רגולציה והומלנד סקיוריטי
"מצב אבטחת המידע בישראל – מופקר"
כך אמר היום יו"ר הוועדה לביקורת המדינה אמנון כהן, לאחר דיון בדו"ח המבקר שגילה מחסור בנהלים וחוסר מעקב. "יכול להיות אסון כבד כמו מלחמה"
זה שלא קרה אסון עד היום – זה בגלל שמישהו שומר עלינו מלמעלה. אני יוצא מודאג כי המצב מופקר, ותקלה באבטחת המידע של ישראל עלולה להיות אסון כבד כמו מלחמה", כך מזהיר היום (שני) יו"ר הועדה לביקורת המדינה ח"כ אמנון כהן (ש"ס) בתום דיון בדו"ח מבקר המדינה בעניין. כהן קרא לבדוק את תיקון הליקויים באבטחת המידע שחשף המבקר ופנה לשרת המשפטים לקדם את התקנות בעניין המתעכבות כבר שלוש שנים.
גם נציג מהמבקר בדיון, יובל חיו אמר כי הממצאים העולים מהדיון "מהווים נורת אזהרה של חולשה מבנית חמורה בעניין".
לפי ממצאי המבקר בדו"ח, הנהלת "ממשל זמין", המנהלת את תשתית האינטרנט של כל משרדי הממשלה, לא הגדירה את סיכוני אבטחת-המידע ואת רמתם לגבי חלק מהפרויקטים. לדברי מבקר המדינה, מנהל אבטחת מידע בממשל זמין לא מילא חלק מהתפקידים שהוגדרו לו בנוהל מדיניות אבטחת מידע. מדובר, בין היתר, בקביעת רמת האבטחה הנדרשת לכל סיווג, בהגדרת אמצעי טיפול ותהליכי טיפול באבטחת רשומות, בהתוויית רמת האבטחה הלוגית המחייבת בעבור רכיביהן השונים של
מערכות המחשוב והתקשורת; בהגדרה ובהענקה של הרשאות גישה למשתמשים על פי נוהל המדיניות, ובקיום ביקורות על הפעילויות הנערכות במידע.
בנוסף קובע המבקר כי למרות ההוראות המחייבות שנקבעו בנושא תכנית שיקום מאסון, ואף שכבר משנת 2008 קיימים אתר חלופי ותכנית מפורטת להפעלת מערך השיקום מאסון ונקבעה תדירות התרגול הנדרשת, לא נערכו התרגילים כנדרש. עוד הוא מוסיף כי במאי 2012 פרסמה מחלקת אבטחת המידע טיוטת נוהל תפעולי שכותרתו "פעולות לביצוע בעת מתקפת מניעת שירות". התברר שהטיוטה לא אושרה לא על ידי מנהל אבטחת מידע ולא על ידי ועדת ההיגוי של ממשל זמין. לדברי המבקר, מנהל אבטחת מידע בממשל זמין לא גיבש תכנית הדרכה כוללת להגברת מודעות העובדים לכל ההיבטים הנוגעים לאבטחת מידע. הוא אינו מעודכן בנוגע לעובדים חדשים בממשל זמין, וממילא אין הם מקבלים את ההדרכה הנדרשת לפני קבלת הרשאות הגישה.
הממונה על התקשוב הממשלתי, כרמלה אבנר השיבה כי הנהלים השתנו וכיום מתבצע מעקב כולל. "הייתה עבודה מאד מאומצת. אבטחת מידע היא תחום דינמי ומשתנה כל העת. זה אחד התחומים המדירים שינה מעינינו, ויש לנו אחריות יומיומית". לדברי אבנר גוף חיצוני מבצע ביקורת על מערך התקשוב הממשלתי בעניין אבטחת מידע.
מנהל "ממשל זמין", אופיר בן אבי הוסיף כי "אנחנו מונחים ע"י שירות הביטחון ועשינו תרגול של כל היחידות להמשך הפעילות במקרה של מתקפה קיברנטית". לדבריו, אחת לשנה יש הדרכה לאנשי המיחשוב בעניין אבטחת המידע, ואחת לשלושה חודשים מקבלים העובדים החדשים הדרכה פרטנית בנושא. לדברי עו"ד עמית אשכנזי ממשרד המשפטים נתפסה אבטחת מידע בעבר כנושא מקצועי לחלוטין, והוא הדגיש כי משרדו מקווה לקדם קביעת תקנות בעניין.