מעבר לדרישות הרגולציה: המ' להגנת הסביבה עבר הסמכה לתקני סייבר

ארז אביטל, מנהל אגף בכיר לטכנולוגיות דיגטליות, ומתי מגירא, מנהל אבטחת המידע והסייבר, שניהם מהמשרד להגנת הסביבה, לא הסתפקו בתקני הגנה על מערכות המידע והסייבר שלהם נדרשים כל המשרדים הממשלתיים. בהחלטה משותפת, הם הלכו למהלך בלתי שגרתי, ובימים אלו סיימו הטמעת הסמכה של שני תקני אבטחה לניהול מוקפד יותר של אירועי תקיפה, אם אלו מתחרשים חלילה, ותקן לניהול אבטחה לענן. בנוסף, המשרד הוא בין המשרדים הבודדים שהשלימו את המעבר לענן הממשלתי, נימבוס, ונמצא בסביבת גוגל.

"כחלק מהמעבר לנימבוס, רצינו לשים דגש על נושא אבטחת מידע בענן, בגלל הרגישות הרבה של הנתונים והמידע שיש לנו במשרד, החולש על תחומים קריטיים ואסטרטגים של מדינת ישראל", אמר אביטל.

"בשנים האחרונות נרשמת עלייה משמעותית במתקפות הסייבר על ארגונים שונים. כיום קיימת משנה סדורה, קיימים כלים ותהליכים להתמודדות עם אירועי אבטחת מידע וסייבר, וכן תפישה עקרונית ושלבים בניהול האירועים. כתוצאה מכך נוספו בקרות ספציפיות לענן, בנוסף לכל הבקרות הקיימות בתקן הרגיל שהמשרד מוסמך אליו מאוקטובר 2017", הרחיב מגירא.

האם המעבר שלכם לענן הממשלתי לא היה צריך להיות מאובטח מראש בכל מה שקשור לסייבר?
מגירא: "המטרה של ההסמכות היא לוודא שהאנשים שמתפעלים את כל סביבת הענן עומדים בסטנדרטים שהתקן מחייב, וזו בעצם הבקרה שלנו. זה אומר שיש לי מבקר שבודק אם אנחנו אכן עומדים בכל מה שהתקן מחייב".

באילו בעלי תפקידים מדובר?
"בין היתר, אנשי תשתיות, ארכיטקטים ופיתוח. מדובר בשורה ארוכה של משימות ותהליכים על פי רשימות מסודרות. הסמכות החדשות מוודאות שאכן אנחנו עומדים בתקנים, ולא רק אומרים, וזה השוני בינינו לבין משרדים אחרים. אף אחד לא הכריח אותנו לעשות את המהלך הזה, שהוא לא פשוט, אבל חשבנו שזה נכון למשרד ויש לזה חשיבות גם ברמה הלאומית. צריך לציין שעשינו את התהליך עם חברת טו בי סקיור".

טקס קבלת ההסמכות החדשות של המשרד להגנת הסביבה. מימין לשמאל: ארז אביטל – מנהל אגף בכיר טכנולוגיות דיגיטליות ומידע במשרד הגנת הסביבה; אביטל ויינברג – סמנכ"ל התעדה במכון התקנים הישראלי; ד"ר גלעד גולוב – מנכ"ל מכון התקנים הישראלי; אסף יזדי – מנכ"ל המשרד להגנת הסביבה; ומתי מגירא – מנהל תחום בכיר אבטחת מידע והגנת סייבר במשרד. צילום: דוברות משרד להגנת הסביבה

מכרז לשירותי IR חיצוניים

כיצד משפיע התקן הנוסף על רציפות תפקודית בזמן חירום?
"התקן הנוסף, שגם עבדנו עליו לא מעט, מבטיח שבמקרה של אירוע סייבר יש מישנה סדורה הכוללת את כל בעלי התפקידים שיודעים היטב מה הם צריכים לעשות, במה לטפל כדי לאפשר המשכיות תפקודית, שהיא חשובה מאוד וקריטית. כחלק מההסמכה, הקמנו צוות IR (צוות תגובה לאירועי סייבר), ובנוסף יצאנו למכרז כדי לקבל שירותי צוות תגובה חיצוני. אני מקווה שעד סוף השנה נוכל לבחור את החברה שתעבוד איתנו".

האם חוויתם אירועי סייבר משמעותיים בשנה האחרונה?
"כפי שפורסם, היה אירוע אחד בפברואר השנה, שבמהלכו ניסו האקרים לפגוע במאגרי המידע. לשמחתנו הצלחנו להתמודד עם זה, ושום נזק לא נגרם. מעבר לזה, לא היו לנו אירועים. אבל אנחנו מודעים לגידול בהיקף הניסיונות, וראינו מה קרה במגזרים אחרים, וזו הייתה אחת הסיבות שהלכנו למהלך הנוסף הזה".

עד כמה המלחמה השפיעה על ההחלטה ללכת למהלך שעשיתם?
"אין לזה קשר ישיר. התחלנו את התהליך לפני, והמשכנו תוך כדי המלחמה, במסגרת המגבלות האפשריות. אנחנו, כמו כל משרד, יעד להתקפות כל הזמן, כולל במלחמה, אבל כאמור לשמחתנו לא היו שום אירועים משמעותיים".

יש לכם SOC שלכם?
"אנחנו משתמשים ב-SOC הממשלתי שיושב בבאר שבע. כמו כל המשרדים כל יתר הרכיבים שלנו, השרתים, מערכות מערכות אבטחת מידע מחוברים ל-סוק הממשלתי ובהתאם לחוקים שמוגדרים. רוצה לציין שמבנה הרשת שלנו מחולק מראש למקטעים רבים, כך שאם מקטע אחד נפגע, הוא לא משפיע על האחרים. אחת הסיבות לכך היא מידור בין משתמשים ואזורים עסקיים שונים. יש לנו גם מערכי הגנה ברמת המחוזות, שהם אחראים על הרכיבים והתחומים שבאחריותם".

באחריות משרדכם יש לא מעט גופים רגישים כמו בז"ן, חומרים מסוכנים, עם לא מעט רגולציה. איך זה משתלב אצלכם?
"יש במשרד שני גופים המטפלים בנושאי סייבר ופיקוח. אחד זה התחום שבאחריותי, שזה המשרד כולו על מחוזותיו. הגוף השני, שאינו באחריותי, הוא האחראי על כל ארבעת אלפים המפעלים, שביניהם יש גם חומרים מסוכנים, ושם גם יש חלוקה לפי רמות הסיכון. היחידה הזו נקראת יחידת סייבר בתעשייה באגף החירום, שאותה מנהל יוסי שביט".

איפה תפסה אתכם המלחמה?
"מייד עם פרוץ המלחמה הוקם החמ"ל המשרדי, ואנחנו נתנו כמובן את כל המענה מבחינת IT והגנה. בנוסף, אנחנו עובדים מול החמ"לים המחוזיים, שבאחריותם אותם מפעלים רגישים. כמו כל משרדי הממשלה אנחנו יעד להתקפות, אבל לא היו לנו אירועים מיוחדים שמסכנים את מערכות המידע של המשרד, ואין ספק ששתי ההסמכות הנוספות, מסייעות לכך".