רמת ההגנה על המידע ברשתות מסווגות במשרד ראש הממשלה נמוכה מרמת ההגנה הנדרשת, ואינה עומדת בדרישות הגורם המאסדר. זאת, אף שמשרד רה"מ הוא יעד המצוי באיום תמידי ברמת חומרה קריטית. הותרת רשתות מסווגות של המשרד ברמת הגנה נמוכה עלולה להביא לפגיעה מהותית במדינת ישראל בהיבטים מדיניים, ביטחוניים, כלכליים ותדמיתיים. כך מתריע (23.7.24) מבקר המדינה, מתניהו אנגלמן. "במערכות הממוחשבות במשרד רה"מ אצור מידע רב, לרבות מידע רגיש, מידע שמסווג כחסוי מהבחינה הביטחונית ומידע ברמת סודיות גבוהה ביותר. פגיעה במידע זה, לרבות דליפת המידע, שיבושו או פגיעה בזמינותו, עלולה לגרום לנזק ממושך חמור מאוד לביטחון מדינת ישראל או למערכותיה החיוניות, על אחת כמה וכמה בעיתות מלחמה, כאשר כמות תקיפות הסייבר עולה. ההגנה הנדרשת על המידע המסווג שבידי משרד רה"מ היא ברמה הגבוהה ביותר", נאמר בדוח. המדיניות של משרד רה"מ לגבי הגנה על המידע הבלתי-מסווג אושרה בנובמבר 2018 ולא עודכנה במשך 4.5 שנים, כנדרש בהנחיות הגופים המאסדרים, אף על-פי שבשנים האלה חלו שינויים ארגוניים ניכרים בתחום. משרד רה"מ ביצע סקר סיכונים שלא על-פי הנדרש בהנחיות. ועדת ההיגוי לא עסקה כנדרש בממצאי המדד שגיבש יה"ב (הבוחן בקרה ניהולית של המשרד הממשלתי בתחום הגנת הסייבר), אף על-פי שהציון הכולל של המשרד ירד מ-86 ל-68. משרד רה"מ אינו מנהל כראוי את הרשאות הגישה לרשתות הממוחשבות שלו. נמצאו ליקויים במערך ההזדהות שקבע ויישם המשרד, המאפשרים גישה לרשתות שלו, לרבות בנוגע להחלפה עיתית של סיסמאות הגישה, שלא על-פי ההוהל המשרדי. "ליקויים אלה פוגעים ברמת ההגנה של המערכות ומסכנים שלא לצורך את השלמות, הסודיות והזמינות של המידע האצור ברשתות המשרד ומחייבים תיקון מיידי", קובע אנגלמן. משרד רה"מ מאפשר גישה לרשתות גם באמצעות חשבונות שלא נעשה בהם שימוש (43%-18% מהחשבונות ברשתות שנבחנו נותרו פעילים, אף שהיו צריכים להינעל בשל אי-השימוש בהם). המשרד מאפשר גישה כזאת גם באמצעות חשבונות של עובדים שסיימו זה מכבר את עבודתם בו. הדבר מאפשר לגורמים לא מורשים - פנימיים או חיצוניים - לצפות במידע ולהשתמש בו, ולפיכך מהווה סיכון מהותי למידע האצור ברשתות.

שרתים ורכיבים ללא תמיכה

ממצאי הביקורת העלו חשד שעובדים לשעבר השתמשו בחשבונותיהם לאחר סיום העסקתם, או שגורמים אחרים, במשרד או מחוצה לו, השתמשו בחשבונות עובדים שהעסקתם הסתיימה, תוך שהם נחשפים למידע המצוי ברשתות משרד רה"מ שלא היו אמורים להיחשף אליו ומסוגלים לבצע פעולות שאינם אמורים לבצע. בין היתר נעשה שימוש בחשבונו של שר לשעבר ובחשבונו על בעל תפקיד בכיר במשרד רה"מ, שסיימו את כהונתם זה מכבר. חשדות אלה מחייבים בדיקת עומק ממצה של כל אחד מהמקרים שעלו, כדי לאמת או לשלול כל אחד מהחשדות, מדגיש אנגלמן. ברשת מסוימת אותרו שרתים ומספר רכיבי תקשורת שמצויים לאחר מועד סוף התמיכה, ולכן הם חשופים לפגיעויות שהתגלו בהן. השימוש ברכיבים אלה הוא בניגוד להנחיות הגופים המאסדרים; כפי הנראה, לא ניתן מענה אבטחתי מתאים לרכיבים אלה, כך שהשימוש בהם נעשה גם בניגוד לתקנות הגנת הפרטיות7. ברשתות שנבחנו פועלים שרתים ומספר רכיבי תקשורת שבהם מותקנת מערכת הפעלה מגרסה מסוימת, שמועד תום מחזור החיים שלה עבר זה מכבר (27%-17% מהשרתים ברשתות שנבחנו). שרתים אלה חשופים לפגיעויות שיתגלו במערכת ההפעלה שלהם, והשימוש בהם הוא בניגוד להנחיות הגופים המאסדרים. משרד רה"מ לא הקפיד על התקנה במועד של העידכונים הנדרשים במערכות הפעלה של שרתים, ועקב כך נותרו מערכות המידע שלו חשופות לפגיעויות שונות, לרבות פגיעויות שנעשה בהן שימוש תדיר על-ידי תוקפי סייבר ברחבי העולם. בחלק ניכר מהשרתים יש איחור של שישה חודשים לפחות בהתקנת עידכוני אבטחה קריטיים, נכון למועד הבדיקה (יולי 2023).