משרד ראש הממשלה. איחור בהתקנה הגנה קריטית
| דוח מבקר המדינה |
הגנה ברמה נמוכה מהנדרש על מידע מסווג במשרד רה"מ |
נעשה שימוש בחשבונותיהם של שר לשעבר ושל בכיר במשרד - זמן רב לאחר שסיימו את תפקידיהם ● המשרד אינו מנהל כיאות את הגישה לרשתות שלו ולא ערך סקר סיכונים כנדרש |
רמת ההגנה על המידע ברשתות מסווגות במשרד ראש הממשלה נמוכה מרמת ההגנה הנדרשת, ואינה עומדת בדרישות הגורם המאסדר. זאת, אף שמשרד רה"מ הוא יעד המצוי באיום תמידי ברמת חומרה קריטית. הותרת רשתות מסווגות של המשרד ברמת הגנה נמוכה עלולה להביא לפגיעה מהותית במדינת ישראל בהיבטים מדיניים, ביטחוניים, כלכליים ותדמיתיים. כך מתריע (23.7.24) מבקר המדינה, מתניהו אנגלמן.
"במערכות הממוחשבות במשרד רה"מ אצור מידע רב, לרבות מידע רגיש, מידע שמסווג כחסוי מהבחינה הביטחונית ומידע ברמת סודיות גבוהה ביותר. פגיעה במידע זה, לרבות דליפת המידע, שיבושו או פגיעה בזמינותו, עלולה לגרום לנזק ממושך חמור מאוד לביטחון מדינת ישראל או למערכותיה החיוניות, על אחת כמה וכמה בעיתות מלחמה, כאשר כמות תקיפות הסייבר עולה. ההגנה הנדרשת על המידע המסווג שבידי משרד רה"מ היא ברמה הגבוהה ביותר", נאמר בדוח.
המדיניות של משרד רה"מ לגבי הגנה על המידע הבלתי-מסווג אושרה בנובמבר 2018 ולא עודכנה במשך 4.5 שנים, כנדרש בהנחיות הגופים המאסדרים, אף על-פי שבשנים האלה חלו שינויים ארגוניים ניכרים בתחום. משרד רה"מ ביצע סקר סיכונים שלא על-פי הנדרש בהנחיות. ועדת ההיגוי לא עסקה כנדרש בממצאי המדד שגיבש יה"ב (הבוחן בקרה ניהולית של המשרד הממשלתי בתחום הגנת הסייבר), אף על-פי שהציון הכולל של המשרד ירד מ-86 ל-68.
משרד רה"מ אינו מנהל כראוי את הרשאות הגישה לרשתות הממוחשבות שלו. נמצאו ליקויים במערך ההזדהות שקבע ויישם המשרד, המאפשרים גישה לרשתות שלו, לרבות בנוגע להחלפה עיתית של סיסמאות הגישה, שלא על-פי ההוהל המשרדי. "ליקויים אלה פוגעים ברמת ההגנה של המערכות ומסכנים שלא לצורך את השלמות, הסודיות והזמינות של המידע האצור ברשתות המשרד ומחייבים תיקון מיידי", קובע אנגלמן.
משרד רה"מ מאפשר גישה לרשתות גם באמצעות חשבונות שלא נעשה בהם שימוש (43%-18% מהחשבונות ברשתות שנבחנו נותרו פעילים, אף שהיו צריכים להינעל בשל אי-השימוש בהם). המשרד מאפשר גישה כזאת גם באמצעות חשבונות של עובדים שסיימו זה מכבר את עבודתם בו. הדבר מאפשר לגורמים לא מורשים - פנימיים או חיצוניים - לצפות במידע ולהשתמש בו, ולפיכך מהווה סיכון מהותי למידע האצור ברשתות.
