מבקר המדינה: ה-IT במינהל מקרקעי ישראל – ישן ומלא בכשלי אבטחה

חלק ממערכות הליבה הממוחשבות של מינהל מקרקעי ישראל הן בנות 30 שנים, חלק מהעבודה במינהל נעשית באופן ידני ולא ממוכן, ולמינהל אין תוכניות פיתוח IT להווה ולעתיד; כך קובע מבקר המדינה, השופט בדימוס מיכה לינדנשטראוס, בדו"ח השנתי 61-ב'.

המבקר בחן כמה נושאים במינהל מקרקעי ישראל, ביניהן ניהול מערכות המידע במינהל, הכנת תכנית-אב ותכניות עבודה שנתיות; מערכת עסקות, כספים וארכיב; אבטחת המידע והשימוש במערכת הממוחשבת לגביית חובות.

חלק ממערכות הליבה הממוחשבות של המינהל – כספים, חוכרים, ספר נכסים, פינויים, תכנון ומערכת משפטית – הן בנות 30 שנה, קבע המבקר, "רק באוגוסט 2010 החל המינהל באפיון  מחדש של מערכות המידע האלה, פרט למערכת כספים, אך פיתוח המערכות החדשות ויישומן יארך שנים".

"הנהלת המינהל לא קבעה מדיניות מיחשוב ולא עקבה אחר עבודתו של אגף מידע באופן יסודי, ולפיכך חסר המינהל את התשתית הניהולית הדרושה לניהול מערך המיחשוב בהתאם להחלטת הממשלה מ-2007", קבע המבקר, "תכניות העבודה של אגף מידע לא היו מפורטות דיין, לא התאימו לדרישות נוהל מפת"ח  ולא שיקפו במלואן את משימותיו. המינהל גם לא הכין תכנית-אב למיחשוב מאז 2005. עד מועד תום הביקורת, אוגוסט 2010, לא הכין אגף מידע תכנית עבודה לשנת 2010".

"הדרג הניהולי במינהל ובכללו מנהלי המחוזות לא בדקו את הפעולות הידניות הנעשות במערכת הממוחשבת באמצעות מערכת בקרת הפעילויות", נכתב בדו"ח, "התברר כי המערכת האמורה אופיינה ונכתבה ביוזמת אגף מידע ככלי בקרה לדרג הניהולי, בלי ניתוח צרכים עם המשתמשים. היעדר הבקרה ומספרן הרב של הפעולות החריגות פתחו פתח לשגיאות או לשימוש לרעה במערכת".

עוד מצא המבקר כי "פעולות חיוב וזיכוי ידניות, המוגדרות כפעולות חריגות, לא נבדקו ולא היו כלים ממוחשבים שיתריעו עליהן באופן שוטף. בניגוד לנהלים, המערכת הממוחשבת מאפשרת לעובדים במינהל שאינם עובדי הגזברות, לבצע חיובים וזיכויים ידניים בחשבונות החוכרים. פעולות אלה בוצעו בידי פקידים שלא נזקקו לאישור הממונים עליהם לשם כך, ובלי שהמערכת התריעה על שינוי הנתון".

באחת ממערכות ה-IT, כתב המבקר, "במערכת 'חוכרים', נעשות פעולות הכרוכות בטיפול בעסקות עתירות כספים, ויש להן השפעה מכרעת על אלה: העברת זכויות; תוספת בנייה או שטח; היוון דמי חכירה שנתיים; התחייבות לרישום משכנתה. אולם הפרטים אומתו והושלמו בידי גורם אחד בלבד ללא דרישה לאישור של גורם נוסף, בניגוד לעקרון הפרדת תפקידים בין הגורם המבצע לגורם המאשר ובניגוד לסדרי בידוק מתאימים". עוד נקבע כי "מערך הכספים של המינהל נוהל באמצעות מערכת מיחשוב מיושנת בת עשרות שנים. הניסיונות שנעשו במשך חמש שנים לא הצליחו לשלב את מערכת מרכב"ה  או חלקים ממנה במינהל. המינהל לא השכיל להשתמש באפשרויות הגלומות במערכת הממוחשבת ובמידע האגור בה למעקב אחר גביית חובות, לקביעת סדרי עדיפויות לטיפול בחייבים ולייעול הטיפול בתיקים. המינהל לא נוהג להפיק דו"ח גיול חובות , אף שקיימת אפשרות טכנית להפקתו, והוא גם לא מפיק דו"חות המרכזים את סכומי החובות והתפלגותם. למנהל המינהל, לאחראי הגבייה או לחשב המינהל לא היה כל מידע על התפתחות החובות".

כשל יסודי בטיפול באבטחת המידע

ליקויים רבים מצא המבקר בטיפול המינהל באבטחת המידע: "היעדר מדיניות לאבטחת מידע; אי-מינוי ממונה על אבטחת מידע הכפוף למנהל המינהל; אי-הקפדה על הפרדת סמכויות בין העוסקים בפיתוח המערכות הממוחשבות ובין העוסקים בהפעלתן; שימוש בסיסמאות שאינן תואמות את רמת האבטחה הנדרשת במערכת כספית המנהלת מידע רגיש; אי-דירוג של תפקידים לצורך קביעת הרשאות גישה למערכת ואי-הגדרת הרשאות לפי תפקיד; אי-שימוש בנתוני יומן האירועים לצורך איתור פורצים למערכת; היעדר פיקוח ובקרה על פעולות הפקידים; היעדר תיעוד ממוחשב של קבלת מסמכים ושל האסמכתאות עצמן; אפשרות לשנות נתונים בקלות רבה. מכלול הליקויים האמורים מצביע על כשל יסודי בטיפול באבטחת המידע במינהל".

"חלק גדול מהמערכות לניהול המקרקעין של המינהל הן מערכות מיושנות שפותחו בשנות השמונים של המאה העשרים ולא חודשו מאז", נכתב, "הדו"ח העלה ליקויים רבים בשימוש המינהל במערכות המידע בעבודתו, במיוחד לשם בקרה. הביקורת חושפת ניהול לקוי של מערכות המידע במינהל העלול לפגוע בזכויות המדינה במקרקעי ישראל, בקופה הציבורית ובאמון הציבור. הניהול של מערכות המידע עלול לפגוע בתשתית המידע שלפיה נקבעת המדיניות בנושא המקרקעין, בזכויותיהם של תושבי המדינה בשל גביית יתר וניהול לא תקין ובחובת הנאמנות של המינהל כלפי האזרחים". למרות דו"חות קודמים בתחום, קובע הדו"ח, הוא לא השתפר.

כדי לבצע את הרפורמות בעניין שימוש בקרקע חקלאית והפרטת קרקע, נכתב, "דרושות מערכות IT עם בסיס מידע מדויק ואמין, ולכן חשוב מאוד שהמינהל ישפר את תשתית המידע שבידיו".

המבקר מסכם בקביעה כי על המינהל להכין תכנית-אב למיחשוב שבה יפורטו מערכות המידע ומערכות התשתית הדרושות לו; יושלם אפיון מערכות הליבה ופיתוחן מחדש; יוכנסו פעולות בקרה והתניות לביצוע פעולות במקרקעין; יושלם פיתוח מרכז המידע בנושא חובות והפקת דוחות אמינים ומדויקים. הוא מסיים בהמלצה לחקור את הסיבות לגידול במספר הפעולות החריגות במערכת, ולנקוט צעדים לצמצומן, "על המינהל להכניס התרעות אוטומטיות על חריגים חמורים, על פי קריטריונים שייקבעו מראש".