סיכום דו"ח מבקר המדינה בנושא הגנת סייבר בישראל
דו"ח מבקר המדינה שהתפרסם ב-6.12 יצר לא פחות מטלטלה במשרדי הממשלה השונים. הדו"ח שמחלק את ממציאיו לפי משרד הממשלה הנבדק, מציג תמונה מדאיגה על חוסר מוכנות של משרדי ממשלה רבים וחיוניים לעתיד בו מתקפות סייבר רק נעשות יותר ויותר תכופות ומתוחכמות.
התפתחות הטכנולוגיה המהירה, וההסתמכות האנושית על מערכות ממוכנות ורשתות יכולה להוביל את ישראל לאסון במידה והגורמים הרלוונטים לא ישקיעו את מלוא המשאבים הנדרשים על מנת לעמוד בסטנדרט אבטחת מידע בסיסי.
אז כדי לחסוך מכם קריאה מעמיקה של מאות עמודים, אנחנו כאן כדי להסביר לכם את כל מה שצריך לדעת על הדו"ח , וגם לעזור לכם להבין כמה פרטים טכניים שהדו"ח לא טורח להסביר.
הגנת סייבר ברשות המיסים
מערך המחשוב של רשות המיסים, המכונה שירות עיבודים ממוכנים (שע"ם), מספק שירותי מחשוב לצורך גבייה ואכיפה, ליצירת הרתעה ראויה ולמיצוי זכויותיהם של נישומים.
שע"ם משרת כ -3.1 מיליון "לקוחות", מנהל מאות פרויקטים בשנה, ומחזיק במערכותיו מידע על אזרחים , נישומים, עוסקים וגופים נוספים.
משרד מבקר המדינה בדק בחודשים נובמבר 2021 – פברואר 2022 את אבטחת המידע והגנת הסייבר בשע"ם, בין היתר על ידי שימוש בסקרי סיכונים ומבדקי חדירות למערכת התומכת בתהליך עסקי ברשות המיסים.
סיכום תמונת המצב:
- מיפוי נכסי המידע והגישות אליהן בוצע שלא כראוי, בצורה שאינה עונה על הדרישות הרגולטוריות שנקבעו.
- בשע"ם לא קיים נוהל המחייב לדווח על אירועי אבטחת מידע, ולשלבו בתחקיר.
- שרשראות אספקה הפכו להיות יעד פופלרי בקרב האקרים, שכן הן משמשות כמעין דלת אחורית לארגונים שכהאקר חיצוני קשה מאוד לקבל גישה לרשת. בשע"ם נמצא כי הם אינם עומדים בהנחיות להתנהלות מול ספקים חיצוניים, ככל הנראה מדובר בהתנהלות לא מאובטחת שיכולה להוביל לפריצה פנימית בתוך שע"ם.
- התנהלות מאובטחת כוללת בין היתר מניעת גישה למשתמשים ללא סיווג נדרש, פעולה פשוטה שבשע"ם לא ביצעו.
הגנת הסייבר במגזר התחבורה
מי מאיתנו לא קילל בליבו את משרד התחבורה לפחות פעם אחת בחיינו, או כל יום אם אתם עובדים מחוץ לבית. תתפלאו לגלות שהמשרד נמצא תחת ביקורת קשה לא רק בתחום התחבורה, אלא גם בנושא הגנת הסייבר. דו"ח מבקר המדינה מותח ביקורת חריפה על על המוכנות של המשרד לעמידה בעלייה החדה במספר אירועי הסייבר, ובחומרתם.
אירועים אלה המשבשים את הפעילות התקינה של התחבורה בארץ ובעולם, מה שגורר תגובת שרשרת ארוכה שאינה מסתכמת רק בעובדים מאחרים. קיימים סיכונים רבים שעלולים להתממש כתוצאה מפגיעות במרחב הסייבר: פגיעה בחיי אדם, הפסקת תהליכי ייצור, נזק כלכלי כבד, דליפת מידע אישי ועוד.
מבקר המדינה מציין כמה דברים קריטיים הנוגעים להתנהלות הגנת הסייבר:
- משרד התחבורה טרם תיקן ליקויים חמורים שנמצאו בביקורת שנערכה ב-2021.
- המשרד אינו עומד בדרישות המינימאליות מבחינת יישום כוח אדם והקצאת תקציבים להגנה בסייבר- באגף מועסקים שלושה עובדים במקום חמישה, ואושרו רק 21% מהתקציב שהאגף ביקש, שמסתכם ב- 6.3 מיליון ש"ח.
- מרכז ניטור פעולות אבטחה הינו מרכז אבטחת מידע ייעודי המנטר, מזהה ומגיב לאירועי הסייבר. מסיבה זו, הוא הגוף הראשון שיחווה את אירוע הסייבר בארגון ומטרתו היא לזהות ולנטר את האירועים בזמן אמת, לבצע חקירה ראשונית עמוקה יותר תוך ביצוע תגובה מהירה ובסופו, בידוד האירוע עד מיצוי והכלתו. במשרד התחבורה נמצא כי 21 מתוך 35 מהגופים שמתוכננים להיות מחוברים ל-SOC שהקים המשרד לא חוברו אליו
- בשנים 2019 – 2021 אף אחד מהגופים שנבדקו לא ביצע מבדקי חדירה, וכי 75% מהגופים שנבדקו לא ביצעו סקרי סיכונים.
