דו"ח מבקר העירייה לשנת 2018 – בעניין תקנות הגנת הפרטיות ואבטחת מידע

דו"ח ביקורת בעניין תקנות הגנת הפרטיות ואבטחת מידע

• 1. מבוא
  1. מבוא
     • בעיריית אילת פועלות מערכות מידע ממוחשבות ומנוהלים מאגרים מידע רבים לצורך אספקת שירותים מגוונים לתושבים.
     • הגברת שימוש במערכות מידע והגברת השימוש במאגרי מידע תוך הרחבת אספקת שירותים דיגיטליים לתושבים בשנים אחרונות, מגביר את הסיכון כי מידע אישי ייחשף ברבים בזדון או בתום לב ויפגע בפרטיות התושבים והעובדים של העירייה.
     • כמו כן, שימוש זה חושף את העירייה לסיכונים במרחב הסייבר העלולים לפגוע בפעילותה.
     • סיכוני סייבר עלולים להתממש כתוצאה מניצול של חולשות במערכות, תהליכים וגורם אנושי עד כדי  לשבש  את הפעילות השוטפת, למנוע מהעירייה אספקת שירותים לתושבים, לחשוף את העירייה לתביעות משפטיות ועיצומים רגולטוריים וכד'.
     • בשנים האחרונות ישנה עלייה משמעותית בהיקף ובעוצמת האיומים בעולם כולו ובישראל בפרט. איומים אלה נובעים מכך שמרחב הסייבר התרחב ממחשב הקלאסי  וחושף כל התקן חכם המשתמש ברשת האינטרנט – ובכך מאפשר תקיפה נרחבת, זאת לצד היותו של האינטרנט רשת נטולת גבולות המאפשרת אנונימיות גבוהה לגורמים זדוניים שעברו מפשע פיזי לפשע דיגיטלי, כנ"ל גורמי טרור שבחלק מהמקרים נתמכים על ידי מדינות.
     • בשנים האחרונות גדל היקף התקיפות באמצעות תוכנות נוזקות[1] (Malware), תוכנות כופרות[2] (Ransomware) שונות ו/או הפרות חוק ו"פשיעת מידע". תוכנות אלה מתפשטות הן דרך רשת אינטרנט בגלישה או דרך דוא"ל  והן באמצעות חיבור פיזי של התקני זיכרון שונים למחשבים ברשת הארגון. התקיפות הופכות למתוחכמות יותר ויותר תוך אוטומציה שלהן והפצה המונית ושימוש בטכניקות הנדסה חברתית כדי לפתות משתמשים להפעיל אותן.
     • לשם שמירה על צנעת הפרט ועל הוראות החוק, יש לנקוט אמצעים לאבטחת המידע ומערכי המידע, ולהגן עליהם מפני פגיעה, חשיפה ושינוי במזיד או בשוגג. זאת, באופן שישמרו הזמינות, השלמות, המהימנות, הסודיות והשרידות של המידע ומערכות המידע.

   

  • חוקים ותקנות רלוונטיים בהיבטי הגנת הפרטיות ואבטחת מידע

   

  • חוק הגנת הפרטיות, התשמ"א-1981 (להלן – חוק) להלן הגדרות לפי סעיף 7 לחוק:

  אבטחת מידע – "הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין."

  מאגר מידע – ס"ח תשנ"ו מס' 1589 מיום 11.4.1996 עמ' 290 (ה"ח 2234)הוספת הגדרת "אבטחת מידע""אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב…"

   

  מידע – "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו."

  מידע רגיש –

  "(1)        נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו;

  (2)         מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש."מיום 11.4.1996

  • בחודש מאי 2017 פורסמו תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן – תקנות) מכוח החוק. התקנות אשר נכנסו לתוקף ב-8.5.18, מגדירות חובות מפורטות לבעל מאגר מידע, ליישום בקרות תהליכיות וטכנולוגיות לצורך אבטחת מאגרי מידע בהם מנוהל מידע אישי.

   

  • המשימות העיקריות בהיבטי הגנת הפרטיות ואבטחת מידע של עירייה כבעלת המאגר

  • לקבוע מדיניות ונהלים
  • להעריך ולנהל סיכוני סייבר
  • להדריך עובדים ולהגביר מודעות שלהם
  • להקצות משאבים מתאימים
  • לאתר, להגיב ולטפל באירועי אבטחה חריגים
  • לפקח ולבקר באמצעות תפקיד של ממונה אבטחת מידע לגבי יישום דרישות תקנות
  • להטמיע כלים טכנולוגיים נאותים להגנה על מערכות, תשתיות ומאגרים
  • לפקח ולבקר על פעילות מיקור חוץ

  [1] תוכנה זדונית המותקנת במחשב ללא ידיעתו של המשתמש ופוגעת בפעולתו התקינה.

  [2] תוכנה זדונית המופעלת על מחשב במטרה להצפין את תכולת הדיסק ותוכן המחשב. לאחר מכן מקבל המשתמש דרישה לתשלום

  כופר על מנת לקבל גישה לקבצים.

• 2. מטרת הביקורת

  מטרת הביקורת הייתה לבחון את נאותות ניהול היבטי אבטחת מידע בעירייה, בהתייחס לדרישות תקנות הגנת הפרטיות, תוך בחינת תהליך יישום תקנות חדשות בעירייה ואת אפקטיביות מנגנוני אבטחת מידע הקיימים בעירייה להתמודדות עם מתקפות סייבר, תוך זיהוי חולשות אבטחה, פגיעות ופערים.

   

  התחומים העיקריים שנבדקו:

  • פעילות אגף טכנולוגיות
  • פעילות ומעורבות הנהלת העירייה
  • פעילות בהיבטי משאבי אנוש

   

   

   

   

   

   

   

  במסגרת זו נבדקו, בין השאר, הנושאים הבאים:

  • הדרכה והגברת מודעות עובדים
  • ביצוע סקרי אבטחה ומבדקי חדירה
  • פעילות ועדת היגוי בהיבטי אבטחת מידע
  • פעילות ממונה אבטחת מידע
  • גיבוש וביצוע תכנית עבודה בהיבטי אבטחת מידע
  • קיום תקציבים נאותים
  • מדיניות ונהלים בהיבטי הגנת הפרטיות ואבטחת מידע
  • קיום אמצעי אבטחה טכנולוגיים נאותים
  • פיקוח ובקרה על ספקי מיקור חוץ
  • אבטחה פיזית של גישה למערכות
• 3. מתודולוגיה

  לצורך הביקורת נערכו הפעולות הבאות:

  • פגישות עם: מנהל אגף ארגון שיטות ומערכות מידע; עובדים באגף מערכות מידע.
  • עיון בחומרים: סקרים, מבדקים, תיעוד לפעילות אגף, הסכמים עם ספקים, ועוד.
  • ביצוע בדיקות טכנולוגיות מדגמיות:

  • ביצוע מבדקי חדירה דרך האינטרנט בהתאם לכתובות IP חיצוניות שסופקו לביקורת, ומזוהות עם העירייה ואתר העירייה.
  • צפייה בדוחות ממוצרי אבטחה והגדרות אבטחה

   

   

  הביקורת נערכה ברבעון הראשון של שנת 2019.

   

  הביקורת בוצעה בידי יועצים חיצוניים לביקורת, בעלי הסמכות בינלאומיות בתחומי אבטחת מידע וביקורת מערכות מידע (כגון CISSP, CISA, ISO 27001 Lead Auditor) המתמחים בביקורת ויישום רגולציות בתחומי אבטחת מידע והגנת הפרטיות, בניהול סיכוני סייבר ואבטחת מידע ובביצוע מבדקים טכנולוגיים ומבדקי חדירה וסימולציה של תקיפות סייבר.

