מתפרסם מאז שנת 1999
יו”ר הוועדה לביקורת המדינה: כל נושא אבטחת מידע בישראל אינו מוסדר ואין אף גוף מתכלל שידריך ויכוון; צריך לעשות עבודת מטה מעמיקה
ב- 21 באוקטובר 2013 קיימה הוועדה לביקורת המדינה בכנסת דיון בנושא ניהול אבטחת מידע ושרידות תשתיות אינטרנט ומחשוב עבור משרדי הממשלה. זאת בעקבות ממצאי דו”ח מבקר המדינה האחרון.
עתה פורסם הפרוטוקול של אותה ישיבה (לא ערוך). להלן כמה ציטוטים חשובים מאותו דיון הראויים לדעתי להבלטה [הקטעים שלהלן מובאים עפ”י סדר הדיון כפי שמופיע בפרוטוקול].
כרמלה אבנר, הממונה על התקשוב הממשלתי במשרד האוצר:
אני חושבת שאבטחת מידע היא אחד מאבני היסוד של מימשל זמין…. זה שאף פעם לא קרה כלום זה לא אומר שאנחנו צריכים לנוח על זרי דפנה…. זה שבעצם לא קרו דברים עד היום זה לא נס, נעשתה כאן עבודה מאוד מאומצת.
אנחנו צריכים לזכור שכל התחום של הסייבר והתחום של אבטחת המידע הוא תחום מאוד דינמי ולצערנו לאחרונה אנחנו מגלים שתחום הסייבר הפך להיות ממש חזית נוספת בחזית שפועלת נגדנו במלחמה. אנחנו ראינו ב”עמוד ענן” התאמה, קורלציה, בין ההתקפות הפיזיות להתקפות הקיברנטיות שהיו. אנחנו רואים גם על פני ציר הזמן, שהדחיפות בין האירועים השונים היא דחיפות הולכת וגוברת.
כלומר, זה שאנחנו מתאימים ובונים איזה שהם נהלים, הקצב שלנו היום הוא גם הקצב שאנחנו צריכים להתאים את עצמנו גם טכנולוגית, גם מבחינת הרכש, גם מבחינת הנהלים וגם מבחינת צורת העבודה שלנו. פרקי הזמן שקורים בין לבין התקפות כאלה שמחייבים אותנו שינויים בכלל של ארכיטקטורה ושינויי תפיסה, הם הרבה יותר מהירים ולכן זה לא שנעשית כאן עבודה במקרה, אלא בפירוש נעשית כאן הרבה מאוד עבודה. אפילו דברים שלא מגיעים לעיתונות, אנחנו מרגישים אותם בהתמודדות היום יומית שהם קיימים.
אני אתן דוגמה של שינוי קונספט שהיה. הקונספטים שהיו שנים אחורנית – והם עדיין קיימים, זה לא שאנחנו לא צריכים להתייחס אליהם אבל הם משנים היום את תפיסת העולם – זה כל הנושא של המשכיות בשעת חירום. שעות החירום מול תרחישי הייחוס שאליהם היינו מתייחסים היו אירועים כמו רעידת אדמה, טילים, הצפות, אירועים פיזיים והפתרונות הטובים ביותר לאירועים פיזיים היו מתקנים מקבילים בנפרד, מיקומים גיאוגרפיים שונים וגיבויים שונים. בעולם החדש שבו אנחנו יותר ויותר חשופים להתקפות קיברנטיות והתקפות זדוניות קיברנטיות, במידה והיינו מתייחסים לעולם שבו אנחנו עושים תהליכים של כפילויות פיזיות, זה לא היה עוזר. נהפוך הוא, היינו בעצם משכפלים את ההתקפה לעוד אתר. זה היה אומר, שמראש היינו צריכים להתחיל לשנות את כל קונספט ההגנה שלנו. כלומר, זה לא לבוא ולעשות את כל מה שהוא סינכרוני, שהוא בא ועושה את הגיבוי לעשות אותו אחרת.
…כאן יש ממש אחריות יום-יום לבצע את הדברים, כלומר, שאנחנו גם מתמודדים עם היכולת שלנו גם להשיג את התקציבים, גם לממש את התקציבים וגם לעשות את הדברים שהם נדרשים כדי שנוכל לתקן אותם.
