פרויקט המחשוב הממשלתי ממשל זמין לא יישם בהיבטים שונים הוראות ונהלים בתחום אבטחת המידע, ובכך גדלה רמת הסיכון לפגיעה בתשתיות המחשוב ובשירותי המחשוב למשרדי ממשלה וגופים ציבוריים. כך קובע (יום ד', 17.7.13)
מבקר המדינה,
יוסף שפירא.
בשנת 1997 החל אגף החשב הכללי בפרויקט להסדרת תשתית האינטרנט למשרדי הממשלה (תהיל"ה) ובשנת 1999 החל בביצוע תת-פרויקטים במסגרת "פרויקט ממשל זמין". במאי 2002 החליטה הממשלה לבסס את מימוש "פרויקט ממשל זמין" מול הציבור באמצעות פרויקט תהיל"ה שייעל את זרימת המידע בין הממשלה לציבור ולהפך, על-ידי יצירת מנגנון מאובטח ברשת האינטרנט, המקשר בין "מערכת רוחבית כוללת במשרדי הממשלה" (מרכב"ה) ומערכות המידע הממשלתיות לבין הציבור (ממשל זמין או תהיל"ה).
למרות ההיקף העצום של פעילות ממשל זמין, מוצא המבקר שורה של ליקויים באבטחת המידע. רק בדצמבר 2010, כחמש שנים לאחר פרסום נוהל "מדיניות אבטחת המידע" של ממשל זמין, מונתה ועדת היגוי בנושא זה. ואולם, הרכבה לא תאם את ההרכב שנקבע בנוהל; היא לא התכנסה מאז מינויה בשנת 2010; חלק מחבריה עזבו ולא מונו להם מחליפים. מאחר שהוועדה לא התכנסה כלל, היא לא מילאה את תפקידה כנדרש בנוהל, לרבות גיבוש ועידכון המדיניות בתחום אבטחת המידע, התוויית אסטרטגיות פעילות, פיקוח על תוכניות העבודה השנתיות, הערכת נזקים שנגרמו מתקלות וגיבוש המלצות לטיפול בהן.
אין תרגילים להתאוששות מנהל אבטחת מידע בממשל זמין לא מילא חלק מהתפקידים שהוגדרו לו בנוהל מדיניות אבטחת מידע. מדובר, בין היתר, בקביעת רמת האבטחה הנדרשת לכל סיווג; בהגדרת אמצעי טיפול ותהליכי טיפול באבטחת רשומות; בהתוויית רמת האבטחה המחייבת בעבור רכיביהן השונים של מערכות המחשוב והתקשורת; בהגדרה ובהענקה של הרשאות גישה למשתמשים על-פי נוהל המדיניות; ובקיום ביקורות על הפעילויות הנערכות במידע.
למרות ההוראות המחייבות שנקבעו בנושא תוכנית שיקום מאסון, ואף שכבר משנת 2008 קיימים אתר חלופי ותוכנית מפורטת להפעלת מערך השיקום מאסון ונקבעה תדירות התרגול הנדרשת, לא נערכו התרגילים כנדרש. במאי 2012 פרסמה מחלקת אבטחת המידע טיוטת נוהל תפעולי שכותרתו "פעולות לביצוע בעת מתקפת מניעת שירות". התברר שהטיוטא לא אושרה לא על-ידי מנהל אבטחת מידע ולא על-ידי ועדת ההיגוי של ממשל זמין.
לממשל זמין אין הסכם עם אף לא אחד מלקוחותיו המגדיר מי הם מורשי הגישה למאגרי המידע של הלקוח כנדרש בחוק הגנת הפרטיות. ממשל זמין גם לא מסר דיווח שנתי לרשות למשפט, טכנולוגיה ומידע שבמשרד המשפטים, כנדרש בחוק הגנת הפרטיות, ובתוקף היותו מחזיק במאגרים של בעלים שונים.
אישור למרות התקלות מנור"ה (מערכת ניהול ותיעוד הרכש הממשלתי) הופעלה במרס 2010, למרות הימצאותן של בעיות במערכת בתחום אבטחת המידע. אישור זמני להפעלת המערכת, שנתן מנהל אבטחת מידע, כשנה וחצי לאחר שהמערכת הופעלה ולאחר שנוהלו בה תשעה מכרזים - ניתן, אף על-פי שלא כל הבעיות במערכת טופלו, כפי שעלה בדוח שעשה צוות בדיקה של ממשל זמין.
לנוכח הליקויים שהועלו בדוח, ממשיך שפירא, נדרשת הנהלת ממשל זמין לנקוט כמה וכמה פעולות. עליה לקבוע את הסיכונים הנשקפים לכל הפרויקטים בממשל זמין ואת רמת הסיכון הנשקפת מכל אחד מהם; אין להכפיף את מנהל אבטחת מידע בממשל זמין באופן שיפגע בעיקרון אי-התלות שלו; יש ליישם תוכניות התאוששות מאסון והמשכיות עסקית בכל הנוגע לתשתית המידע הקריטי שלו, ולבדוק ולתרגל במלואן את ישימותן הן מהבחינה הטכנולוגית והן מהבחינה האנושית. על הנהלת ממשל זמין לבצע את פעולות ההדרכה הדרושות בתחום אבטחת מידע, לרבות הכנת תוכנית הדרכה שנתית ומימושה, וכן בקרה על מידת הטמעתן של ההוראות וההנחיות בתחום זה.
