מבקר המדינה בדו”ח החדש שלו: “על משרד התיירות להקפיד שסביבת העבודה הממוחשבת תהיה בטוחה ובכלל זה עליו לשמור על אבטחת המידע המועבר בדוא”ל כדי שעובדי המשרד יוכלו להתכתב באמצעות מערכת ממוחשבת זו ללא חשש מפריצות אליה”

משרד מבקר המדינה פירסם ב- 8 במאי 2018 את דו”ח מבקר המדינה 68ג’. אחד הפרקים בדו”ח עוסק במשרד התיירות.

בפברואר 2017 קיבל משרד מבקר המדינה תלונה על שני מכרזים לאיוש מישרות במשרד התיירות והנושא נבדק ע”י משרד המבקר.

במסגרת הליך הבדיקה לגבי אחד משני המכרזים הללו ולתכתובות של דואר אלקטרוני, “הועלה כי במשרד התיירות התעורר בעבר חשד לפריצה לתיבות דוא”ל של עובדים.

“יועצת המנכ”ל השיבה למשרד מבקר המדינה כי ‘נושא הפריצה למחשבים שלי ושל גורמים נוספים במשרד הוא נושא אשר לצערי לא טופל בזמן ולא נחקר כראוי … ביקשתי לטפל בנושא מספר פעמים, מייד לאחר הפעם הראשונה … בסוף שנת 2014 ואף ביקשתי לפנות למשטרה  בנושא מספר פעמים’.

“מתשובת היועצת עולה כי בתקופה שבוצע ארגון-מחדש במשרד היו חיכוכים בין מנכ”ל המשרד [אמיר הלוי] לבין עובדים בו וציינה: ‘הופנו אלי כעסים רבים מצד עובדי המשרד מאחר ולתפיסתם … הייתי צריכה לפעול ביחד איתם מול ההנהלה’. עוד ציינה בתשובתה: ‘לא מצאתי שום תיעוד לכך שהמייל נשלח על ידי’.

“משרד התיירות כתב בתשובתו שמנכ”ל המשרד התלונן לפני המשטרה עוד בשנת 2014, בין השאר, על הפצת מסמכים בלשכתו ועל חשד לפריצה למחשבים ואף פנה לגורמים המופקדים על המערכות הפיננסיות בדבר ניתוק כרטיסי עובד מהמערכות האלה.

“המשרד הוסיף כי כיוון שלא התקבלו מימצאים הנוגעים לתלונה שהוגשה למשטרה, וכיוון שאירעו מקרי דלף מידע נוספים בשנתיים האחרונות, הוחלט לפנות לגורמים הממונים על נושא אבטחת מידע וסייבר ממשלתיים.

“ביולי 2017, במהלך הביקורת, פנה מנכ”ל משרד התיירות לרשות התקשוב הממשלתי במשרד ראש הממשלה בבקשה שהיא תבצע בדיקה במערך אבטחת המידע במשרד. בעקבות כך, היחידה להגנת הסייבר בממשלה, הפועלת ברשות התקשוב הממשלתי, חקרה אירוע דלף מידע במחשבי משרד התיירות.

“בדו”ח החקירה מאוגוסט 2017 צויין שנבדקו, בין היתר, אירועים מסויימים שבהם נעשה שימוש בדוא”ל של עובדים מסויימים במשרד. בסיכום הדו”ח נכתב: ‘נוכח העובדה כי עבר זמן רב מאז אירעו האירועים המתוארים ולא היו קיימים רשומות היסטוריות של שליחת מיילים ומידע אודות פרטי משתמשים ואופן הזדהותם במערכת ניהול משתמשים … הבדיקות שבוצעו לא הניבו תוצאות ערכיות/; ‘ניתן להניח ברמת סבירות גבוהה כי יעד ההתקפה הי[ה] תיבתה ו/או מחשבה של עוזרת המנכ”ל’.