   

  הביקורת התבססה על בדיקות מדגמיות ואין הכרח שתחשוף כל ליקוי אם קיים.

• 4. פירוט הממצאים
  • מדיניות אבטחת מידע ונהלי אבטחת מידע

   

  סעיף 3 (2) לתקנות קובע כי "הממונה על אבטחה יכין נוהל אבטחת מידע ויביאו לאישור בעל המאגר;"

   

  מתוך מדריך ליישום תקנות הגנת הפרטיות של רשות הגנת הפרטיות: "הממונה על אבטחה יכין    נוהל אבטחת מידע ויביאו לאישור ההנהלה הבכירה של הארגון"

   

  סעיף 4(ג) לתקנות קובע כי "נוהל אבטחת מידע" שייקבע בעל מאגר מידע, יכלול, בין היתר:

  " (1)  הוראות בעניין האבטחה הפיזית והסביבתית של אתרי המאגר…;

  (2)  הרשאות גישה למאגר המידע ולמערכות המאגר…;

  (3)  תיאור של אמצעים שמטרתם הגנה על מערכות המאגר ואופן הפעלתם לצורך כך;

  (4)  הוראות למורשי הגישה למאגר המידע ולמערכות המאגר לצורך הגנה על המידע במאגר;

  (5)  הסיכונים שחשוף להם המידע שבמאגר במסגרת הפעילות השוטפת של בעל מאגר המידע, לרבות אלה הנובעים ממבנה מערכות המאגר… אופן קביעת סיכונים אלה, ואופן הטיפול בהם, לרבות על ידי מנגנוני הצפנה מקובלים להגנה על המידע השמור במאגר או במערכות המאגר;

  (6)  אופן התמודדות עם אירועי אבטחת מידע… לפי חומרת האירוע ומידת רגישות המידע;

  (7)  הוראות לעניין ניהול של התקנים ניידים ושימוש בהם…

   

  סעיף 4(ד) קובע כי במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, יכלול "נוהל אבטחת מידע" התייחסות אף לסעיפים הבאים:

  "(1)  אמצעי הזיהוי והאימות לגישה למאגר ולמערכות המאגר…;

  (2)  אופן הבקרה על השימוש במאגר המידע, ובכלל זה תיעוד הגישה למערכות המאגר…;

  (3)  הוראות לעניין עריכת ביקורות תקופתיות לווידוא קיומם ותקינותם של אמצעי האבטחה לפי נוהל האבטחה ולפי תקנות אלה…;

  (4)  הוראות לעניין גיבוי הנתונים… ;

  (5)  הוראות לעניין אופן ביצוע פעולות פיתוח במאגר ותיעודן, ובכלל זה אופן הגישה של אנשי הפיתוח לנתונים במאגר."

   

  הביקורת מצאה כי, בעירייה הוגדר סט נהלים בהיבטי אבטחת מידע,  מסמכי הנהלים עודכנו לאחרונה בשנת 2003, וכוללים התייחסות קצרה לחלק מהנושאים בתקנות.

   

  קיימים נהלים הבאים:

  • נוהל אבטחת מידע כללי – מסמך קצר של עמוד הכולל הצהרת מטרות
  • אבטחת רשומות חסויות
  • גניזה ואבטחת חומר ארכיוני
  • אבטחת מידע במחשבי PC משרדי
  • נהלי אבטחת נתונים
  • נוהל חוק הגנת הפרטיות

   

  • טופס סודיות עובדים
  • טופס סודיות ספקים
  • טופס התחייבות לשמירת סודיות על ידי משתמשים במחשבים אישיים
  • עיקרי החוק להגנת הפרטיות

   

  הביקורת סבורה כי, קיימים נושאים רבים בהם נדרשת רמת פירוט גבוהה יותר מאשר המוצגת במסמכים שהוצגו. הביקורת סבורה גם כי, נוהל האבטחה נדרשים להיות מאושרים על ידי מנכ"ל העירייה שמהווה "הנהלה בכירה של הארגון" בהתאם לתקנות. מסמכי הנהלים אינם תואמים לסביבה מודרנית וקיים שימוש במושגים מיושנים וטכנולוגיות ישנות שכבר לא קיימות.

  הביקורת מצאה כי, חסרה התייחסות כלל או התייחסות מפורטת להיבטים הבאים במסמכים:

  • סמכויות, כפיפות ואחריות בהיבטי אבטחת מידע (הנהלה, ועדת היגוי, ממונה אבטחה, נאמן אבטחה, מנהל מאגר, מנהל, עובד)
  • נוהל ותכנית תגובה מפורטת לאירועי סייבר
  • הכנה, ביצוע ודיווח על תכנית בקרה שוטפת לעמידה בדרישות התקנות.
  • נוהל לפיקוח ובקרה על ספקי מיקור חוץ
  • נוהל לאופן תיעוד ובקרת גישה למערכות מאגר כולל התייחסות לאיזה מידע יישמר בלוגים.
  • נוהל ביצוע פעולות פיתוח במאגר ותיעודן
  • נוהל אבטחת מידע של מצלמות אבטחה
  • נוהל ניהול, הקשחה ועדכון מערכות הגנה ואבטחת מידע
  • נוהל ביצוע עדכוני אבטחה ושדרוגי גרסאות של תחנות קצה ושרתים ואפליקציות.
  • נוהל גיבוי נתונים – חסר התייחסות לנושא ביצוע ובקרה על שחזורים מנתוני הגיבוי, אבטחת נתוני הגיבוי.
  • נוהל אבטחת רשומות חסויות מתייחס בעיקר לניירת ולא מותאם לסביבה דיגיטלית כלל כולל העברת נתונים באמצעים דיגיטליים.
  • נהלי עבודה ואבטחת נתונים – קיימת התייחסות לטכנולוגיות מיושנות שונות ויש לעדכן ולרענן את הנוהל. חסרה התייחסות מלאה לחוזק אמצעי הזדהות למערכות מאגר – לא הוגדר אורך סיסמה מינימאלי וכן אין התייחסות להיבטים כמו מורכבות סיסמה מינימאלי, זמן ניתוק עקב חוסר פעילות, נעילת חשבון במקרה של סיסמה שגויה.

   

   

   

   

   

  • טופס התחייבות לשמירת סודיות על ידי משתמשים במחשבים אישיים – אינו כולל מרבית דרישות אבטחה ממשתמשי קצה ועדיף שדווקא מסמך נהלי עבודה ואבטחת נתונים יוגש לחתימת עובדים.
  • טופס סודיות ספקים – הטופס אינו מותאם  לדרישות סעיף 15 בתקנות הגנת הפרטיות.

   

  המלצות הביקורת

  1. להשלים בהקדם כתיבה, עדכון אשור והטמעה של כל הנהלים וטפסים הנדרשים בהתאם התקנות הגנת הפרטיות.
  2. להגיש את הנהלים ושינויים מהותיים בהם לאישור מנכ"ל העירייה.

   

  • ממשל תאגידי בהיבטי אבטחת מידע

   

  סעיף 17ב. לחוק הגנת הפרטיות קובע כי העירייה מחויבת למנות אדם בעל הכשרה מתאימה לתפקיד הממונה על אבטחת מידע.

