המבקר: תשתיות קריטיות ומשרדי ממשלה חשופים למתקפות סייבר
"על הממשלה לוודא ביתר שאת כי התשתיות הקריטיות ערוכות ומעדכנות כל העת את מידת עמידתן במתקפות אפשריות", כתב המבקר, השופט (בדימוס) יוסי שפירא בדו"ח מבקר המדינה שפורסם היום (ב') והעלה שורה של ליקויים במוכנות מערך הסייבר
למרות שגופי תשתיות קריטיות מונחים להגנת הסייבר באופן שוטף, בחלק מהם נמצאו ליקויים בהיערכות הארגונית, בכתיבת נהלים ובתיקון ליקויי אבטחה שנמצאו בדו"חות בעבר. יש חשש כי בלא הובלה ממשלתית ראויה, המשק ייוותר חשוף למתקפות סייבר; כך קובע מבקר המדינה ונציב תלונות הציבור, השופט (בדימוס) יוסי חיים שפירא, בדו"ח השנתי 69ב.
"נוכח האיומים המתגברים בתחום הסייבר והחשש לפגיעה קשה במשק בגינם", התריע המבקר, "אם יתרחש אירוע חמור, או יתרחשו אירועים בכמה תשתיות קריטיות, על הממשלה לוודא ביתר שאת כי התשתיות הקריטיות ערוכות ומעדכנות כל העת את מידת עמידתן במתקפות אפשריות, וכי תמונת המצב שלה בדבר התשתיות הקריטיות שבידיה – עדכנית, ומשקפת באופן מלא את פגיעותן של מערכותיה".
"בד בבד עם התפתחות מרחב הסייבר ניכרת עלייה של ממש בשכיחותם של איומי סייבר ובחומרתם", כתב מבקר המדינה.
שירות הביטחון הכללי כתב את תורת הלחימה למערכות הממוחשבות. השב"כ הנחה את גופי התשתיות הקריטיות בנושא, עד שהאחריות על הגופים הללו הועברה למערך הסייבר הלאומי. "המערך הסמיך רק חלק מגופי התשתיות הקריטיות כעומדים בהנחיות הנדרשות. תמונת המצב שבידי המערך לא שיקפה את רמת מוכנות הגופים להתמודד עם מתקפות סייבר", קבע המבקר, וציין כי בגוף תשתית קריטית אחד, "המצב עדיין אינו משביע רצון. טיוטת מיפוי שהוא הכין, לא כללה רכיבים הנדרשים בתו"ל. המיפוי שנעשה לא היה עדכני ולא שיקף את תמונת המערכות בצורה מהימנה. נמצאו פערים בין הנהלים הקיימים ובין דרישות ההנחיה. חלק מפקודות המבצע לא עודכנו, כנדרש בתו"ל. השב"כ ערך לגוף ביקורת ב-2016 אולם המבוקר לא השלים את תיקון חלק מהליקויים". בארגון קריטי שני, "בניגוד להנחיות תו"ל, מסמך המדיניות ופקודות חירום לא תוקפו כנדרש. כמו כן, לא הוטמע רכיב הגנה מסוים". בגוף קריטי שלישי, "חלק מהנהלים הנדרשים בתו"ל אינם קיימים, פקודות החירום לא תוקף, ואין נהלי התאוששות".
סייבר. אילוסטרציה: BigStock
היערכות משרדי הממשלה ויחידות הסמך
בתחילת 2015 החליטה הממשלה על הקמת יחידה להגנת סייבר, יה"ב, שתפעל לשיפור רמת הגנת הסייבר, תכוון ותנחה את משרדי הממשלה ואת יחידות הסמך. עוד הוחלט למנות בגופים ממונה הגנת הסייבר, להקים ועדת היגוי משרדית, למנות מנהל הגנת הסייבר ביחידות מערכות המידע, ולפעול לכך שהן יעמדו בתקני אבטחת מידע ארגוניים. יה"ב פרסמה הנחיות להגנת הסייבר. "לא כל היחידות מינו מנהל הגנת סייבר", קובע המבקר, "רק חלק ממשרדי הממשלה הוסמכו לתקן 27001; לחלק ממשרדי הממשלה ויחידות הסמך אין מסמך מדיניות אבטחת מידע וסייבר; חלק ממשרדי הממשלה ויחידות הסמך טרם השלימו את תהליך סקר הסיכונים; חלק ממשרדי הממשלה ויחידות הסמך חוברו ל-SOC הממשלתי".
