק בשנת 2012 לכ-50,000 משתמשים במשרדי הממשלה את השירותים האלה: תשתית למתן שירותי רשת מאובטחים, שירותי גלישה מאובטחת באינטרנט המגובים במוקד תמיכה טכני הפועל 24 שעות שבעה ימים בשבוע, דואר אלקטרוני, שירותי תשתית הכוללים שירות מסרונים, אירוח אתרים ועוד.
בשנת 2011 היה תקציב ממשל זמין כ-116 מיליון ש"ח, והוא אירח כ-300 אתרי אינטרנט ממשלתיים, לרבות אתרים של גופים ביטחוניים (להלן - לקוחות ממשל זמין). באותה שנה נרשמו יותר מ-5.5 מיליון כניסות לאתר האינטרנט של ממשל זמין, ובאמצעות המערכת הממוחשבת שולמו כ-17 מיליארד ש"ח בכ-3.4 מיליון עסקאות. אתר ממשל זמין עומד מדי שנה בשנה בכ-5 מיליון ניסיונות תקיפה, לרבות התקפות על שרתי דואר והתקפות למניעת מתן שירות. פגיעה במערכות הממוחשבות במגזר הציבורי עלולה לגרום לפגיעה בשירותים הניתנים לאזרח ובצנעת הפרט.
פעולות הביקורת
בחודשים מרץ-יולי 2012 בדק משרד מבקר המדינה כמה היבטים של אבטחת מידע ושרידות מערכות בתהיל"ה, ובהם ניהול אבטחת מידע, תכנית שיקום מאסון (DRP) ותכנית המשכיות עסקית (BCP) , טיפול באירועי אבטחת מידע, יישום מסקנות של דוחות בדיקה ושל אירועי אבטחת מידע ותהליך קבלת ההחלטות לחסימת גישה לשירותים הניתנים באתר. הביקורת נעשתה במשרדי ממשל זמין שבמשרד האוצר. בדיקות השלמה נעשו, בין היתר, במשרד החקלאות ופיתוח הכפר, במשרד המשפטים, במשרד התחבורה, התשתיות הלאומיות והזהירות בדרכים, במשרד להגנת הסביבה וברשות למשפט, טכנולוגיה ומידע שבמשרד המשפטים.
עיקרי הממצאים
1. הנהלת ממשל זמין לא הגדירה את הסיכונים ואת רמתם לגבי חלק מהפרויקטים ותתי-הפרויקטים בממשל זמין.
2. רק בדצמבר 2010, כחמש שנים לאחר פרסום נוהל "מדיניות אבטחת המידע" של ממשל זמין (להלן - נוהל מדיניות אבטחת מידע), מונתה ועדת היגוי לאבטחת מידע בממשל זמין, והרכבה לא תאם את ההרכב שנקבע בנוהל. נמצא כי ועדת ההיגוי לא התכנסה מאז מינויה בשנת 2010. כמו כן התחלפו חלק מחבריה, ולא מונו תחתיהם חברי ועדה אחרים. מאחר שהוועדה לא התכנסה כלל, היא לא מילאה את תפקידה כנדרש בנוהל, לרבות גיבוש ועדכון המדיניות בתחום אבטחת המידע, התוויית אסטרטגיות פעילות, פיקוח על תכניות העבודה השנתיות, הערכת נזקים שנגרמו מתקלות וגיבוש המלצות לטיפול בהן.
3. מנהל אבטחת מידע בממשל זמין לא מילא חלק מהתפקידים שהוגדרו לו בנוהל מדיניות אבטחת מידע. מדובר, בין היתר, בקביעת רמת האבטחה הנדרשת לכל סיווג; בהגדרת אמצעי טיפול ותהליכי טיפול באבטחת רשומות; בהתוויית רמת האבטחה הלוגית המחייבת בעבור רכיביהן השונים של מערכות המחשוב והתקשורת; בהגדרה ובהענקה של הרשאות גישה למשתמשים על פי נוהל המדיניות; ובקיום ביקורות על הפעילויות הנערכות במידע.
4. מנהל אבטחת מידע בממשל זמין כפוף מהבחינה המקצועית ומהבחינה המינהלית ישירות למנהל ממשל זמין. כפיפות זו עלולה להביא לידי פגיעה באי-תלותו, מפני שמתוקף תפקידו הוא נדרש לבקר חלק מפעילות מערכות המידע של הארגון המצויות בסמכותו ובניהולו של מנהל ממשל זמין.
5. לא הוכנה תכנית להמשכיות עסקית בממשל זמין. רק בנובמבר 2012 מינתה הנהלת ממשל זמין בעל תפקיד האחראי להיערכות להמשכיות עסקית.
