אתמול (ד') ב-7:00 בבוקר הפסיקו במשרד הפנים לעדכן את ספירת הקולות, לאחר שהאתר המיועד שהקים המשרד קרס כבר ב-22:00 ביום הבחירות, ככל הנראה בעקבות עומס גולשים. עד עכשיו - 36 שעות לאחר סיומן של הבחירות לרשויות המקומיות - אזרחי ישראל עדיין אינם יכולים לצפות בתוצאות האמת של עירם באתר.

"ב–22:00 בלילה האתר עבד. הוא הפסיק לעבוד ולקח כמה שעות טובות עד שהוא סודר. כרגע האתר של המשרד מושבת. לא ניתן להיכנס אליו — מישהו חטף אותו. יכול להיות שניסו לחבל בבחירות. זה מטופל על ידי מחלקת סייבר במשרד הפנים. היה צירוף מקרים של כמה דברים במקביל" - כך ניסו לתרץ אתמול (ד') במשרד הפנים את הפארסה הגדולה של הבחירות המקומיות.

איך קרה שאתר ייעודי שהקים המשרד ואמור היה לספק לאזרחי ישראל את תוצאות הבחירות - קרס, כך שלא ניתן היה לצפות במידע בו, במחשב או בסמארטפון? גם לפני הקריסה התלוננו רבים על גלישה איטית במיוחד, חוויית משתמש רעה ומיושנת, ממשק בעייתי וחוסר יכולת לקבל את הנתונים. תוצאות האמת באתר הפסיקו להתעדכן הבוקר, ובהמשך הודיע משרד הפנים כי האתר יעודכן בתוצאות המלאות רק הבוקר (יום ה'), אך האתר עדיין לא חזר.

אז מי אחראי לקריסה?

במשרד הפנים ניסו הבוקר תחילה לגלגל אחריות ללשכת הפרסום הממשלתית (לפ"מ), שהקימה את האתר הייעודי. בלפ"מ שללו בתוקף את ההאשמות, והסבירו כי הקשר היחיד שלהם למשרד הפנים היה הקמת עמוד הנחיתה באתר: "ללפ"מ אין קשר לקריסה. לשכת הפרסום הממשלתית הקימה את דף הנחיתה המפנה את הגולשים לאתר משרד הפנים. אתר משרד הפנים כלל בתוכו מערכת תוצאות אמת, שלא עמדה בעומס וקרסה".

בהמשך הפנו במשרד הפנים אצבע לכיוון גורם נוסף, ומסרו כי "מדובר בממשק של חברת Esri — חברה בינלאומית שעבדה איתנו על אתר מבוסס מפות GIS (מערכות מידע גיאוגרפיות), שניתן לראות בו תוצאות הצבעה של כל עיר בנפרד כפי שמופיעה במפה. האתר כולל נתונים כמו מספר קלפיות ושיעורי הצבעה". 

חברת Esri מיוצגת בישראל באמצעות סיסטמטיקס טכנולוגיות, המספקת למדינת ישראל ממשקי מפות דיגיטליים כבר שנים רבות. על פי אתר מינהל הרכש, משרד הפנים שילם 460 אלף שקל על השירות של Esri כספק יחיד של שירות המפות של החברה, ההתקשרות שנעשתה בפטור ממכרז.

אתר משרד הפנים משתמש בממשק המפות הדיגיטלי של החברה לטובת יחידות שונות במשרד, כפי שמפרטים בדו"ח הבקשה לפטור: מינהל חירום, המנהל לשילטון מקומי, ועדות גיאוגרפיות והמפקח על הבחירות. בבקשה לפטור ממכרז טען משרד הפנים כי מדובר בספק יחיד וביקש לשמור על המשכיות, מאחר שהחברה מספקת למשרד את השירות הזה במשך שנים.

