כמה קל לחדור למחשבים של משרדי הממשלה – ולזייף מסמך: צוות של מבקר המדינה הצליח להנפיק תעודת המרה כוזבת, המאפשרת להתחזות ליהודי, לקבל אזרחות מכוח חוק השבות ולהתל בכל אדם ובמוסדות המדינה, הרואים בתעודה זו אסמכתה לגיור כהלכה, תוך עקיפת תהליך העבודה ואמצעי הבקרה המובנים במערכת. כך עולה מדוח מבקר המדינה המתפרסם אחר הצהריים (יום ג'). המבקר מתניהו אנגלמן הגדיר את הפרצה כליקוי ברמת סיכון קריטית.
המבקר על ההגנה על המידע במשרד רה"מ
(צילום: משרד מבקר המדינה )
ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח על שולחן הכנסת ולא לפרסם נתונים מפרק זה לשם שמירה על ביטחון המדינה, בהתאם לסעיף 17 לחוק מבקר המדינה. עם זאת, הותר לפרסם כמה פרטים, שלא יחשפו מידע שעלול לפגוע במדינה.
מערך הגיור במשרד ראש הממשלה מטפל מדי שנה ביותר מ-5,000 הליכי גיור מסוגים שונים ובאוכלוסיות שונות. במערך הגיור יש כ-70 עובדים, ובהם דיינים. המערך מנהל את תהליכי הגיור באמצעות מערכת "מאור" – יישום ממוחשב שפיתח משרד ראש הממשלה. בדוח המבקר הודגש כי המידע והמסמכים הנאספים במערכת זו רגישים, ופגיעה בסודיות, בשלמות או בזמינות של המידע השמור במערכת עלולה לגרום נזק כלכלי ותדמיתי למדינת ישראל ולמתגיירים.
אלא שלמרות הרגישות הרבה, נמצאו ליקויים רבים ומסוכנים. במסגרת הבדיקה דימה צוות הביקורת תרחיש של תוקף זדוני בעל הרשאה בדרגה הבסיסית ביותר במדרג ההרשאות ("ראש ענף"), והצליח להנפיק תעודת המרה כוזבת. המבקר הדגיש כי הפעולה נעשתה ברמת מיומנות של משתמש רגיל במערכת, ללא מיומנות של תוקף סייבר מקצועי וללא שימוש בכלי פריצה ייחודיים. מדובר בליקוי המוגדר כקריטי.
בביקורת הועלו חמישה ליקויים ברמת סיכון גבוהה, לרבות אפשרות לתוקף אנונימי להציף את המערכת בנתונים, באמצעות שליחה אוטומטית של טופסי פתיחת תיק. אחד הליקויים המוגדר ברמה גבוהה הוא הצפת המערכת במידע באמצעות פתיחת תיקי גיור. בביקורת נמצא כי המערכת מאפשרת למשתמשים הגולשים באתר האינטרנט של מערך הגיור לשלוח טופסי "בקשה לפתיחת תיק גיור" ללא הגבלה, וכי כמות הנתונים שאפשר לטעון למערכת באמצעות הטופס אינה מוגבלת.
צוות הביקורת דימה תוקף זדוני והציף את המערכת בתיקים מאגדים רבים, שנפתחו כולם על ידי אותו משתמש באותו היום. הצפת המערכת בטופסי בקשה או בנתונים רבים עלולה למנוע מהמערכת לספק שירות.
ליקוי נוסף ברמה גבוהה נמצא בתחום שינויים מסוימים במערכת. במסגרת הבדיקה דימה צוות הביקורת תוקף זדוני בעל הרשאה בסיסית והצליח לערוך שינויים, כגון שינוי בהחלטתו הכתובה של בית הדין לאשר את המשך הליך הגיור, וציון במקומה כי הוחלט לבטל את הגיור עקב נתונים לא אמינים שנמסרו.
כמו כן הועלו חמישה ליקויים ברמת סיכון בינונית ועשרה ליקויים ברמת סיכון נמוכה. במשרד מבקר המדינה אמרו כי רוב הליקויים שהועלו בבדיקה נוגעים ל"איום פנימי", כלומר איום פוטנציאלי מצד משתמשים בעלי הרשאת גישה למערכת מאור. זאת, בשונה מ"איום חיצוני" מצד גורמים שאינם בעלי הרשאת גישה למערכת זו.
המבקר אנגלמן המליץ למשרד ראש הממשלה לפעול לתיקון הליקויים שעלו בביקורת. "יש מקום שמערך הדיגיטל הלאומי, ויחידת ממשל זמין שבו, יבדקו אם הליקויים שמפורטים בדוח זה רלוונטיים גם לשירותי ממשל ממוחשבים אחרים העוסקים בהנפקת תעודות רשמיות לציבור", נכתב בדוח.
מערך הדיגיטל הלאומי ציין בתשובתו מינואר 2024 כי הטופס המקוון הקיים של מערכת הגיור נמצא במערכת הטפסים הישנה של מערך הדיגיטל הלאומי וכי משרד ראש הממשלה נדרש להעביר אותו למערכת הטפסים החדשה, במטרה לשפר את החוסן של מערכת מאור. משרד ראש הממשלה ציין בתשובתו כי בכוונתו להעביר את הטופס המקוון למערכת החדשה של מערך הדיגיטל הלאומי עד לסוף מרץ 2024.
משרד ראש הממשלה פירט בתשובתו ממרץ 2024 את פעולותיו לתיקון הליקויים שעלו במבדק החדירה, ובין היתר ציין כי הליקוי שהוגדר קריטי טופל ותוקן בימים שלאחר ביצוע מבדק החדירה; האפשרות שתוקף אנונימי יציף את המערכת בנתונים באמצעות שליחה אוטומטית של טופסי פתיחת תיק תטופל עם המעבר של יחידת "ממשל זמין" במערך הדיגיטל הלאומי לטכנולוגיה חדשה; ליקויים שהוגדרו בסיכון נמוך ובינוני נבחנו ויטופלו באמצעות חידוד נוהלי העבודה והבקרה במערכת, לצד בחינת הכדאיות של פיתוחים אפשריים כמענה לליקויים האלה, תוך שקילת עלותם לעומת תועלתם.
פורסם לראשונה: 15:59, 23.07.24