6. למרות ההוראות המחייבות שנקבעו בנושא תכנית שיקום מאסון, ואף שכבר משנת 2008 קיימים אתר חלופי ותכנית מפורטת להפעלת מערך השיקום מאסון ונקבעה תדירות התרגול הנדרשת, לא נערכו התרגילים כנדרש.
7. רק במועד סיום הביקורת פורסם ללקוחות ממשל זמין מסמך אמנת שירות, הכולל מענה לתקלות, מענה לפניות שוטפות והתחייבות על רמת זמינות, כפי שדרשה ועדת ההיגוי של ממשל זמין.
8. לממשל זמין אין הסכם עם אף לא אחד מלקוחותיו המגדיר מי הם מורשי הגישה למאגרי המידע של הלקוח כנדרש בחוק הגנת הפרטיות. ממשל זמין גם לא מסר דיווח שנתי לרשות למשפט, טכנולוגיה ומידע שבמשרד המשפטים, כנדרש בחוק הגנת הפרטיות, ובתוקף היותו מחזיק במאגרים של בעלים שונים.
9. חוץ מסיכום ישיבה אחת בנושא סקר הנהלה, שהתקיימה בנובמבר 2010, לא נמצאו מסמכים המעידים על כך שנעשו סקרי הנהלה בשנים 2009-2012. כמו כן לא נמצאו מסמכים המעידים על יישום ההחלטות שהתקבלו בסקר ההנהלה בנובמבר 2010, ושהיו אמורות להתבצע עד סוף 2011.
10. מנור"ה (מערכת ניהול ותיעוד הרכש הממשלתי) הופעלה במרץ 2010, למרות הימצאותן של בעיות במערכת בתחום אבטחת המידע. אישור זמני להפעלת המערכת, שנתן מנהל אבטחת מידע, כשנה וחצי לאחר שהמערכת הופעלה ולאחר שנוהלו בה תשעה מכרזים - ניתן, אף על פי שלא כל הבעיות במערכת טופלו, כפי שעלה בדוח שעשה צוות בדיקה של ממשל זמין.
11. במאי 2012 פרסמה מחלקת אבטחת המידע טיוטת נוהל תפעולי שכותרתו "פעולות לביצוע בעת מתקפת מניעת שירות". התברר שהטיוטה לא אושרה לא על ידי מנהל אבטחת מידע ולא על ידי ועדת ההיגוי של ממשל זמין.
12. מנהל אבטחת מידע בממשל זמין לא גיבש תכנית הדרכה כוללת להגברת מודעות העובדים לכל ההיבטים הנוגעים לאבטחת מידע. הוא אינו מעודכן בנוגע לעובדים חדשים בממשל זמין, וממילא אין הם מקבלים את ההדרכה הנדרשת לפני קבלת הרשאות הגישה.
סיכום והמלצות
אבטחת מידע היא אבן יסוד בפעילותו של ממשל זמין, ומשום כך עליו להעלות את הנושא לראש סדר עדיפויותיו. כספק העיקרי של תשתיות מחשוב ושל שירותי מחשוב למשרדי ממשלה ולגופים ציבוריים, נדרש ממשל זמין לקיים פעילות מלאה ושוטפת בתחום אבטחת המידע במטרה למנוע פגיעה בזמינות המידע הממשלתי לציבור.
ממצאיו של דוח זה מלמדים על כך שממשל זמין לא יישם בהיבטים שונים הוראות ונהלים בתחום אבטחת המידע ובכך גדלה רמת הסיכון לפגיעה בתשתיות המחשוב ובשירותי המחשוב למשרדי ממשלה וגופים ציבוריים.
לנוכח הליקויים שהועלו בדוח, נדרשת הנהלת ממשל זמין לנקוט כמה וכמה פעולות. עליה לקבוע את הסיכונים הנשקפים לכל הפרויקטים בממשל זמין ואת רמת הסיכון הנשקפת מכל אחד מהם; אין להכפיף את מנהל אבטחת מידע בממשל זמין באופן שיפגע בעיקרון אי-התלות שלו; יש ליישם תכניות התאוששות מאסון והמשכיות עסקית בכל הנוגע לתשתית המידע הקריטי שלו, ולבדוק ולתרגל במלואן את ישימותן הן מהבחינה הטכנולוגית והן מהבחינה האנושית. כמו כן, מומלץ שממשל זמין ייקבע קובץ נהלים לגופים הציבוריים המתארחים בו שלפיהם עליהם לפעול. על הנהלת ממשל זמין לבצע את פעולות ההדרכה הדרושות בתחום אבטחת מידע, לרבות הכנת תכנית הדרכה שנתית ומימושה, וכן בקרה על מידת הטמעתן של ההוראות וההנחיות בתחום זה.