נשיאים ורוח, וגשם אין

לפני חודשים ספורים פרסם מבקר המדינה דו"ח על חלק מהביקורות שביצע משרדו בגופים הממשלתיים והציבוריים בשנת 2019. אחד הנושאים שהופיעו בדו"ח הוא ענן המחשוב הממשלתי. הממצאים זועקים לשמיים ומדאיגים, אולם לא נראה שמישהו מתייחס אליהם. אני מאמין שרוב האנשים כלל לא מודעים לקיומה של בעיה בתחום זה.

בעולם כיום מסתמנת מגמת מעבר למערכות מידע מבוססות ענן. כלומר שימוש במשאבים וביכולות של טכנולוגיות המידע שנמצאות בידי גורם חיצוני המספק אותם כשירות. מגמה זו מתחזקת גם במשרדי ממשלה וגופים ציבוריים בכל העולם. ממשלת ישראל אף היא כבר בחרה בכיוון זה. יישום ענן המחשוב יביא להתייעלות רבה ובכך יתרונו. מבקר המדינה מצא למשל כי במשרדי הממשלה המתבססים על שרתים מקומיים, רק שני אחוזים מהתשתיות מנוצלים! כן, כך מתנהלים הדברים במדינה המחשיבה עצמה אימפריית-על של הייטק ומחשוב. בענן המחשוב מגולמים יתרונות נוספים ובהם: ייעול תפעולי, שיפור השירות לאזרח, רמת אחידות גבוהה יותר בין הגופים הממשלתיים, וכדומה.

הנושא נדון כבר כמה שנים על ידי גופים הנוגעים בדבר, ואף נלקחו כמה החלטות בכיוון האמור לפני כשמונה שנים. אולם הכול מתנהל גרוע. בישראל כיום רק אחוז אחד מתקציב המחשוב הממשלתי מוקצה למחשוב ענן. בעולם הממוצע הוא פי שמונה מאשר אצלנו! לְרוב ברור של משרדי הממשלה אין כלל תוכנית אב למחשוב. למשרדים שיש תוכנית אב שכזו – רק בחלק מהתוכניות יש בכלל התייחסות למחשוב ענן. מתוך אלפי מערכות מידע שיש כיום בארגונים המבוקרים האמורים, רק כמאה עברו לענן.

אם לא די בכך, הנה עוד כמה עובדות לא מרננות המצביעות על המחדל הגדול. פרויקט "נימבוס" שנועד להקים ענן כלל-ממשלתי (שלב מתקדם בהשוואה לשימוש משרדי ממשלה בשירותי ענן נפרדים) ששירותיו יסופקו על ידי שתי חברות עולמיות מובילות, הושק לפני למעלה משנתיים ואפילו נבחרו הזוכים. צעדים מעשיים טרם התממשו ואין אפילו מסגרת זמן למימושו. על השאלון ששלח מבקר המדינה לצורך ביצוע הסקר הנדון, יותר משליש ממנהלי מערכות המידע במשרדים שונים כלל לא טרחו לענות. מתוך אלה שכן השיבו, שישים אחוזים דיווחו שלא בוצעה שום הפקת לקחים אחרי המעבר לענן.

בצד היתרונות, למחשוב הענן יש גם כמובן חסרונות, אחד מהם הוא פגיעות המערכות. לפיכך נקבע, למשל, כי בפרויקט משרד ראש הממשלה שהוחלט ליישמו בענן ייערך סקר סיכונים כל שנה וחצי. חלפו כבר למעלה משלוש שנים ושום סקר לא בוצע. בחלק מהמקרים מערכות עברו לענן ללא האישור הנדרש מהיחידה להגנת הסייבר. בכמה מהמקרים נבחר ספק הענן ללא מכרז, באמתלה של היותו ספק יחיד. אין לאף גורם רשמי מיפוי מלא ומעודכן של כל המערכות שכבר יושמו בענן. גופים שאינם קשורים ליחידה להגנת הסייבר אך מנגד כפופים להנחיות משרדי ממשלה כגון תחבורה, אנרגיה, תקשורת וכו', מנהלים את מערך הגנת הענן שלהם ללא גורם ממלכתי קובע ומפקח. אין בקרה על יישום הנחיות מערך הסייבר, ויותר מכך, למערך הסייבר אין כלל סמכות לפקח על יישום הנחיותיו. מצב הדברים קשה במיוחד לנוכח העובדה שבשנה שעברה הוכפלו פי שמונה האיומים על שירותי ענן ממשלתיים ברחבי העולם, לעומת תקופה מקבילה קודמת.

לסיכום, אל נא תתפלאו אם פרויקט המחשוב הממשלתי יסבול מהתארכות במאות אחוזים, מהתייקרות מתפתחת עד כדי מאות אחוזים גם כן, מגל של תביעות הדדיות מול ספקי השירותים, וממחדלים של ביצוע ובעיקר פרצות אבטחה בסדר גודל משמעותי. חבל.