מספר אירועי סייבר לא תוחקרו כראוי ברפאל

"רפאל מערכות לחימה מתקדמות היא מרכיב משמעותי בבניית עוצמתה הצבאית וחוסנה של המדינה", למרות זאת, נמצאו ליקויים בתפישת הגנת הסייבר של הגוף הביטחוני, ועלו פערים במיגון פיזי של תשתיות מסוימות; כך קבע מתניהו אנגלמן, מבקר המדינה, בדו"ח בנושא מערכות מידע והגנת סייבר שפורסם אתמול (ג').

ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא לפרסם נתונים מפרק זה בדו"ח, מטעמי ביטחון המדינה.

בסעיף הדן בניהול הסיכונים הארגוניים ברפאל, נכתב כי "במאי 2023, שלוש שנים וחצי לאחר פרסום חוזר רשות החברות הממשלתיות בנושא ניהול סיכונים תאגידי, אישרה הוועדה הארגונית לניהול סיכונים ב-רפאל מסמך אסטרטגיית סיכון כוללת לחברה ,ומדיניות לניהול סיכונים. אולם, הנהלת רפאל לא העלתה לאישור הדירקטוריון את האסטרטגיה והמדיניות הללו, והדירקטוריון לא אישר אותן. כך, מדיניות ניהול הסיכונים לא כללה התייחסות למנגנוני דיווח לגורמים חיצוניים לרפאל. כמו כן, רפאל לא דיווחה לרשות החברות הממשלתיות כנדרש ממנה". לגבי מיגון פיזי של תשתיות מסוימות, כתב המבקר כי "עלו פערים בתחום זה".

ב-2023, כתב המבקר" "לרפאל לא היו פוליסות ביטוח המכסות נזקים לרכוש ותביעות צד ג' בגין אירועי סייבר. רפאל לא רכשה ביטוח מפני אירועי סייבר מהסיבות שלהלן: רמת ההגנה על הסייבר ברפאל גבוהה; רכישת הביטוח אינה יעילה כלכלית; לא יהיה ניתן לתבוע מחברת הביטוח פיצוי בגין פגיעה בתפוקה או במחזור המכירות; לא ניתן לחשוף מידע מסווג לחברת הביטוח בעקבות נזק בגין אירוע סייבר, ומגבלה זו מקשה לממש את הביטוח בקרות אירוע; וניתן לרכוש ביטוח המכסה נזק של עד עשרה מיליוני דולרים בלבד, סכום שאינו מהותי לפעילותה של רפאל".

עוד קבע המבקר כי "רפאל לא דיווחה לדירקטוריון בישיבותיו על כמה אירועי סייבר כנדרש… הנהלת רפאל לא תחקרה את ניהול אירועי הסייבר שהתרחשו בשנים 2020-2022 בהיבטים מסוימים, הנוגעים לתפקוד הנדרש של רפאל".

ספגה ביקורת בדו"ח הסייבר של מבקר המדינה. רפאל. צילום: ביתן רפאל בתערוכה בברלין/ c-2024. Shutterstock

"על הנהלת רפאל לדווח לדירקטוריון כנדרש לגבי אירועי סייבר"

לפי הדו"ח, "התוכנית המפורטת לניהול אירועי אבטחת מידע ברפאל, מפברואר 2023, אינה מפרטת את תהליך ההתאוששות מאירוע סייבר מסוים, או מפנה לתוכנית מסוימת, ואינה כוללת הפניות למסמכים מסוימים… כמה מסמכי תחקור אירועים לא התייחסו להפקת הלקחים הנדרשים… רפאל לא קבעה את התדירות לביצוע סקרים ומבדקי חדירה הנדרשים. כמו כן, עלו פערים בתחום זה".

"על הנהלת רפאל לדווח לדירקטוריון כנדרש לגבי אירועי סייבר", סיכם המבקר בהמלצותיו. "מומלץ כי הנהלת רפאל תמשיך לבחון מדי שנה בשנה את גודל התקציב הנדרש להגנת הסייבר בהתייחס לפוטנציאל הנזק, למחזור המכירות השנתי ולרווח התפעולי השנתי שלה. על הנהלת רפאל לתחקר את ניהול אירועי הסייבר בהתאם לנדרש. על רפאל להשלים את ההוראה בנושא ניהול אירועי אבטחת טכנולוגיות והגנת סייבר במערכות המחשב כנדרש.

מומלץ כי רפאל תפעל לתיקון הפערים שעלו בתחום הסקרים ומבדקי החדירה. בביקורת עלו ליקויים הנוגעים, בין היתר, לאי-הסדרת יחסי העבודה בין מערך הסייבר הלאומי למלמ"ב (הממונה על הביטחון במשרד הביטחון – י"ה) ולהגנה על המידע ומערכות המחשוב ברפאל. על הנהלת ודירקטוריון רפאל לפעול לתיקון הליקויים ולוודא, בשיתוף מלמ"ב, כי רפאל מיישמת את הנחיות מלמ"ב כנדרש".

בתגובה על ממצאי הביקורת מסרה רפאל כי היא "תבחן את כדאיות הרכישה של פוליסת ביטוח סייבר בעוד שנה וחצי, ואם היא תחליט להמשיך שלא לרכוש ביטוח ייעודי מפני אירועי סייבר – אז היא תבחן את הנושא שוב כל שלוש שנים".

עוד מסרה רפאל כי במסגרת הכנת התקציב השנתי שלה היא "שוקלת שיקולים רבים, לרבות פוטנציאל הנזק בגין אירועי סייבר", וכי היא הגדילה את תקציב הגנת הסייבר בהתאם.