X

דוח המבקר על הגנת הסייבר במשרד רה"מ: גישה חשודה מחשבונות רדומים, איחור בעדכוני אבטחה ואיוש חסר

במשרד ראש הממשלה פועלות שתי ועדות סייבר, אחת למידע בלתי מסווג ושנייה למידע מסווג • הראשונה לא התכנסה בתדירות הנדרשת וב-2020 ו-2021 לא התכנסה כלל וחבריה של השנייה לא מונו כנדרש • כן נמצא חוסר במידע על הקצאת תקציב הסייבר במשרד שצריכה לעמוד על לפחות 8% • ליקויי אבטחה שאותרו בנובמבר 2021 לא תוקנו עד עתה

אסף גולן
, עודכן
0השמעה
מטה הסייבר . צילום: דובר צה"ל

עדכוני אבטחה קריטיים שנעשו באיחור, איוש בחסר של כח האדם, גישה באמצעות חשבונות רדומים ומידע חסר על הקצאות תקציביות - דוח המבקר חשף שורה של ליקויים הנוגעים לניהול וההגנה של מערכות המידע במשרד רה"מ.

על פי הדוח בינואר-מאי 2023 נחסמו כ-6 מיליון הודעות דואר חשודות וזוהו כ-49 מיליון התקפות על המשרד.

מבקר המדינה מתניהו אנגלמן בשבוע הסייבר באוניברסטת תל אביב, צילום: שבוע הסייבר וה-AI באוניברסיטת תל אביב

במשרד פועלות ועדה להגנת הסייבר (בלתי מסווג), ווועדה לאבטחת המידע המסווג, אך זו הראשונה, כך על פי הדוח, לא התכנסה בשנים 2018, 2019 ו-2022 בתדירות הנדרשת, ובשנים 2020 ו-2021 לא התכנסה כלל. כמו כן תפקיד יו"ר הוועדה לא אויש ב-2020, ובין 2020 - 2022 לא עמד בראש הוועדה מנכ"ל משרד רה"ם, כנדרש. בנוסף בדיונים שנערכו ב-2018 - 2022 לא השתתף מנכ"ל המשרד. אשר לוועדה למידע מסווג חבריה לא מונו בכתב כנדרש.

עוד נמצא שהוועדות קיימו דיונים ב-2019 - 2022 לגבי תוכניות העבודה השנתיות מבלי שהוצגו להן תוכניות מפורטות ומסמך מדיניות. מ-2018, למשך ארבע שנים וחצי לא עודכן מסמך המדיניות של המידע המסווג, לא כלל את תחומי הפעולה הנדרשים, והמדיניות לאבטחת מידע זה לא אושרה בשנים האלה בידי מנכ"ל המשרד. בנוסף הוועדה למידע בלתי מסווג לא ביצעה בקרה ניהולית, באמצעות הכלי שנבנה לצורך זה.

עובד אחד במקום 4 תקנים

בנוגע להקצאת תקציב הגנת הסייבר שחייב לעמוד על לפחות 8% מתקציב תחום הטכנולוגיה לא ניתן היה לאתר נתונים כיון שהתקציב על התחום נכתב ללא הבחנה בין התקציבים השונים.

בנוסף ב-2018 - 2023 ועדת ההיגוי למידע בלמ"ס לא וידאה שהוקצו די משאבים להגנת הסייבר, ב2020 ו-2021 הוועדה לא עסקה בנושא וביתר השנים הוועדה הסתפקה בדיווח כללי שהוצג לה.
ב-2023 ערך משרד רה"ם סקר סיכונים של רשת הבלמ"ס ומופו 28 סיכונים אך הסקר נעשה שלא על פי ההנחיות.

ראש הממשלה בכנס הסייבר. ליקויים במערך ההגנה על המידע בלשכה, צילום: גדעון מרקוביץ'

בנוסף, למרות ההנחיות על איוש תמידי של 4 תפקידי ליבה בתחום, בחלק מהשנים שימש עובד אחד בכמה מהמשרות יחד. בהמשך אושר למשרד רה"מ לוותר על משרת מנהל תחום הטכנולוגיות אך לא צוינו או נמצאו הנימוקים להחלטה זו.

חשד לשימוש בחשבונות שלא כחוק

גם במערך ההזדהות המאפשר גישה לרשתות המשרד זוהו ליקויים, בין השאר בנוגע להחלפה עיתית של סיסמאות, כך למשל התאפשרה גישה באמצעות חשבונות רדומים וחשבונות עובדים שסיימו את עבודתם ואף עלה חשד לשימוש בחשבונות אלו שלא כחוק.

המשרד גם לא קיים ניתוח הפעילות ברשת שנבחנה כדי לזהות פגיעות בה ולא נקבעו כללים מספקים במערך הניטור להתראות על פעילות חריגה ולא נקבע תקן להמשך הטיפול בהן. גם מערך ניטור ההתרעות ברמת חומרה גבוהה אויש חלקית.

עוד נמצא שלא היתה הקפדה על התקנת העדכונים הנדרשים במערכות ההפעלה ובחלק ניכר מהשרתים יש איחור ניכר בהתקנת עדכוני אבטחה קריטיים. כן עלה שרמת ההגנה על המידע ברשתות המסווגות.

בנובמבר 2021 נבדקה מידת ההגנה של רשת במשרד והממצאים הוגשו בינואר 2022 אך עדיין לא תוקנו הליקויים שעלו בבדיקה. בנוסף במשך שש שנים לפחות, בשנים 2018 - 2023, לא נעשה מבדק חדירה לרשת מסוימת ולא הותקנו בה אמצעי הגנה שהותקנו ברשת אחרת.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
אבטחת מידעמשרד ראש הממשלהסייבר

כדאי להכיר