  סעיף 3 לתקנות קובע:

  "חלה חובה למנות ממונה על אבטחת מידע, או מונה ממונה על אבטחת מידע במאגר המידע יחולו הוראות אלה:

  • ממונה אבטחה יהיה כפוף ישירות למנהל מאגר המידע או למנהל פעיל של בעל המאגר או המחזיק בו, לפי העניין, או לנושא משרה בכירה אחר הכפוף ישירות למנהל המאגר…

  (3)  הממונה יכין תכנית לבקרה שוטפת על העמידה בדרישות תקנות אלה, יבצע אותה ויודיע לבעל מאגר המידע ולמנהל המאגר על ממצאיו;

  (4)  הממונה על אבטחה לא ימלא תפקיד נוסף שעלול להעמידו בחשש לניגוד עניינים במילוי תפקידו לפי תקנות אלה;

  (5)   הטיל בעל מאגר המידע על ממונה על אבטחה משימות נוספות על החובות המנויות… לשם ביצוע תקנות אלה, יגדירן בצורה ברורה;"

   

  תכנית הבקרה תכלול היבטים רבים לרבות בדיקת סטאטוס עדכוני אבטחה, תקינות מוצרי אבטחה, נאותות הרשאות גישה למאגרים, בקרה על חיבור מדיה נתיקה, הפרדת מאגרים, בקרה על אבטחת גישה פיזית לרבות מורשי גישה, חוזק מנגנונים, בקרה על תקינות לוגים במערכות ועוד.

   

   

   

   

   

   

   

   

   

   

   

   

   

  ממצא:

  הביקורת מצאה כי, לא הוגדר תפקיד פורמאלי של ממונה אבטחת מידע בעירייה שיבקר ויפקח על העמידה בדרישות התקנות הגנת הפרטיות .

   

  המלצת הביקורת:

  1. מומלץ כי ימונה ממונה אבטחת מידע בעירייה, הממונה לא ימלא תפקיד נוסף שעלול להעמידו בחשש לניגודי עניינים.
  2. מומלץ כי הממונה יכין תכנית בקרה שוטפת לעמידה בתקנות.
  3. על ממונה אבטחת מידע להעביר דיווח תקופתי בכתב במסגרת ועדת היגוי או ישירות להנהלה בכירה ולמנהלי מאגרים בו יוצגו תוצאות פעולות הבקרה שלו ואיזה פערים עדיין קיימים לעמידה בדרישות התקנות. במסגרת זו על ממונה אבטחת מידע לתעד באופן מפורט כל הפעילות הבקרה המבוצעת על ידו.

   

  • ועדת היגוי להיבטי אבטחת מידע, תכנית עבודה וביקורת

   

   

   

  כיום בארגונים רבים לצורך קידום נושאי אבטחת מידע הוקמו ועדות היגוי לנושא אבטחת מידע והגנת הפרטיות, תפקידי ועדת היגוי מקובלים:

   

  • אישור ועדכון בכל הנוגע למדיניות אבטחת המידע ונהלים;
  • לסייע לעירייה בכל הקשור לניהול תקין של תחום אבטחת המידע בעירייה;
  • אישור תכנית העבודה בתחום אבטחת מידע, הקצאת תקציבים ומעקב אחר יישום תכנית העבודה בתחום;
  • לדון באירועי אבטחת מידע חריגים;
  • להבטיח קיומם של מנגנוני פיקוח ובקרה נאותים;
  • לסייע להנהלת העירייה בקבלת החלטות בכל הקשור לתחום אבטחת המידע מתוך ראיה אינטגרטיבית של התחום בעירייה.
  • קבלת דיווחים תקופתיים ממונה אבטחת מידע והנחיית ממונה אבטחת המידע.

   

  הוועדה תתכנס בתדירות מספקת שתקבע ותדווח לראש העירייה ולמנכ"ל, אחת לשנה לכל הפחות, על פעילותה ועל מסקנותיה והמלצותיה בנושאים בהם הוסמכה לעסוק ותערוך פרוטוקולים של ישיבותיה. רצוי כי לפחות בדיון השנתי בו תאושר תכנית העבודה ותקציבים יהיה נוכח מנכ"ל העירייה. כמו כן, חברי הועדה צריכים להיות מתחומים מנהליים ולא רק מערכות מידע לרבות יועץ משפטי, קצין הביטחון, מנהל משאבי אנוש, מנהל תפעול, אחראי על תאגידים עירוניים ועוד.

   

   

   

   

   

   

   

   

   

  ממצאים:

   

  הביקורת מצאה כי, לא הוגדרה באופן פורמאלי ועדת היגוי לנושאי אבטחת מידע באמצעות כתב מינוי או במסגרת נוהל ארגוני לרבות תפקידיה, סמכויותיה וחבריה.

   

  המלצות הביקורת:

   

  1. להגדיר באופן פורמאלי ועדת היגוי לנושאי אבטחת מידע לרבות משתתפיה, תפקידיה וסמכויותיה.
  2. לכנס ועדת היגוי בתדירות תקופתית כולל דיון שנתי לפחות ביחד עם מנכ"ל העירייה.

   

  • תקציב אבטחת מידע

   

  סעיף 3(6) לתקנות קובע כי "בעל מאגר המידע יקצה לממונה את המשאבים הדרושים לו לשם מילוי תפקידו."

   

  החלטה מספר 2443 של רשות התקשוב הממשלתית מ-15.2.15 בנושא "קידום אסדרה לאומית והובלה ממשלתית בהגנת הסייבר" קובעת בין היתר, כי "המנכ"לים של משרדי הממשלה ומנהלי יחידות הסמך, במסגרת סמכותם ואחריותם הקיימת, יסדירו את מבנה התקציב השנתי של משרדם כך שלכל הפחות 8% מתקציב תחום טכנולוגיית המידע יופנה להגנת הסייבר"

   

  ממצאים:

  נמצא כי תקציבי אבטחת מידע אינם מוצגים לאישור הנהלה הבכירה ואינם נידונים באופן ייעודי, התקציבים נכללים במסגרת סך תקציב אגף מערכות מידע.

   

   

  המלצות ביקורת:

  1. לקבוע מנגנון לקביעת תקציב אבטחת מידע כאחוז אובייקטיבי מסך תקציב אגף מערכות מידע.
  2. להציג את התקציב אבטחת מידע המפורט לאישור במסגרת ישיבת ועדת היגוי השנתית ברשות מנכ"ל.

   

   

   

   

   

   

   

   

  • סקרי אבטחת מידע ומבדקי חדירה

   

  בסעיף 5 לתקנות הגנת הפרטיות נקבע כדלקמן :

  )" ג ( במאגר מידע שחלה עליו רמת האבטחה הגבוהה, בעל המאגר אחראי לכך שייערך סקר לאיתור סיכוני אבטחת מידע )להלן – סקר סיכונים( ;בעל מאגר המידע ידון בתוצאות סקר הסיכונים שיועברו לו, יבחן את הצורך בעדכון מסמך הגדרות המאגר או נוהל האבטחה בעקבותיהן, ויפעל לתיקון הליקויים שהתגלו במסגרת הסקר, ככל שהתגלו; סקר סיכונים כאמור ייערך אחת לשמונה עשר חודשים לפחות.

  )ד (במאגר מידע שחלה עליו רמת האבטחה הגבוהה, בעל המאגר אחראי לכך שייערכו מבדקי חדירות למערכות המאגר לבחינת עמידותן בפני סיכונים פנימיים וחיצוניים, אחת לשמונה עשר חודשים לפחות; בעל המאגר ידון בתוצאות מבדקי החדירות ויפעל לתיקון הליקויים שהתגלו, ככל שהתגלו.".

   

  מבדיקת הביקורת נמצא כי, סקר סיכונים להערכת סיכוני אבטחת מידע, בוצע לאחרונה בשנת 2014 על ידי חברה חיצונית לשירותי ייעוץ באבטחת מידע.

