לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור
הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
 

רקע

רוב המידע שמשרד החינוך אוסף, שומר ומנהל בעניין בחינות הבגרות וציוני הבגרות הוא מידע רגיש על תלמידים ועובדים, שכולל יותר מ-100,000 רשומות, ובהיותו כזה אבטחתו נדרשת להיות ברמה הגבוהה ביותר לפי תקנות הגנת הפרטיות )אבטחת מידע), התשע"ז-2017 (תקנות הגנת הפרטיות אבטחת מידע), ובכלל זה על משרד החינוך מוטלת החובה לשמור על המידע ולוודא שהוא משמש אך ורק למטרות שלשמן הוא נמסר או לצורכי מילוי חובותיו של המשרד על פי החוק. על המשרד לוודא כי המידע והנתונים לא ישונו או יימחקו, וכי הם ייחשפו רק לפני גורמים המורשים לקבל גישה אליהם, מתוקף תפקידם או מתוקף כך שהמידע נוגע להם, כגון התלמידים או הוריהם, או למוסדות השכלה גבוהה ולגורמים אחרים אשר תעודת הבגרות וציוני התלמידים נדרשים להם. 

היבט נוסף המחייב נקיטה של אמצעים כדי למנוע פגיעה במאגרי מידע הוא תקיפות סייבר, ששכיחותן הולכת וגדלה והן גורמות לנזקים ניכרים ורחבי היקף. המניעים לכך שונים, ובהם כוונה לפגוע במערכות עצמן וכך לשבש את הפעילות התקינה והשוטפת של הארגון, החברה ואף המדינה, למטרת סחיטה, למטרת שינוי מידע כדי ליהנות מהטבות ומרווחים ואף במסגרת אתגר טכנולוגי לשמו.


נתוני מפתח

  • כ-1.39 מיליון

    מחברות בחינה של תלמידים שנבחנו בבגרות הוערכו על ידי משרד החינוך בשנת הלימודים התשפ"א (ספטמבר 2020 - אוקטובר 2021)

  • כ-125,000

    תלמידי כיתות י"ב נבחנו בבחינות הבגרות ב-1,299 בתי ספר בשנת הלימודים התשפ"א

  • כ-12,000

    מחברות בחינה נמצאו חשודות כחריגות בשנת הלימודים התשפ"א

  • 832

    גרסאות שאלונים גובשו במשרד החינוך עבור 62 מקצועות לימוד בשנת הלימודים התשפ"א

  • כ-2,200

    אירועי סייבר טופלו על ידי מערך הסייבר הלאומי בשנת 2021

  • 33%

    הגידול בשיעור אירועי הסייבר שבהם טיפל מערך הסייבר הלאומי בשנת 2021 לעומת השנה הקודמת

  • כ-467.6 מיליון ש״ח

    תקציב אגף הבחינות במשרד החינוך בשנת 2021

  • כ-5% במקום 8%

    שיעור תקציב הגנת הסייבר שהקצה משרד החינוך מתוך תקציב טכנולוגיות המידע בשנת 2020 (5%) לעומת החלטת הממשלה 2443 בעניין הגנת הסייבר המורה על 8%

פעולות הביקורת

בחודשים פברואר 2021 - מאי 2022 בדק משרד מבקר המדינה היבטים באבטחת המידע במשרד החינוך ואת אבטחת המידע של מערכות המידע המרכזיות שתומכות בניהול ובתפעול של ציוני בחינות הבגרות ובסביבות התקשוב שבהן הן פועלות. הבדיקה בוצעה במטה המשרד, באגף הבחינות ובמינהל טכנולוגיות מידע דיגיטליות, במרכז לבדיקת בחינות הבגרות והגמר (מערך המרב"ד) שמתפעלת חברה חיצונית. בדיקת השלמה בוצעה ביחידה להגנת הסייבר בממשלה (יה"ב) ובמשטרת ישראל.

הדוח שבנדון הומצא לראש הממשלה ביום 6.12.22.

