דו"ח המבקררפאל לא תחקרה כנדרש את תקיפות הסייבר נגדה ולא דיווחה על כולן לדירקטוריון
דו"ח המבקר
רפאל לא תחקרה כנדרש את תקיפות הסייבר נגדה ולא דיווחה על כולן לדירקטוריון
בדו"ח מבקר המדינה הנוגע לחברה הממשלתית, נכתב כי "בביקורת עלו פערים בתחום המיגון הפיזי של תשתיות מסוימות" ובין היתר כי רפאל לא תחקרה את ניהול אירועי הסייבר שהתרחשו בשנים 2020-2022 בהיבטים מסוימים, ולא הופקו לקחים. עוד בולטת ההתייחסות להיעדר ביטוח מפני תקיפות סייבר
בשנים האחרונים התמודדה רפאל מערכות לחימה מתקדמות עם שורה של אירועי סייבר, ואולם לא תחקרה אותם כנדרש ולא דיווחה על כולם לדירקטוריון החברה – כך לפי דוח מבקר המדינה בנושא סייבר ומערכות מידע שמתפרסם היום.
רפאל, חברה ממשלתית, מפתחת ומייצרת אמצעי לחימה מתקדמים ובהם טילים ומערכות הגנה. לדברי המבקר החברה היא "מרכיב משמעותי בבניית עוצמתה הצבאית וחוסנה של המדינה". הביקורת נערכה בין נובמבר 2022 ליולי 2023.
דוח המבקר מצא מספר פערים בהתנהלות רפאל בנושא. מרבית הממצאים חסויים, אך בחלק הפומבי של הדוח מצוינים כמה ליקויים. אחד הבולטים שבהם נוגע למיגון פיזי. "בביקורת עלו פערים בתחום המיגון הפיזי של תשתיות מסוימות", נכתב בדוח מבלי לפרט מעבר לכך.
כן עלו כמה פערים בהתמודדות החברה עם אירועי סייבר. "רפאל לא דיווחה לדירקטוריון בישיבותיו על כמה אירועי סייבר כנדרש", נכתב. רפאל לא תחקרה את ניהול אירועי הסייבר שהתרחשו בשנים 2020-2022 בהיבטים מסוימים הנוגעים לתפקוד הנדרש של רפאל. בכל הנוגע לביצוע תהליך הפקת לקחים, כמה מסמכי תחקור אירועים לא התייחסו להפקת הלקחים הנדרשים. מומלץ כי במסגרת תהליך הפקת לקחים מאירועי סייבר תכלול רפאל המלצות להגברת מודעות העובדים להתקפות סייבר מסוג מסוים. רפאל לא קבעה את התדירות לביצוע סקרים ומבדקי חדירה הנדרשים. כמו כן, עלו פערים בתחום זה".
היבט בעייתי אחר הוא היעדר ביטוח מפני אירועי סייבר ברפאל. זאת, בשעה שלחברת החשמל, לדומה, יש שתי פוליסות ביטוח בתחום. המבקר מסביר: "רפאל לא רכשה ביטוח מפני אירועי סייבר בעיקר מהסיבות שלהלן: רמת ההגנה על הסייבר ברפאל גבוהה; רכישת הביטוח אינה יעילה כלכלית; לא יהיה ניתן לתבוע מחברת הביטוח פיצוי בגין פגיעה בתפוקה או במחזור המכירות; לא ניתן לחשוף מידע מסווג לחברת הביטוח בעקבות נזק בגין אירוע סייבר, ומגבלה זו מקשה לממש את הביטוח בקרות אירוע; וניתן לרכוש ביטוח המכסה נזק של עד עשרה מיליוני דולרים בלבד, סכום שאינו מהותי לפעילותה שלרפאל". עם זאת, המבקר ממליץ לחברה " לבחון מפעם לפעם את כדאיות הרכישה של ביטוח ייעודי מפני אירועי סייבר בהתחשב בכמות ניסיונות התקיפה, בפוטנציאל הנזק מהם ובכיסויי הביטוח האפשריים בשוק".
מרפאל נמסר בתגובה: "רפאל משקיעה רבות בתחום אבטחת מידע ומהווה גוף מוביל ברמה הלאומית גם בתחום הגנת הסייבר. כלל הפערים שצוינו בדו"ח קיבלו את המענה הנדרש”.
