דו"ח המבקר
המדינה עוד לא יודעת כיצד להגן על תשתיות אזרחיות מפני תקיפת סייבר
עיכוב של 3 שנים בין ההחלטה להקים את המטה הקיברנטי הלאומי עד להסדרת האחריות בתחום גרם לפערים משמעותיים במוכנות מפני התקפות סייבר, נכתב בדו"ח מבקר המדינה. כך קרה שעד מועד סיום הביקורת מטה הסייבר עדיין לא מיפה איזה אתרים אזרחיים בישראל זקוקים להגנה, וכיצד יש להעניק להם אותה
היערכות מדינת ישראל להתמודדות עם איומי סייבר אינה מהירה דיה ויש פערים בין עצמת האיום שנשקף לאזרחים לבין המענה ההגנתי לאיומים אלו, בפרט על תשתיות אזרחיות – כך קובע דו"ח מבקר המדינה שמתפרסם היום (ג').
- לא חכם: מתקפת הסייבר האחרונה הוכיחה את הסכנה בהתקנים מחוברים
- בנקים בבריטניה מתכננים לאגור ביטקוין - למקרה שייפלו קורבן למתקפת האקרים
- "קוד התוכנה ששימשה למתקפת הסייבר בארה"ב שוחרר בפורומים של האקרים"
לפי הדו"ח, מרבית הליקויים שנתגלו בסוגיית ההגנה בסייבר, שעל רובם הוטל חיסיון, החלו כבר ברמת קבלת ההחלטות. על אף שהממשלה החליטה על הקמת מטה קיברנטי לאומי כבר ב-2011, הסדרת האחריות לטיפול בתחום נעשתה רק שלוש שנים מאוחר יותר. "עובדה זו עיכבה את קידום השינויים בחקיקה ומרבית השינויים הארגוניים האחרים החיוניים לצורך מתן הסמכות, האחריות והמשאבים הנחוצים להעמקת הפעילות בתחום הגנת הסייבר", נכתב.
בנוסף, סקר תקני אבטחת מידע וסייבר בחו"ל בוצע באיחור משמעותי מלוחות הזמנים שנקבעו, ועד מועד סיום הביקורת לא עמד המטה הקיברנטי במשימה של הגדרת מנגנון למדרוג שירותי הגנת הסייבר. הליך המיפוי של המרחב המקוון בישראל לא הסתיים גם הוא וטרם נקבע לו"ז לסיומו. "לפיכך לא היה בידי מטה הסייבר מיפוי שיאפשר לקבוע מי הם הגופים במרחב הקיברנטי האזרחי הטעונים הגנה... על פי רמות הסיכון שלהם וסוגי המערכות הממוחשבות שבהם", קובע המבקר.
בכל הנוגע להגנה על תשתיות לא קריטיות מציין המבקר שאף שהמטה הקיברנטי המליץ כבר באוגוסט 2012 למנף סמכויות של גופים רגולטוריים לצורך קידום הרגולציה בתחום ההגנה על הסייבר, לא הופעלו עדיין חלק מהרגולטורים הרלוונטיים. בנוסף, עדיין לא אוישו משרות מנהלי היחידות להכוונה מקצועית מגזרית בתחום הגנת הסייבר, וזאת בניגוד להחלטת ממשלה בנושא.
בתחום ההגנה על תשתיות קריטיות מצא המבקר שחלק מהגופים לא מיישמים בקצב ראוי את התוכנית הרב-שנתית להטמעת דרישות האבטחה של השב"כ. כן מציין המבקר שבניגוד לשתי החלטות בנושא, האחת מ-2002 והשנייה מ-2014, ממשלה לא קיבלה דיווח על מצב ההגנה של מערכות מחשוב קריטיות.
"על המטה הקיברנטי והשב"כ, בשיתוף משרד המשפטים וגורמים ממשלתיים נוספים הנוגעים בדבר, לבחון דרכים לאכוף על הגופים הציבוריים כהגדרתם בחוק להסדרת הביטחון, המוגדרים תשתיות מדינה קריטיות, את מילוי הנחיות השב"כ, ולשקול את עיגונן של דרכי האכיפה בדין. נוכח הליקויים שהועלו בדוח זה בתחום הליך קבלת ההחלטות, על כל הגורמים הנוגעים בדבר להפיק לקחים ולמנוע הישנותם של פגמים כאלה בהחלטות עתידיות בכלל, ובתחום ההיערכות הלאומית להגנת המרחב הקיברנטי בפרט".
כמו כן ממליץ המבקר לסיים בהקדם את הכנת תזכיר חוק הגנת הסייבר ולבחון את האופן שבו הוא קובע מסגרת עבודה מפורטת ומחייבת למילוי משימותיו."מתוקף אחריותו של המטה היה עליו לוודא כי יוגדר היקף הבעיה שעמה יש להתמודד בתחום ההגנה על מרחב הסייבר האזרחי, ייקבע מה הם התחומים והגופים במשק שיש להגן עליהם, מה המענה שצריך להינתן ואילו משאבים יושקעו בכך", נכתב בדו"ח. "לצורך כך על המטה להחיש את פעילותו בנושא ולפעול, בעצמו או באמצעות אחרים, לקידום מיפוי מלא של המרחב.
ממערך הסייבר הלאומי נמסר בתגובה: "מבקר המדינה סיים את הביקורת לפני למעלה משנה, מאז הבשילו מהלכי הממשלה להגנת המרחב האזרחי ובכלל זה, הקמת הרשות הלאומית להגנת הסייבר, הפעלת מתודולוגיות מבצעיות לניהול אירועי סייבר, הפעלת המרכז הלאומי להתמודדות עם איומי סייבר כחלק מהרשות, הקמת יחידה ייעודית להגנת משרדי הממשלה והקצאת תקציבים משמעותיים במשרדי הממשלה להגנת הסייבר וגיבוש תורת הגנה עדכנית ומעשית למגזרי המשק. בחמש השנים האחרונות נקטה הממשלה שורת מהלכים לגיבוש ולמימוש היערכות יסודית וסדורה, על מנת להתמודד כראוי עם האיומים המתפתחים בו. מהלכים אלה נועדו לייצר מענה שלם צופה פני עתיד. הם התבססו על בחינה מקצועית מקיפה וקבלת החלטות זהירה ושקולה, בשיתוף רציף של הגורמים הרלוונטיים בממשלה ובמשק, ובקבועי זמן קצרים בהשוואה לתהליכים דומים בהיקפם ובמורכבותם בעולם. מדיניותה של ישראל זוכה להערכה מקצועית עמוקה ממדינות וארגונים בינלאומיים רבים המבקשים ללמוד מגישתה החדשנית ומאופן יישומה, הן בבניין העוצמה המדינתית והן בבניין ההגנה הלאומית".