הממשלה יצאה למכרז לניידים – עם התייחסות לוקה בחסר לאבטחה

מנהל הרכש הממשלתי במשרד האוצר יצא למכרז חדש בתחום הגנת הסייבר ואבטחת מידע בעולם הנייד – אלא שיש בו התייחסות מועטה וחלקית בלבד לתחום ההגנה, מה שמותיר פרצות פוטנציאליות וחשיפות אבטחה לא ממוגנות, שאינן מטופלות.

לאנשים ומחשבים נודע כי כיום, מוטמעים שבעה פתרונות אבטחת מידע לעולם הנייד במערך המחשוב של הממשלה: MaaS360, חברה בבעלות יבמ (IBM); איירווטש (AirWatch), חברה בבעלות VMware; לטמובייל (LetMobile) הישראלית, חברה בבעלות LANDesk; טכנולוגיית Knox של סמסונג (Samsung); מובייל איירון (MobileIron), המיוצגת בישראל על ידי אקסטנד (Extend); ופתרון של סיטריקס (Citrix). בכוונת אנשי האוצר ליישם פתרון אחד כולל, או שניים, אשר יחליפו את הפתרונות הקיימים.

המכרז, הנושא את השם הקליט "מכרז מרכזי לאספקת מערכת ניהול ואבטחת מכשירים ניידים, EMM (ר"ת Enterprise Mobility Management) עבור משרדי הממשלה", פורסם בשבוע שעבר ועל המתמודדים להגיש את הצעותיהם עד 13 במרץ. במסמך, הכולל יותר ממאה עמודים, נכתב כי "הזוכה יספק בכל אזורי השירות את המוצרים והשירותים המבוקשים למשרדי הממשלה, ליחידות הסמך ולגופים נלווים את השירותים הבאים: אספקת המערכות; התקנת שרתי המערכת ומערכות השליטה והטמעתם; התקנת רכיבי המערכת על מכשירי הקצה של המשתמשים והטמעתם; תמיכה והדרכה; תחזוקה; שילוב המערכות בתשתיות וביישומים אצל המזמין". עוד מציינים אנשי מנהל הרכש הממשלתי כי בכוונתם "לבצע התקשרויות נוספות בתחום אבטחת מערכות טלפוניה ניידות, כמו מערכות הגנת דואר אלקטרוני, הצפנת שיחות, בקרת רשת וכדומה". מטרות המכרז, צוין, הן: שיפור רמת אבטחת המידע והגנת מערכות הטלפון הניידות של המזמינים; רכישת ציוד ושירותים ברמה הגבוהה ביותר, תוך מתן מירב היתרונות הטכנולוגיים למזמין בכפוף למסגרת כספית נתונה; מקסום כוח הרכש של הממשלה להשגת תנאי רכישה טובים יותר למשרדי הממשלה ויחידות הסמך.

גורמים בענף הביעו סיפוק, על כך שבראשונה, הממשלה מתייחסת לעולם הטלפונים החכמים כפלטפורמת עבודה, הדורשת ניהול ואבטחת מידע, ומנגד, גורמי אבטחה מקצועיים מתחו ביקורת על ההתייחסות המועטה והחלקית ביותר לתחום אבטחת המידע, במובנו הרחב – בעולם המחשוב הנייד.

"אין מענה למגוון של איומים"

כך, אמר מקצוען אבטחת מידע, המעורה בפרטי המכרז, לאנשים ומחשבים כי "EMM, ניהול מערך הניידים הוא חלק חשוב, אבל רק חלק, מתוך כלל תפיסת ההגנה על העולם הנייד. הוא מטפל בבניית מדיניות אבטחת מידע ובאכיפה שלה, אולם הוא לא נותן מענה למגוון האיומים הקיימים בעולם המחשוב הנייד". בדרך זו, הסביר "נוצרת חשיפה של הטלפונים הניידים של עובדי הממשלה למגוון איומים, אשר בעולם המחשוב הנייח, הקלאסי, כבר נפתרו ברובם הגדול".

יש לזכור, ציין אותו בכיר, כי "בעולם המחשוב הנייד, החוליה החלשה היא מכשיר הקצה, הטלפון החכם – והתקשורת שלו באמצעות התווך האינטרנטי האלחוטי. במכרז אין כל התייחסות לאבטחה בהיבט זה, וכך נוצרת חשיפה לאיומים מגוונים". כך, לדוגמה, אמר, "פתרון EMM, חשוב ככל שיהיה, לא עונה על בעיות האבטחה הנוצרות אם עובד המדינה יושב בבית קפה ומשתמש ב-Wi-Fi ציבורי. גם אם המכשיר שלו מוצפן, הרי שלצורך השימוש שלו בתווך האלחוטי, ההצפנה נפתחת, והאקר פוטנציאלי עלול לחדור לאותו תווך – משם, להשיג גישה לאפליקציות הממשלתיות, וכך לגנוב מידע אישי וממשלתי מסווג".

גורם אחר מתח ביקורת על תנאי המכרז וציין כי המכרז יביא לכך שבשל הרצון של הממשלה לשלם עבור פתרונות הניהול והאבטחה מחירים נמוכים – הדבר יביא לפגיעה ברמת השירות, עם רווחיות מועטה עד אפסית לספקים שיתמודדו.

בראיון לאנשים ומחשבים אמר גדי גילאון, יו"ר ומייסד מוביסק טכנולוגיות, כי "עצם פרסום המכרז הוא בעל חשיבות. מהמכרז עולה כי לממשלה יש עמדה בנושא וכי היא הבינה שתחום המובייל הוא חלק ממערך המחשוב הממשלתי. המכרז מעיד כי בממשלה הבינו שחלק מהתפיסה העסקית שלהם הוא לשלב את המובייל בתוך ארגז כלי העבודה של עובדי הממשלה, וככזה – נדרש לנהל אותו".

לא נמסרה תגובה ממשרד האוצר.