Page 81 - דוח המבקר 2023
P. 81
תשלומים
הערה:
1.17.23אפקטיביות הבקרות והמערכות המצוינות לעיל לא נבדקו במסגרת הביקורת ,ולכן
אין בממצא זה להעיד על רמת האפקטיביות בפועל של הפתרונות המיושמים.
חומרת הממצא :אינפורמטיבי
1.17.24הממצא מתאר את קיומן של מערכות לניהול גיבויים ושרידות ללא הערות נוספות
1.17.25מבדקי חדירה וסקרי אבטחת מידע
1.17.26מערכות המידע התומכות בתהליכי התשלומים בעירייה צריכות לעמוד בבקרות
אבטחת מידע מחמירות ,כולל ביצוע סקרי אבטחת מידע ומבדקי חדירה בלתי
תלויים באופן שגרתי .כל ממצא שמזוהה במסגרת מבדקים אלו ,ללא קשר לרמת
סיכון שהוגדרה לו ,צריך להיות מתועד ,נדון ,ומטופל בהתאם לעקרונות ניהול
סיכונים מבוססי ראיות ,תוך מעורבות כל הגורמים הרלוונטיים.
ממצאים
1.17.27במסגרת הביקורת ,ביקשנו לבחון האם בוצעו סקרי אבטחת מידע ומבדקי חדירה
בלתי תלויים למערכת One Cityהתומכת בתהליכי התשלומים בעירייה.
1.17.28נמצא כי קיימת שגרת מבדקי חדירה ,כאשר האחרונים נערכו למערכות השכר
והפיננסיים בתאריכים 10.04.2024ולמערכת השכר במרץ .2021
1.17.29המבדקים בוצעו ע"י גורמים חיצוניים ובלתי תלויים ,ולא באופן עצמאי ע"י חברת
.One
1.17.30יחד עם זאת ,זוהו מספר ממצאים ברמות סיכון "בינונית" ו"נמוכה" שטרם טופלו או
הוחלט שלא לטפל בהם ,כגון:
1 .אפשרות להעלאת קבצים בצורה לא מאובטחת למערכת.
2 .אפשרות לביצוע מתקפות אוטומטיות על המערכת בשל היעדר מנגנון מונע.
3 .יש לציין שממצאים שסווגו ברמת סיכון גבוהה טופלו ותוקנו.
4 .אי-טיפול בממצאים מסוימים מהווה פוטנציאל לחשיפה לסיכונים ,אף אם
סווגו ברמות נמוכות יותר ,במיוחד כאשר הם נוגעים לפגיעות פוטנציאליות
במערכת תומכת תשלומים.
עמדת הביקורת:
1.17.31בעוד שממצאים ברמת סיכון גבוהה טופלו כנדרש ,היעדר טיפול בממצאים ברמות
סיכון נמוכות ובינוניות ,כגון העלאת קבצים לא מאובטחת ומתקפות אוטומטיות,
עלול ליצור נקודות תורפה מצטברות שינוצלו בעתיד.
עמדת הביקורת היא כי יש להבטיח שכל ממצא ידון בהשתתפות כל הגורמים הרלוונטיים
ויבוצע ניתוח סיכונים משותף שיכלול הערכת עלות-תועלת לטיפול בממצאים.
80
