משרדי ממשלה העלו מערכות לענן הציבורי בלי אישורי סייבר

אין לאף גורם מיפוי מלא של המערכות הממשלתיות בענן, מכרז נימבוס עדיין לא תם ומשרדי הממשלה נכשלו בלממש החלטה שקיבלו ב-2016, לפיה אזרחים לא יצטרכו למסור מידע יותר מפעם אחת • דוח מבקר המדינה על שירותי הענן והשירותים הדיגיטליים במשרדי הממשלה מציג תמונה מדאיגה

מבקר המדינה מתניהו אנגלמן / צילום: ניב קנטור
מבקר המדינה מתניהו אנגלמן / צילום: ניב קנטור

באוקטובר 2014 קיבלה הממשלה החלטה על העברת תשתית התקשוב של משרדי הממשלה למחשוב ענן. החלטה זו נועדה ליהנות מהיתרונות הטכנולוגיים שמציע השימוש במחשוב ענן על פני ניהול שרתים מקומי, מבחינת חיסכון בעלויות הון, גמישות תפעולית, עמידות ושרידות. ביקורת שערך מבקר המדינה מתניהו אנגלמן בחודשים מרץ-אוקטובר 2020 בחנה את אופן יישום אותה החלטה.

בעקבות החלטת הממשלה, מינהל הרכש הודיע ב-2019 על כוונתו לפרסם מכרז מרכזי לאספקת שירותי ענן ציבורי עבור המערכת הממשלתית (מכרז נימבוס). המכרז יצא לדרך בתחילת 2020 ובשלב המרכזי שלו זכו השנה שתי ספקיות ענן - אמזון וגוגל, שגברו על אורקל ומיקרוסופט, ואמורות לספק את שירותי הענן למדינה.

אלא שתהליך המכרז עדיין לא תם, משום שהמדינה טרם בחרה ספקים שיסייעו למשרדי הממשלה לבצע את ההעברה לענן ויבצעו בקרה על צריכת שירותי הענן בפועל על ידי המשרדים. לפי מבקר המדינה, טרם הוגדר לוח זמנים לסיום המכרז כולו על ידי מינהל הרכש ורשות התקשוב הממשלתי.

אין לאף אחד מיפוי מלא ועדכני של המערכות הממשלתיות בענן

עד שמכרז נימבוס יושלם, משרדי ממשלה יכולים להתקשר עצמאית ולרכוש שירותי ענן ציבורי כדי לתת מענה לצרכים המיידים שלהם. נכון למועד סיום עבודת המבקר, ההצטרפות לענן הייתה נמוכה ורק 100 מתוך אלפי מערכות מידע ותשתיות מחשוב הקיימות בממשלה היגרו לענן. אלא ש-100 אינו בהכרח המספר המלא, כיוון שלפי אנגלמן, אין בידי אף גורם ממשלתי, כולל רשות התקשוב, מיפוי מלא ועדכני של המערכות הממשלתיות בענן.

בתחילת 2016 הוקמה ועדה מייעצת של מומחים לבדיקת נושאי סייבר הקשורים למעבר למודל של ענן ציבורי. ועדה זו, הכוללת נציגים מרשות התקשוב, מערך הסייבר ורשות הגנת הפרטיות, אמורה לאשר העלאה של מערכות ממשלתיות לענן, כדי למנוע למשל חשיפה של מידע רגיש. אולם בדיקת מבקר המדינה מצאה כי במשרדי הממשלה פועלות כ-10 מערכות בסביבת ענן שלא התקבל לגביהן אישור הוועדה המייעצת בניגוד להנחיות.

"היעדר בחינה של הוועדה עלול להביא להתממשות סיכוני אבטחת מידע משמעותיים במערכות אלו", כותב המבקר. לפי המבקר, למערך הסייבר אין גם יכולת לפקח ולבקר כי הנחיותיו בכל הנוגע למעבר לענן אכן יושמו בפועל על ידי משרדי הממשלה.

בנוסף מצא אנגלמן כי שורה של נושאים לא נבדקו על ידי משרדי הממשלה לפני שהעלו מערכות לענן. למשל לא כל משרדי הממשלה בדקו את התנאים במסגרתם יוכלו להתנתק מספק שירותי הענן בעתיד ולחזור למערכת שרתים מקומית עצמאית. במרבית המשרדים סברו כי הבחירה בספק בעל שם עולמי מייתרת בדיקות מסוג זה.

בשניים מתוך שלושה פרויקטים להקמת מערכת בסביבת ענן שנבחנו על ידי מבקר המדינה, פרויקט אחד של משרד הבינוי והשיכון והשני של משרד ראש הממשלה, הוחלט להתקשר עם ספק יחיד ללא מכרז, אף שניתן היה לקיים הליך מכרזי.

סטארט-אפ ניישן? משרדי הממשלה נשארו מאחור

בשנים האחרונות נוצר גידול בצריכת שירותים דיגיטליים בהיבטים רחבים. ההתפתחות הטכנולוגית מאפשרת למשרדי הממשלה לייעל תהליכי שירות עבור הציבור. אחד התהליכים שקודמו בממשלה היה "מדיניות פעם אחת", משמע קבלת מידע מהאזרח פעם אחת בלבד ושיתופו בין גופי הממשלה השונים לצורך מתן שירותים, בלי שהאזרח יידרש למסור אותו בכל פעם מחדש.