שרתים ורכיבים ללא תמיכה
ממצאי הביקורת העלו חשד שעובדים לשעבר השתמשו בחשבונותיהם לאחר סיום העסקתם, או שגורמים אחרים, במשרד או מחוצה לו, השתמשו בחשבונות עובדים שהעסקתם הסתיימה, תוך שהם נחשפים למידע המצוי ברשתות משרד רה"מ שלא היו אמורים להיחשף אליו ומסוגלים לבצע פעולות שאינם אמורים לבצע. בין היתר נעשה שימוש בחשבונו של שר לשעבר ובחשבונו על בעל תפקיד בכיר במשרד רה"מ, שסיימו את כהונתם זה מכבר. חשדות אלה מחייבים בדיקת עומק ממצה של כל אחד מהמקרים שעלו, כדי לאמת או לשלול כל אחד מהחשדות, מדגיש אנגלמן.
ברשת מסוימת אותרו שרתים ומספר רכיבי תקשורת שמצויים לאחר מועד סוף התמיכה, ולכן הם חשופים לפגיעויות שהתגלו בהן. השימוש ברכיבים אלה הוא בניגוד להנחיות הגופים המאסדרים; כפי הנראה, לא ניתן מענה אבטחתי מתאים לרכיבים אלה, כך שהשימוש בהם נעשה גם בניגוד לתקנות הגנת הפרטיות7.
ברשתות שנבחנו פועלים שרתים ומספר רכיבי תקשורת שבהם מותקנת מערכת הפעלה מגרסה מסוימת, שמועד תום מחזור החיים שלה עבר זה מכבר (27%-17% מהשרתים ברשתות שנבחנו). שרתים אלה חשופים לפגיעויות שיתגלו במערכת ההפעלה שלהם, והשימוש בהם הוא בניגוד להנחיות הגופים המאסדרים.
משרד רה"מ לא הקפיד על התקנה במועד של העידכונים הנדרשים במערכות הפעלה של שרתים, ועקב כך נותרו מערכות המידע שלו חשופות לפגיעויות שונות, לרבות פגיעויות שנעשה בהן שימוש תדיר על-ידי תוקפי סייבר ברחבי העולם. בחלק ניכר מהשרתים יש איחור של שישה חודשים לפחות בהתקנת עידכוני אבטחה קריטיים, נכון למועד הבדיקה (יולי 2023).
"במערכות הממוחשבות במשרד רה"מ אצור מידע רב, לרבות מידע רגיש, מידע שמסווג כחסוי מהבחינה הביטחונית ומידע ברמת סודיות גבוהה ביותר. פגיעה במידע זה, לרבות דליפת המידע, שיבושו או פגיעה בזמינותו, עלולה לגרום לנזק ממושך חמור מאוד לביטחון מדינת ישראל או למערכותיה החיוניות, על אחת כמה וכמה בעיתות מלחמה, כאשר כמות תקיפות הסייבר עולה. ההגנה הנדרשת על המידע המסווג שבידי משרד רה"מ היא ברמה הגבוהה ביותר", נאמר בדוח.
המדיניות של משרד רה"מ לגבי הגנה על המידע הבלתי-מסווג אושרה בנובמבר 2018 ולא עודכנה במשך 4.5 שנים, כנדרש בהנחיות הגופים המאסדרים, אף על-פי שבשנים האלה חלו שינויים ארגוניים ניכרים בתחום. משרד רה"מ ביצע סקר סיכונים שלא על-פי הנדרש בהנחיות. ועדת ההיגוי לא עסקה כנדרש בממצאי המדד שגיבש יה"ב (הבוחן בקרה ניהולית של המשרד הממשלתי בתחום הגנת הסייבר), אף על-פי שהציון הכולל של המשרד ירד מ-86 ל-68.
