ליקויי אבטחה במשרד רה"מ – הרשתות המסווגות ברמת הגנה נמוכה

נמצאו ליקויים בהיבטים שונים של הגנת המידע במשרד ראש הממשלה; הרשתות המסווגות של המשרד הן ברמת הגנה נמוכה מהנדרש. עלה חשד שעובדים לשעבר במשרד, לרבות בכירים, השתמשו בחשבונותיהם לאחר סיום העסקתם; כך לפי מתניהו אנגלמן, מבקר המדינה, בדו"ח הביקורת השנתי 75-א', חלק ראשון, שפרסם היום (ג').

ועדת המשנה של הוועדה לענייני ביקורת המדינה בכנסת החליטה שלא לפרסם נתונים מפרק זה מטעמי ביטחון המדינה.

בין הליקויים שנמצאו: בהיבטים שונים של ניהול העל, בנוגע להגנת המידע במשרד רוה"מ, לרבות בנוגע לסדרי עבודתן של ועדות היגוי להגנת הסייבר שפעלו במשרד, ולניהול תקציבי ה-IT של המשרד; ועדת ההיגוי להגנה על מידע בלמ"ס לא התכנסה בתדירות הנדרשת ב-2018-2022; תפקיד יו"ר הוועדה לא אויש ב-2020; ב-2022-2020 לא עמד בראש הוועדה מנכ"ל משרד רוה"מ, כנדרש; ועדות ההיגוי לא מילאו את תפקידן כנדרש. "המדיניות של משרד ראש הממשלה לגבי הגנה על המידע הבלתי מסווג אושרה בנובמבר 2018 ולא עודכנה משך ארבע שנים וחצי, כנדרש", כך נכתב בדו"ח.

יוסי שלי, מנכ"ל משרד ראש הממשלה. צילום: ניב קנטור

"פגיעה במידע במערכות עלולה לגרום לנזק ממושך חמור מאוד לביטחון ישראל"

"במערכות הממוחשבות במשרד רוה"מ אצור מידע רב, לרבות מידע רגיש ומידע ברמת סודיות גבוהה ביותר", כתב המבקר, "ההגנה הנדרשת על המידע המסווג היא ברמה הגבוהה ביותר. פגיעה במידע המצוי במערכות – לרבות דליפת המידע, שיבושו או פגיעה בזמינותו – עלולה לגרום לנזק ממושך חמור מאוד לביטחון מדינת ישראל. על אחת כמה וכמה בעיתות מלחמה, כשכמות תקיפות הסייבר עולה. על פי גורמי המקצוע, ההגנה הנדרשת על המידע המסווג שבידי משרד רוה"מ היא ברמה הגבוהה ביותר".

המבקר ציין נתוני מתקפות: בין ינואר למאי 2023 אירעו כ-49 מיליון ניסיונות להתקפה על שירות החיבור מרחוק במשרד; נחסמו כ-6 מיליון הודעות דוא"ל חשודות, או בעלות נוזקה, או קישור זדוני; היו כ-44 מיליון ניסיונות לסריקת פרוטוקולי תקשורת להעברת נתונים; כ-809,000 ניסיונות לסריקת פרטי משתמשים; כ-1.2 מיליון ניסיונות למניעת שירות; כמו גם 9,170 ניסיונות לניצול חולשות ידועות ברכיבי קושחה ותוכנה.

מבקר המדינה מצא שרמת ההגנה על רשתות שבמשרד רוה"מ נמוכה מהנדרש: "רמת הגנה שאינה מספקת עלולה להביא לפגיעה מהותית במדינת ישראל בהיבטים מדיניים, ביטחוניים, כלכליים ותדמיתיים".

"בתוך פחות משנה, מ-2022 ל-2023, חלה ירידה בציון של המדד הבוחן את רמת האבטחה", ציין המבקר, "מ-86% ל-68%. ירידה זאת נובעת מירידה חדה בתפקוד המשרד, בין השאר בתחום אחריות, הנהלה ותאימות. הציון אינו מעיד על רמת הגנה גבוהה, ולא נדון בוועדה. הוועדה למידע בלמ"ס, בראשות מנכ"ל המשרד (יוסי שלי – י"ה) לא ביצעה את אחד מתפקידיה העיקריים – ביצוע בקרה ניהולית, באמצעות הכלי שנבנה לצורך זה – מדד יה"ב".