“היחידה להגנת הסייבר בממשלה ציינה בתשובתה למשרד מבקר המדינה מנובמבר 2017 שהגישה הלא-מורשית לתיבת הדוא”ל אירעה בשנת 2014; באותה עת לא נאכפה במשרד התיירות מדיניות למניעת גישה לא-מורשית לתיבות הדוא”ל; כיום המצב שונה ואין בסיס להנחת היסוד ולפיה תיבות הדוא”ל פרוצות.

“יוצא איפוא כי רק במהלך הביקורת של משרד מבקר המדינה, כשלוש שנים לאחר שהועלו חשדות לפריצה לדוא”ל של עובדים במשרד התיירות, מוצתה בדיקת החשדות והועלו מימצאים אשר חייבו נקיטת פעולות לאכיפת מדיניות לגישה לא-מורשית לתיבות דוא”ל.

“מנכ”ל משרד התיירות השיב למבקר המדינה כי הוא פועל להגברת אבטחת המידע בקרב העובדים ולהסדרת ליקויי הבטיחות שהועלו בדו”ח של היחידה להגנת הסייבר.

המבקר מסיים את דבריו בנושא באומרו כי “לנוכח האמור בדו”ח של היחידה להגנת הסייבר, על משרד התיירות להקפיד שסביבת העבודה הממוחשבת תהיה בטוחה ובכלל זה עליו לשמור על אבטחת המידע המועבר בדוא”ל כדי שעובדי המשרד יוכלו להתכתב באמצעות מערכת ממוחשבת זו ללא חשש מפריצות אליה”.

= = = = = = = = = = = = = = = = = = = =

כמקובל, אגף המפקח הכללי לענייני ביקורת המדינה במשרד ראש הממשלה פירסם ב- 8 במאי 2018 את הערות ראש הממשלה לדו”ח מבקר המדינה 68ג’. כאן מובא תקציר הדברים בכל הנוגע לתגובת משרד התיירות לביקורת הספציפית של משרד מבקר המדינה בהקשר של אבטחת המידע:

“מנכ”ל המשרד פנה למשטרה עוד במהלך השביתה בשנת 2014 והגיש תלונה על הפצת מסמכים מלשכת המנכ”ל, ניתוק כרטיסי העובדים מהמערכות וחשד בפריצה למחשבים.

“המשטרה קיימה מספר בדיקות בנושא וחוקרים אף הגיעו לבדיקות במשרד. בנוסף, המנכ”ל פנה מיידית למינהל ביטחון (מנב”ט) משרד האוצר בנושא ניתוק כרטיסי העובד מהמערכות הפיננסיות.

“זאת ועוד, התקיימה פגישה בנושא האמור שבעקבותיה הוחלט על קיום בדיקה של כל המערכות הפיננסיות ופעילות ההגנה בסייבר המשרדית.

“מאחר ובסופו של דבר לא התקבלו ממצאים לגבי התלונה שהוגשה למשטרה בשנת 2014, ואירועים נוספים דלפו בשנתיים האחרונות, הוחלט בשנת 2017 לפנות בפנייה רשמית לאמונים על נושא אבטחת מידע והסייבר הממשלתיים.

“המשרד מבהיר כי לא פנה לבדיקות נוספות בין המועדים המפורטים לעיל מחשש לייצר הדים סביב הנושא ולאור הרגישות והמורכבות שבדברים. המשרד רואה בחומרה רבה מקרי דלף מידע ועל-כן מבוצעות פעולות להגנה בסייבר ולהגברת אבטחת המידע בקרב העובדים.

“המשרד מציין כי הופקו הלקחים והליקויים שנמצאו בדו”ח הביקורת תוקנו או נמצאים בהליך טיפול על ידי הממונה על הגנת הסייבר ובמינהל מערכת מידע במשרד. משרד התיירות נמצא בהליך גיבוש מכרז להתקשרות עם יועץ מתודולוגיה להגנה בסייבר.

… “המשרד פועל להגברת אבטחת המידע בקרב העובדים ולהסדרת ליקויי הבטיחות שהועלו בדוח של היחידה להגנת הסייבר.  הליקויים שנמצאו בדוח תוקנו או נמצאים בהליך טיפול על ידי הממונה על ההגנה בסייבר ומנמ”ר המשרד”.