משרד רה"מ אינו מנהל כראוי את הרשאות הגישה לרשתות הממוחשבות שלו. נמצאו ליקויים במערך ההזדהות שקבע ויישם המשרד, המאפשרים גישה לרשתות שלו, לרבות בנוגע להחלפה עיתית של סיסמאות הגישה, שלא על-פי ההוהל המשרדי. "ליקויים אלה פוגעים ברמת ההגנה של המערכות ומסכנים שלא לצורך את השלמות, הסודיות והזמינות של המידע האצור ברשתות המשרד ומחייבים תיקון מיידי", קובע אנגלמן.
משרד רה"מ מאפשר גישה לרשתות גם באמצעות חשבונות שלא נעשה בהם שימוש (43%-18% מהחשבונות ברשתות שנבחנו נותרו פעילים, אף שהיו צריכים להינעל בשל אי-השימוש בהם). המשרד מאפשר גישה כזאת גם באמצעות חשבונות של עובדים שסיימו זה מכבר את עבודתם בו. הדבר מאפשר לגורמים לא מורשים - פנימיים או חיצוניים - לצפות במידע ולהשתמש בו, ולפיכך מהווה סיכון מהותי למידע האצור ברשתות.
שרתים ורכיבים ללא תמיכה
ממצאי הביקורת העלו חשד שעובדים לשעבר השתמשו בחשבונותיהם לאחר סיום העסקתם, או שגורמים אחרים, במשרד או מחוצה לו, השתמשו בחשבונות עובדים שהעסקתם הסתיימה, תוך שהם נחשפים למידע המצוי ברשתות משרד רה"מ שלא היו אמורים להיחשף אליו ומסוגלים לבצע פעולות שאינם אמורים לבצע. בין היתר נעשה שימוש בחשבונו של שר לשעבר ובחשבונו על בעל תפקיד בכיר במשרד רה"מ, שסיימו את כהונתם זה מכבר. חשדות אלה מחייבים בדיקת עומק ממצה של כל אחד מהמקרים שעלו, כדי לאמת או לשלול כל אחד מהחשדות, מדגיש אנגלמן.
ברשת מסוימת אותרו שרתים ומספר רכיבי תקשורת שמצויים לאחר מועד סוף התמיכה, ולכן הם חשופים לפגיעויות שהתגלו בהן. השימוש ברכיבים אלה הוא בניגוד להנחיות הגופים המאסדרים; כפי הנראה, לא ניתן מענה אבטחתי מתאים לרכיבים אלה, כך שהשימוש בהם נעשה גם בניגוד לתקנות הגנת הפרטיות7.
ברשתות שנבחנו פועלים שרתים ומספר רכיבי תקשורת שבהם מותקנת מערכת הפעלה מגרסה מסוימת, שמועד תום מחזור החיים שלה עבר זה מכבר (27%-17% מהשרתים ברשתות שנבחנו). שרתים אלה חשופים לפגיעויות שיתגלו במערכת ההפעלה שלהם, והשימוש בהם הוא בניגוד להנחיות הגופים המאסדרים.
משרד רה"מ לא הקפיד על התקנה במועד של העידכונים הנדרשים במערכות הפעלה של שרתים, ועקב כך נותרו מערכות המידע שלו חשופות לפגיעויות שונות, לרבות פגיעויות שנעשה בהן שימוש תדיר על-ידי תוקפי סייבר ברחבי העולם. בחלק ניכר מהשרתים יש איחור של שישה חודשים לפחות בהתקנת עידכוני אבטחה קריטיים, נכון למועד הבדיקה (יולי 2023).