באתר הייעודי נכלל עמוד עם מפת ישראל, שבו אפשר לצפות בתוצאות הבחירות המקומיות לפי יישובים. הממשק אמור היה לאפשר מעקב אחר נתונים שונים מכל יישוב, כמו מספר התושבים ושיעור ההצבעה, ולספק תוצאות אמת עם סיום ספירת הקולות. עדכון התוצאות התבצע על ידי אפליקציה, שאליה הזין כל מזכיר קלפי את הנתונים בזמן אמת.

מחברת סיסטמטיקס טכנולוגיות נמסר בתגובה: "המערכת נבנתה על בסיס טכנולוגיית המיפוי של חברת esri, המשרתת אלפי ארגונים ומליוני משתמשים בעולם ובישראל מזה עשרות שנים. חברת סיסטמטיקס משווקת ומיישמת את הפתרונות הללו בישראל. אנו בודקים, יחד עם חברת esri, את הגורמים לתקלה ובוחנים את כל האפשרויות. לכשיתקבלו התשובות, בהקדם, נוכל להצביע על הגורמים לתקלה ועל הצעדים לתיקונה".

"יש כמה חולשות או בעיות"

על פי תקנות הגנת הפרטיות שנכנסו לתוקף במאי 2018, מחייבת הרשות להגנת הפרטיות כל גורם במדינה המחזיק מאגר מידע לדווח על אירועי אבטחה בתוך 24 שעות. ברשות מסרו כי לא התקבל דיווח כזה ממשרד הפנים, והוסיפו כי "אם אכן אירע אירוע אבטחה חמור, יש 72 שעות להגשת דיווח".

כשבועיים לפני הבחירות לרשויות המקומיות, כינס יו"ר ועדת המדע והטכנולוגיה, ח"כ אורי מקלב (יהדות התורה), דיון מיוחד כדי לבחון את מוכנות משרד הפנים והרשויות לבחירות. במהלך הדיון הבטיחה נעמי פרידמן, מנהלת מערכות המידע במשרד הפנים, כי "יש מנהל אבטחת מידע להגנה על המערכת. מדובר במערכת שלא משפיעה על המינהל התקין של הבחירות — עשו כל מאמץ לבחון שלא תיפול ביום הבחירות".

מלבד תלונות רבות מצד גולשים, היו מומחי אבטחה שהעלו ברשתות החברתיות טענות רבות על עבודה חובבנית בבניית האתר הייעודי של משרד הפנים. לדברי רן בר־זיק, מפתח בחברת OATH, ספק גדול אם אנשי משרד הפנים ביצעו בדיקת עומס לאתר כדי לוודא שלא יקרוס לנוכח הגולשים הרבים שביקשו לראות את התוצאות המתעדכנות.

פורסם ב-TheMarker

עוד ב-TheMarker

עובדי גוגל בכל העולם יפגינו היום במחאה על הסתרת ההטרדות המיניות בחברה
פרצת אבטחה באפליקציה של קופ"ח מאוחדת: פרטי מטופלים היו חשופים

בר זיק מצא כי עמוד הנחיתה של אתר משרד הפנים היה חשוף, דבר שלטענתו מצביע על כך שבדיקת האבטחה של האתר כולו לא היתה טובה מספיק. לדבריו, "מניעת פריצות היא תהליך שנעשה על ידי מפתחים בכירים ומומחי אבטחה. במסגרת התהליך הזה בודקים את כל החולשות המוכרות ומוודאים שלא תהיה פגיעה.

"מעיון באתר ניתן לראות שיש בו כמה חולשות או בעיות. כך למשל, השרת שעליו מאוחסן האתר מצהיר על סוג המערכת שלו. האתר עצמו מסגיר את שם המשתמש של המנהל שלו ודף הדוגמה של האתר חשוף. הדבר מצביע על כך שלא נעשתה עבודת מניעה של אבטחת מידע. כלומר, אף מומחה לא עבר על האתר ובדק שאין לו בעיות אבטחה. זה דבר חמור מאוד באתר עם פרופיל ציבורי גבוה".