לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור
הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
מערכות מידע; סייבר; משרד ראש הממשלה; מידע

רקע

משרד ראש הממשלה אמון על מימוש התפיסה המדינית, הכלכלית, החברתית והניהולית של ראש הממשלה והממשלה בנושאים המרכזיים שעל סדר יומה. המשרד מספק שירותי ניהול מערכות מידע והגנה על המידע שבהן ל-13 מיחידות הסמך שלו ולמשרדי ממשלה נוספים. המטה לביטחון לאומי (המל"ל) הוא יחידת סמך של משרד רה"ם, המשמש גוף מטה לראש הממשלה ולממשלה בענייני החוץ והביטחון של ישראל. כל הגופים והיחידות שלהם מספק משרד רה"ם שירותי ניהול מערכות מידע והגנה על המידע שבהן יכונו להלן – משרד רה"ם. 

במערכות הממוחשבות במשרד רה"ם אצור מידע רב, לרבות מידע רגיש, מידע שמסווג כחסוי מהבחינה הביטחונית ומידע ברמת סודיות גבוהה ביותר. פגיעה במידע זה, לרבות דליפת המידע, שיבושו או פגיעה בזמינותו, עלולה לגרום לנזק ממושך חמור מאוד לביטחון מדינת ישראל או למערכותיה החיוניות, על אחת כמה וכמה בעיתות מלחמה, כאשר כמות תקיפות הסייבר עולה. ההגנה הנדרשת על המידע המסווג שבידי משרד רה"ם היא ברמה הגבוהה ביותר.  

משרד רה"ם מונחה בכל הנוגע להגנה על המידע על-ידי גורמים מאסדרים בהתאם לתורת ההגנה שקבע המאסדר הרלוונטי ביחס לכל אחת מהרשתות. גורמי המקצוע במשרד רה"ם האמונים על הגנת המידע שבו הם אגף בכיר טכנולוגיות דיגיטליות ומידע (אגף טד"ם), שאחראי לתחום טכנולוגיות המידע ולהגנת המידע הבלתי מסווג והחטיבה להגנת המידע באגף ביטחון וחירום, שאחראית להגנת המידע המסווג.


נתוני מפתח

  • רמת הגנה נמוכה

    הרשתות המסווגות של משרד רה"ם הן ברמת הגנה נמוכה ביחס לרמה הנדרשת

  • כ-49 מיליון

    ניסיונות להתקפה על שירות החיבור מרחוק במשרד רה"ם בחודשים ינואר-מאי 2023 בלבד

  • עשרות

    משתמשים פעילים ברשת מסווגת של משרד רה"ם נכנסו לרשת, שלא על פי ההגדרות הלוגיות שקבע משרד רה"ם

פעולות הביקורת

בחודשים מרץ עד אוגוסט 2023 ביצע משרד מבקר המדינה ביקורת בנושא ההגנה על המידע הממוחשב המצוי בעיקר ברשתות המחשוב של משרד רה"ם, בהן רשתות מסווגות. בביקורת נבחנו בין היתר הנושאים האלה: ניהול-העל של הגנת המידע במשרד רה"ם, לרבות היבטי תקציב הכרוכים בניהול; מערך הזדהות המשתמשים וניהול ההרשאות; ניטור המערכות ברשת מסויימת שנבחנה; עדכניות גרסאות של מערכות ההפעלה והתוכנה; ואבטחת המידע המסווג ביטחונית. הביקורת נערכה בעיקרה במשרד רה"ם ובמל"ל. בדיקות השלמה נעשו ביה"ב, בשב"כ ובנציבות שירות המדינה.  

ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח על שולחן הכנסת ולא לפרסם נתונים מפרק זה לשם שמירה על ביטחון המדינה, בהתאם לסעיף 17 לחוק מבקר המדינה, התשי"ח-1958 [נוסח משולב]. חסיון נתונים אלה אינו מונע את הבנת מהות הביקורת. 


