מדיניות הסייבר של רמ"י נקבעה ב-2019 - ולא נבדקה או עודכנה מאז
אי ביצוע של תוכניות, חוסר בקרה ומעקב אחר מימוש יעדים וליקויים בהיערכות לשעת חירום - כל אלה ואחרים עלו בבדיקה שערך משרד מבקר המדינה, בראשות המבקר מתניהו אנגלמן, בכל הנוגע להיערכות של רשות מקרקעי ישראל (רמ"י) בתחום הסייבר. רוב המידע שרמ"י אוספת, שומרת ומנהלת הוא מידע רגיש הנוגע לנדל"ן, וכולל נתונים אישיים ועסקיים. רמ"י נדרשת להגן על סודיות המידע, אמינותו, זמינותו ומהימנותו, ועליה לוודא כי הנתונים לא ישונו, לא יימחקו וייחשפו רק למי שמורשה לגשת אליהם מתוקף תפקידו או מכיוון שהמידע נוגע לו. בכל הנוגע להגנת הפרטיות ולאבטחת המידע הרב שבידיה, היא נדרשת לפעול, בין השאר, בהתאם לחוק הגנת הפרטיות והתקנות שמתבססות עליו. על פי מיפוי של רמ"י, האיומים עליה כוללים איומים פנימיים, למשל מצד ספקים שיש לה איתם קשר, ואיומים חיצוניים, למשל מצד האקרים ולקוחות.
מבדיקת מבקר המדינה עולה כי מאז שהתכנסה ועדת היגוי סייבר ברמ"י לראשונה ב-2017, היא לא פעלה לאישור, מיפוי וסיווג של נכסי המידע של רמ"י. בנוסף, אף שבוצעו סקרי סיכונים רבים, לא התקיימו דיונים בוועדת היגוי סייבר לגבי התוכניות להפחתת הסיכונים שעלו בהם ואופן ההתמודדות עמם, ובכלל זה תכולות, לוחות זמנים לביצוע, אחריות ומשאבים נדרשים. כמו כן, ועדת ההיגוי לא יזמה ולא גיבשה סקרי הנהלה כנדרש, ולא התכנסה בתדירות הנדרשת לפי החלטת הממשלה בנושא. עקב כך, לטענת המבקר, נפגעת יכולת הנהלת רמ"י לבצע בקרה מיטבית על היעילות והאפקטיביות ביישום הגנת הסייבר בה, ועל מידת התאמתה של תוכנית העבודה לניהול הגנת הסייבר של רמ"י לרמת הסיכון של כל מערכת.
מדיניות הגנת הסייבר של רמ"י אושרה בוועדת היגוי סייבר ב-2019 ומאז לא נבדקה, לא עודכנה ולא נדונה בוועדה ההיגוי - זאת על אף שינויים ניכרים שהתרחשו מ-2019 במערך המחשוב של רמ"י, ובכלל זה התפתחויות טכנולוגיות בעולם. תוכנית העבודה שהוצגה לוועדת היגוי סייבר כללה רק את פירוט הנושאים המתוכננים לביצוע, ולא כללה לוחות זמנים, גורמים האחראים ליישום, תקציב וסדרי עדיפויות. אין מסמכים המעידים על ביצוע מעקב של הוועדה אחר יישום התוכנית, ובכלל זה אחר תיקון הליקויים שעלו בסקרי הסיכונים ובמבדקי החדירה שבוצעו.
- כל הכותרות
בישיבתה במאי 2019, אישרה ועדת היגוי סייבר ברמ"י עשרה מדדי אב שנקבעו בנושאים הנוגעים להגנת סייבר. מ-2019 ועד למועד סיום הביקורת (אוקטובר 2023) - יותר מארבע שנים - הוועדה בחנה את מידת היישום של המדדים פעמיים בלבד (בדצמבר 2019 ובדצמבר 2022), ולא בכל חצי שנה כנדרש. עקב כך נפגעה יכולתה לבחון את רמת האפקטיביות של תשתית הגנת הסייבר, ובהתאם לכך לבצע שינויים רלוונטיים בתכיפות רבה יותר כנדרש. בדיוני ועדת היגוי סייבר שהתקיימו בדצמבר 2019 ובדצמבר 2022, הוצגו לוועדה רק חלק ממדדי האב שאושרו במאי 2019. בדצמבר 2019 הוצגו לוועדה שישה מעשרת מדדי האב שאושרו (כ-60%), ובדצמבר 2022 - חמישה בלבד (כ-50%).
ועדת הרשאות שהוקמה לפי החלטת ועדת היגוי סייבר לא התכנסה, ובפועל דירוג ההרשאות לגישה נקבע על ידי אגף מערכות מידע ברמ"י, ללא אישור של ועדת ההרשאות וגם ללא מעורבות של מנהלי המאגרים שעליהם חלה חובת קביעת ההרשאות. בביקורת עלה כי ברמ"י קיים מנגנון בקרה מסוים, אך הוא לא מתריע על פעולות מסוימות. עקב כך, בפועל מנגנון הבקרה אינו מיטבי ואינו תואם את הדרישות.
מאז התכנסה לראשונה ועדת היגוי סייבר ב-2017, בכל הישיבות שלה עלה לסדר היום נושא הכנת תוכנית להתאוששות מאסון. ואולם בפועל הנושא לא נדון בישיבותיה, ולא התקבלו החלטות אופרטיביות בעניינו. בנוסף, ההתקדמות בהכנת התוכנית לא הוצגה לוועדה בסיכומי הפעילות השנתית.
בנוגע לאתר חלופי למקרה של אסון (DR), מערכות המידע של רמ"י נמצאות בכמה אתרים. בסיכום סקר סיכוני תשתיות מערכות מידע שביצעה רמ"י במרץ 2019, צוינו סיכונים שונים לגבי אתר מסוים.
המבקר קבע כי על רמ"י להביא לאישור ועדת היגוי סייבר את המיפוי והסיווג של נכסי המידע ואת מדיניות הגנת הסייבר שלה, ולהשלים את סקרי הסיכונים למערכותיה. על ועדת היגוי סייבר, בהובלת היו"ר (מנהל רמ"י), לגבש סקרי הנהלה, לעקוב אחרי ביצוע תוכניות העבודה בתחום הגנת הסייבר, לבחון את מידת האפקטיביות של הגנת הסייבר ברמ"י על פי המדדים שנקבעו, ולהקפיד להתכנס בהתאם לנדרש בהחלטת הממשלה. כדי לתת מענה מלא באירועי חירום, ובכלל זה להבטיח את היכולת לחזור בהקדם האפשרי לפעילות תקינה וסבירה, על רמ"י לפעול לתיקון הליקויים שעלו בנושא.
תודה.
לתגובה חדשה
חזור לתגובה