           

                  ממצאים:

  • לא נמצא תיעוד לכך שתוצאות הסקר האחרון שבוצע בשנת 2014 הוצגו להנהלה הבכירה לרבות למנכ"ל לרבות דיווחים תקופתיים ליישום ההמלצות.
  • סקר הסיכונים האחרון שבוצע היה לפני מעל 4 שנים, חלק מן המערכות שנכללו בסקר אינם עדכניות כיום עקב החלפת מערכות ועדכוני גרסה שבוצעו. בנוסף מאז שבוצע הסקר נוספו והשתנו מערכות, ועליהם לא בוצעו כלל סיקרי סיכונים מטעם העירייה.
  • טרם בוצעו מבדקי חדירה תשתיתיים ואפליקטיביים פנימיים במערכות ותשתיות המאגרים המנוהלים בעירייה עצמה. יצוין כי, קיימת חובה לביצוע בנוגע למערכת ברמת אבטחה גבוהה בלבד. במועד הביקורת לא בוצע תהליך מעמיק לקביעת רמת אבטחה של מאגר. לכן לא ברור אם נדרש או לא מחויב לביצוע.
  • העירייה לא ערכה פיקוח ובקרה בהיבטי אבטחת מידע על המערכות שמסופקות במיקור חוץ לרבות דרישה לקבלת תוצאות מבדקי חדירה מצד ספקי מקור חוץ. יש להדגיש כי חוסר מעורבות מנוגד לתקנות (סעיף 15)

     

   

   

   

   

   

   

   

   

   המלצות הביקורת:

  1. ליזום ביצוע סקרי אבטחת מידע ומבדקי חדירה כנדרש בתקנות במערכות ותשתיות העירייה.
  2. לכל הפחות לדרוש לקבל מספקי מיקור חוץ של מערכות המשמשות את העיריה להציג בתדירות שתקבע תוצאות סקרי אבטחה ומבדקי חדירה.
  3. לקיים דיון בוועדת היגוי בתוצאות סקרים ומבדקי חדירה.
  4. לקבוע תכנית עבודה, לו"ז ותיעדוף לתיקון הליקויים שמתגלים ולדווח תקופתית לוועדת היגוי.
  5. לקבוע תכנית מפורטת פר מערכת ומאגר לביצוע סקרים ומבדקי חדירה במערכות המאגר כנדרש בתקנות. במסגרת זו יש לקבוע לכל מאגר את רמת האבטחה המתאימה.

   

  • הדרכות עובדים

   

  סעיף 7 לתקנות קובע:

  "(ב) בטרם יקבלו גישה למידע ממאגר המידע או לפני שינוי היקף הרשאותיהם, יקיים בעל מאגר מידע הדרכות לבעלי הרשאות בנושא החובות לפי החוק ותקנות אלה, וימסור להם מידע על אודות חובותיהם לפי החוק ונוהל האבטחה.

   (ג) במאגר מידע שחלה עליו רמת האבטחה הבינונית או הגבוהה, יקיים בעל המאגר פעילות הדרכה תקופתית לבעלי הרשאות שלו, בדבר מסמך הגדרות המאגר, נוהל האבטחה והוראות אבטחת המידע לפי החוק ולפי תקנות אלה, בהיקף הנדרש לצורך ביצוע תפקידיהם, ובדבר חובות בעלי ההרשאות לפיהם; הדרכה כאמור תיערך אחת לשנתיים לפחות..".

   

  ממצאים:

  מבדיקת הביקורת  עולה כי, לא מבוצעים הדרכות לעובדים חדשים והדרכות  תקופתיות לעובדים קיימים בנושאי אבטחת מידע והגנת הפרטיות.

  בנוסף, כיום לצורך הגברת מודעות וכושר התמודדות של עובדים עם מתקפות סייבר בארגונים רבים נפוץ תהליך של ביצוע סימולציה של קמפיינים של פישינג באמצעות שליחת דוא"ל מתחזה לעובדים לצורך תרגול. קיימת אפשרות לייצר תרגול כזה באופן פנימי או להשתמש בשירות חיצוני. בעירייה טרם הוחלט על ביצוע תרגולים מסוג זה.

   

   

   

   

   

   

   

   

  המלצות הביקורת:

   

  1. לפעול לכך כי, מסמך הנחיות לעובד שיכיל בתוכו כללי אבטחת המידע ייחתם בכניסה לעבודה. המסמך יכלול כללי אבטחת המידע אותם נדרש לקיים העובד, אשר יתייחסו לשימוש נאות במחשבי העירייה, שימוש באינטרנט, היבטי אבטחה פיזית לרבות גריסת ניירת, חוזק סיסמאות, שולחן נקי, נעילה של חומרים רגישים במגירות, ליווי אורחים.
  2. לבצע הדרכות מודעות בהיבטי אבטחת מידע והגנת הפרטיות לעובדים חדשים ועובדים קיימים בעירייה כנדרש בתקנות כולל הטמעת מנגנון שמבטיח כי כל העובדים, להם יש גישה למערכות העירייה ולמאגרי המידע, יעברו הדרכה לפני קבלת הרשאה. לדוגמה אפשר ליצור טופס טיולים נכנס שיכיל סעיף לחובת ביצוע תדריך אבטחה ותיעוד לחתימת עובד ועובד מדריך. בנוסף לתעד את דבר ביצוע במערכת כוח אדם לרבות תאריך אחרון.
  3. לבצע תרגולים של קמפיינים של פישינג להגברת יכולת עובדים להתמודד עם אירועי פישינג אמתיים.

   

   

  • בקרת הרשאות גישה

  בסעיף 8 לתקנות ניהול הרשאות גישה נרשם כדקלמן:

  )"א (  בעל מאגר מידע יקבע הרשאות גישה של בעלי הרשאות למאגר המידע

  ולמערכות המאגר, בהתאם להגדרות תפקיד; הרשאת הגישה לכל תפקיד תהיה

  במידה הנדרשת לביצוע התפקיד בלבד.

  ) ב ( בעל מאגר מידע ינהל רישום מעודכן של תפקידים, הרשאות הגישה שניתנו

  להם, ושל בעלי ההרשאות הממלאים תפקידים אלה )להלן – רשימת ההרשאות

  התקפות(."

   

  בעת קבלת עובד לעירייה, מחלקת משאבי אנוש שולחת בקשה למחלקת מחשוב לפתיחת משתמש וקבלת הרשאות גישה, בעזיבת עובד התהליך דומה, מחלקת משאבי אנוש שולחת מייל עם בקשה לסגירת ההרשאות שנתנו לו. הענקת הרשאות וסגירתם במקרה של ניוד עובדים מתבצע על ידי מנהל אגף מערכות מידע בלבד.

   

  יחד עם זאת הביקורת מצאה כי, טרם בוצע מיפוי מדויק בעירייה של איזה סוגי הרשאות נדרשות ברמת כל תפקיד כנדרש בתקנות. 

   

   

   

   

   

   

   

  כמו כן, טרם בוצע תהליך תקופתי של תיקוף הרשאות גישה קיימות לכלל מורשי גישה באמצעות סקירת הרשאות על ידי מנהלי המאגרים. במסגרת תהליך תיקוף כזה כל מנהל מאגר נדרש לקבל הרשאות גישה לכל מאגר פר משתמש ולקבוע אם עדיין הרשאה זו נחוצה לכל משתמש.

   

  הביקורת סבורה כי נדרש לנהל בטופס קליטת עובד טבלה מפורטת של הרשאות פר מאגר מידע תוך אפשרות לבחירה מדויקת את סוגי ההרשאות.

