לשכת הבריאות המחוזית בתל אביב // צילום: רוני שיצר // לשכת הבריאות המחוזית בתל אביב // צילום: רוני שיצר

דו"ח: ליקויים באבטחת המידע במשרדי הממשלה

דו"ח של הכנסת מתייחס למערכת מרכב"ה, המאחדת את מערכות המידע במשרדים הממשלתיים • "מידע חסוי מהמערכת עלול להגיע לידי גורמי חוץ"

נדב שחם
, עודכן
0

דו"ח של מרכז המחקר והמידע של הכנסת, אשר פורסם לפני שבועיים, חושף ליקויים במערך אבטחת המידע של משרדי הממשלה. 

הדו"ח עוסק במערכת מרכב"ה (מערכת רוחבית כוללת במשרדי הממשלה), שהוקמה ביוזמת אגף החשב הכללי במשרד האוצר לפני 15 שנה ונמצאת עדיין באחריותו. היא הוקמה כדי ליצור מערכת מידע רוחבית ואחידה במקום מערכות ממוחשבות נפרדות ושונות במשרדי הממשלה השונים. 

המערכת מעמידה לרשות משרדי הממשלה כמה אמצעים: בתחום הפיננסי - כל נושא הנהלת החשבונות והתקציב; בתחום הלוגיסטי - נושא הרכש, מלאי, מכירות ופרויקטים; בתחום משאבי האנוש - מבנה ארגוני, תיקי עובד וגיוס כוח אדם. כיום נעשה שימוש במערכת ב־79 משרדי ממשלה ויחידות סמך ומשתמשים בה 10,163 איש.

הדו"ח נכתב לבקשת יו"ר ועדת המדע והטכנולוגיה, ח"כ אורי מקלב, כדי להציג מידע על מערכת מרכב"ה ועל ההגנה מפני שימוש לרעה או דליפות מידע מהמערכת. מחברי הדו"ח בחרו לדגום ולפנות לשני משרדי ממשלה ולרשות אחת, העושים שימוש במרכב"ה ומחזיקים במידע שעשוי להיות רגיש: משרד הבריאות, משרד העבודה, הרווחה והשירותים החברתיים ורשות האוכלוסין וההגירה. נוסף על כך, התבקשו כמה משרדי ממשלה נוספים לספק מידע על השימוש ועל ההגנה על המידע במערכת, ובהם משרד האוצר ומשרד המשפטים. "המידע המצוי במערכת כולל מידע עסקי ומידע אישי רב הנוגע הן לעובדי משרדי הממשלה ויחידותיה והן לאזרחים", הודגש בדו"ח. 

על פי ממצאי הדו"ח, נראה כי אותו מידע רגיש חשוף לשורת תקלות שיכולות להביא לחשיפתו. הוא מעלה חשש בכל הנוגע לתיעוד, לבקרה ולפיקוח על השימוש במידע שנמצא במערכת. "ניתן לדעת שעובד ביצע פעולה לצפייה בתיק עובד או הזמנת רכש - אך לא ניתן לדעת באיזה עובד או הזמנת רכש הוא צפה", נכתב בתשובתו של נציג משרד האוצר למחברי הדו"ח בנוגע לשאלתם בנושא. נקודה זו היא בעייתית, שכן יכול להיווצר מצב שבו עובד מדינה המחזיק בהרשאה למערכת, יעביר את המידע לגורמים בעלי אינטרסים שונים (כלכליים, למשל), שיכולים לתעל את המידע לטובתם האישית. מחברי הדו"ח מציינים לדוגמה כי "משתמש עשוי לצפות בתוצאות מועמדים לבחינות ולמכרזים עבור חבר מועמד". חשוב לציין כי אם מבוצעים שינויים במידע ולא רק צפייה בהם, אפשר לראות מיהו הגורם שביצע את השינוי.

מן הדו"ח גם עולה כי אם אדם ללא הרשאה מנסה להיכנס ללא הצלחה למערכת כדי לצפות בתוכנה, אפשר לקבל מידע על כך מאנשי צוות מרכב"ה הכפופים למשרד האוצר. אך מתשובתה לדו"ח של נציגת משרד העבודה, הרווחה והשירותים החברתיים עולה כי המשתמשים כלל אינם מודעים לכך: "אין ברשות עובדי המשרד 'כלים חכמים' לאפשר בקרה או מעקב אחר ניסיונות לשלוף מידע אשר עשוי לשמש רעה, למעט היכולת לשלוט בהגבלת ההרשאות למשתמשים". 

מדובר בנקודה בעייתית נוספת, משום שהיכולות שכן קיימות אינן שוות ערך אם לא משתמשים בכלים שאותם הן מספקות. "מהתשובה משתמע כי יש שונות בין הידע של עובדי המשרד ביחס לאפשרויות הניטור לבין הידע של צוות מרכב"ה במשרד האוצר, ולכן ייתכן כי גם ביכולות הניטור הקיימות לא נעשה שימוש", נכתב בקשר לנקודה זו בדו"ח. 

את הנושא מסכמים מחברי הדו"ח: "מהאמור משתמע כי כלי התיעוד והניטור הקיימים במערכת הם חלקיים, שכן הם אינם כוללים את מלוא המידע ביחס למי שצופה במידע ולא מבצע בו שינויים. ייתכן כי גם בכלים הקיימים נעשה שימוש חלקי או מוגבל, בשל אי ביצוען של בקרות ייעודיות".

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו