משרד האוצר: לא מבוצעת בקרה או בדיקה (אנושית או ממוכנת) של דפוסי השימוש במערכת מרכב”ה כדי לזהות דפוסי שימוש חריגים או חשודים ובתוכנית העבודה לשנת 2018 לא מתוכנן יישום בקרה

בוועדת המדע והטכנולוגיה של הכנסת בראשות ח”כ אורי מקלב התקיים (15.5.2018) דיון בנושא “צעדים למניעת שימוש לרעה במאגרי מידע: מערכת מרכב”ה (לניהול משאבי המדינה) – ישיבת מעקב”. בדיון השתתף בין היתר עוזי שר סגן בכיר לחשב הכללי, משרד האוצר. הוועדה פירסמה הודעה לעיתונות המסכמת את הישיבה וניתן לקרוא אותה כאן.

היום גם דווח בוועדה על דו”ח חדש של מרכז המחקר והמידע (ממ”מ) של הכנסת בנושא “הגנה על מידע במערכת מרכב”ה.” הדו”ח הוכן לבקשת יו”ר הוועדה והוא מציג מידע על מערכת מרכב”ה ועל ההגנה מפני שימוש לרעה או דליפות מידע מן המערכת. הוא נכתב ע”י רועי גולדשמידט ואושר ע”י ראשת צוות שלי לוי, שניהם מהממ”מ.

לידי Read IT Now הגיע עותק של הדו”ח ולהלן מתפרסמים מספר קטעים ממנו.

בדברי הרקע על המערכת נאמר במסמך כי “פרוייקט מרכב”ה (מערכת רוחבית כוללת במשרדי הממשלה) הוקם ביוזמת אגף החשב הכללי במשרד האוצר כדי ליצור מערכת מידע רוחבית ואחידה במקום מערכות ממוחשבות נפרדות ושונות במשרדי הממשלה השונים.

“המערכת נועדה לשפר ולייעל את התהליכים המנהליים של משרדי הממשלה ושל יחידות הסמך תוך יישום והטמעה של נהלים אחידים ושל תשתית אחידה בתחומים שונים, בהם: כספים,  לוגיסטיקה, כוח אדם וניהול נכסי המדינה.

“פרויקט מרכב”ה גם נועד לשפר את השקיפות והדיווחיות של משרדי הממשלה ובכך לאפשר שליטה טובה יותר במשאבי המדינה ולצמצם את הכפילויות בהליכים שונים דוגמת רכש ותמיכות.

“יוזמי הפרויקט החליטו ליישם את המערכת באמצעות תוכנה לניהול משאבי הארגון [Enterprise Resources Planning, ERP] ופיתוח מרכב”ה החל בשנת 2001”.

על-פי נתונים שהתקבלו בממ”מ  מנציג החשב הכללי במשרד האוצר, כיום נעשה שימוש במערכת מרכב”ה ב- 79 משרדי ממשלה ויחידות סמך. פריסת המערכת במשרדים השונים הושלמה, למעט בנציגויות של משרד החוץ, שבהם השקת המערכת החלה בנובמבר 2016 ועד כה היא הופעלה בחמש נציגויות בלבד מתוך כמאה נציגויות ברחבי העולם.

לפי תשובת האוצר לממ”מ, מערכת מרכב”ה משמשת את משרדי הממשלה הן לשם ניהול תהליכים ארגוניים שונים בתוך המשרד והן אל מול גופים חיצוניים דוגמת ספקים בניהול שוטף של תהליכי רכש.  על-פי נתוני נציג אגף החשב הכללי במשרד האוצר,  כיום יש למערכת מרכב”ה 10,163 משתמשים בעלי גישה לשימושי ליבה של המערכת,  בהם 8,645 עובדי מדינה בעלי גישה לשימושי ליבה משרדיים של המערכת, דוגמת כספים, מכירות ומשאבי אנוש ועוד 1,518 עובדים שאינם עובדי מדינה (בהם יועצים, אנשי מחשוב, רואי חשבון ועוד) בעלי גישה לשימושי ליבה בהתאם להרשאות לפי תחומי עיסוקם.

“מכאן שכ- 15% מבעלי הגישה לשימושי ליבה של מרכב”ה אינם עובדי מדינה, אלא מועסקים בהעסקה לא-ישירה”, קובע המסמך.

עוד קובע המסמך של הממ”מ כי בנוסף ישנם כ- 33,000  משתמשי מרכב”ה שניתן לכנותם “חיצוניים”, ובהם עובדי מדינה המשתמשים במערכת לדיווח שעות נוכחות; ספקים המגישים הצעות מכרזים באמצעות המערכת; גופים מבקשי תמיכות ועוד.