   

  המלצות הביקורת:

  1. לבצע מיפוי מדויק של איזה סוגי הרשאות נדרשות ברמת כל תפקיד למערכות מאגרים.
  2. לבצע תיקוף תקופתי של נאותות הרשאות תוך מעורבות כל מנהל מאגר בנוגע להרשאות הגישה למאגר עליו הוא אחראי.
  3. להתאים טופס קליטת עובד חדש שיאפשר תיעוד מדויק של סוגי הרשאות שנדרש להגדיר לעובד פר מאגר מידע.

   

  • בקרה ותיעוד גישה

  בסעיף 10 לתקנות בנושא בקרה ותיעוד גישה נרשם:

  )א ( במערכות של מאגר מידע אשר חלה עליו רמת האבטחה הבינונית או הגבוהה,

  ינוהל מנגנון תיעוד אוטומטי שיאפשר ביקורת על הגישה למערכות המאגר )בתקנה

  זו – מנגנון הבקרה(, ובכלל זה נתונים אלה: זהות המשתמש, התאריך והשעה של

  ניסיון הגישה, רכיב המערכת שאליו בוצע ניסיון הגישה, סוג הגישה, היקפה, ואם

  הגישה אושרה או נדחתה.

  )ב ( מנגנון הבקרה לא יאפשר, ככל יכולתו, ביטול או שינוי של הפעלתו; מנגנון

  הבקרה יאתר שינויים או ביטולים בהפעלתו ויפיץ התראות לאחראים.

  )ג ( בעל מאגר מידע יקבע נוהל בדיקה שגרתי של נתוני התיעוד של מנגנון הבקרה,

  ויערוך דוח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן.

  )ד ( נתוני התיעוד של מנגנון הבקרה יישמרו למשך 24 חודשים לפחות.

  במהלך הביקורת נמסר על ידי מנהל אגף מערכות מידע כי, טרם בוצע תהליך מיפוי מקיף ברמת כל מאגר ומערכת מאגר האם אכן מנגנון תיעוד אוטומטי לפעולות משתמשים עומד בדרישות התקנות, לרבות שמירת תיעוד לתקופה של 24 חודש. טרם נקבע נוהל בדיקה שגרתי של נתוני התיעוד כפי שנדרש בתקנות.

• המלצות הביקורת:

  המלצות הביקורת:

  1. להגדיר נוהל בדיקה שגרתי של תקינות נתוני התיעוד בכל המאגרים כולל מערכות מאגרים שמסופקים על ידי ספקי מיקור חוץ ברמת סיכון בינונית וגבוהה ולדווח על תוצאות בדיקה לוועדת היגוי.
  2. בהתאם לתוצאות הבדיקה לבצע תיקונים נדרשים בכל מנגנון תיעוד על מנת לעמוד בדרישות התקנות.

   

  • קיום הגנה אפקטיבית כנגד מתקפות מתוחכמות

  רקע:

  סעיף 14(א) לתקנות קובע:

  "בעל מאגר מידע לא יחבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת, בלא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב."

  בשנים אחרונות התגברו מתקפות סייבר מתוחכמות המנצלות  פרצות ZERO DAY. אלו הן פרצות שמתגלות על ידי גורמים זדוניים ולא מועברים לידיעת יצרנים לצורך ביצוע תיקונים. לפרצות אלה טרם הוגדרו חתימות המכילים תוכנת אנטי וירוס מתאימה ומוצרי אבטחה נוספים ולכן הן עלולות לא להתגלות ולא להיחסם . גורמים זדוניים כותבים נוזקות ייעודיות לניצול פרצות חדשות אשר לרוב, מופצות בקמפיינים של דיוג הנשלחים בדואר אלקטרוני או דרך האינטרנט ואף מופצות ללא ידיעת המשתמש באמצעות התקן נייד (Key On Disk).

   

  לצורך התמודדות עם פרצות אלה פותחו טכנולוגיות שהוכיחו אפקטיביות בשילוב של מספר טכנולוגיות, כגון: SANDBOX (קופסת חול- סביבה וירטואלית בה נבחנת התנהגות קובץ לאיתור פעילות זדונית לפני שחרורו למשתמש), Honeypots (מלכודת דבש), -EDR Anomaly detection, ,Behavioral analysis Code Sterilization (הלבנת קבצים).

   

   

   

  ניתן להרחיק את האיום ממשתמשי קצה ולאפשר גלישה מאובטחת באינטרנט באמצעות שימוש במכונות מרוחקות והפרדת רשתות פנים ארגוניות מרשת האינטרנט (Secure browsing).

   

  נמצא כי, בעירייה קיים שימוש במערכת חומת אש, אנטי וירוס, מסנני תוכן לדוא"ל וגלישה באינטרנט.

  יצוין כי, מדובר בטכנולוגיות נפוצות כיום בארגונים בסדר גודל של העירייה ואף בארגונים בעלי פעילות פחותה.

   

                  המלצות הביקורת:

  1. להפעיל מודולים והגדרות נוספות במוצרי אבטחה קיימים בעירייה לשיפור אפקטיביות המוצרים להתמודדות עם מתקפות סייבר.
  2. לבחון יישום טכנולוגיות מתקדמות נוספות בהיבטי עלות תועלת על מנת להשיג יכולת נאותה להתמודד עם מתקפות סייבר מתוחכמות.

   

  • אבטחת טלפונים ניידים וטאבלטים

   

  באמצעות אפליקציות זדוניות שמשתמשים תמימים מורידים למכשירים ניידים שברשותם, ניתן להזליג מידע רגיש מהטלפון או מהטאבלט, כולל סיסמאות גישה ופרטי דואר אלקטרוני ארגוני שעלולים לכלול נתונים רגישים כולל אישיים.

  בארגונים רבים קיים כיום שימוש בטכנולוגיה לניהול ואבטחת התקנים ניידים (MDM) המספקת הגנה מלאה על המידע הנמצא במכשיר, מבלי לפגוע בפרטיות המשתמש.

  • אבטחת התקנים ניידים

   

  סעיף 12 לתקנות קובע כי "בעל המאגר יגביל או ימנע אפשרות לחיבור התקנים ניידים למערכות המאגר במתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, את רגישות המידע, את הסיכונים המיוחדים למערכות המאגר או למידע הנובעים מחיבור ההתקן הנייד ואת קיומם של אמצעי הגנה מתאימים מפני סיכונים אלה; בעל מאגר מידע המאפשר שימוש במידע מהמאגר בהתקן נייד או העתקה שלו להתקן נייד ינקוט אמצעי הגנה בשים לב לסיכונים המיוחדים הקשורים לשימוש בהתקן נייד באותו מאגר מידע; לעניין זה יראו שימוש בשיטות הצפנה מקובלות כנקיטת אמצעים סבירים להגנה על מידע שהועתק להתקן הנייד."

   

   

   

  ממצאים:

   

  1. נמצא כי, מיושמת חסימה חלקית למניעת חיבור מדיה נתיקה לתחנות קצה, כיום כ- 60 משתמשים מורשים לחבר כל מדיה נתיקה וגם בכל מחשבים ניידים פתוחה הגישה. המשמעות היא שקיימת חשיפה רבה להחדרת נוזקה (תוכנה זדונית) שלא תזוהה באמצעות אנטי-וירוס המותקן במערכות העירייה וכן חשיפה לסיכונים נוספים של זליגת מידע רגיש.
  2. לא הופעלה טכנולוגיה להצפנת נתונים במדיה נתיקה ובדיסקים קשיחים של המחשבים הניידים.
  3. לא נאכף מנגנון המאפשר חיבור של התקנים ניידים שהקצה האגף בלבד ו/או הותרו לשימוש. נוסף על כך, לא נעשה שימוש בטכנולוגיה למניעת זליגת מידע רגיש בזמן העתקת נתונים למדיה נתיקה (מסוג DLP) ולא הוטמע שימוש בטכנולוגיה של "הלבנת" קבצים לתחנות קצה או שימוש בעמדות הלבנה ייעודיות.

