צילום: עמית שעל
מבקר ההסתדרות הציונית העולמית: "לקק"ל אין מדיניות אבטחת מידע, ספגה חמש מתקפות כופר ב־2015"
ממסמך הביקורת עולה כי בשליש מהשרתים של קק"ל אין כלל אנטי וירוס, וחלקם כה ישנים עד שכבר לא יכולים לקבל עדכוני אבטחה של מיקרוסופט. בהסתדרות הציונית נמצאו ליקויים רבים בהליכי הרכש. קק"ל: "לא ננוח עד שיתוקנו כל הליקויים"
דו"ח חדש של מבקר ההסתדרות הציונית העולמית סטיבן סתיו חושף ליקויים במערך המחשוב של קק"ל ובהתנהלות ההסתדרות הציונית. לפי ממצאי הדו"ח, 39% ממחשבי קק"ל ו־33% מהשרתים לא היו מחוברים לאנטי־וירוס, והותירו את הקרן חשופה לחמש מתקפות לבקשת כופר. עוד נקבע בדו"ח כי תהליכי הרכש בהסתדרות הציונית מתנהלים בניגוד למנהל תקין.
קראו עוד בכלכליסט
דו"ח הביקורת השנתי של מבקר ההסתדרות הציונית העולמית עוסק בהתנהלותם של כלל המוסדות הלאומיים, גופים שאינם כפופים לביקורת של המדינה. סתיו עוסק בהרחבה בתהליכי הרכש בהסתדרות הציונית, וקובע כי בארגון "לא מתקיים העיקרון הבסיסי של הפרדת תפקידים בין הגורם המזמין, הגורם הבוחר את הספק והמחיר, והגורם המאשר את החיובים. הוא מסכם כי "תהליך הרכש אינו עולה בקנה אחד עם עקרונות מקובלים של מנהל תקין". עוד הוא כותב כי בהסתדרות הציונית אין תיעוד שיטתי של הזמנות, ולכן קיימת אפשרות לחיובים שאינם תואמים את הסיכום עם הספק. כך קורה שספקים מסוימים עובדים עם ההסתדרות הציונית באותו הסכם מראשית העשור.
בין הדוגמאות שמביא המבקר: הדפסות בתחומי היהדות ב־30 אלף שקל ללא הצעות מחיר, התקשרות של לשכת היו"ר עם ספק תקשורת בהיקף של 17 אלף שקל ללא אישור מנהל מחלקת הכספים, ומקרה שבו לשכת סגן היו"ר מימנה כיבוד בכנס בעלות של 29 אלף שקל ללא אישור מנהל מחלקת הכספים וללא הצעות מחיר.
מנהל מחלקת הכספים מסר בתגובתו למבקר כי "ההסתדרות הציונית העולמית מגבשת נוהל רכש ואישור תשלומים".
גם במועצה הציונית התגלו אי סדרים בתהליכי הרכש מספקים. המועצה הזמינה מחברת גל אורן הפקה של שישה חידוני ציונות מחוזיים חודש לפני שקיבלה מהחברה הצעת מחיר – מהלך שסתיו מגדיר כבלתי תקין. על הקביעה הזאת הגיבו במועצה הציונית כי הצעות המחיר הגיעו באיחור בשל הכללת סעיפים נוספים. ממצאים מביכים במיוחד עוסקים באגף טכנולוגיות ומידע בקק"ל. המבקר מצא כי 39% מהשרתים והמחשבים בקק"ל (310 מתוך 791) כלל אינם מחוברים לשרת האנטי־וירוס. ב־33% מהשרתים (38 מתוך 116) לא הותקנה מערכת אנטי וירוס. המבקר קובע שבקק"ל "לא קיימת מדיניות אבטחת מידע", וכי "לא מתבצע תהליך של ניטור ובקרה אחר אמצעי אבטחת המידע הקיימים". הדבר חושף את קק"ל לחדירת וירוסים, ומצד שני מאפשר להוציא מידע אל מחוץ לרשת קק"ל.
14 שרתי מחשב בקק"ל (10% מהשרתים) אינם נהנים מתמיכה של מיקרוסופט, שכן הם מתבססים על תוכנות מתחילת המאה ה־21, ולפיכך לא קיימים עבורם עדכוני אבטחה. הדבר "חושף את קק"ל לתקלות פריצת אבטחה שונות ולקשיים בתחזוקה". במחשבי קק"ל יש אפשרות להכניס ולהוציא קבצים באמצעות דיסק־און־קי, והדבר נעשה פעמים רבות. גם המצב הזה מסכן את קק"ל בפגיעה של וירוסים ובהוצאת מידע.
כתוצאה מליקויי האבטחה האלה ספגה קק"ל 5 מתקפות כופר ב־2015 לבדה. מתקפות אלה לא נעצרו על ידי אמצעי אבטחת המידע, ושום תחקיר והפקת לקחים לא התקיימו בעקבותיהן.
יו"ר קק"ל דני עטר מסר בתגובתו למבקר כי "קק"ל לא תותיר שום פינה ושום אבן שלא תהפוך עד שיתוקנו כל הליקויים". לדבריו קק"ל מרעננת את מערכות המחשב והשלימה אוגדן נהלים לאגף מערכות מידע.
3 תגובות לכתיבת תגובה