המבקר: איומי הסייבר גדלים – אך ישראל לא ערוכה

ליקויים, חלקם מהותיים – נפלו בטיפול בתחום הסייבר בישראל, כך קובע מבקר המדינה, השופט בדימוס יוסף שפירא.

על חלקים מהדו"ח בנושא הוחלט להטיל חיסיון. בדו"ח 67-א' שפורסם היום (ג') אחר הצהריים, מציין המבקר כי "בעבודת המטה ובתהליך קבלת ההחלטות על הסדרת האחריות לטיפול בתחום הקיברנטי במדינת ישראל נפלו ליקויים מהותיים". הביקורת נעשתה במטה הקיברנטי הלאומי שבמשרד ראש הממשלה, בשב"כ ובכמה משרדי ממשלה וגופים נוספים.

המבקר מציין כמה ליקויים עיקריים. בתחום הסדרת האחריות לטיפול בתחום הקיברנטי, כותב המבקר כי "הממשלה אישרה את הסדרת האחריות לטיפול בתחום הקיברנטי בחלוף כשלוש שנים ממועד קבלת ההחלטה מ-2011. עובדה זו עיכבה את קידום השינויים בחקיקה ומרבית השינויים הארגוניים האחרים החיוניים לצורך מתן הסמכות, האחריות והמשאבים הנחוצים להעמקת הפעילות בתחום הגנת הסייבר – ולהרחבתה לחלקים נוספים במרחב הקיברנטי האזרחי בישראל".

על פי המבקר, "התמשכות בת שנים להליך של הסדרת האחריות לטיפול בתחום הקיברנטי, ואי-העמידה בלוח הזמנים שקבעה הממשלה – אינן עולות בקנה אחד עם התגברות האיום על מדינת ישראל".

הליקויים בתהליכים, מצוין בדו"ח, הם בין היתר בהליך גיבוש ואישור מסמך תפיסת ההגנה. כן נמצאו הליקויים הבאים: לא הוצגה חלופה נוספת לשרי הממשלה; לא פורטה עלות החלופות באשר לגורם האחראי להגנה על מרחב הסייבר; לא פורט לממשלה מלוא ההוצאה התקציבית הכרוכה ביישומן והמשמעויות של היישום על משק המדינה.

על פי המבקר, "המטה לא הציג לראש הממשלה את המתווה להעברת שטח הפעולה בתחום הפעולות לאבטחת מערכות IT חיוניות – מהשב"כ לרשות, אף שהיה אמור לעשות זאת עד אוגוסט 2015. עד תחילת 2016 לא הושלמה הכנת תזכיר חוק הגנת הסייבר, שלפי החלטת הממשלה היה צריך להיות מוגש לראש הממשלה עד אוגוסט 2015".

מטה הסייבר, נכתב, "הציג דרישה למבנה מינהלת ההקמה עוד בדצמבר 2014, אולם מבנה כזה טרם אושר סופית. בנוסף, עד ינואר 2016 לא הציג המטה הצעה למבנה ארגוני שלם של הרשות, כפי שסוכם. ראש הרשות מונה בחלוף כמעט שנה ממועד קבלת ההחלטה בעניין ההיערכות".

האסדרה של שוק הסייבר

"סקר תקני אבטחת מידע וסייבר בחו"ל בוצע באיחור משמעותי מלוחות הזמנים שנקבעו לכך", קובע המבקר. "גם בחינה וקידום של מיסוד מנגנונים לאישור ולהסמכה של מוצרי הגנת הסייבר בישראל בהתאם לתקינה בין-לאומית למוצרי אבטחת מידע ומחשוב – נמצאים בפיגור לעומת לוח הזמנים המקורי. המטה לא עמד במשימה של הגדרת מנגנון למדרוג שירותי הגנת הסייבר – מה שהביא לעיכוב באסדרת מקצועות הסייבר והעוסקים בתחום".

קביעת הגופים והמערכות שיש להגן עליהם

"תהליך המיפוי של המרחב הקיברנטי הישראלי לא הסתיים", נכתב בדו"ח, "וגם לא נקבעה תכנית עבודה ולוח זמנים לסיומו. לפיכך לא היה בידי מטה הסייבר מיפוי שיאפשר לקבוע מי הם הגופים במרחב הקיברנטי האזרחי הטעונים הגנה בהתאם להיררכיה ולפי רמות הסיכון שלהם וסוגי מערכות ה-IT שבהם".

"אף שהמטה המליץ, כבר באוגוסט 2012, להסתייע ביכולות של משרדי הממשלה המשמשים רגולטורים כלפי הגופים שבמגזרם, לצורך קידום האסדרה בתחום ההגנה על הסייבר – הם לא הופעלו", נכתב. "כמו כן, טרם אוישו משרות מנהלי היחידות להכוונה מקצועית מגזרית בתחום הגנת הסייבר, בניגוד למה שנקבע בהחלטת הממשלה בעניין האסדרה".

"המטה הקיברנטי והשב"כ קיימו, בנפרד, פעילות של סיוע וחיזוק הרגולטורים המגזריים. המטה לא תיאם עם השב"כ את הפעילות בתחום הרגולטורים המגזריים ולא הסתייע בו לקידום פעילות זו".