  המלצות הביקורת:

  1. מומלץ לבחון לבצע חסימה גורפת של אפשרות חיבור מדיה נתיקה למערכות העירייה.
  2. במידה וקיים צורך עסקי להגביל אותו למשתמשים מורשים בלבד תוך שימוש במנגנונים לצמצום הסיכון כתוצאה מחיבור כגון: טכנולוגיה להצפנת נתונים, הגבלת חיבור התקנים שאושרו מראש, יישום מנגנון הלבנה לפני חיבור, יישום מודול DLP ועוד.
  3. יש לבצע הצפנת דיסקים קשיחים בכל מחשבים ניידים

   

   

   

   

   

   

   

   

  • מדיניות בקרת גלישה באינטרנט

  סעיף 14(א) לתקנות קובע:

  "בעל מאגר מידע לא יחבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת, בלא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב."

   

  כיום הגלישה באינטרנט מבוצעת דרך חומת אש ומופעל מודול סינון אתרים וקבצים. המודול  אמור לחסום גישה לקטגוריות של אתרים שמוגדרים כחסומים לגלישה כמו אתרים עם תוכן לא הולם וגם לחסום הורדה של קבצים בפורמטים לא מורשים.

   

  נמצא כי, מדיניות הגלישה מתירנית כאשר לא מיושמת חסימה של חלק מקטגוריות מסוכנות כמו אתרי דוא"ל חינמי, אתרי שיתופי ואחסון קבצים. בנוסף לא קיימת חסימה להורדה של קבצי הרצה.

   

  המלצות הביקורת:

  1. יש לבדוק מחדש את מדיניות הגלישה המתירנית הקיימת כיום בעירייה ולהטמיע מדיניות גלישה מחמירה יותר לכל קבוצות העובדים בהתאם לעקרון של אפשרות גלישה לצורכי עבודה בלבד תוך צמצום סיכונים לזליגת מידע רגיש תוך חסימת קטגוריות נוספות, כמו  אתרי דוא"ל חינמי ועוד.
  2. יש לבדוק את הגדרות סינון הקבצים הקיימת כיום במטרה למנוע הורדת קבצי הרצה וסקריפטים.

   

   

   

  • הרשאות אדמיניסטרטור

   

  מרבית הנוזקות כיום מנצלות הרשאות של משתמשי קצה על מנת לבצע פעולות זדוניות במערכות מחשב.  לאור זאת הבקרה המומלצת כיום הינה כי, למשתמשי קצה יוקצו הרשאות נמוכות ביותר ברמת מערכת ההפעלה.

   

  מבדיקת הביקורת עלה כי כיום מוגדרים 3 משתמשים בלבד ברשת הארגון  מוגדרים כ Domain Admins. הרשאה זו מאפשרת שליטה מלאה בכל תחנות קצה, חשבונות משתמשים ושרתים במערכת הפעלה WINDOWS וגישה לכל כונני רשת ואף בסיסי נתונים.  המשתמשים הינם עובדים באגף מערכות מידע ותפקידם מצריך זאת.

  • סגמנטציה של הרשת הפנימית

   

  בתקנות הגנת הפרטיות בסעיף 13 ב(  נרשם: "בעל מאגר מידע יפריד, בהיקף ובמידה הסבירים האפשריים , בין מערכות המאגר אשר ניתן לגשת מהן למידע, לבין מערכות מחשוב אחרות המשמשות את בעל המאגר."

  ממצאים:

  נמצא כי, בנוגע למערכות המסופקות על ידי ספקי מיקור חוץ מתקיימת הפרדה פיזית כאשר מערכות נמצאות ברשתות של הספקים.

   

  יחד עם זאת נמצא כי, טרם הוחל בפרויקט סגמנטציה וכיום הרשת הפנימית של העירייה שטוחה וניתן להגיע ברמת תקשורת  מכל רכיב לכל רכיב בתוך הרשת הפנימית כולל גישה תקשורתית למאגרי נתונים רגישים.

  סגמנטציה מיטבית מושגת באמצעות חומת אש רשתית הממוקמת בתוך הרשת ומחלקת את הרשת באמצעות הפרדה פיזית ולוגית ולכל הפחות הפרדה בין סגמנט של תחנות קצה ושרתים וגם סגמנטציה פנימית לפי מחלקות , מבנים, הפרדת רשת מצלמות וכד'.

   

  הביקורת סבורה כי, הנושא צריך לקבל תיעדוף גבוה לאור העובדה כי מדובר בדרישה רגולטורית.

   

  המלצת הביקורת:

   

  יש ליישם סגמנטציה ברשת הפנימית בדגש על מידור של שרתים ובסיסי נתונים של מאגרי מידע רגישים בהם מנוהל מידע אישי.

  • מערכת מניעת חיבור התקנים זרים לרשת העירייה

   

  בהינתן גישה פיזית של גורם זדוני למשרדי הארגון, הגורם יכול לבצע ניסיון חדירה באמצעות חיבור מחשב או התקן זר לרשת הפנימית תוך קבלת כתובת IP תקינה ברשת. באופן זה למעשה הגורם הזדוני עוקף מנגנוני אבטחה היקפיים המיושמים ברשת לרבות חומת אש. על מנת לספק מענה לחשיפה זו פותחה טכנולוגיה בשם NAC- -NETWORK ACCESS CONTROL בקרת גישה לרשת. הטכנולוגיה באמצעות מנגנונים שונים מסוגלת לזהות התקן לא מורשה המנסה להתחבר לרשת הפנימית בארגון ולנתק אותו מהרשת (על ידי ניתוק של ניקודת רשת חמה במתג) ובאופן זה למנוע חדירה לרשת הפנימית.

  • אבטחת גישה מרחוק

   

  בסעיף  )14ג)  בתקנות נרשם  "במאגר מידע שניתן לגשת אליו מרחוק, באמצעות רשת האינטרנט או רשת ציבורית אחרת, ייעשה שימוש נוסף על אמצעי אבטחה כאמור בתקנות משנה )א( ו–)ב(, באמצעים שמטרתם לזהות את המתקשר והמאמתים את הרשאתו לביצוע

  הפעילות מרחוק ואת היקפה; לעניין גישה של בעל הרשאה למאגר מידע ברמת האבטחה הבינונית והגבוהה ייעשה שימוש באמצעי פיזי הנתון לשליטתו הבלעדית של בעל ההרשאה."

   

  כיום אמצעי אבטחה מקובל בגישה מרחוק הינו מנגנון הזדהות חזקה הכולל שני שלבים בהזדהות לפחות. סיסמה קבועה כבר אינה מהווה בקרה חזקה כאשר קיימים דרכים רבות להשגת הסיסמא על ידי גורמים זדוניים. ההזדהות החזקה הנפוצה הינה קיום מנגנון לחילול סיסמה חד פעמית באמצעות התקן הנתון לשליטה של המשתמש.

  • שימוש במערכות הפעלה מעודכנות

   

  רקע:

   

  סעיף 13(ג) לתקנות קובע כי "בעל מאגר מידע ידאג לכך שייערכו עדכונים שוטפים של מערכות המאגר, לרבות חומר המחשב הנדרש לפעולתן; לא ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי אבטחה שלהן אלא אם כן ניתן מענה אבטחתי מתאים".

