Госконтролер Матаниягу Энгельман опубликовал ежегодный отчет, посвященный итогам проверки различных секторов деятельности министерств и ведомств. Документ представленный общественности во вторник, 23 июля, касается ситуации с пожарной безопасностью, регулированием клинической подготовки врачей, изучения английского языка в образовательных учреждениях и многому другому.
Одна из тем, которую поднимает Энегльман, - это кибербезопасность в министерстве главы правительства. В частности, были обнаружены многочисленные бреши в системе гиюра.
Недостаточная защищенность позволила проверяющим, среди прочего, выписать поддельное удостоверение о прохождении гиюра, а также внести изменения в базу данные и перегрузить систему запросами о регистрации проходящих процедуру перехода в еврейство.
Оформленное подобным образом свидетельство, позволяет его обладателю выдавать себя за еврея, получить израильское гражданство в рамках закона о возвращении и обманывать людей и государственные учреждения, которые рассматривают это свидетельство как подтверждение прохождения гиюра.
Подкомиссия кнессета по государственному контролю решил не обнародовать полную версию выводов проверяющего ведомства, в частности данные из раздела о киберсистемах из соображений государственной безопасности, в соответствии со статьей 17 закона о государственном контроле.
Тем не менее, разрешено опубликовать некоторые детали, не раскрывающие критически важные уязвимости.
Система гиюра в министерстве главы правительства ежегодно обрабатывает более 5000 запросов различных типов. В этот процесс вовлечены около 70 сотрудников, в том числе раввины имеющие статут "даяна". Процесс оформления прохождения гиюра контролируется компьютерной программой "Маор", разработанной министерством.
В отчете контролера подчеркивается, что информация и документы, собранные в этой системе, являются конфиденциальными, и нарушение условий обращения, их целостности или доступности может причинить экономический и репутационный ущерб государству Израиль и людям, проходящим гиюр.
Несмотря на высокую чувствительность, были обнаружены многочисленные серьезные недочеты. В рамках проверки проверяющие смоделировали сценарий, в котором злоумышленник, получив базовый уровнем авторизации ("руководитель отдела") смог выдать поддельное удостоверение о гиюре.
Контролер подчеркнул, что это действие было выполнено на уровне обычного пользователя системы, без профессиональных хакерских навыков и без использования уникальных инструментов взлома. Эта уязвимость системы была квалифицирована как критическая.
Министерство главы правительства в своем ответе на претензии госконтролера подробно изложило предпринятые действия по устранению недочетов. В частности, отмечалось, что критические уязвимости в компьютерных системах были устранены в течение нескольких дней после проведения тестирования группой госконтроля.
Неделей ранее, 16 июля, ведомство госконтролера обнародовало ежегодный отчет о работе местных органов власти. Документ охватывает несколько ключевых тем, в том числе использование муниципалитетами камер наружного наблюдения в общественных местах.
Проверка выявила недостаточную защиту частной жизни граждан при использовании видеокамер в общественном пространстве. В населенных пунктах, где проводились проверки были обнаружены камеры наблюдения, позволяющие вести съемку, в том числе крупным планом, частных владений.
Кроме того в некоторых местах установлена видеоаппаратура, с возможностью автоматического считывания номерных знаков автотранспорта. Такого рода деятельность не имеет четкого правового основания.
Подробнее на иврите читайте здесь