אופיר בן אבי, מנהל מימשל זמין במשרד האוצר:
התחלנו לבצע סקר סיכונים מלא בכלל התקשוב ובפרט במימשל זמין. כל הסיכונים מופו והוגדרו תהליכי עבודה לטיפול בהם…. יש ועדת היגוי לאבטחת מידע במימשל זמין עם כתבי מינוי מסודרים, לוועדה נקבעו מפגשים סדורים…. על-פי הנהלים הוועדה הזאת מתכנסת אחת לשנה, היא התכנסה בפברואר האחרון. אנחנו גוף מונחה שירות הביטחון, גוף מונחה רא”ם – הרשות הממלכתית לאבטחת מידע, ויש בעצם שני פורומים, שתי ועדות שמתכנסות: האחת, ועדת אבטחת המידע של מימשל זמין שמתכנסת אחת לשנה, וועדה שמתכנסת יחד עם הגורמים המקצועיים…. הטיפול בנושא של אבטחת מידע הוא בהחלט דינמי, זאת אומרת, כשיש אירוע אז מתכנסים ומטפלים באותו אירוע, עד אז, זו ועדה שמתכנסת אחת לשנה והיא מטפלת בנושאים מערכתיים.
אברהם זרוק, מנהל אבטחת מידע במימשל זמין במשרד האוצר:
חשוב לציין שהשנה כיוון שלקחנו את הדו”ח ברצינות ביקשנו לעשות עוד ועדת ביקורת. וועדה זו תתכנס בעוד כחודש, ב- 18 בנובמבר 2013, בה אנחנו נציג את כל מה שעשינו ואת כל מה שעוד נדרש להשלים. אז השנה הזאת כן יתכנסו שתי ועדות.
כרמלה אבנר, הממונה על התקשוב הממשלתי במשרד האוצר:
התקשוב הממשלתי זה גוף שהוקם בשנה וחצי האחרונות ולכן אנחנו גם היום מסדירים את כל ממשקי העבודה וגם את כל תפיסות העבודה בהיבטים האלה. מימשל זמין ובכלל גם גופי מערכות המידע בכלל משרדי הממשלה יש להם – chief information security officer, CISO , האדם שאחראי על מערכות האבטחה והוא צריך להיות חלק מתוך המערך שמבצע את התהליכים עצמם בתוך המשרד, זה הגוף המבצע. יחד עם זאת, אנחנו מקימים היום שתי פונקציות של הנחיה ובקרה, האחת, גוף רגולטיבי שנמצא בתקשוב הממשלתי שמסתכל ויתכלל את כל הרגולציות הרוחביות במשרדי הממשלה. וספציפית באוצר כדי למנוע עוד איזשהו נושא של ניגוד עניינים תחת היחידה של הקב”ט יוני מור. גם סיכמנו שנעביר להם עוד תקציב כדי שיתבצע עוד תהליך של בקרה שהוא בעצם לא בקרה, לא מתוך מימשל זמין, לא מתוך התקשוב הממשלתי, אלא מגוף שהוא גוף חיצוני, כדי שיעשה בקרה ספציפית על הגופים התפעוליים המונחים, שזה מרכב”ה ומימשל זמין.
ח”כ אמנון כהן יו”ר הוועדה לביקורת המדינה:
בדו”ח מבקר המדינה כתוב כי לא הופנו תכניות להמשכיות עסקית במימשל זמין ורק בנובמבר 2012 מינתה הנהלת מימשל זמין בעל תפקיד אחראי להיערכות להמשכיות עסקית. הנושא הזה עובד? יש מישהו בעל תפקיד אחראי להיערכות? אופיר בן אבי (בתשובה): מונה בעל תפקיד, גויס מישהו ייעודי לנושא הזה של המשכיות עסקית והקמת אתר חלופי למימשל זמין ולתקשוב הממשלתי. אני חייב לציין שלא כל התהליכים הבשילו והתקציבים לא הוקצו כדי להקים את המערך הזה במלואו. אנחנו נמצאים בתהליך אל מול אגף התקציבים במשרד האוצר כדי להשלים את המהלך הזה. מדובר בכ- 40 מיליון שקלים על פני שנתיים…. בוצע תרגיל במאי 2013 בתקשוב הממשלתי שתירגל את כל היחידות, כולל מימשל זמין. אנחנו קבענו שאחת לשנה יתבצע תרגיל. מכיוון שבעבר לא בוצעו תרגילים מהסוג הזה, בהיקף כזה, התרגיל הזה משמש אותנו כבסיס וכתכנית עבודה לכל הפערים שעלו בתרגיל הזה והוא בעצם הפך היום לתכנית עבודה להיערכות להמשכיות עסקית.
אופיר בן אבי, מנהל מימשל זמין במשרד האוצר:
אני חייב לציין שאני לא מכיר גוף אזרחי שמתייחס לנושא אבטחת המידע כמו שאנחנו מתייחסים אליו ופועלים ביום יום. כל אתר אינטרנט וכל מערכת מידע שמתארחת אצלנו עוברת בדיקות קפדניות ולא מעט אנחנו מוצאים את עצמנו, שמשרדי ממשלה בוחרים לא להגיע בגלל שהסטנדרטים הם גבוהים.