   

  ממצאים:

  הביקורת מצאה כי, לא מיושמת מדיניות אחידה לביצוע עדכוני אבטחה ברמת מערכת הפעלה בשרתים  ותחנות קצה באמצעות כלי לעדכון וניטור מרכזי WSUS.

   

  קיימות עדיין תחנות קצה  עם מערכת הפעלה מסוג WINDOWS XP    ושרתים עם מערכת הפעלה WIN 2003 מדובר במערכות הפעלה שהיצרן אינו תומך כבר בהיבטי אבטחה שלהן כבר מספר שנים ולכן חשופות לפרצות אבטחה רבות.

  בנוסף קיימות תחנות קצה בהן מותקן WIN 7, כידוע לפי פרסומי יצרן תיגמר התמיכה במערכת הפעלה זו בינואר 2020.

   

   

   

  המלצות הביקורת:

   

  1. להשלים החלפת כלל תחנות קצה עם מערכת XP בהקדם.
  2. להשלים החלפת כל השרתים עם מערכת הפעלה WIN 2003 בהקדם.
  3. לתכנן בהקדם שדרוג של תחנות מסוג WIN 7 .
  4. לנסות להשמיש את מערכת WSUS לביצוע הפצה ועדכוני אבטחה באופן אוטומטי לתחנות קצה ושרתים תוך ניטור מרכזי אחרי תקינות התהליכים.
  5. להפעיל באופן תקופתי כלי סריקה ייעודי ומקצועי באמצעותו ניתן לבצע סטאטוס עדכניות מערכות הפעלה ותוכנות המותקנות במחשבים ושרתים ברשת.

   

  • ניטור, דיווח ותגובה לאירועי אבטחת מידע

  סעיף 11 לתקנות קובע:

  "(א) בעל מאגר מידע אחראי לתיעוד כל מקרה שבו התגלה אירוע המעלה חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה  (להלן – אירועי אבטחה); ככל האפשר יבוסס התיעוד האמור על רישום אוטומטי.

  (ב)  בנוהל האבטחה יקבע בעל מאגר מידע גם הוראות לעניין התמודדות עם אירועי אבטחת מידע, לפי חומרת האירוע ומידת רגישות המידע, לרבות לעניין ביטול הרשאות וצעדים מידיים אחרים הנדרשים וכן לעניין דיווח לבעל המאגר על אירועי אבטחה ועל פעולות שננקטו בעקבותיהם.

  (ג)   במאגר מידע שחלה עליו רמת האבטחה הבינונית, יקיים בעל המאגר דיון אחת לשנה לפחות באירועי האבטחה ויבחן את הצורך בעדכונו של נוהל האבטחה; במאגר מידע שחלה עליו רמת האבטחה הגבוהה, ייערך דיון כאמור אחת לרבעון לפחות."

   

  מצב נוכחי:

   

  • חלק מהתרעות אבטחה מתקבלות בדוא"ל ממוצרי אבטחת מידע מסוימים.
  • מתקבלות התרעות בדוא"ל לראש אגף  על מתקפות סייבר המתפרסמות בעולם ועל פרצות אבטחה שמתגלות במוצרי תוכנה וחומרה מ – CERT כללי וגם מנחה סייבר ממשרד הפנים.
  • העירייה לקחה חלק בתרגיל ארצי של משרד הפנים של מעגל קסמים 2.

   

   

   

   

   

   

   

   

   

   

   

   

  יחד עם זאת הביקורת מצאה כי,

   

  • לא קיימים נהלים מפורטים איתור, תגובה ותרגול של אירועי סייבר מבוססי תרחישים, לצורך התמודדות עם סוגים שונים של איומים.
  • נמצא כי, לא מנוהל מאגר ידני או אוטומטי לתיעוד כלל אירועי אבטחת מידע, לרבות אירועים פוטנציאליים.
  • לא מתקיימים דיונים באירועי האבטחה בפורום מנכ"ל.
  • לא הוקם צוות תגובה מקצועי אשר ייתן מענה מהיר ואפקטיבי במקרה של התרעה על אירוע סייבר.
  • טרם הוטמעה טכנולוגית SIEM ממוכנת המקבלת נתונים ממערכות ארגוניות שונות, מנתחת אותם ומאפשרת בקרה על תהליכים ואירועים, הפקת דוחות בקרה, זיהוי פרצות אבטחה ותגובה למתקפות המתרחשות בזמנים שונים.
  • בכל מקרה, עד כה, לא מונה כוח אדם ייעודי לנושא, לרבות הקמת מרכז בקרה המספק מענה אף מעבר לשעות העבודה המקובלות במטרה לאתר אירועי אבטחה בפרק זמן קצר ( צוות SOC), כך שנכון למועד איסוף הממצאים, ניטור ובקרה נערכים בהתאם לזמינות כוח אדם באגף טכנולוגיות. ייתכן ואין מקום להקים מוקד פנימי כזה אלא להשתמש בשירותי SOC חיצוני.
  • לא מתבצע שימוש שוטף בשירות מודיעין סייבר חיצוני וספציפי לארגון אשר יספק התראות על איומים הרלוונטיים לארגון, על חשש לזליגת מידע רגיש שמוצג ברשת הציבורית או רשת האפלה, תוקפים ו/או מטרות פוטנציאליות תוך הספקת הנחיות לאופן התמודדות.

   

   

  המלצות הביקורת:

   

  1. מומלץ לבחון יישום טכנולוגיה SIEM ושירות SOC חיצוניים.

  • מומלץ לבחון שימוש בשירות מודיעין סייבר מקצועי ייעודי לעירייה.

  3. מומלץ לעבות נוהלים לאיתור, תגובה ודיווח על אירועי סייבר.
  4. מומלץ להקים צוות ייעודי לתגובה לאירועי סייבר ולבצע תרגולים תקופתיים של הצוות.
  5. מומלץ לנהל מאגר ידני או אוטומטי לתיעוד כלל אירועי אבטחת מידע, לרבות אירועים פוטנציאליים.
  6. מומלץ לדווח על אירועי אבטחת מידע לועדת היגוי בהתאם לנדרש בתקנות.

   

  • מיקור חוץ
  • במסגרת תקנות הגנת הפרטיות בסעיף 15 נקבע כי:
    • יקבע במפורש בהסכם עם הגורם החיצוני )בתקנה זו – ההסכם( את כל

    אלה, בשים לב לסיכונים לפי פסקה(1)

    )א ( המידע שהגורם החיצוני רשאי לעבד ומטרות השימוש המותרות בו

    לצורכי ההתקשרות;

    )ב ( מערכות המאגר שהגורם החיצוני רשאי לגשת אליהן;

    )ג ( סוג העיבוד או הפעולה שהגורם החיצוני רשאי לעשות;

    )ד ( משך ההתקשרות, אופן השבת המידע לידי הבעלים בסיום

    ההתקשרות, השמדתו מרשותו של הגורם החיצוני ודיווח על כך לבעל

    מאגר המידע;

    )ה ( אופן יישום החובות בתחום אבטחת המידע שהמחזיק חייב בהן לפי

    תקנות אלה, וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל

    מאגר המידע, אם קבע;

    )ו ( חובתו של הגורם החיצוני להחתים את בעלי ההרשאות שלו על

    התחייבות לשמור על סודיות המידע, להשתמש במידע רק לפי האמור

    בהסכם, וליישם את אמצעי האבטחה הקבועים בהסכם כאמור בפסקת

    משנה )ה(;

    )ז ( התיר בעל מאגר מידע לגורם החיצוני לתת את השירות באמצעות

    גורם נוסף – חובתו של הגורם החיצוני לכלול בהסכם עם הגורם הנוסף

    את כל הנושאים המפורטים בתקנה זו;

    )ח ( חובתו של הגורם החיצוני לדווח, אחת לשנה לפחות, לבעל מאגר

    המידע על אודות אופן ביצוע חובותיו לפי תקנות אלה וההסכם ולהודיע

    לבעל המאגר במקרה של אירוע אבטחה;

    (4 ינקוט אמצעי בקרה ופיקוח על עמידתו של הגורם החיצוני בהוראות

    ההסכם ובהוראות תקנות אלה, בהיקף הנדרש בשים לב לסיכונים האמורים

    בפסקה (1)."

