המבקר: ישראל אינה מוגנת ממתקפות סייבר
אומת הסייבר חשופה למתקפת סייבר: דו"ח המבקר מעלה כי משרדי הממשלה "מתקשים לעמוד בקצב הנדרש ולקדם מהלכים אפקטיביים". ללא הובלה של הממשלה, המשק יישאר חשוף והוא עלול לספוג פגיעה קשה
ממצאי הדו"ח מעלים כי משרדי ממשלה וגופים ממשלתיים חיוניים אינם מיישמים כראוי את החלטות הממשלה ואת הנחיות היחידה הממשלתית להגנת סייבר. "משרדי הממשלה מתקשים לעמוד בקצב הנדרש ולקדם מהלכים אפקטיביים להתמודדות. המגזר האזרחי יתקשה לעמוד באתגר הגנת הסייבר ללא הנחיה והכוונה. יש חשש כי ללא הובלה ממשלתית ראויה ייוותר המשק חשוף להתקפות סייבר", קובע המבקר.
אחד מתחומי האחריות העיקריים של מערך הסייבר הלאומי הוא הנחיית גופי תמ"ק (תשתיות מדינה קריטיות) כיצד להתמודד מול איומי סייבר. מדובר בשורה ארוכה של משרדי ממשלה וגופים שמפורטים בחוק, שפעילותם הרצופה חיונית למדינה, כולל משרד ראש הממשלה ומשרד הביטחון, המפעלים הביטחוניים, רשות שדות התעופה, הסוכנות היהודית, חברות שידורי הטלוויזיה, מקורות, חברת החשמל, חברות התקשורת, חברות האנרגיה ועוד.
איפול על מרבית הדו"ח
בשל האופי הביטחוני של הממצאים החליטה הוועדה לענייני ביקורת המדינה של הכנסת להטיל איפול על מרבית הדו"ח. בחלקים הגלויים מציין המבקר כי השב"כ כתב את תורת לחימת הסייבר והינחה את גופי התמ"ק עד יוני 2017, אז הועברה הסמכות למערך הסייבר הלאומי, ואולם רק חלק מגופי התמ"ק עומדים בהנחיות הנדרשות.
ביקורת בגוף תמ"ק ששמו לא פורסם גילתה מצב "שאינו משביע רצון", ואי-עמידה בכל ההנחיות, כשחלק מפקודות המבצע לא עודכנו כנדרש. גם בביקורת קודמת של השב"כ בגוף זה נמצאו ליקויים, והמבקר מצא שאלה לא תוקנו. בגוף תמ"ק אחר נמצא כי רכיב הגנה מסוים לא הוטמע ובגוף תמ"ק שלישי הנהלים שנקבעו לא קיבלו תיקוף ממערך הסייבר ולא נקבע נוהל התאוששות ממתקפת סייבר.
על הגנת הסייבר של משרדי הממשלה מופקדת היחידה להגנת סייבר (יה"ב) ברשות התקשוב, שאחראית ליישום החלטות הממשלה בנושא, בהן מינוי ממוני הגנת סייבר בכל המשרדים, מינוי מנהל הגנת הסייבר ביחידות מערכות המידע והקמת מרכז שליטה ובקרה ממשלתי לאיומי סייבר (SOC) ממשלתי. עד כה לא מונו מנהלי הגנת סייבר בכל המשרדים והיחידות ולא כולם השלימו את ההנחיות ואת סקר סיכוני הסייבר.
על פי החלטת הממשלה מ-2015 הוכן במערך הסייבר תזכיר חוק הגנת הסייבר ואולם עד היום הוא לא התקדם מעבר לכך. החלטה נוספת של הממשלה מיושמת גם היא לאיטה: הקמת מרכז להכוונת מגזרי המשק השונים להתגוננות סייבר. עד כה פועל מרכז המגזרים ב-15 משרדי ממשלה, אולם האיוש לא הושלם בכל המשרדים והביקורת מצאה שהמיפוי של הגופים לפי מגזרים היה לקוי.
