דו"ח מבקר המדינה: מבקר המדינה מתניהו אנגלמן פרסם היום את הדו"ח שעוסק בהגנת סייבר במספר גופים. אחד הגופים הוא משרד החינוך, שם בדק המבקר את התמודדות המשרד עם שמירת והפצת המידע אודות בחינות הבגרות ושמירה על טוהר הבחינות. כמו כן בדק המבקר את מידת המוענות של משרד החינוך במקרים בהם תתרחש דליפת חומרים.
-
עוד באותו נושאדו"ח מבקר המדינה: כשלים בהגנת פרטיות חיילי צה"ל
06/12/22 15:55
הממצאים שפרסם המבקר מתריעים בעיקר מפני מצב בו אכן תהיה פריצה למערכות המשרד ומתריע כי במקרה כזה, המשרד לא ערוך להגנה על המידע הרגיש שנמצא בידיו וכי טוהר הבחינות עלול להיפגע במצב כזה. עוד עולה מהדו"ח כי המשרד לא מרענן מספיק את המערכות ולא עורך בדיקות תקופתיות על מערכות המידע שברשותו.
מבקר המדינה מתניהו צילום: עדינה ולמן, דוברות הכנסת
"עלו כמה ליקויים בתחום אבטחת המידע"
"משרד החינוך אוסף, שומר ומנהל מידע רב הנוגע לבחינות הבגרות. מדובר במידע רגיש, שאבטחתו נדרשת להיות ברמה הגבוהה ביותר" כובע המבקר ומוסיף: "בביקורת עלו כמה ליקויים בתחום אבטחת המידע - הן מתחום קיום ממשל אבטחת מידע תקין במשרד החינוך ובגופים חיצוניים שמבצעים עבורו חלק מהפעילות במיקור חוץ".
"ממצאי הדוח" קובע המבקר אנגלמן, "והבעיות שבשורש ממצאים אלה עלולים לסכן את שלמותם, זמינותם, סודיותם ואמינותם של ציוני בחינות הבגרות וכן עולה מהם חשש לפגיעה בעקרונות טוהר הבחינות. משרד מבקר המדינה ממליץ למשרד החינוך לפעול לתיקון הליקויים שהועלו בדוח, ובכלל זה לעמוד בלוחות הזמנים שנקבעו בתוכניות העבודה בתחום אבטחת המידע והגנת הסייבר, לשפר ולהעלות את רמת אבטחת המידע והגנת הסייבר בכלל מערכותיו ותשתיותיו".
יפעת שאשא ביטון, סכנה לטוהר הבחירות. צילום: Avshalom Sassoni/Flash90
בחינת מורשי הגישה ובדיקת תקופתיות
המבקר מפרסם גם מספר המלצות למשרד החינוך, בין היתר אומר המבקר כי "מומלץ שמשרד החינוך יבחן את רשימת מורשי הגישה למערכת ב' ואת ההרשאות שניתנו להם. מומלץ גם שהמשרד יבצע בתדירות קבועה בקרת הרשאות בקרב משתמשי מערכת ב', בדגש על שינויים שנעשו במערך ההרשאות", מערכת ב' משמשת לרישום התלמידים הניגשים לבחינות הבגרות, כ-250 מבתי הספר מזינים באמצעותה גם את הציונים השנתיים הבית-ספריים של התלמידים (ציוני המגן).
המלצה נוספת נוגעת לקיום בדיקות שגרתיות: "מומלץ שמשרד החינוך יקפיד על כינוס ועדת היגוי סייבר פעמיים בשנה; יישם את תוכנית העבודה השנתית במועד; יבצע סקרי סיכונים ומבדקי חדירה אחת ל-18 חודשים; יקצה לכל הפחות 8% מתקציב טכנולוגיות המידע לקידום נושא הגנת הסייבר בהתאם להחלטת הממשלה".