בשנת 2016 החליטה הממשלה לאמץ את המדיניות הזו במשרדי הממשלה וביחידות הסמך, כדי להפחית בין היתר את הנטל הבירוקרטי. לצורך ההשוואה, על פי נתונים שהוצגו בדוח, העלות של שירות פרונטלי היא פי 50 לעומת העלות של אותה פעולה בדיגיטל.

כחלק מתהליך הבדיקה של המבקר, נבדקו רשות התקשוב הממשלתית, שהייתה תחת אחריותו של השר לשעבר דוד אמסלם. נעשו בדיקות גם במיזם ישראל דיגיטלית, מערך הסייבר הלאומי והמוסד לביטוח הלאומי. לפי הדוח, "עוד ארוכה הדרך ליישום מלא של החלטת הממשלה משנת 2016, שקבעה כי החל משנת 2021 משרד ממשלתי לא יבקש מהציבור, לשם מתן שירות, אישור שהנפיק משרד ממשלתי אחר". לדוגמא - משרד ממשלתי המבקש תצלום תעודת זהות, מסמך המונפק על ידי משרד ממשלתי אחר. בין שירותי משרדי הממשלה, תצלום תעודת זהות נדרש ב-261 שירותים שונים.

דוד אמסלם.  הצעות החוק לפיזור הכנסת צפויות לעלות בדקות הקרובות / צילום: דני שם טוב - דוברות הכנסת
 דוד אמסלם. הצעות החוק לפיזור הכנסת צפויות לעלות בדקות הקרובות / צילום: דני שם טוב - דוברות הכנסת

הממשלה לא הצליחה לממש את היעד שלה מ-2016

התמונה המוצגת בדוח מתארת מציאות חסרה - משרדי הממשלה לא ממהרים ליישם את המדיניות ולא מרגישים מחויבים להחלטה. אופן הביצוע, שלוקה בחסר, פוגע בעיקר באוכלוסיות חלשות.

מבין 30 משרדים שהציבו יעדים בתוכנית העבודה שלהם ל-2019, רק 9 משרדים דיווחו על יישום מתוכנן בחמישה שירותים דיגיטליים חדשים או יותר. למעשה, אחת ההמלצות של מבקר המדינה היא שנדרשת מחויבות גבוהה של המשרדים לנושא.

עוד המלצות: על רשות התקשוב וישראל דיגיטלית לקבוע לוחות זמנים ויעדים להתקדמות בפעולות לתיקוף השירותים הממשלתיים מול המשרדים. עליהם לעקוב אחר פעילות המשרדים השונים ולדווח לממשלה, לצד שילוב של גופים אחרים כמו רשויות מקומיות ובתי החולים.

על רשות התקשוב להגדיל את מעטפת התמיכה בתהליך ההטמעה ועליה לבצע סקר סיכוני אבטחת מידע במערכת כדי למנוע אירועים בעייתיים. משרד מבקר המדינה קורא לתהליך ברור: מיפוי השירותים הממשלתיים במשרדים השונים, עבודה במערכת מחשוב לניהול עבודת הוועדות להעברת מידע בין המשרדים, הצבת יעדים לפעולה וחיבור לשדרת המידע.

הוקמה מערכת לייעול העברת מידע, אך המשרדים לא מחוברים אליה

בדוח מדברים על מערכת מחשוב שנועדה לייעל את תהליך העברת המידע בין גופים ציבוריים ומשרדים. המערכת עצמה הוקמה, אך המשרדים והגופים לא התחברו אליה. בין הגופים שטרם התחברו למערכת היו גם גופים שטיפלו בבקשות רבות להעברת מידע - כמו משרד הבריאות (43 בקשות), הביטוח הלאומי, משרד הביטחון ורשות המיסים. בשנת 2019, זמן הטיפול הממוצע בבקשה היה יותר מחצי שנה. בשנת 2020, יותר משלושה חודשים.

בבדיקה התברר כי המידע של שירותי הממשלה מנוהל בארבעה מאגרים שונים. רשות התקשוב הציעה לבנות קטלוג שירותים ממשלתי אחוד, שיציג תמונת מצב מלאה של גורמי המטה ויהווה כלי אפקטיבי למשרדים.

"הקטלוג האחוד ישמש מסד נתונים, שיהיה רשימת מקור, ובו יעודכנו שדות המידע המרכזיים על רשומת השירות. מסד נתונים זה יהיה פתוח וזמין הן לשימוש המשרדים במערכת מרכזית, והן לצריכתו באמצעות ממשק ולשימוש בו במערכות התפעוליות של המשרד עצמו. בפברואר 2021 מסרה רשות התקשוב בתשובתה כי השלימה לאחרונה את איסוף הנתונים מהמשרדים והיא נמצאת בתהליך ניתוחם לקבלת תמונת המצב הממשלתית, וכי בחודשים הקרובים יפורסם דוח ובו הנתונים העדכניים", נכתב.

צרו איתנו קשר *5988