"חשש לפגיעה קשה במשק"
"מרחב הסייבר הוא גורם משמעותי בשגרת החיים השוטפת של המשק", נכתב בדו"ח המבקר, "בשנים האחרונות אנו עדים להתקפות סייבר מסוגים שונים, אירועי כופרה ונוזקה, הונאות, מעילות וגניבת מידע עסקי. זירת הסייבר אף הפכה לזירת לוחמה בין ארגוני טרור ופשיעה למדינות ואף בין מדינות".
עוד נכתב כי "בשנים הבאות צפוי גידול ניכר בחדירת מרחב הסייבר לשגרת היום-יום, לנוכח התפתחותם של מוצרי IOT (האינטרנט של הדברים - ט.ש) ומכוניות אוטונומיות. נוכח האיומים המתגברים והחשש לפגיעה קשה במשק אם יתרחש אירוע חמור או יתרחשו אירועים בכמה תשתיות קריטיות, על הממשלה לוודא ביתר שאת כי התשתיות הקריטיות ערוכות ומעדכנות כל העת את מידת עמידתן במתקפות אפשריות, וכי תמונת המצב שלה בדבר התשתיות הקריטיות שבידיה עדכנית ומשקפת באופן מלא את פגיעותן של מערכותיה".
תגובות
ממערך הסייבר נמסר בתגובה: "בשנה האחרונה השלים מערך הסייבר תהליך מיפוי ויצירת תמונת מצב הגנה עדכנית של גופים שמוגדרים כתשתית מדינה קריטית, תוך הטמעת שיטות הנחייה וכלים טכנולוגיים מתקדמים וחדשניים.
"כמו כן, המערך פועל לחיזוק יה"ב (היחידה להגנת סייבר) והיחידות המגזריות, לסיוע בהגדלת המשאבים המוקצים להם ובשיפור תהליכים, וכן להעלאת מודעות לאחריות של הנהלות משרדי הממשלה לבקרה על הנושא. בין היתר, יה"ב והמערך הקימו באחרונה מרכז שליטה ובקרה על איומי סייבר הקשורים למשרדי ממשלה".
מרשות התקשוב הממשלתי נמסר בתגובה: "היחידה להגנת הסייבר בממשלה (יה"ב) שברשות התקשוב הממשלתי מנחה את כלל משרדי הממשלה ויחידות הסמך בהתאם להחלטה מספר 2443 בנושא קידום אסדרה לאומית והובלה ממשלתית בהגנת הסייבר מה-15/2/2015. רשימת הגופים הפועלים למול יה"ב מתעדכנת בהתאם לעבודת הממשלה ולצורך של יחידות סמך לעבוד בתחום הגנת הסייבר ישירות מול יה"ב או באמצעות המשרד הממשלתי.
"בכל משרדי הממשלה ויחידות הסמך מונו בעלי תפקידים בכירים, במינוי מנכ"ל, המובילים את נושא הגנת הסייבר הארגונית בנוסף לתפקידם. 18 משרדי ממשלה ויחידות סמך מוסמכי תקן ישראלי 27001 ISO ושאר המשרדים פועלים לקבלת הסמכה בשנה הקרובה, נתון שהוא ראוי לציון ברמה העולמית בעובדה שגופי ממשל לוקחים על עצמם מחויבות לעמוד בתקני אבטחת מידע וסייבר בין לאומיים.
"בנושא מדיניות ממשלתית ומשרדית בתחום הגנת הסייבר, קיימת מדיניות ממשלתית בנושא זה ומרבית משרדי הממשלה גזרו ממנה מדיניות. כל משרדי הממשלה מבצעים סקר סיכוני סייבר באופן שוטף. חיבור משרדי הממשלה ויחידות הסמך ל-SOC הממשלתי מתבצע בהתאם לתוכניות עבודה רב-שנתית".