|
הגנה על המידע הממוחשב במשרד ראש הממשלה / דוח מבקר המדינה | |
|
|
מתניהו אנגלמן
●
מבקר המדינה
|
||
|
אבטחת המידע במערך הגיור שבמשרד ראש הממשלה / דוח מבקר המדינה | |
|
|
מתניהו אנגלמן
●
מבקר המדינה
|
||
עיתונאי, סופר וחוקר שואה. כתב משפטי ובעל טור ב-News1. פרסם 20 ספרים ועשרות מאמרים על השואה
|
|
+סכנת משבר תזרימי לשירותי בריאות כללית
15:54 23/07/24 | איתמר לוין | לרשימה המלאה
הנהלת הכללית. אין ייצוג הולם בדירקטוריון
רשמה גרעון של 689 מיליון שקל ב-2022; המלחמה החמירה את המצב ▪ מעניקה תוספות שכר בלתי חוקיות של 70 מיליון שקל בשנה ▪ אינה ממצה את היכולת להשביח נכסים
הנהלת הכללית. אין ייצוג הולם בדירקטוריון
+אין מענה מספיק לפיגועים בכבישי יהודה ושומרון
15:52 23/07/24 | איתמר לוין | לרשימה המלאה
כביש חווארה. 32 שנות סלילה [צילום: נאסר אישתייה, פלאש 90]
מחסור בכוח אדם צבאי ומשטרתי, תגובה איטית של המשטרה, עיכובים של שנים בסלילת צירים עוקפים, הימנעות ממחסומים קבועים ביציאה מהערים הפלשתיניות
כביש חווארה. 32 שנות סלילה [צילום: נאסר אישתייה, פלאש 90]
+הרוב המכריע של הדליקות אינן נחקרות ואין כתבי אישום
15:51 23/07/24 | איתמר לוין | לרשימה המלאה
אם בכלל חוקרים - אזי באיחור ניכר [צילום: אייל מרגולין, פלאש 90]
רשות הכבאות וההצלה אינה חוקרת 89% מהדליקות, למרות המחיר הכבד בחיי אדם ובכסף ▪ המשטרה סגרה את רוב תיקי ההצתה - הן הפליליים והן הלאומניים
אם בכלל חוקרים - אזי באיחור ניכר [צילום: אייל מרגולין, פלאש 90]
+חברות הסלולר לא עומדות בדרישות הכיסוי שברשיונות
15:50 23/07/24 | איתמר לוין | לרשימה המלאה
מחסור של אלפי אנטנות [צילום: נתי שוחט, פלאש 90]
משרד התקשורת מסתפק בתחזיות של החברות, אין לו נתונים על הפריסה בפועל והוא מעולם לא קנס את החברות ▪ אין תקנות מחייבות לגבי הקרינה מהאנטנות ומשרד הבריאות לא בדק את ההשפעות על הציבור
מחסור של אלפי אנטנות [צילום: נתי שוחט, פלאש 90]
| מועדון VIP | להצטרפות הקלק כאן |
| תגיות / עוקבים | מי ומי בפרשה - לקבלת רשימות חדשות עם הופעתן |
 יוסף חיים שפירא
מבקר המדינה / The State Comptrollr
מיכה לינדנשטראוס
מתניהו אנגלמן
|
|
| מושגים | |
|
מבחן הראיה המנהלית
תיק אפרסק
| |
| פורומים News1 / תגובות |
| כללי | חדשות | רשימות | נושאים | אישים | פירמות | מוסדות |
| אקטואליה | מדיני/פוליטי | בריאות | כלכלה | משפט | סדום ועמורה | עיתונות |
| הגנה ברמה נמוכה מהנדרש על מידע מסווג במשרד רה"מ |
| תגובות [ 0 ] |
|
לכל התגובות
תפוס כינוי יחודי
|
||
| ברחבי הרשת / פרסומת |
|
|||||||||||||||||||||||||
| + כיתבו בפורומים של News1 | + חדשות נוספות ברשת | + הודעות נוספות ברשת | + בלוגרים ברשת |
| חדשות נוספות ברשת |
|
|
|
||
|
|
|||
|
|
|
||
|
|
|||
|
|
|
||
|
|
|||
|
|
|
||
|
|
|||
|
|
|
||
לשם-מה היה צורך "לשטח" את עזה בציוד מכני כבד, כמו 9-D ופיצוצים?