תמונת מצב העולה מן הביקורת

dislike
  • dislike
    ניהול ועדות ההיגוי ותדירות הדיונים - ועדת ההיגוי להגנת הסייבר נדרשת לפעול לשיפור רמת הגנת הסייבר של המשרד הממשלתי ולביצוע בקרה ניהולית על יישום הגנת הסייבר במשרד. הביקורת העלתה שורה של ליקויים בקשר לתפקודן של ועדות ההיגוי במשרד רה"ם: ועדת ההיגוי להגנ...
  • dislike
    גיבוש מדיניות הגנת הסייבר ועריכת סקרי סיכונים - המדיניות של משרד רה"ם לגבי הגנה על המידע הבלמ"ס אושרה בנובמבר 2018 ולא עודכנה ותוּקפה במשך ארבע שנים וחצי, כנדרש בהנחיות הגופים המאסדרים, אף על פי שבשנים האלה חלו שינויים ארגוניים ניכרים - הוקמה חטיבת הגנ...
  • dislike
    אמצעי הזדהות לצורך כניסה לרשת - הכניסה לרשתות של משרד רה"ם אינה עומדת בכללים הנדרשים פי הנחיית הגופים המאסדרים. כן נמצא כי ההגדרות הלוגיות שקבע משרד רה"ם בעניין סיסמתם של משתמשים מסוגים שונים אינן עולות בקנה אחד עם ההנחיות.
  • dislike
    ניהול הרשאות גישה לרשתות - משרד רה"ם אינו מנהל כראוי את הרשאות הגישה לרשתות הממוחשבות שלו. נמצאו ליקויים במערך ההזדהות שקבע ויישם משרד רה"ם, המאפשרים גישה לרשתות של משרד רה"ם, לרבות בנוגע להחלפה עיתית של סיסמאות הגישה לרשתות, שלא על פי הנדרש בנוהל המש...
  • dislike
    ניטור מערכות ברשת מסויימת שנבחנה - ניטור פעולות ברשת מאפשר לחשוף ניסיונות לביצוע פעולות לא מורשות במערכות, לזהות מתקפות עליהן ולסייע בתהליך ההתאוששות מאירועי פגיעה באבטחת המידע. נמצא כי משרד רה"ם לא הפעיל את מערך הניטור ברשת מסויימת שנבחנה כנדרש: חלק...
  • dislike
    התקנת עדכוני אבטחה - משרד רה"ם לא הקפיד על התקנת העדכונים הנדרשים במערכות הפעלה של שרתים במועד, ועקב כך נותרו מערכות המידע של המשרד חשופות לפגיעויות שונות, לרבות פגיעויות שנעשה בהן שימוש תדיר על ידי תוקפי סייבר ברחבי העולם. בחלק ניכר מהשרתים יש איחור ש...
  • dislike
    רמת ההגנה על המידע ברשתות מסווגות במשרד רה"ם - רמת ההגנה על המידע ברשתות האלה נמוכה מרמת ההגנה הנדרשת, ואינה עומדת בדרישות הגורם המאסדר. זאת, אף שמשרד רה"ם הוא יעד המצוי באיום תמידי ברמת חומרה קריטית. הותרת רשתות מסווגות של המשרד ברמת הג...
  • dislike
    ההגנה על המידע ברשת מסווגת מסוימת שנבחנה - במשך יותר משנה וחצי, מהמועד שבו מסרה חטיבת הגנת המידע את ממצאי בדיקתה לגבי אבטחת המידע המצוי ברשת המסווגת שנבחנה ועד למועד סיום הביקורת, לא תוקנו ליקויים מהותיים שעלו בבדיקה. עקב כך רשת זו עודנה חשופה לסיכונים...
  • dislike
    בדיקת חוסן והתקנת אמצעי הגנה באותה רשת מסווגת מסוימת - משרד רה"ם לא עשה מבדק חדירה לרשת המסווגת הזו, כנדרש, במשך שש שנים לפחות (בשנים 2018 - 2023).
  • dislike
    מניעת דלף מידע - משרד רה"ם לא התקין ברשת המסווגת המסוימת אמצעי הגנה שהתקין ברשת מסווגת אחרת.

    עיקרי המלצות הביקורת

    • [alt]
      על משרד רה"ם לבצע את הפעולות הדרושות לעמידה ברמת ההגנה הנדרשת ברשתות במשרד, בהתאם להנחיות הגופים המאסדרים.
    • [alt]
      על משרד רה"ם למנות ועדות היגוי להגנת הסייבר בראשות מנכ"ל המשרד, ולכנסן בתדירות הנדרשת. מומלץ כי ועדות ההיגוי במשרד רה"ם ידונו בתוכניות העבודה לאבטחת המידע במשרד מדי שנה בשנה, יקבלו החלטות אם לאשרן ויתעדו את ההחלטות בסיכומי הדיונים. עוד מומלץ...
    • [alt]
      על משרד רה"ם לרכז נתונים על כלל התקציבים שעומדים לרשות המשרד לצורך ניהול טכנולוגיות המידע בכל הגופים שלהם הוא אחראי, וכן לנהל רישום תקציבי נפרד של תקציבים המופנים להגנת הסייבר. מומלץ שהמשרד יגבש את דרישותיו לתקציב ניהול טכנולוגיות המידע בהת...
    • [alt]
      על משרד רה"ם ליישם מנגנון המספק את ההגנה הנדרשת בעת הכניסה לרשתות המשרד, להתאים את הדרישות הלוגיות בעת הכניסה לרשתות לנדרש וליישמן. על משרד רה"ם לוודא כי בכל החשבונות הפעילים ברשתות המשרד תוחלף הסיסמה בתדירות הנדרשת.
    • [alt]
      מומלץ כי משרד רה"ם יעדכן את קבוצות המשתמשים שיצר ברשת מסויימת שנבחנה וימחק קבוצות שאין בהן צורך; יקבע תאריך תפוגה לכל חשבונות העובדים הזמניים במשרד; יגבש מדיניות לגבי תאריכי תפוגה של חשבונות של עובדים קבועים; יוודא שבעלי חשבונות שתוקפם פג לא יהיו מורשי...