אני אציין רק דוגמה אחת: הבוקר שוחחתי עם שירות בתי-הסוהר שבחרו לקחת את אתר האינטרנט שלהם כי יותר נוח לשים אותו בחוות שרתים מסחרית כיוון ששם אין סטנדרטים של אבטחת מידע. בוודאי אבטחת המידע באה על חשבון הנוחות והנוחות פה, המשרדים מעדיפים לפעמים לבחור בנוחות ולא באבטחת מידע.
כרמלה אבנר, הממונה על התקשוב הממשלתי במשרד האוצר:
גוף מימשל זמין הוא הגוף המקצועי שזאת האחריות שלו להוציא נהלים. גם היום כשאנחנו בונים את התקשוב הממשלתי, ישנם נהלים וסטנדרטים שיוצאים מהתקשוב הממשלתי רוחבית לכל משרדי הממשלה וישנם נהלים שבעצם יבואו מהגוף המקצועי של מימשל זמין והם יהיו אותם הסטנדרטים ונהלים טכנולוגיים שייצאו הלאה. אנחנו נמצאים היום בתהליך של הגדרות, לבנות מה כן ומה לא, איפה נרצה חתימות נוספות ואיפה נרצה חתימות אחרות, אנחנו נבחן את הדבר הזה. נכון להיום, מימשל זמין הוא הגוף המקצועי, יש שם גם את ההיררכיה הפנימית של הגוף המקצועי שמובל על ידי אבי זרוק וגם את הגוף הניהולי שמונחה על ידי אופיר, שהם אלה שמוסמכים וחותמים על הנהלים.
אריה סיקסק-דוויק, מנהל תחום אבטחת מידע ממוחשב, משרד האוצר:
מה שקורה בעצם הוא שבמשרדי הממשלה כל נושא אבטחת המידע לא מוסדר. זאת אומרת, יכול להיות משרד שיש לו מנהל אבטחת מידע, יכול להיות משרד שהמנמ”ר הוא מנהל אבטחת מידע ונתקלתי בדברים האלה. נתקלתי אפילו במשרד שהחליט, בגלל קיצוצים, לבטל את תפקיד מנהל אבטחת המידע. זאת אומרת, זה מתחיל פה. למשרדים אין כלים מינימליים לעשות את עבודתם. אנחנו צריכים להתחיל מהבסיס וזה לא מוסדר.
כרמלה אבנר, הממונה על התקשוב הממשלתי במשרד האוצר:
אנחנו רוצים להמשיך ולאכוף שמשרדי המימשלה יחויבו להתארח במימשל זמין. עם זאת יש בעצם את הסטנדרטים והבדיקה של מימשל זמין. מימשל זמין לא מאפשר לכל משרד להתארח ולהפעיל את המערכות שלו אם הוא לא עומד בסטנדרטים של מימשל זמין. ישנם משרדים כמו שאופיר תיאר מקודם, של השב”ס, שהחליט מטעמים של תקציב או מטעמים אחרים – כי זה מאוד נוקשה כשאתה מגיע למימשל זמין אתה לא יכול לעשות מה שאתה רוצה – לארח בעצם את האתרים שלהם בחוץ ואז האחריות היא שלהם, זה לא מגיע דרך התקשוב הממשלתי, לא דרך מימשל זמין ולא דרך אף גוף אלא זו אחריות של המשרד עצמו.
יובל חיו, מנהל חטיבה במשרד מבקר המדינה:
אנחנו נמצאים פה לדיון בדו”ח המבקר אבל אני מאזין לדיון ואני חושב שנדלקה פה נורת אזהרה מאוד משמעותית. יושבת פה כל הצמרת המקצועית של מדינת ישראל מבחינת הנושא של אבטחת מידע, אחד אחרי השני מצביע על חולשה מבנית מאוד יסודית בנושא הזה, אפשר להגדיר את זה כנורת אזהרה משמעותית. אנחנו כבר לפני שנה שקלנו להיכנס לעשות ביקורת במטה התקשוב הממשלתי. זה גוף מאוד צעיר ולכן החליט מבקר המדינה להמתין ולתת לגוף הזה להתגבש כדי שאנחנו ניכנס ונעשה איזה שהוא צילום מצב איך הדברים מתקדמים. אני חושב שאנחנו ניקח את כל מה שנאמר פה כרגע כתשומה, נעביר את זה להנהלת המשרד לצורך בחינה במסגרת תכנית העבודה העתידית וייתכן שיתקבלו החלטות בעניין הזה בכיוון של ביקורת כדי למפות את הנושא ואולי לתת לו דחיפה.