    יחד עם זאת בנוגע….  תהליכי פיקוח ובקרה המתבצעים כיום אינם מספקים.

    העיריה לא מבצעת פנייה תקופתית לספקיה על מנת לדרוש לקבל מהם סטאטוס עמידה בדרישות תקנות הגנת הפרטיות כנדרש בתקנות.

    מחזיקה בתעודות הסמכה חיצוניות כמו ISO 27001            . 27001 – תקן אבטחת מידע מקובל כיום ואף מוכר על ידי רשות הגנת הפרטיות כתקן המעיד על עמידה בתקנות.

    ההסכם הקיים אינו עונה לדרישות סעיף 15 בתקנות. החברה טרם בצעה סקרי אבטחה ומבדקי חדירה במערכת המסופקת בענן.

    מבדיקת הביקורת עלה כי ה….מחזיקה בתעודת הסכמה לתקן ISO 27001 וגם התקבלה תשובה שבוצעו סקרי אבטחת מידע על מערכות ליבה המשמשות את עירייה יחד עם זאת החברה לאוטומציה לא מוכנה להציג אותם.

     

    בנוסף נמצא כי, טרם בוצע בעירייה מיפוי של כלל הספקים של העירייה המחזיקים במידע רגיש או בעלי הרשאת גישה למידע רגיש וזאת על מנת לקבוע דרכי פיקוח ובקרה אליהם.

    המלצות הביקורת:

    1. לקבל ולבחון את תוצאות סקרי אבטחת מידע שבצעה החברה ….ובהתאם לתוצאות בחינה לבחון בנקיטת צעדים נוספים לבקרה ופיקוח כגון ביצוע ביקורת עצמאית בכותלי הספק.
    2. לקבל מ… באופן תקופתי את התקנים ותצהירים המעידים על עמידה בתקנות הגנת הפרטיות.
    3. לוודא כי הסכם עם חברת ….. עומד בכל הדרישות של סעיף 15 לתקנות.
    4. לדרוש לקבל מ…. דוחות מבדקי חדירה ומסמך המעיד על אופן עמידה שלהם בתקנות הגנת הפרטיות.
    5. לבצע מיפוי של כלל ספקים המחזיקים או בעלי הרשאות גישה למידע רגיש של העירייה ולקבוע בקרות פיקוח מתאימות לכל ספק.

     

    • מסמכי הגדרות מאגר ובדיקת מידע רב מן הנדרש

     

    בתקנות הגנת הפרטיות סעיף 2:

    )א ( בעל מאגר מידע יגדיר במסמך הגדרות מאגר )להלן – מסמך הגדרות המאגר(, את

    כל העניינים האלה לפחות:

     

    • תיאור כללי של פעולות האיסוף והשימוש במידע;
    • תיאור מטרות השימוש במידע;
    • סוגי המידע השונים הכלולים במאגר המידע, בשים לב לרשימת סוגי

    המידע שבפרט  בתוספת הראשונה;

    • פרטים על העברת מאגר המידע, או חלק מהותי ממנו אל מחוץ לגבולות

    המדינה או שימוש במידע מחוץ לגבולות המדינה, מטרת ההעברה, ארץ היעד,

    אופן ההעברה וזהות הנעבר;

    • פעולות עיבוד מידע באמצעות מחזיק;
    • הסיכונים העיקריים של פגיעה באבטחת המידע, ואופן ההתמודדות עמם;
    • שמו של מנהל מאגר המידע, של מחזיק המאגר ושל הממונה על אבטחת

    מידע בו, אם מונה כזה.

     

                     ( ב ( בעל מאגר מידע יעדכן את מסמך הגדרות המאגר בכל עת שנעשה שינוי משמעותי      

                             בנושאים המפורטים בתקנת משנה (א), ויבחן את הצורך בעדכון כאמור, בשל   

                             שינויים טכנולוגיים ארגוניים או אירועי אבטחה כאמור בתקנה 11, בכל שנה עד 31   

                             בדצמבר.

     

    ( ג) בעל מאגר מידע יבחן,  אחת לשנה,  אם אין המידע שהוא שומר במאגר רב מן

    הנדרש למטרות המאגר.

     

    ממצאים:

    לביקורת נמסר כי טרם נכתבו מסמכי הגדרות מאגר.

     

    בנוסף מבירור שקיימה הביקורת עלה כי, לא בוצע תהליך בחינה כלשהו אם לא נשמר מידע רב מן הנדרש במאגרים.  הביקורת סבורה כי, במידה והיה מתקיים תהליך בחינה  זה מין הסתם היה מתגלה כי, במאגרים השונים מנוהל מידע ישן על תושבים לשעבר, עובדים לשעבר וכדומה.

     

    המלצות:

     

    1. מומלץ לבצע בחינה של קיום מידע עודף במאגרים בהקדם האפשרי.
    2. נדרש לכתוב מסמכי הגדרות מאגר לכל המאגרים הקיימים בעירייה, ולעדכן אותם אחת לשנה .

     

    • מבדקים לבדיקת אפקטיביות מערך האבטחה

     

    צוות הביקורת ערך מבדקים שונים במטרה לבחון את יעילות מערך האבטחה של העירייה ולזהות חולשות, במידה שקיימות, תוך דימוי מתקפת סייבר ממוקדת. הבדיקות בוצעו מרשת האינטרנט בלבד ולא מתוך הרשת הפנימית לבקשת העירייה.

     

    בוצע בדיקות על טווח כתובות חיצוניות אשר נמצאו בשלב אסיפת המידע בשיטת OSINT וכללו שלבים הבאים:

    1. איתור טווח כתובות ואישור הטווח מול מנהל אגף מערכות מידע.
    2. בוצעו סריקות בכלי לאיתור פגיעויות בשם Nessus על טווח חיצוני אשר נמצא בשיטת OSINT ואתר האינטרנט של העיריה.
    3. בוצעו בדיקות ידניות על אתרים וכתובות חיצוניות אשר נמצאו בשיטת OSINT.

     

    לפירוט הבדיקות , ממצאים והמלצות ראה דוח מבדקי חדירה תשתיתי ואפליקטיבי המצורף.

     

    • תגובת מבוקרים

    בתאריך 11/02/19, נשלחה טיוטת הדו"ח לעיונו של מנהל אגף שיטות ומערכות מידע בעירייה.

    בתאריך 20/02/2019, נמסרה תגובת מנהל האגף, וזו לשונה:

     

    "אתר העירייה מנוהל בידי חברה חיצונית. שרתי האתר אינם

     ממוקמים בעירייה ואינם קשורים כלל לשרתי העירייה.

                יובהר, כי אין השפעה לשרתי אתר העירייה על קובצי המידע

                המצויים בשרתי העירייה".

    • בתאריך 26/05/2019, קיים ראש העירייה דיון בנושא הדו"ח בלשכתו.