עוד החליטה הממשלה שהמדינה תסדיר את המרחב האזרחי, משרדי ממשלה יקימו יחידות להכוונה מגזרית, והן יפעלו לשיפור ההגנה במגזרי המשק השונים. עוד נקבע כי יוכן תזכיר חוק הגנת הסייבר. מערך הסייבר הכין תזכיר של חוק הגנת הסייבר ומערך הסייבר הלאומי. "שלוש שנים לאחר קבלת ההחלטה, ולמרות החשיבות הלאומית שבהסדרת ההגנה על המרחב האזרחי, טרם הושלמו התהליכים הנדרשים לגיבוש נוסח חוק הסייבר".
בהחלטות הממשלה לא הוסדרו בחקיקה סמכויות עובדי המערך כלפי יחידות ההכוונה המגזרית במשרדי הממשלה והארגונים הכפופים לאחריות המערך, קובע המבקר. "היעדר מקור לסמכות עובדי המערך עלול להקשות את שיתוף הפעולה עם הגופים ולגרום להימנעותם של עובדי המערך מביצוע פעולות מסוימות… היעדר תשתית משפטית מספיקה לביסוס הנחיה מגזרית על ידי משרדי הממשלה, מעורר קושי למלא אחר החלטות הממשלה".
דו"ח מבקר המדינה. צילום: דוברות משרד מבקר המדינה
היערכות חסרה להכוונה מגזרית
ב-2016 הוקם במערך אגף הנחיית המשק, ובו מרכז להכוונת מגזרים, עם חלוקה לשלוש קבוצות מגזרים, לטובת הנחיה ספציפית לכל קבוצה. "רק ב-2017 החלו משרדי הממשלה את תהליך המיפוי, עד פברואר 2018, רק חלק ממשרדי הממשלה סיימו לעשות כן".
מרכז המגזרים החל לפעול ב-15 משרדי ממשלה. "בסיום הביקורת, חלק מהמשרדים טרם השלימו את איוש היחידות המגזריות; בחלק מהמשרדים מונו מרבית עובדי היחידה רק במהלך 2017; בחלק מהמשרדים גויס ראש היחידה רק מ-2016 – ובחלק, כלל לא מונה ראש יחידה מגזרית. בשני משרדים טרם הוקמו היחידות", קבע המבקר.
"על המערך, משרד המשפטים ומשרד ראש הממשלה לקדם תהליך חקיקה שיטפל בבעיות האסדרה הקיימות בנושא", ציין המבקר, "על גופי התשתיות הקריטיות להשלים את הליך המיפוי, כדי שלממשלה תהיה תמונת מצב עדכנית ומדויקת יותר בנושא רמת מוכנותם להתמודדות עם איומי סייבר, ותיתן מענה בהתאם. על יה"ב לוודא כי רשימת הגופים שהיא מנחה מעודכנת ולדאוג להנחותם בהקדם. על יה"ב לפעול ביתר שאת לכך שגופי הממשלה ישלימו את היערכותם להגנת הסייבר".
"בשנים האחרונות אנו עדים להתקפות סייבר מסוגים שונים", סיכם המבקר, "בשנים הבאות צפויה עלייה ניכרת באיומי סייבר ובמידת חומרתם. למרות מאמצים שנעשו, עדיין קיימים פערים בהגנת הסייבר של גופי הממשלה. דווקא משרדי הממשלה, שלפעולתם התקינה חשיבות רבה – לא מיישמים כראוי את הגנת הסייבר. משרדי הממשלה מתקשים לעמוד בקצב הנדרש ולקדם מהלכים אפקטיביים להתמודדות. המגזר האזרחי יתקשה לעמוד באתגר הגנת הסייבר בלא הנחיה והכוונה".
לדבריו, "נוכח האיומים המתגברים בתחום הסייבר והחשש לפגיעה קשה במשק בגינם, אם יתרחשו אירועים חמורים בכמה תשתיות קריטיות, על הממשלה לוודא ביתר שאת כי התשתיות הקריטיות ערוכות ומעדכנות כל העת את מידת עמידתן במתקפות, וכי תמונת המצב עדכנית ומשקפת באופן מלא את פגיעותן של מערכותיה".
השירות הממשלתי הציבורי בכלל חלש מאד מבחינה טכנולוגית. לא מתאים למדינה שמתיימרת לקריא לעצמה אומת סטרטאפ