Page 80 - דוח המבקר 2023

P. 80

‫תשלומים‬

‫ממצאים‪:‬‬
‫‪ 1.17.16‬מסגרת הביקורת‪ ,‬ביקשנו לבחון את יישום מנגנוני אבטחת המידע בעירייה להגנה‬
‫על תהליכי התשלומים‪ ,‬במיוחד בהתמודדות עם סיכונים כגון חדירה למחשבי‬

‫המשתמש‪ ,‬גניבת מידע‪ ,‬ופגיעה בשלמות ואמינות הנתונים‪.‬‬
‫‪ 1.17.17‬בדיקה מול מנהל אבטחת המידע והגנת הסייבר של חברת ‪ ,One‬נמסר כי בסביבת‬

‫מערכת ‪ One City‬מבית ‪ ,One‬מיושמים מגוון אמצעי אבטחה ובקרות‪ ,‬בהם‪:‬‬
‫ •חומת אש (‪:Firewall) - Fortinet‬מגן על הרשת הארגונית ועל סביבת מערכת‬

‫התשלומים‪.‬‬
‫ •אנטי‪-‬וירוס (‪ :)Trend Micro‬מגן על תחנות הקצה והשרתים מפני מתקפות‬

‫וירוסים‪.‬‬
‫ •ניטור באמצעות ‪ :)EDR (Crowd Strike‬מספק ניטור והגנה על תחנות הקצה‬

‫בארגון‪.‬‬
‫ •חומת אש אפליקטיבית ובסיסי נתונים (‪DBFW - IBM Guardium, WAF -‬‬

‫‪:)F5‬מגנה על נתוני המערכת ומאפשרת אבטחת יישומים ובסיסי נתונים‪.‬‬
‫ •מרכז תפעול סייבר (‪ :)SIEM/SOC - Q-Radar‬מנטר את פעילות‬

‫המשתמשים במערכות‪ ,‬כולל מערכת התשלומים‪.‬‬
‫הערה‪:‬‬

‫‪ 1.17.18‬לא נבדקה אפקטיביות הבקרות במסגרת הביקורת‪ ,‬ולכן אין בכך להעיד על רמת‬
‫האפקטיביות בפועל של הפתרונות המיושמים‪.‬‬
‫חומרת הממצא‪ :‬אינפורמטיבי‬

‫‪ 1.17.19‬הממצא מתאר את קיומם של מנגנוני הגנה מתקדמים‪ ,‬אך לא כולל הערות נוספות‬
‫או המלצות לשיפור בשלב זה‪.‬‬

‫‪ 1.17.20‬בחינת מערכות ותשתיות זרות‬
‫‪ 1.7.21‬במסגרת הביקורת‪ ,‬בחנו את התייחסות אבטחת המידע לסיכונים הנובעים‬
‫מתהליכי התשלומים בעירייה‪ ,‬עם דגש על מנגנונים לשמירה על זמינות המערכת‬
‫והתשתיות שאינן בשליטת העירייה‪ ,‬כולל פתרונות השרידות בצד הספק ‪One‬‬

‫‪.City‬‬
‫‪ 1.17.22‬בבדיקה מול מנהל אבטחת המידע והגנת הסייבר של חברת ‪ ,One‬נמצא כי‬

‫החברה מפעילה שגרה סדורה לניהול גיבויים‪ ,‬הכוללת‪:‬‬
‫ •גיבוי בסיסי נתונים‪ :‬שמירה על שלמות המידע‪.‬‬

‫ •גיבוי שרתים ואפליקציות‪ :‬לשחזור מידע ותפעול במקרה של תקלה‪.‬‬
‫ •רפליקציה לאתר גיבוי מרוחק (‪ :)DR‬יצירת העתק מלא של הנתונים‬

‫ב‪ Disaster Recovery-‬למקרה של כשל באתר הראשי‪.‬‬
‫ •ניהול מערך גיבויים באמצעות ‪ :TSM‬למניעת אובדן נתונים ולשמירה על‬

‫זמינות המידע‪.‬‬

‫‪79‬‬

75 76 77 78 79 80 81 82 83 84 85