- סביבת בדיקות, שידועה כ- Sandbox, היא מרכיב הכרחי לפיתוח אתרים ואפליקציות. מדובר בסביבה וירטואלית שניתן להיץ בה קוד מבודד, ובכך לא להשפיע על שאר הרשת הארגונית.
- למשרד התחבורה חסרים כלים כדי לאכוף גופים שונים שונים כמו מפעילי תחבורה ציבורית (אגד, דן וכדומה) נמלי ים, וחברות תעופה. זאת בעקבות חוסר השלמת חקיקה הקובעת אילו תחומי סייבר נמצאים תחת אחריות המשרד, ומהן דרישות הגנת הסייבר שעל מפעילי תחבורה לעמוד בהם.
בדו"ח עולה כי בשנים 2019 – 2021 בחלק מהגופים שנבדקו לא קיימת סביבת בדיקות שבה נבדקים עדכוני תוכנה ואבטחה.
- במסגרת מבדק חדירה שבוצע על מערכות נבדקו ונמצאו ליקויים ב:
- ניהול משתמשים והרשאות
- תיעוד וניטור
- בקרת גישה לרשת
- הגנת עמדות ושרתים
- סגמנטציה ובקרת זרימה
- עדכניות התוכנה ואבטחת הגישה לרשת התקשורת
ניהול מידע ביומטרי בצה"ל והגנת הסייבר עליו
אם יש שם נרדף לסייבר בישראל, הרי זה צה"ל. מאמרי חדשות שלמים נכתבו על יכולות הסייבר של צה"ל והתקפות מתוחכמות שמתרחשות בצד השני של העולם.
אבל כל התקפה טובה מתחילה בהגנה, ומהבחינה הזו צה"ל לוקה בחסר, בלשון המעטה. המידע הביומטרי ש שצה"ל שומר על חיילים נמצא בסכנת גניבה ושימוש.
המידע הביומטרי בצה"ל נאסף ממתגייסים, ומשמש לזיהוי חללים. הוא נשמר בשלושה מאגרים של אמצעי זיהוי- מאגר טביעות אצבע וכף היד, מאגר תצלומי שיניים ואוסף כתמי דם.
בשל חשיבות המידע הביומטרי שתיים משלוש מערכות המידע המרכזיות בצה"ל לניהול תהליך הזיהוי, מסווגות כסודיות ונדרשות לעמוד ברמת אבטחה גבוהה בהתאם לתקנות אבטחת מידע. מערכת מידע נוספת מנהלת ומתעדת את הטיפול בחלל ואת תהליך זיהויו.
המבקר מצא כי מאגרים אלה אינם מאובטחים כראוי במיוחד לאור חשיבות ורגישות המידע, שבמידה ויודלף יוכלו ההאקרים למכור מידע של חללי צה"ל מתים ולהשתמש בזהותם.
ואולי הממצא הכי מפתיע בחלק זה של הדו"ח הוא החסרים בהגנה הפיזית שנמצאו הגנה. בצה"ל אין נוהל אבטחה פיזית ייעודי למערכות אמצעי הזיהוי, אף על פי ששמור בהן מידע ביומטרי, אישי ורגיש החייב ברמת אבטחה גבוהה.
עוד נמצא כי כבר שבע שנים, מאז אפריל 2015, מסמך מדיניות ההגנה לא עודכן, למרות שחלו שינויים טכנולוגיים משמעותיים, ובעיקר שינויים רגולטורים המגדירים את החובות החלות על צה"ל בנושא אבטחת מידע, לרבות חובות המגיעות מפרסום תקנות הגנת הפרטיות (אבטחת מידע) מ-2017.
כמו כן, נמצא כי אין גורם אחד שנושא באחריות לכל היבטי אבטחת המידע של מערכות אמצעי הזיהוי, זאת בניגוד לתקנה 3 בתקנות אבטחת מידע ובהתאם למדיניות ההגנה של צה"ל.
הגנת הסייבר במשרד החינוך
הקורונה חשפה את אי יכולתה של מערכת החינוך להתאים את עצמה לאתגרים טכנולוגיים, ודו"ח מבקר המדינה מחזק את הטענה הזו. המשרד הוותיק אוסף, שומר ומנהל את בחינות הבגרות וציוני הבגרות, מידע רגיש שכולל יותר מ-100,000 רשומות.
לפי תקנות הגנת הפרטיות על המידע הזה להיות מאובטח ביותר, והרגולציה קובעת כי על משרד החינוך מוטלת החובה לשמור על המידע ולוודא שהוא משמש אך ורק למטרות שלשמן הוא נמסר.
לאור ממצאי דו"ח מבקר המדינה, שקבע כי משרד החינוך לא ביצע מבדקי חדירות וסקרי סיכונים למערכות הליבה שלו אחת ל-18 חודשים, מאגרי המידע האלה חשופים יותר ויותר למקומות
משרד החינוך לא ביצע סקר סיכונים מקיף ומבדקי חדירות בנוגע למערכות הליבה שלו בתדירות הנדרשת בתקנות הגנת הפרטיות אבטחת מידע – אחת ל-18 חודשים.