“בניגוד למשתמשים הפנימיים, המשתמשים החיצוניים ובהם עובדי המדינה שאינם בעלי גישה לשימושי ליבה של המערכת, נגישים רק למידע אותו הם מזינים ולסטטוס שלו לבד מריבוי המשתמשים במערכת,  היא כוללת מידע רב,  בתוכו מידע רגיש”.

מחבר המסמך אומר כי “המידע המצוי במערכת מרכבה כולל מידע עסקי ומידע אישי רב הנוגע הן לעובדי משרדי הממשלה ויחידותיה והן לאזרחים“.

“… מכל האמור לעיל: היקפי המידע המצוי במערכת; קיומו של מידע רגיש ומספר רב יחסית של משתמשים הנגישים למידע,  עולה הצורך בהגנה על מידע זה ובמניעת גישה בלתי מורשית או שימוש לרעה בו.  הכלי העיקרי של מערכת מרכבה לבקרה ומניעת זליגה ושימוש לרעה במידע הוא ניהול הרשאות גישה לבעלי תפקיד שונים לפרטי מידע שונים“.

בהמשך המסמך נאמר כי על פי תשובת נציג משרד האוצר,  הרשאות הגישה לעובדי המדינה ניתנות ככלל ללא הגבלת זמן ומופסקות לאחר סיום עבודת העובד. באשר לגישה של עובדים שאינם עובדי מדינה למידע במרכבה – על פי תשובת נציג משרד האוצר, כ- 85% מבעלי הגישה לשימושי הליבה של מערכת מרכב”ה הם עובדי מדינה, אך כאמור בתחומי המחשוב,  הייעוץ וראיית החשבון ישנם בעלי גישה שאינם עובדי מדינה.  עלפי הנוהל, הרשאות הגישה של עובדים אלה יש להגביל לשנה או פחות מכך (והכל בהתאם להנחיות ונהלי העבודה של המשרד)”.

עוד מצביע המסמך על כך שבתשובה לפניית מרכז המחקר והמידע של הכנסת ציין נציג משרד האוצר כי לא מבוצעת בקרה או בדיקה (אנושית או ממוכנת) של דפוסי השימוש במערכת כדי לזהות דפוסי שימוש חריגים או חשודים ובתוכנית העבודה לשנת 2018  לא מתוכנן יישום בקרה כאמור.

“מן האמור משתמע כי כלי התיעוד והניטור הקיימים במערכת הם חלקיים,  שכן הם אינם כוללים את מלוא המידע ביחס למי שצופה במידע ולא מבצע בו שינויים. בנוסף,  ייתכן כי גם בכלים הקיימים נעשה שימוש חלקי או מוגבל וזאת הן בשל איביצוען של בקרות ייעודיות על דפוסי השימוש על ידי המשרדים עצמם או הנהלת מרכבה והן בשל העובדה כי גם במקרים בהם ישנו רצון מצד המשרדים או יחידות הסמך לבדוק את דפוסי הפעילות הם נדרשים לפנות לצוות מרכבה במשרד האוצר לשם הפקה או קבלת המידע“.

עוד נאמר במסמך כי “כלל המשרדים אליהם פנינו ציינו כי הם לא נתקלו או אינם מכירים מקרים של גניבת מידע או שימוש לרעה במידע ממערכת מרכב”ה. נציג רשות הגנת הפרטיות (המפעילה יחידת אכיפה בנושאי הגנה על מידע אישי)  ציין בתשובתו כי הרשות לא ניהלה אי פעם הליך אכיפה פלילי או מינהלי בנושא מערכת מרכב”ה ולא הגיעו אליה פניות בנושא … מכל האמור עולה כי לא ברור האם היעדר עדויות לשימוש לרעה או גניבת מידע מעיד על אי קיומה של התופעה או על כלי פיקוח ובקרה מוגבלים לשם חשיפתה”.

אגב, עפ”י רשימת “בעלי הרשאות גישה לשימושי ליבה של מערכת מרכבה בפילוח לפי שיוך ארגוני” המופיעה כנספח במסמך, במשרד התקשורת יש 45 בעלי הראשה שהם עובדי מדינה, שבעה נוספים “אחרים” ובסך הכל 52 בעלי הרשאות גישה במשרד.

הערה: כלל ההדגשות כאן בטקסט מופיעות במקור.

חדשות