    סיכום

    משרד רה"ם עוסק בתכנון ויישום של מדיניות הממשלה וראש הממשלה בנושאים המרכזיים שעל סדר יומה של הממשלה. במשרד רה"ם מותקנות מערכות מידע שמשמשות מערכים רגישים, לרבות לשכת ראש הממשלה, מזכירות הממשלה, המזכירות הצבאית של ראש הממשלה ומערך ההסברה הלאומי. במסגרת המשרד פועל גם גוף מטה לראש הממשלה ולממשלה בענייני החוץ והביטחון של ישראל. הביקורת העלתה ליקויים בהיבטים שונים של ניהול-העל בנוגע להגנת המידע במשרד רה"ם, לרבות בנוגע לסדרי עבודתן של ועדות היגוי להגנת הסייבר שפעלו במשרד ולניהול תקציבי טכנולוגיות המידע של המשרד. 

    במערכות הממוחשבות במשרד רה"ם אצור מידע רב, לרבות מידע רגיש ומידע ברמת סודיות גבוהה ביותר. ההגנה הנדרשת על המידע המסווג היא ברמה הגבוהה ביותר. הועלה כי רמת ההגנה על רשתות שבמשרד רה"ם נמוכה מהנדרש. רמת הגנה שאינה מספקת עלולה להביא לפגיעה מהותית במדינת ישראל בהיבטים מדיניים, ביטחוניים, כלכליים ותדמיתיים. 

    נמצאו ליקויים בניהול הרשאות הגישה של משרד רה"ם למערכות הממוחשבות שלו; משרד רה"ם לא הפעיל כנדרש את מערך הניטור באחת הרשתות ועקב כך הצטמצמה יכולתו לזהות מתקפות על המערכות ולהתאושש מהן היטב ובמהירות; המשרד לא הקפיד על התקנת עדכונים נדרשים של מערכות שונות, ובכלל זה מערכות ההפעלה בשרתיו, ועקב כך נותרו מערכות מידע חשופות לפגיעויות שונות, לרבות פגיעויות שנעשה בהן שימוש תדיר על ידי תוקפי סייבר ברחבי העולם. 

    משרד מבקר המדינה מציין לחיוב את תגובת משרד רה"ם על ממצאי הביקורת: משרד רה"ם השיב כי המלצות משרד מבקר המדינה רוכזו בידי אגף טד"ם; נקבעו הגורמים האחראים ליישומן או להעמקת הבדיקה של הממצאים העומדים בבסיס ההמלצות; וכן נקבע לוח זמנים להשלמת יישום ההמלצות והבדיקות, על פי רמת הדחיפות שלהן. משרד רה"ם ציין כי הגורמים הרלוונטיים במשרד רתומים לנושא ומחויבים לקידומו. אגף ביטחון וחירום מסר כי בשנת 2024 יחל בפעולות לפיקוח ובקרה על רשתות מידע שאינו מסווג, בהיבטי רציפות תפקודית ודלף מידע.

    האחריות לתיקון הליקויים שעלו בביקורת בנוגע לניהול טכנולוגיות המידע של משרד רה"ם ואבטחת המידע הממוחשב שבו מוטלת על מנכ"ל משרד רה"ם, העומד גם בראש ועדת ההיגוי להגנת הסייבר. על משרד רה"ם לפעול לתיקון הליקויים שעלו בביקורת, כמפורט בדוח זה.

    על שב"כ  ויחידת יה"ב במערך הדיגיטל הלאומי, האמונים על הנחיית משרד רה"ם בכל הנוגע לאבטחת המידע, לוודא שמשרד רה"ם יפעל כנדרש לתיקון הליקויים שעלו בביקורת.