מתוקף הסמכות הנתונה למבקר המדינה בסעיף 17(ג) לחוק מבקר המדינה, התשי"ח-1958 [נוסח משולב], ובשים לב לנימוקי הממשלה, לאחר היוועצות עם הגופים האמונים על אבטחת המידע הביטחוני ובתאום עם יו"ר הכנסת, משלא התכנסה ועדת המשנה האמורה, הוחלט לפרסם דוח זה תוך הטלת חיסיון על חלקים ממנו. חלקים אלה לא יונחו על שולחן הכנסת ולא יפורסמו.


תמונת מצב העולה מן הביקורת

  • dislike
    ביצוע סקר סיכונים ומבדקי חדירה ויישום תוכנית העבודה השנתית - נכון לאוקטובר 2021, יותר משלוש שנים לאחר שביצע משרד החינוך סקר סיכונים מקיף של מערכות ליבה נבחרות שלו ומבדק חדירה בנוגע למערכת א', משרד החינוך לא ביצע סקר סיכונים מקיף ומבדקי חדירות בנוגע למע...
  • dislike
    מוכנות משרד החינוך להתאוששות מאסון - משרד החינוך לא ביצע תרגילים מסוימים לשחזור מידע ולהתאוששות מאסון כנדרש בהנחיית יה"ב "גיבוי ושחזור מידע"; הוא גם לא ביצע תרגיל לשחזור מלא של מערכת מחשב מסוימת שלו.
  • dislike
    עמידת משרד החינוך בחובות הנקבעות לפי תקנות הגנת הפרטיות אבטחת מידע - עלה כי שלוש שנים לאחר כניסת תקנות הגנת הפרטיות אבטחת מידע לתוקף (במאי 2018) משרד החינוך גיבש את מסמכי מבנה המאגר, את הגדרות המאגר ואת רשימת המצאי רק עבור חמישה (10%) מ-50 מאגרי המידע...
  • dislike
    מינוי של ממונה הגנת סייבר, כינוס ועדת היגוי סייבר והקצאת תקציב להגנת הסייבר - מסוף שנת 2020 ועד לאוקטובר 2021 משרד החינוך לא אייש את תפקיד ממונה הגנת סייבר. ועדת היגוי סייבר לא התכנסה בתדירות הנדרשת - לכל הפחות פעם בחציון. המשרד גם לא עמד בהנחיה ולפיה...
  • dislike
    אבטחת המידע ברשת א' - רשת א' משרתת את כל המשתמשים שאינם עובדי משרד החינוך, ובהם בתי הספר, עובדי ההוראה, התלמידים, ההורים והספקים, והיא נגישה גם לעובדי המשרד על פי צורכיהם. חברה א' מספקת למשרד את שירותי התשתיות המרכזיות של הרשת. להלן יפורטו עיקרי הממצאי...
  • dislike
    אבטחת המידע ברשת ג' - ברשת ג' מנוהל התהליך הנוגע לבדיקתן ולהערכתן של מחברות הבחינה ששימשו את הנבחנים למענה על שאלוני הבחינה. בנוגע לרשת ג' העלתה הביקורת כלהלן...
  • dislike
    אבטחת המידע במערכת ד' - למערכת ד' נטענים קובצי מחברות הבחינה הסרוקות וקובצי מחברות הבחינה המתוקשבות. הגישה למערכת מוקנית, באמצעות המרשתת, לכ-4,000 מעריכים חיצוניים אשר בודקים את מחברות הבחינות ומזינים עבורן ציונים. בנוגע למערכת זו העלתה הביקורת כלהלן...
  • dislike
    אבטחת המידע במערכת ב' - מערכת ב' משמשת לרישום התלמידים הניגשים לבחינות הבגרות, כ-250 מבתי הספר מזינים באמצעותה גם את הציונים השנתיים הבית-ספריים של התלמידים (ציוני המגן). בנוגע למערכת זו עלה כלהלן...
  • dislike
    מערכת ז' שברשת ב' של משרד החינוך - משרד החינוך לא הסדיר נוהל המגדיר את שלבי תהליך עדכון ציוני הבגרות במערכת ז', את הגורמים המעורבים בו, את האחראים לכל שלב ואת הבקרה על התהליך. בפועל, עלו פערים במנגנוני הניטור והבקרה של משרד החינוך. המשרד גם לא מבצע בקר...
  • dislike
    הפצה לא מורשית של בחינות הבגרות - בביקורת נמצאו שבע קבוצות ביישומונים להעברת מסרים מיידים הפעילות במגזר היהודי ובמגזר הערבי, שבהן התבצעה פעילות הפצה לא מורשית של שאלונים ושל הפתרונות לשאלונים. בשנים 2018 - 2020 הגיש משרד החינוך ארבע תלונות בלבד במשטרת...