ההגנה על תשתיות מחשוב קריטיות

"כמה גופים בעלי תשתיות IT קריטיות אינם עומדים בקצב הראוי ביישום התכנית הרב-שנתית להטמעת דרישות האבטחה של השב"כ", קובע המבקר, "ביניהם גם גופים הנמצאים זמן ממושך יחסית בהנחיית השב"כ. עד דצמבר 2014 לא דיווחו ראשי ועדת ההיגוי העליונה להגנה על מערכות IT חיוניות – לממשלה, או לוועדת שרים, על מצב ההגנה של המערכות הללו".

ההמלצות העיקריות

"הסדרת האחריות לטיפול במרחב הסייבר, הקמת הרשות והסדרת שיתוף הפעולה בינה ובין הגופים הפועלים במרחב הסייבר ובראשם השב"כ, היא תהליך מורכב ורגיש הכולל היבטים מבצעיים, תקציביים, טכנולוגיים ומשפטיים", נכתב בסעיף ההמלצות.

"את התהליך שעליו החליטה הממשלה יש לתכנן בקפדנות, כך שיובטח כי הרשות תקבל את כל הידע הנדרש למימוש אחריותה. לכן, יש להחיש את סיום הפעולות שעליהן החליטה הממשלה".

על המטה, ממליץ המבקר, "לסיים בהקדם את הכנת תזכיר חוק הגנת הסייבר בהתאם לנדרש בהחלטת הממשלה. מן הראוי שאיוש המשרות ברשות ייעשה, ככל הניתן, באמצעות תהליכים תחרותיים ושוויוניים".

לדברי השופט שפירא, "על המטה לבחון את האופן שבו הוא קובע מסגרת עבודה מפורטת ומחייבת למילוי מכלול משימותיו ברמה השנתית והרב-שנתית. נוכח העיכוב שחל משך שנים בקידום הטיפול בתחום האסדרה של שוק הסייבר והדחיפות שלו, יש חשיבות רבה לכך שתכנית העבודה של המטה תגדיר אבני דרך וכן את המועד הסופי שבו אמורות להיות מושלמות כל המשימות".

לקבוע מי צריך להיות גוף מונחה

"על ועדת ההיגוי העליונה לקבוע מתכונת לאיתור גופים פוטנציאליים להגדרה כגופים מונחים – או כאלה שיש להוציאם מהרשימה. ראוי ליצור מנגנון מסודר שיבטיח כי כשמתגלים קשיים בהגדרת גוף כמונחה – הדבר ידווח לשרים ולממשלה".

מתוקף אחריות המטה, נכתב, "היה עליו לוודא כי יוגדר היקף הבעיה שעמה יש להתמודד בתחום ההגנה על מרחב הסייבר האזרחי, ייקבע מהם התחומים והגופים במשק שיש להגן עליהם, מה המענה שצריך להינתן ואילו משאבים יושקעו בכך. על המטה להחיש את פעילותו בנושא ולפעול לקידום מיפוי מלא של המרחב".

"יש להחיש את הפעולות לשם הקמת היחידות להכוונה מקצועית מגזרית וחיזוק הרגולטוריים המגזריים. על המטה גם להגדיר את הגורם ברשות שיפעל מולם".

"על ועדת ההיגוי העליונה להמשיך ולעקוב אחר התקדמות יישום דרישות האבטחה של השב"כ בגופים המוגדרים כתשתיות מדינה קריטיות ולבחון דרכי פעולה לשיפור מהיר של המצב בתחום".

"על הוועדה לבחון מתכונת דיווח לממשלה על מצב ההגנה על המרחב הקיברנטי הישראלי בכלל, ועל תשתיות קריטיות בפרט, ועל תהליכי המיפוי וההגדרה של גופים כתשתיות מידע קריטיות. על השב"כ לבחון את הצורך בדיווח למנהלי תאגידים שיש בהם תשתיות מחשוב קריטיות, על אי-עמידה בהנחיותיו. על המטה הקיברנטי והשב"כ, בשיתוף גורמים ממשלתיים נוספים, לבחון דרכים לאכוף את מילוי הנחיות השב"כ, ולשקול את עיגונן של דרכי האכיפה בדין".

האיומים גדלים ופערי ההיערכות גם

"נוכח הליקויים שהתגלו, על כל הגורמים הנוגעים בדבר להפיק לקחים ולמנוע הישנותם של פגמים כאלה בהחלטות עתידיות בכלל, ובתחום ההיערכות הלאומית להגנת המרחב הקיברנטי בפרט", מסכם המבקר, "התלות של ארגונים רבים במערכות ה-IT שלהם גדלה והולכת".

"האירועים שמתרחשים במרחב הסייבר הכלל-עולמי מלמדים על מגמת העלייה הדרמטית באיום הנשקף במרחב הסייבר הן במספר האירועים והתקיפות הצפויים והן במורכבותם. קיימים פערים בין עוצמת האיום על כלל המרחב הקיברנטי האזרחי – ובין קצב ההתארגנות והמענה מבחינת ההיערכות המדינתית להגנתו, להוציא תחומים ומגזרים מעטים כמו תשתיות מדינתיות קריטיות".

ממשרד הביטחון נמסר בתגובה לדו"ח המבקר כי "הממונה על הביטחון במערכת הביטחון (מלמ"ב) מקיים קשרי עבודה הדוקים עם כלל הגופים הביטחוניים העוסקים בהגנת המרחב הקיברנטי של מדינת ישראל. לאור השינויים הארגוניים שחלו בשנה האחרונה, ובמרכזם הקמת רשות הסייבר במשרד ראש הממשלה וחטיבת הסייבר בצה"ל, התחדש התהליך למיסוד אמנה בין כלל הגופים המופיעים בדו"ח המבקר".