דו"ח מבקר המדינה השנתי ה-62

מחשבים בניידות: בעיות באבטחת מידע ושימוש לקוי

בסיסי נתונים משטרתיים לא מאובטחים כראוי ושימוש לקוי במחשבים המותקנים בניידות הם בין הממצאים בדו"ח מבקר המדינה על פרוייקט מחשוב ניידות

דניס ויטצ'בסקי

דו"ח מבקר המדינה שמתפרסם היום (שלישי) חושף כי מערכת מחשוב ניידות משטרה, שהחלה את דרכה ב-1999 והייתה אמורה לתרום רבות לקלות הפצת המידע וקליטתו, סבלה עוד מתחילת דרכה מכשלים רבים, ביניהם גם כשלי אבטחת מידע.

גופי הבטחון השונים בישראל, ביניהם המשטרה, מתמודדים מדי יום עם כמות עצומה של מידע – מידע אותו צריך לנתח, להעביר לאנשים הנכונים, ולפעמים אף לפעול על פיו. במקרה של המשטרה אף מדובר במקרים רבים בעניין של חיים ומוות.

באפיון המערכת, שכלל כאלף ערכות המותקנות בניידות, דובר על יישומים דוגמת הפצת מידע על אירועים, שליחת שאילתות, הפקת דוחות, איכון של הניידת על מפה, איתור כתובות ודיווח מצוקה. אלו הם צרכים כלליים אמנם, אך לא כל יחידות המשטרה צריכות את המערכת על בסיס יום-יומי. לראיה, דו"ח המבקר העלה כי בין אפריל 2010 למרץ 2011, 73 מתוך 1,097 המערכות שנבדקו לא הופעלו אף לא פעם אחת – קביעה אותה במשטרה מכחישים. גם הערכות שכן הופעלו, לא פעלו כל הזמן.

חשוב מכך, משרד המבקר בדק את השימוש עצמו במערכת, מה שהעלה כי 86 אחוזים מהדוחו"ת בזמן הבדיקה הופקו על ידי שוטרי הסיור – כשישה למערכת בכל יממה, פי שלוש משוטרי תנועה. לפיכך, קובע הדו"ח כי " אף שיש הבדלים ניכרים בין יחידות המשטרה השונות במידת היעזרותן במערכת, המשטרה לא בדקה את הצורך בהקצאת ערכות מחשב ליחידות הממעטות להשתמש בה. עוד העלתה הבדיקה כי אף שלפי הנוהל חובה להפעיל את המערכת, בתדרוך משמרת תנועה או סיור לא מוזכרת כלל החובה להשתמש במערכת, אשר אמורה לשמש כלי מרכזי לביצוע המטלות של מגזרים אלה."

עוד בוואלה! NEWS

לא תאמינו היכן רוכשים חובבי האלכוהול את המשקאות שלהם

לכתבה המלאה

המידע לא מאובטח מספיק

מטבע הדברים, חלק ניכר מהנתונים הנמצאים במערכת משטרתית לא אמור להיות נגיש לציבור. ואכן, ב-2002 פורסם מסמך נוהלי אבטחת מידע למערכת החדשה, יחד עם מסמך עיצוב, ששיקפו את הסיכונים באותה התקופה. עכשיו כותב המבקר כי "הביקורת העלתה כי במשך כתשע שנים - בין אפריל 2002 למועד סיום הביקורת, יולי 2011 - לא נבדקו רמת אבטחת המידע במערכת ואופן קיום הנהלים ולא נבחן הצורך בעדכונם. גם מסמך העיצוב משנת 2002 לא עודכן, אף שבמשך השנים היו חידושים רבים בנושא מערכות המחשוב ונשקפו סיכונים נוספים בנושא אבטחת מידע."

במשטרה טוענים כי דווקא מבוצעים "עדכונים שוטפים של אמצעי אבטחת המידע במערכת כדוגמת Firewall. בנוסף נחסמה במערכת אפשרות הגלישה מהניידת לאינטרנט. מערכת אבטחת המידע של המשטרה נבדקת כמעט יום יום ונעשה שדרוג טכנולוגי משמעותי בתחום אבטחת המידע", אך כשביקש משרד המבקר אסמכתה על עדכון ה-Firewall, הומצאה לו אחת מ-2010, זאת ללא אסמכתאות על עדכונים שוטפים ובדיקות יומיומיות.

עוד עולה מהדו"ח כי מפתחות ההצפנה למערכת הם של חברת RSA, שנפרצה במרץ 2011 – פריצה במסגרתה נגנבו מפתחות אימות שאף שימשו לפריצה למערכות חברת התעופה לוקהיד מרטין. הדו"ח טוען כי המשטרה כלל לא פנתה ל-RSA בעקבות הפריצה שפורסמה במאי, כי אם רק בעקבות הביקורת ביולי, ומערכת הקידוד הוחלפה אך ורק בנובמבר – יותר מחצי שנה לאחר שמפתחות הקידוד נגנבו.

מעבר לכך, מסתבר כי קלטות הגיבוי של המערכת לא נשמרו בבנק נתונים או אתר שמור אחר, כי אם בתוך ארון נעול בחדרו של מנהל התשתיות של המערכת. כמו כן, אנשי החברה שמטפלת במערכת עברו סיווג לרמת "שמור" בלבד, אף שיש להם גישה לחוות השרתים המשטרתית כולה.

תגובת משטרת ישראל:

הקמת המערכת היוותה פריצת דרך טכנולוגית ותפיסתית בעבודת המשטרה, בהיותה פלטפורמה ניידת, המעבירה מידע בזמן אמת לכוחות המבצעיים של המשטרה .
מערכת זו הפכה לכלי חיוני ומרכזי בעבודת השוטר , הן בקיצור זמני התגובה של המשטרה לאירועים והן ביכולת פיקוד ושליטה של המפקדים על כוחות המשטרה בשטח."

הקצאת ערכות מחשוב - השיקול בהתקנת מחשוב ניידות הינו נגזרת גם של היקף שימוש וגם של צרכי כוננות מבצעית וחרום. לדוגמא: התקנת המערכת במפקדות מבצעיות אשר השימוש בהן בזמן שגרה הינו בהגדרה נמוך.
השימוש במחשוב הניידות הינו דיפראנצילי כאשר מגזר הסיור והתנועה ומג"ב הינו אינטנסיבי לעומת השימוש במערכת במגזרי החבלה הינו נקודתי בהתאם לאופי הפעילות של אותו מגזר.

משטרת ישראל גאה מאוד בפרויקט מחשוב הניידות והיא ממשיכה לפתחו ולהרחיבו על פי צרכי המערכת, לצורך הענקת שירותי משטרה מיטביים לאזרח וחיזוק הלחימה בפשיעה תוך הגדלה מתמדת של העבריין להיתפס.

טרם התפרסמו תגובות

הוסף תגובה חדשה

בשליחת תגובה אני מסכים/ה
    לוגו - פיקוד העורףפיקוד העורף

    התרעות פיקוד העורף

      walla_ssr_page_has_been_loaded_successfully