פרסמו אצלנו: *5931

קבוצת העדכונים בוואטסאפ

מגדילים פודקאסט

שלחו לנו דוא״ל

דוח מבקר המדינה חושף: ליקויים באבטחת המידע של משרד הבינוי והשיכון

מדיניות הגנת הסייבר לא עודכנה, המשרד לא נערך למתקפת כופרה ולא הוסדר רישום מאגרי המידע. במשרד הגיבו: "נמשיך לפעול לתיקון הליקויים"

מבקר המדינה מתניהו אנגלמן // באדיבות משרד המבקר
מבקר המדינה מתניהו אנגלמן // באדיבות משרד המבקר

מבקר המדינה, מתניה אנגלמן, חושף בדוח המתפרסם בשעה זו ליקויים חמורים באבטחת מערכות המידע במשרד הבינוי והשיכון. בין השאר עולה כי מדיניות הגנת הסייבר במשרד לא נדונה ולא עודכנה במשך שנים, לא בוצעו באופן מלא סקרי סיכונים ולא הוסדר רישום מאגרי המידע במשרד. בנוסף, משרד הבינוי טרם השלים את היערכותו לאירוע כופרה.

מהדוח עולה כי למרות השינויים הניכרים שהתרחשו בשנים האחרונות בתחום המחשוב, כגון מעבר לשימוש בשירותי ענן ושימוש בכלי בינה מלאכותית במגזר הציבורי, וכן התפתחויות טכנולוגיות בעולם והתקדמות ביכולות התקיפה של תוקפים פוטנציאליים, מדיניות הגנת הסייבר במשרד לא נדונה ולא נבחנה על ידי הממונה על הגנת הסייבר במשרד הבינוי מאז שנת 2020, וזאת למרות שהיה עליו לבצע את הדבר אחת לשנתיים. "עקב כך עולה החשש שבעת התממשות של סיכונים ההגנה מפניהם לא תהיה עדכנית. כמו כן, בשנים שנבדקו לא היה לוועדת ההיגוי סייבר מידע בדבר שיעור התקציב המיועד לאבטחת מידע מכלל התקציב המיועד לטכנולוגיות המידע, כדי לוודא שמשרד הבינוי עומד בהוראות החלטת הממשלה ומקצה די משאבים להתמודדות עם סיכוני האבטחה הנשקפים לו", נכתב.

מהביקורת עולה עוד כי מאז שנת 2020, אז התכנסה ועדת היגוי סייבר של משרד הבינוי לראשונה, היא לא פעלה לאישור, מיפוי וסיווג של נכסי המידע של המשרד, כנדרש בהנחיית  היחידה להגנת הסייבר בממשלה (יה"ב). "בהיעדר דיון ובחינה לגבי מיפוי נכסי המידע של משרד הבינוי נפגעת יכולתה של הנהלת המשרד לבצע בקרה מיטבית על היעילות והאפקטיביות של יישום מדיניות הגנת הסייבר במשרד ועל מידת התאמתה של תוכנית העבודה לניהול הגנת הסייבר של המשרד לרמת הסיכון של כל מערכת", נכתב.

המשרד גם לא ביצע מבדקי חדירה למערכות המאגר אחת ל-18 חודשים לפחות, בהתאם לתקנות אבטחת מידע. בשנים 2021 – 2024 ביצע משרד הבינוי שני מבדקי חדירה אפליקטיביים לשתי מערכות מידע ומבדק חדירה תשתיתי אחד בלבד. "לא נמצאו מסמכים המעידים על טיפול כלשהו של משרד הבינוי בסיכונים שהתגלו במבדקים, ובכלל זה פעולות לתיקון הליקויים ומבדקים חוזרים במטרה לוודא שהליקויים תוקנו ואינם חוזרים על עצמם", נכתב.

בביקורת עלה עוד כי ועדת היגוי סייבר בחנה את מידת היישום של מדדי האב בנושאי הגנת הסייבר באופן חלקי בלבד. עקב כך, נכתב, נפגעה יכולתה של הוועדה לבחון את רמת האפקטיביות של תשתית הגנת הסייבר ולבצע שינויים כאשר הדבר נדרש.

בנוסף, משרד הבינוי לא הסדיר את רישום כל תשעת מאגרי המידע שעליו לרשום באופן הנדרש בתקנות הגנת הפרטיות, אף שעברו כשמונה שנים מאז נכנסו התקנות לתוקפן. מאגרים אלה כוללים במצטבר מיליוני רשומות, ובהן מידע אישי על דיירי הדיור הציבורי, מקבלי סיוע לדיור, משתתפים בתוכניות דיור בהנחה וקבלנים רשומים. עוד עולה כי למרות המלצות מערך הסייבר ולמרות תקיפות סייבר מסוג כופרה על מוסדות ממשלתיים, משרד הבינוי טרם השלים את היערכותו לאירוע כופרה.

