דו''ח מבקר המדינה: ליקויי אבטחת מידע והגנת סייבר ברשות מקרקעי ישראל  

"ברשות מקרקעי ישראל (רמ"י) קיימים מיליוני תיקים סרוקים, הנוגעים לזכויות על מקרקעין. מאות אלפי כניסות נעשות לאתר רמ"י מדי חודש. לכן, קיימת חשיבות מיוחדת להגנת הסייבר ברמ"י ועליה לפעול לתיקון הליקויים שנמצאו… כדי לתת מענה מלא באירועי חירום, ובכלל זה להבטיח את היכולת לחזור בהקדם האפשרי לפעילות תקינה וסבירה, על רמ"י לפעול לתיקון הליקויים שעלו", כך קובע מתניהו אנגלמן, מבקר המדינה.

המבקר פרסם היום (ג') את הדו"ח השנתי שלו בנושאים ביטחוניים, שאינם קשורים למלחמת "חרבות ברזל" – ובנושאים אחרים. אחד הנושאים שנבדקו היה אבטחת המידע והגנת הסייבר ברשות. על חלק מהממצאים שבדו"ח, לרבות בנושא זה – הוטל חיסיון בידי הוועדה לענייני ביקורת המדינה.

לפי המבקר, "רוב המידע שרמ"י אוספת, שומרת ומנהלת הוא מידע רגיש על נכסי מקרקעין, הכולל נתונים אישיים ועסקיים. רמ"י נדרשת להגן על סודיות המידע, אמינותו, זמינותו ומהימנותו, ועליה לוודא כי הנתונים לא ישונו, לא יימחקו וייחשפו רק למי שמורשה לגשת אליהם. רמ"י נדרשת לפעול בהתאם להוראות הדין, ובכלל זה חוק הגנת הפרטיות. לפי רמ"י, האיומים עליה הם פנימיים וגם חיצוניים".

המבקר מצא, כי מאז שוועדת היגוי סייבר ברמ"י התכנסה בראשונה ב-2017, היא לא פעלה לאישור, מיפוי וסיווג של נכסי המידע של רמ"י. "אף שבוצעו סקרי סיכונים רבים, לא התקיימו דיונים בוועדת הסייבר לגבי התוכניות להפחתת הסיכונים שעלו ולאופן ההתמודדות עימם", נקבע. "ועדת ההיגוי לא יזמה ולא גיבשה סקרי הנהלה כנדרש, ולא התכנסה בתדירות הנדרשת. כך, נפגעת יכולת רמ"י לבצע בקרה מיטבית על היעילות והאפקטיביות ביישום הגנת הסייבר ברמ"י ועל התאמתה של תוכנית העבודה להגנת הסייבר – לרמת הסיכון של כל מערכת".

לפי המבקר, "מדיניות הגנת הסייבר של רמ"י אושרה ב-2019, ומאז לא נבדקה, לא עודכנה ולא נדונה. זאת, על אף שינויים ניכרים שהתרחשו מאז במערך המחשוב של רמ"י, והתפתחויות הטכנולוגיות בעולם. תוכנית העבודה שהוצגה לוועדת הסייבר לא כללה לוחות זמנים, גורמים האחראים ליישום, תקציב וסדרי עדיפויות. אין מסמכים המעידים על ביצוע מעקב של הוועדה אחר יישום התוכנית, ובכלל זה אחר תיקון הליקויים שעלו בסקרי הסיכונים ובמבדקי החדירה שבוצעו".

במאי 2019, נכתב, "אישרה ועדת הסייבר ברמ"י עשרה מדדי אב בנושאים שונים להגנת סייבר. מ-2019 ועד לסיום הביקורת, במשך יותר מארבע שנים – הוועדה בחנה את המדדים פעמיים בלבד, ולא בכל חצי שנה כנדרש. כך, נפגעה יכולתה לבחון את רמת האפקטיביות של תשתית הגנת הסייבר, ובהתאם – לבצע שינויים רלוונטיים בתכיפות רבה יותר, כנדרש".

עוד קובע המבקר, כי ועדת הרשאות שהוקמה – לא התכנסה, ולכן ההרשאות לגישה נקבעו על ידי אגף מערכות מידע ברמ"י בלא אישור ועדת ההרשאות ובלא מעורבות מנהלי מאגרי המידע. ברמ"י קיים מנגנון בקרה מסוים – אך הוא אינו מתריע על פעולות מסוימות. לכן, מנגנון הבקרה אינו מיטבי ואינו תואם את הדרישות".

"מאז התכנסה בראשונה ועדת היגוי סייבר ב-2017, בכל הישיבות שלה נושא הכנת תוכנית להתאוששות מאסון היה על סדר היום", נכתב, "בפועל – הנושא לא נדון בישיבות". בנושא אתר חלופי לאסון (DR) – ציין המבקר כי "מערכות המידע של רמ"י נמצאות בכמה אתרים. בסיכום סקר סיכוני תשתיות IT שרמ"י ערכה ב-2019 צוינו סיכונים שונים לגבי אתר מסוים".

"על רמ"י להביא לאישור ועדת היגוי סייבר את המיפוי והסיווג של נכסי המידע ואת מדיניות הגנת הסייבר שלה ולהשלים את סקרי הסיכונים למערכותיה", סיכם המבקר אנגלמן, "על ועדת היגוי סייבר, בהובלת היו"ר, הוא מנהל רמ"י, לגבש סקרי הנהלה, לעקוב אחרי ביצוע תוכניות העבודה בתחום הגנת הסייבר, לבחון את מידת האפקטיביות של הגנת הסייבר ברמ"י, לפי המדדים שנקבעו – ולהקפיד להתכנס בהתאם לנדרש בהחלטת הממשלה".