    עיקרי המלצות הביקורת

    • [alt]
      מומלץ שמשרד החינוך יקפיד על כינוס ועדת היגוי סייבר פעמיים בשנה; יישם את תוכנית העבודה השנתית במועד; יבצע סקרי סיכונים ומבדקי חדירה אחת ל-18 חודשים; יקצה לכל הפחות 8% מתקציב טכנולוגיות המידע לקידום נושא הגנת הסייבר בהתאם להחלטת הממשלה 2443 ולהנחיית יה"ב.
    • [alt]
      מומלץ שמשרד החינוך ידרוש אסמכתאות המתעדות את טיפול חברה א' בקריאותיו, וכן מומלץ שיקבל דוחות ניטור ובקרה, דוחות של כללי רכיב הגנה מסוים והגדרות בדבר הציוד שבאחריות חברה א'. עוד מומלץ כי משרד החינוך ישקול להטמיע אמצעים שיאפשרו בקרה מסוימת לגבי אבטחת הרכי...
    • [alt]
      מומלץ כי משרד החינוך יקדם את סיום ההטמעה של הגרסה המעודכנת של רכיב הגנה מסוים ברשת ג', וכי יפעל לשדרוג מערכות ההפעלה של שרתי רשת ג' שהיצרן אינו תומך בהם עוד. מומלץ שמשרד החינוך ידרוש מחברות המפעילות עבורו את מערך המרב"ד להטמיע את מערכות אבטחת המידע החס...
    • [alt]
      מומלץ שמשרד החינוך יבצע תרגילי שחזור גיבויים תקופתיים ותרגילי התאוששות מאסון. כמו כן מומלץ שיפעל לביצוע הפרדה בין שרת א' לשרתי ב' של מערכת ד'. בהיבטים מסוימים. מומלץ גם שבשרת א' לא ייעשה שימוש במסד נתונים מסוים.
    • [alt]
      מומלץ כי המשרד יבחן מחדש את מודל החיבור של המעריכים למערכת ד' ממחשבים אישיים באמצעות חיבור מאובטח חלקית. עוד מומלץ כי המשרד יבטיח כי חברות המפעילות עבורו את מערך המרב"ד יקפידו לפעול על פי עקרון "הצורך לדעת" ולצמצם את הגישה למידע בהתאם לפרטי מידע הדרושי...

    סיכום

    משרד החינוך אוסף, שומר ומנהל מידע רב הנוגע לבחינות הבגרות. מדובר במידע רגיש, שאבטחתו נדרשת להיות ברמה הגבוהה ביותר. בביקורת עלו כמה ליקויים בתחום אבטחת המידע - הן מתחום קיום ממשל אבטחת מידע תקין במשרד החינוך ובגופים חיצוניים שמבצעים עבורו חלק מהפעילות במיקור חוץ, והן מהתחומים הטכניים של יישום כלים, מערכות ומנגנוני אבטחת המידע והגנת הסייבר על פי הכללים שחלים עליו מתוקף תקנות הגנת הפרטיות אבטחת מידע והנחיות יה"ב. 

    ממצאי הדוח והבעיות שבשורש ממצאים אלה עלולים לסכן את שלמותם, זמינותם, סודיותם ואמינותם של ציוני בחינות הבגרות וכן עולה מהם חשש לפגיעה בעקרונות טוהר הבחינות. משרד מבקר המדינה ממליץ למשרד החינוך לפעול לתיקון הליקויים שהועלו בדוח, ובכלל זה לעמוד בלוחות הזמנים שנקבעו בתוכניות העבודה בתחום אבטחת המידע והגנת הסייבר, לשפר ולהעלות את רמת אבטחת המידע והגנת הסייבר בכלל מערכותיו ותשתיותיו. מומלץ גם שבמערכת החדשה לניהול ציוני הבגרות שלדברי המשרד הוא מפתח, יינתן מענה על הממצאים שהועלו בדוח זה בנוגע לאבטחת המידע של בחינות הבגרות וציוני הבגרות.