נחשפו במשרד רוה"מ. סיכוני אבטחה חמורים. צילום: Shutterstock

ליקויים בניהול הרשאות הגישה של המשרד

נמצאו ליקויים בניהול הרשאות הגישה של המשרד למערכות הממוחשבות שלו, לרבות בנוגע להחלפה עתית של סיסמאות הגישה לרשתות, שלא על פי הנדרש בנוהל המשרדי. מלבד הרשאת גישה לרשת, ניתנות לעובד גם הרשאות שהוגדרו לקבוצות העבודה שאליהן הוא משתייך. "באחת מהרשתות אותרו קבוצות הרשאה שאינן רלוונטיות", נכתב, "כגון קבוצה לצוות של שר ללא תיק שסיים את תפקידו לפני יותר מעשור, וכן עשרות קבוצות 'כפולות', בעלות שם זהה, שבכל אחת מהן משתמשים אחרים. למשרד אין מידע מרוכז על כל קבוצות ההרשאה".

"עלה חשד שעובדים לשעבר השתמשו בחשבונותיהם לאחר סיום העסקתם, או שגורמים אחרים, במשרד או מחוצה לו, השתמשו בחשבונות עובדים שהעסקתם הסתיימה", כתב המבקר, "והם נחשפו למידע שלא היו אמורים להיחשף אליו, ויכלו לבצע פעולות אסורות. נעשה שימוש בחשבונו של שר לשעבר ובחשבונו על בעל תפקיד בכיר במשרד רוה"מ, שסיימו את כהונתם זה מכבר. חשדות אלה מחייבים בדיקת עומק ממצה".

"משרד רוה"מ לא הפעיל כנדרש את מערך הניטור באחת הרשתות ועקב כך הצטמצמה יכולתו לזהות מתקפות על המערכות ולהתאושש מהן היטב ובמהירות", קבע המבקר, "המשרד לא הקפיד על התקנת עדכונים נדרשים של מערכות שונות, ובכלל זה מערכות ההפעלה בשרתיו, וכך נותרו מערכות מידע חשופות לפגיעויות שונות, כולל כאלו שנעשה בהן שימוש תדיר על ידי האקרים".

"אי אפשר לדעת מהו התקציב של המשרד רוה"מ לתחום ה-IT, וכמה ממנו מיועד להגנת הסייבר, ולכן אין לדעת אם המשרד מקצה 8% מתקציב ה-IT להגנת הסייבר, כנדרש", המשיך וקבע המבקר. בהמשך כתב: "המשרד ביצע סקר סיכונים שלא על פי הנדרש בהנחיות הרגולטורים". עוד קבע המבקר כי "באחת הרשתות שנבדקו, המשרד לא ערך מבדק חדירה משך שש שנים לפחות… המשרד לא נקט בכל הפעולות המתחייבות מהוראות הרגולטורים בנוגע למניעת דליפת מידע". 

"האחריות לתיקון הליקויים שעלו בביקורת", קבע אנגלמן, "מוטלת על מנכ"ל המשרד, העומד גם בראש ועדת ההיגוי להגנת הסייבר".

המבקר אנגלמן המליץ: "על שב"כ ויחידת יה"ב במערך הדיגיטל הלאומי, האמונים על הנחיית המשרד בנוגע לאבטחת המידע – לוודא שהמשרד יפעל כנדרש לתיקון הליקויים".

משרד רוה"מ ציין בתשובתו כי "ניסיונות התקיפה נבלמו בידי מערכות האבטחה השונות במשרד, ולא גרמו לפגיעה במערכות המשרד או לדלף מידע מהן… המשרד החל לפעול לתיקון הליקויים, ובכלל זה קבע את הגורם האחראי לביצוע ההמלצות ולוח זמנים לביצוען".