מחדלים חמורים במערכי המחשוב של משרד ראש הממשלה

מערכי המחשוב של משרד ראש הממשלה סובלים משורה של מחדלים חמורים, ובראשם ניהול הרשאות קלוקל שאפשר לגורמים עלומים לעשות שימוש בחשבונות משתמש ישנים של שר ושל בכיר לשעבר על מנת לגשת למידע חסוי – כך מתריע דוח מבקר המדינה שמתפרסם היום (ג').

משרד ראש הממשלה, וכן משרדים (ובהם משרד המודיעין והמשרד לנושאים אסטרטגיים) ויחידות הסמך (המל"ל, המטה לביטחון לאומי) שהמשרד אחראי למערכות המידע שלהם, מחזיקים במידע רגיש ברמת הסודיות הגבוהה ביותר. הגנה על מידע זה צריכה להיות, בהתאם, ברמה הגבוהה ביותר. ואולם, בדיקת המבקר, שנערכה בין מרץ לאוגוסט 2023, חושפת רמת הגנה נמוכה באופן מעורר דאגה.

בין המחדלים שנמצאו ניתן למנות הגדרות סף לסיסמה שלא מביאות לבחירת סיסמאות גישה חזקות דיין; הרשאות גישה שאינן רלוונטיות, בהן קבוצת הרשאות לצוות של שר בלי תיק שסיים את תפקידו לפני יותר מעשור; חשבונות ללא תאריכי תפוגה או עם תאריכים לא רלוונטיים (למשל, ב-2071); והמשך מתן גישה לחשבונות לא פעילים, בהם חשבונות עובדים שסיימו את עבודתם – דבר שמקל על גורמים לא מורשים לצפות ולהשתמש במידע.

במקרה האחרון, לא מדובר בחשש תיאורטי. "ממצאי הביקורת העלו חשד שעובדים לשעבר השתמשו בחשבונותיהם לאחר סיום העסקתם, או שגורמים אחרים, במשרד או מחוצה לו, השתמשו בחשבונות עובדים שהעסקתם הסתיימה, תוך שהם נחשפים למידע המצוי ברשתות משרד רה"מ שלא היו אמורים להיחשף אליו ומסוגלים לבצע פעולות שאינם אמורים לבצע", נכתב בדוח המבקר. "בין היתר נעשה שימוש בחשבונו של שר לשעבר ובחשבונו על בעל תפקיד בכיר במשרד רה"מ, שסיימו את כהונתם זה מכבר".

בנוסף, עולה מהדוח שהמשרד עושה שימוש במערכות תוכנה וחומרה מיושנות שכבר לא זוכות לתמיכה ועדכוני אבטחה, ושאין הקפדה על התקנת עדכוני אבטחה במערכות שכן זוכות לתמיכה. "עקב כך נותרו מערכות המידע של המשרד חשופות לפגיעויות שונות, לרבות פגיעויות שנעשה בהן שימוש תדיר על ידי תוקפי סייבר ברחבי העולם", נכתב בדוח.

ליקויים באבטחת המידע של מערך הגיור

ליקויים חמורים באבטחת המידע של מערך הגיור במשרד ראש הממשלה מאפשרים הנפקת תעודת המרה כוזבת, שמאפשרת קבלת אזרחות ישראלית – כך לפי דו"ח מבקר המדינה. המערך ממונה על מכלול התהליכים בתחום הגיור הממלכתי, ואחראי על הנפקת תעודת המרה, שמהווה אישור משפטי רשמי להשלמת הליך הגיור. אם מחזיק התעודה אינו אזרח ישראלי, עם קבלתה יוכר כעולה מכוח חוק השבות ויהיה זכאי לסל קליטה. באוגוסט 2023 ביצע משרד המבקר בדיקת חוסן למערכת המחשוב של מערך הגיור, וזו העלתה שורת ליקויים חמורים, ובראשם היכולת להנפיק תעודת המרה כוזבת.

"במסגרת הבדיקה דימה צוות הביקורת תרחיש של תוקף זדוני בעל הרשאה בדרגה הבסיסית ביותר במדרג ההרשאות ('ראש ענף'), והצליח להנפיק תעודת המרה כוזבת", נכתב בדו"ח המבקר. "הפעולה נעשתה ברמת מיומנות של משתמש רגיל במערכת, ללא מיומנות של תוקף סייבר מקצועי וללא שימוש בכלי פריצה ייחודיים".

ליקויים נוספים שהתגלו - מקרה שבו "תוקף זדוני בעל הרשאה בסיסית הצליח לעשות שינויים כגון שינוי בהחלטתו הכתובה של בית הדין לאשר את המשך הליך הגיור ולציין במקומה כי הוחלט לבטל את הגיור עקב נתונים לא אמינים שנמסרו"; תוקף זדוני שמצליח לשנות נתונים כך שיאושר גיור עם פרטים שונים מפרטי המתגייר האמיתי; ופרצות שמאפשרות להציף את המערכת במידע.

"נמצא כי המערכת מאפשרת למשתמשים הגולשים באתר המרשתת של מערך הגיור לשלוח טופסי 'בקשה לפתיחת תיק גיור' ללא הגבלה, וכי כמות הנתונים שניתן לטעון למערכת באמצעות הטופס אינה מוגבלת", נכתב בדוח. "צוות הביקורת דימה תוקף זדוני והציף את המערכת בתיקים מאגדים רבים שנפתחו כולם על ידי אותו משתמש באותו היום. הצפת המערכת בטופסי בקשה או בנתונים רבים עלולה למנוע מהמערכת לספק שירות".