המבקר מציין כי שלושה משבעה מדדים (43 אחוזים) בנושא הגנת סייבר שהיו אמורים להידון בוועדת היגוי סייבר במשרד הבינוי בשנת 2025 לא נדונו ונבחנו כנדרש. במשרד יש תשעה מאגרי מידע הבינוי שרישומם נדרש במרשם מאגרי המידע, אך המשרד לא השלים את רישומם באופן הנדרש בתקנות הגנת הפרטיות. 

איומי הסייבר על המשרד אינם תיאורטיים: מהדוח עולה כי מאז פרוץ מלחמת חרבות ברזל נרשמה עלייה של 130 אחוז בהתרעות שהתקבלו לגבי משרד הבינוי בגין פעילות החשודה כאיום סייבר בשנת 2024 (בעת מלחמת חרבות ברזל) לעומת ההתרעות שהתקבלו בשנת 2023.

בהמלצות הביקורת נכתב כי על משרד הבינוי לדון בתוצאות סקרי הסיכונים ולגבש תוכנית עבודה להתמודדות עם הסיכונים שהתגלו ולהפחתתם. "יש להביא תוכנית זו לדיון ואישור בוועדת היגוי סייבר. בנוסף, על משרד הבינוי לבצע מבדקי חדירה בהיקף נרחב יותר, כמתחייב מתקנות אבטחת מידע. 

עוד כותב המבקר בהמלצותיו כי כדי שמשרד הבינוי יוכל להבטיח את המשך פעילותו גם באירועי חירום העלולים לפגוע במערכות המידע והמחשוב שלו, עליו להכין תוכנית להמשכיות תפקודית, הכוללת תוכנית התאוששות מאסון, על בסיס העקרונות שתאשר ועדת היגוי סייבר.

לסיכום נכתב בדוח: "ביקורת זו העלתה ליקויים מהותיים בפעולותיו של משרד הבינוי בנוגע לניהול אבטחת המידע שברשותו וההגנה על מערכותיו. בין היתר נמצא כי ועדת היגוי סייבר של המשרד, שאמורה להתוות מדיניות בתחום אבטחת המידע ולפקח על יישומה, להתעדכן בסיכונים ובאיומים בתחום הסייבר שהמשרד חשוף אליהם ולפקח על ניהול סיכוני הסייבר במשרד, לא בחנה ולא אישרה את המיפוי ואת הסיווג של נכסי המידע של המשרד, לצורך קיום בקרה מיטבית; מיעטה לדון בממצאי סקרים ומבדקים שבוצעו, וממילא לא קבעה תוכנית להפחתת הסיכונים שעלו מהם; וגם לא וידאה ביצוע של תוכניות העבודה. עוד עלה כי משרד הבינוי לא עמד על ביצוע מלא של סקרי סיכונים ומבדקי חדירה שנקבעו בהסכם התקשרות עם ספק חיצוני".

המבקר מסכם וכותב כי "על משרד הבינוי לפעול לתיקון הליקויים שצוינו בדוח זה, לצורך שיפור ההגנה על המידע שבידיו והגברת האפקטיביות של פעולותיו בתחום זה".

ממשרד הבינוי והשיכון נמסר: "משרד הבינוי והשיכון רואה חשיבות רבה בהגנה על מערכות המידע, על פרטיות המידע ועל חיזוק מערכי הסייבר במשרד, ופועל באופן שוטף בהתאם להנחיות הגורמים המקצועיים המנחים בתחום הסייבר הממשלתי. עוד טרם הביקורת, מנכ"ל המשרד הנחה על חיזוק תחום הסייבר ואבטחת המידע במשרד, לרבות חיזוק מנגנוני הבקרה, ניהול הסיכונים, הרחבת סקרי הסיכונים ומבדקי החדירה והעמקת הפיקוח על ספקי השירות.

"הדוח נלמד ביסודיות על ידי הנהלת המשרד, וחלק מהנושאים שעלו בו כבר טופלו במהלך התקופה האחרונה, לצד קידום תוכניות עבודה סדורות להמשך חיזוק ההיערכות בתחום. המשרד ימשיך לפעול לתיקון הליקויים שעלו בדוח, לחיזוק מערכי ההגנה והבקרה ולהגנה מיטבית על המידע המצוי ברשותו".

לקבלת עדכונים בוואטספ >>> לחצו כאן

מכירים מישהו שצריך לקרוא את הפוסט? שתפו אותו. ?

נשמח לדבר אתך
נגישות