ליקויי אבטחה בשע"ם של רשות המסים
בדו"ח מבקר המדינה נכתב: "יש חשיבות גדולה לרמה גבוהה של הגנת סייבר בשע"ם, וכן לתפקוד מלא של שע"ם בעתות משבר והתאוששות מהירה מאסון - ממצאי הביקורת מעלים כי על שע"ם לפעול לשיפור הגנת הסייבר על מערכותיו"
מבקר המדינה, מתניהו אנגלמן, מצא ליקויי אבטחת מידע בשע"ם – זרוע המחשוב של רשות המסים – ביניהם העובדה שחלק מעובדי שע"ם הנדרשים לסיווג – אינם בעלי סיווג נדרש; כמו כן נמצא אי סיום תוכנית המשכיות עסקית, שהחלה לפני כמעט עשור. יצויין כי הדו"ח שמתפרסם היום (ג'), אינו מתייחס לתקופה האחרונה, מאז מונה אריה רימיני למנהל שע"ם.
רשות המסים.
אחד מששת פרקי דו"ח הסייבר שמפרסם המבקר, דן בנושאי הגנת הסייבר והמשכיות עסקית בשע"ם, יחידת שירות עיבודים ממוכנים ברשות המסים.
שע"ם משרת כ-1.3 מיליון "לקוחות" מסוגים שונים ומנהל מאות פרויקטים בכל שנה. שע"ם מחזיק במערכותיו מידע על אזרחים, נישומים, עוסקים וגופים נוספים. ב-2010 הוגדר ה-IT שלו כמערכות חיוניות, ובהתאמה, מערך הסייבר הלאומי מנחה אותו מקצועית.
הדו"ח הועבר לראש הממשלה, יאיר לפיד, באוגוסט השנה, עד לדיון בוועדת המשנה של הוועדה לענייני ביקורת המדינה. זו לא התכנסה, והמבקר החליט לפרסם אותו כעת.
הביקורת על שע"ם
לפי המבקר, "תפקידי ועדת היגוי לנושא תשתיות מחשוב קריטיות (תמ"ק) הוגדרו בכלליות ולא פורטו כנדרש בהנחיות. דיוני הוועדה לא עסקו בפעולות שעליה לנקוט בהתאם לתפקידיה, כנדרש בהנחיות… הוועדה לא התכנסה בהיקף הפעמים הנדרש".
"על פי ההנחיות הרגולטוריות", נכתב, "על שע"ם למפות את נכסי המידע והגישות אליהם, כדי להתאים תוכנית אבטחה. עלו פערים במיפוי התהליכים ונכסי המידע שבוצע בשע"ם, והוא אינו עונה במלואו על דרישות ההנחיות הרגולטוריות".
עוד עלה מהביקורת כי "בכמה נהלים בשע"ם נמצאו אי התאמות להנחיות הרגולטוריות, בין היתר, בנושא ממשק העבודה מול מערך הסייבר הלאומי". לפי המבקר, "יש ליקויים בניהול שינויים: לא נמצאה בנוהל הרלוונטי התייחסות לצורך לעדכן את הגורם הרלוונטי ולשתפו בניתוח הסיכונים וההשפעות הצפויות של השינויים כנדרש בהנחיות".
"יש בשע"ם נוהל טיפול באירועי אבטחת מידע, אך הוא אינו עוסק בחובה לדווח לגורם הרלוונטי ובצורך לשלבו בתחקור האירוע. בנוסף, חסרה התייחסות רלוונטית לתחום מסוים הנדרש בהנחיות".
לפי המבקר, "עלו פערים בדבר המידע שנאסף על ידי אגף אבטחת מידע בשע"ם בנוגע לשרשרת האספקה. כמו כן, לא נעשה שימוש במודול שרשרת אספקה במערכת הייעודית שפיתח מערך הסייבר הלאומי… עלו פערים בבקרה על השרת המסוים (נמצאה בו חולשה – י"ה)".
"קיימים פערים בין רמת הסיווג הנדרשת בהתאם לתפקידיהם של חלק מהעובדים בשע"ם, לבין רמת הסיווג שלהם בפועל".
אנשיו של מבקר המדינה ערכו בדיקת חוסן על אחת מהמערכות, התומכת בתהליך עסקי ברשות המסים. "עלו ממצאים המסכנים מהבחינה העסקית את המידע ואת מוניטין הארגון".
לא מוסדרים. המשכיות עסקית והתאוששות מאסון סייבר בשע"ם. אילוסטרציה. צילום: BigStock
המשכיות עסקית והתאוששות מאסון בשע"ם: לא מוסדרים
לגבי היערכות שע"ם להמשכיות עסקית והתאוששות מאסון, כותב המבקר כי "ב-2016 החליט מנהל שע"ם כי לצורך הקמת אגף איכות והמשכיות עסקית יתוכנן מבנה ארגוני לאגף בסיוע יועצים. האגף פועל מסוף 2016, אף שנציבות שירות המדינה לא אישרה את שינוי המבנה הארגוני. הגדרות התפקיד של עובדי האגף הן הגדרות תפקידיהם הקודמים, והם מועסקים בהתאם לתקנים שהוקצו לאגפים אחרים. בעקבות זאת סמכות האגף ותפקידיו אינם מוסדרים".
עוד קובע המבקר כי "נמצאו פערים בנוגע להשלמת תוכנית התאוששות מאסון. נמצאו פערים בתהליך גיבוש תוכנית להמשכיות עסקית, שהחלה ב-2014, ובהשלמתה".
"יש חשיבות גדולה לרמה גבוהה של הגנת סייבר בשע"ם, וכן לתפקוד מלא של שע"ם בעתות משבר והתאוששות מהירה מאסון", מסכם המבקר, "ממצאי הביקורת מעלים כי על שע"ם לפעול לשיפור הגנת הסייבר על מערכותיו. מומלץ כי שע"ם יפעל בהקדם לתיקון הליקויים שהועלו".
רשות המסים מסרה כי "כתב המינוי של ועדת ההיגוי לנושא תשתיות מחשוב קריטיות (תמ"ק) יתוקן על פי המלצת המבקר".
לגבי מיפוי התהליכים ונכסי המידע שבוצע בשע"ם, הרשות מסרה כי בתחילת 2022 היא נקטה בצעדים לשיפור המצב. לגבי אי שימוש במודול שרשרת אספקה במערכת הייעודית שיש במערך הסייבר, מסרה רשות המסים כי "נושא זה לא קודם בשל תיעדוף הטיפול בנושאים דחופים יותר".
מערך הסייבר מסר כי הוא מודע לפערים במיפוי התהליכים ונכסי המידע, ולכן הנחיותיו לשע"ם כוללות מענה פרטני ורחב יותר מאשר בגופים אחרים.
תגובות
(0)