הדגל האדום של המבקר בנושא סייבר

נושא הסייבר ממשיך לצבור תאוצה בציבוריות הישראלית. גם מקבלי ההחלטות וגורמי ממשלה ורגולציה הפנימו שהוא חשוב מספיק כדי שהם יתעסקו בו – התקדמות יפה ביחס לשנה שעברה. בשבוע שעבר נערכו שלושה תרגילי סייבר בו זמנית: המטה הקיברנטי הלאומי ערך תרגיל חירום כללי בין מקבלי ההחלטות במגזרים השונים, אגף שוק ההון תרגל את חברות האשראי והמוסדות הפיננסיים ובנק ישראל ערך במשרדיו מיני תרגיל, בהשתתפות המנמ"רים הבכירים של המגזר הבנקאי. בכירי המערכת הבנקאית זומנו למחר (ד'), על פי יוזמה של המפקח על הבנקים, למתקן אימוני סייבר שהוקם בנתניה כדי לעמוד מקרוב על הדרכים להתמודד עם האיומים.

הלקחים מהתרגילים הללו טרם פורסמו, וספק אם יפורסמו. הממשלה והגופים שעורכים את התרגילים מתנהלים כאילו המידע הזה הוא רכושם הפרטי ולא ממהרים לשחררו.

אלא שיש מי שלא ממהר להירגע ולא חושש להביע את חוסר שביעות רצונו ממה שקורה בתחום: מבקר המדינה, השופט בדימוס יוסף שפירא. בכנס של איגוד המבקרים הפנימיים שנערך היום (ג'), בהפקת אנשים ומחשבים, התריע המבקר בלשון שאינה משתמעת לשני פנים כי למרות הפעילויות שנעשות, המצב רחוק מלהשביע רצון. המבקר אומר את זה לאחר שכבר הניח על שלחן הממשלה שני דו"חות בהפרש של כמה חודשים – אחד באוקטובר 2013 ושני במאי 2014. בכל אחד מהם הוא מצא ליקויים חמורים בגופים כמו בנק ישראל, משרד האוצר והרשות לניירות ערך. בדו"ח השני חשף המבקר ליקויים באבטחת המידע של ממשל זמין, אחד הגופים הכי רגישים במגזר הממשלתי.

סביר להניח שהתרגילים האחרונים שנעשו בגופים המבוקרים כללו התייחסות לדו"חות המבקר, אבל התחושה הכללית היא שאנחנו מתנהלים בצורה רגועה מדי, כאילו מדובר באמת במשהו וירטואלי שרחוק מאוד מאיתנו ולא באיומים שעלולים להתממש בכל רגע.

הבעיה – לא רק במגזר הציבורי
אולם, הבעיה המרכזית היא בגופים שאינם מפוקחים על ידי המבקר או על ידי מנגנוני רגולציה ממשלתיים. הכוונה היא לארגונים במגזר הפרטי שהתלות שלהם במערכות מיחשוב וטכנולוגיה קריטית ביותר וכל מתקפת סייבר עליהן עלולה להפוך את החיים במדינה לגהנום אחד גדול, בשעת רגיעה ובמיוחד בעת חירום. העסקים הפרטיים והחברות הגדולות הפרטיות שאינן מפוקחות על ידי רא"ם או מבקר המדינה נופלים בין הכיסאות: מצד אחד הם לא רוצים שנציגי מגזרי הביטחון והממשלה ישבו בישיבות ההנהלה שלהם ויבדקו את פעילותם, אבל מצד שני, הם צמאים למידע ולעצות כיצד לשמור על הארגונים שלהם מפני איומי הסייבר.

נושא הסייבר נמצא עדיין בשלב של החדרת תודעה, הקניית ידע ולמידה. הלמידה הזו נעשית בתנאים של איומי התקפות מיידיות על כל אחד ואחד מהאתרים בארץ, שלא לדבר על מתקפה כוללת. השאלה התמידית היא האם אנחנו מוכנים לתסריט של מתקפה משולבת, הן בשדה הקרב והן בזירת המיחשוב. מדובר בשאלה מורכבת שהתשובה עליה היא: כנראה שלא. יש מגזרים שמוכנים ויש תחום אפור של ארגונים ומגזרים שאיש לא יודע, כולל בעליהם, האם הם מוכנים ואם לא, מה הם צריכים לעשות.

קבוצת אנשים ומחשבים נרתמת למאמץ ההסברה וההחדרה של תודעת המוכנות לסייבר. בחודשים האחרונים הקמנו פורום סייבר, המורכב מבכירי אנשי אבטחת המידע בישראל, בראשותו של רמי אפרתי, לשעבר בכיר במטה הקיברנטי הלאומי. המדיות של אנשים ומחשבים פתוחות ונותנות בולטות לפעילות המבורכת של המטה הקיברנטי הלאומי, בראשותו של ד"ר אביתר מתניה. לפני חודשים אחדים התחילה הקבוצה להפיץ ניוזלטר בנושאי אבטחת המידע והסייבר בשפה העברית ובקרוב מאוד יופץ ניוזלטר בנושאים אלה בשפה האנגלית. בכך ניתן מענה להתעניינות חסרת התקדים שקיימת בעולם בסייבר הישראלי, כחלק מאומת הסטארט-אפ.

בנוסף, התחלנו בסדרה של שלחנות עגולים בנושא סייבר, על פי מגזרים. נפגשנו עם מנמ"רי מגזר הבריאות ובחודשים הקרובים, עד הסתיו, נכנס מגזרים חשובים אחרים. כנס InfoSec האחרון טיפל בצורה נרחבת בנושא ובמהלך השנה הקרובה נכנס ועידה בינלאומית מרכזית שתעסוק בסייבר, כדי לעדכן ולרענן את המידע והידע.

השורה התחתונה: היערכות מדינת ישראל בנושא הסייבר השתפרה לעומת השנים הקודמות, אבל עדיין רחוקה מלהשביע רצון ולהרגיע. מן הראוי שההתראות של המבקר יילקחו ברצינות – לא רק כדי למנוע דו"חות חריפים אלא בעיקר כדי לתקן את הטעון תיקון ולהיערך בזמן.