מבקר המדינה מתניהו אנגלמן פרסם היום (שלישי) דוח העוסק באבטחת המידע במשרד החינוך, ובמערכות הקשורות לבחינות הבגרות והציונים שלהן. כאמור, מדובר במערכות בהן נמצא מידע רגיש על עובדים ותלמידים - למעלה ממאה אלף רשומות, כך שאבטחתו צריכה להיות ברמה הגבוהה ביותר. עם זאת, בביקורת עלה כי לא כך המצב.

ראשית, מהנתונים עולה כי משרד החינוך לא ביצע סקר סיכונים מקיף ומבדקי חדירות בנוגע למערכות הליבה שלו בתדירות הנדרשת בתקנות, וכי לא בוצעו תרגילים מסוימים לשחזור מידע ולהתאוששות מאסון, או תרגיל לשחזור מלא של מערכת מחשב מסוימת שלו. הדוח עוסק גם באבטחת המידע ברשתות השונות בהן עושה שימוש המשרד, כאשר ישנם מספר ליקויים ובעיות בהן.

בין היתר, בנוגע להיבטים הקשורים לתהליכי בדיקה והערכה של מחברות בחינות הבגרות, עולה כי הרשת המדוברת מוגנת על ידי גרסה מיושנת של מערכת הגנה מסוימת, שבספטמבר 2019 היצרן הפסיק לתמוך בה. למעשה, נכון לנובמבר 2021 מערכת הגנה מסוימת עדכנית עדיין לא הוטמעה בה באופן מלא. ברשת זו עלו פערים בנוגע לרכיבים מסוימים לאבטחת מידע. בנוסף, השרתים של הרשת המדוברת אינם מופרדים – כך שלמשתמשים ישנה גישה גם למאגר נתונים מסוים אף שאינם מורשים לכך.

בחינת בגרות, ארכיון (צילום אילוסטרציה: רועי אלימה, פלאש 90, למקום ולמצולמים אין קשר לנאמר בכתבה)
בחינת בגרות, ארכיון (צילום אילוסטרציה: רועי אלימה, פלאש 90, למקום ולמצולמים אין קשר לנאמר בכתבה)

בנושא המערכת אליה נטענים קבצי המחברות הסרוקות, וכן אלו של מחברות הבחינה המתוקשבות, אליה ישנה גישה לאלפי מעריכים חיצוניים, עלה בין היתר כי הם מחוברים אליה באמצעות מחשבים אישיים שאינם מנוהלים על ידי המשרד, ובחיבור מאובטח חלקית. במקביל, שישה משמונה משתמשים שתפקידם הוגדר זו בהגדרה מסוימת, קיבלו הרשאות החורגות מתפקידם, ולעיתים אין זיהוי חד-ערכי של משתמשים או פירוט של הפעילות שבוצעה. 

כמו כן, ישנם מקרים בהם קבצים הכוללים בהם מידע רגיש שמועברים באמצעות ממשקים לא מאובטחים דיים, דבר המגביר את הסיכון לדלף מידע רגיש ולפגיעה. 

בנושא המערכת לרישום התלמידים לבחינות בגרות והזנת ציוני המגן, אשר כ-250 מבתי הספר עושים בה שימוש, עלה כי ישנו חשש לפיו גורמים קיבלו הרשאות גישה אליה – למרות שאין להם צורך בכך. מהדוח עולה עוד, כי משרד החינוך לא הסדיר נוהל המגדיר את שלבי תהליך עדכון ציוני הבגרות במערכת, ובפועל - עלו פערים במנגנוני הניטור והבקרה של משרד החינוך. 

המבקר התייחס גם לנושא בחינות הבגרות שהודלפו לאינטרנט, וכתב כי בביקורת נמצאו שבע קבוצות ביישומונים להעברת מסרים מיידים הפעילות במגזר היהודי ובמגזר הערבי, שבהן התבצעה פעילות הפצה לא מורשית של שאלונים ושל הפתרונות לשאלונים. עם זאת, בשנים 2018 - 2020 הגיש המשרד ארבע תלונות בלבד במשטרה, בגין הפצה של השאלונים או התשובות, זאת למרות הנתונים הללו, והעובדה שבשנת 2020 נפסלו למעלה מ-16 אלף מחברות בחינה בשל חשד לפגיעה בטוהר הבחינות.

תלמידים בבחינת בגרות, אילוסטרציה (למצולמים אין קשר לנאמר בכתבה) (צילום: נועם רבקין פנטון, פלאש 90)
תלמידים בבחינת בגרות, אילוסטרציה (למצולמים אין קשר לנאמר בכתבה) (צילום: נועם רבקין פנטון, פלאש 90)

המבקר אנגלמן "ציין כי ממצאי הדוח והבעיות שבשורש ממצאים אלה עלולים לסכן את שלמותם, זמינותם, סודיותם ואמינותם של ציוני בחינות הבגרות וכן עולה מהם חשש לפגיעה בעקרונות טוהר הבחינות. משרד מבקר המדינה ממליץ למשרד החינוך לפעול לתיקון הליקויים שהועלו בדוח, ובכלל זה לעמוד בלוחות הזמנים שנקבעו בתוכניות העבודה בתחום אבטחת המידע והגנת הסייבר, לשפר ולהעלות את רמת אבטחת המידע והגנת הסייבר בכלל מערכותיו ותשתיותיו". עוד הוסיף כי "מומלץ גם שבמערכת החדשה לניהול ציוני הבגרות שלדברי המשרד הוא מפתח, יינתן מענה על הממצאים שהועלו בדוח זה בנוגע לאבטחת המידע של בחינות הבגרות וציוני הבגרות".

מהמשרד נמסר בתגובה: "המשרד עובד עפ"י סטנדרטים מחמירים הנהוגים בעולם מערכות המידע בתקן המחמיר ביותר ובהנחיית מטה הסייבר הלאומי. כלל המערכות של המשרד מנוטרות ומוגנות היטב באמצעות מערכות אבטחה והמערכות הקריטיות מחוברות למערך ה-SOC הממשלתי. בנושא מאגרי המידע המשרד מבצע הליך הסדרה מול משרד המשפטים, כדי לצמצם ולהפחית משמעותית את מספר מאגרי המידע בהם הוא מחזיק: מ-50 מאגרים לעד 10 מאגרים. המשרד טיפל בליקויים שנמצאו ובמקביל ממשיך בהתקנת רכיבי הגנה נוספים במערכות".

"בהתייחס למערך בחינות הבגרות: הסביבה הטכנולוגית בה מנוהל מערך בחינות הבגרות, היא סביבה סגורה , המוגנת ע"י מערך האבטחה של המשרד. הפצה לא מורשית של בחינות הבגרות אינה נובעת מפירצה במערכות המידע של המשרד אלא בהפצה שהתבצעה לאחר פתיחת המערכות והפצת הבחינות ובגינה הוגשה תלונה למשטרת ישראל שבימים אלו מבצעת חקירה בנושא", הוסיפו.