המבקר: פערים "משמעותיים" בהגנת הסייבר ב-IT של פיקוד העורף

מבקר המדינה, מתניהו אנגלמן, גילה פערי אבטחת מידע והגנת סייבר, חלקם "משמעותיים", באופן שבו אגף התקשוב וההגנה בסייבר בצה"ל אוכף רגולציה, ומבצע הנחיה, מעקב ותמיכה במערכי ההגנה בסייבר של פיקוד העורף. הפיקוד, מצידו, לא מקיים תהליכי ניהול סיכונים ובקרה כנדרש. המבקר קורא לאגף התקשוב ולפיקוד העורף לפעול במשותף לתיקון הליקויים שעלו, כדי לשפר את ההגנה על מערכות שוע"ל צבאי ושוע"ל אזרחי.

הדברים כלולים בדו"ח שאנגלמן פרסם היום (ג') אחר הצהרים, שדן בנושאים ביטחוניים מהתקופה שלפני המלחמה הנוכחית. ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה לפרסם רק חלקים מהדו"ח, מטעמי ביטחון המדינה.

ב-2016 הפעיל פיקוד העורף מערכת שליטה ובקרה (שו"ב) לאומית לעורף (ר"ת שוע"ל). זו נחלקת לשתי מערכות מידע: שוע"ל צבאי ואזרחי. שוע"ל צבאי משמשת את הפיקוד לניהול כוחותיו ולהעברת מידע חיוני מהשטח אליו ובחזרה. שוע"ל אזרחי משמשת את הרשויות המקומיות. מערכת שוע"ל אזרחי נכנסה לפעילות ב-2017 ופרוסה ב-97% מהרשויות המקומיות.

לפי המבקר, "איום הסייבר, שעלול לפגוע בזמינות וברציפות של המערכות ורשתות התקשוב ובאמינות התקשובית, הוא חלק מאיום הייחוס גם על מערכת שוע"ל, ומחייב מענה הגנתי בסביבה טכנולוגית". הוא קובע כי "נדרשת יכולת לניטור ניסיונות תקיפה על רשתות ומערכות הארגון והתרעה עליהם, ולמענה הגנתי על המערכות, על הרכיבים ועל התשתיות – למניעת פעילות עוינת. פיקוד העורף נדרש לזמינות גבוהה ולרציפות המערכות והרשתות שלו, ובהן שוע"ל. עליו להגן על נכסיו התקשוביים מאיומי סייבר".

בדו"ח ציין המבקר כי "אפס ועדות מטכ"ליות בנושא הגנת סייבר דנו במערכת שוע"ל צבאי". בנוסף, ל-139 מ-283 ליקויים (פחות ממחצית, 49%) שהתגלו במערכות שוע"ל לא נעשתה בקרת איכות, לבדיקת תיקונם. עוד גילה המבקר שארבעה מהליקויים חזרו על עצמם בשני מבדקי חוסן, בתוך שנה, וש-60% מהארגונים שיש להם ממשק עם מערכות שוע"ל "פועלים ללא מסמך התקשרות שמסדיר את התחייבויות הצדדים, לרבות בהגנת סייבר".

ליקויים נוספים

"פיקוד העורף לא הגדיר תרחישי ייחוס בסייבר, לא ביצע זיהוי וניתוח של סוגי האיומים ולא קיים הליך סדור של ניהול הסיכונים", קבע המבקר. "על אף שזיהה פערי אבטחה, הפיקוד לא ניתח את משמעות האיומים, חומרתם וההסתברות להתממשותם".

כמו כן, ציין, הפעילות של "מערכות שוע"ל צבאי ואזרחי לא נדונו בוועדת הגנה מטכ"לית, וזאת שלא בהתאם להוראות אגף התקשוב ולפקודת מטכ"ל להגנה בסייבר. זה פוגע בבקרה ובפיקוח על הגדרת דרישות ההגנה של המערכות ועלול לחשוף אותן לאיומי סייבר".

עוד כתב אנגלמן ש-"אגף התקשוב וחטיבת ההגנה בסייבר לא מממשים את אחריותם בהתאם לפקודות בנוגע לקביעת תקן להגנה בסייבר לחברות אזרחיות שלהן יש התקשרות עם צה"ל. בביקורת עלה שפיקוד העורף לא מכיר את התקן בצה"ל למערכות מידע, אף שהוא תקן מחייב".

"חטיבת ההגנה בסייבר, הסמכות המקצועית העליונה בצה"ל לתחום, לא הנחתה את פיקוד העורף בהקמת ה-SOC, ולא גיבשה נהלים לעבודת ה-SOC ולתפעולו. זה עלול לפגוע ביעילותה של פעילות הניטור ובהתמודדות עם אירועי סייבר", הוסיף המבקר.

ליקויים חוזרים ונשנים

מהביקורת עלה כי ליקויים דומים חזרו ונשנו בכל המבדקים. "עולה שפיקוד העורף לא פועל לתיקון מלא של הליקויים. בנוסף, הפיקוד לא מתעד באופן מלא את הליקויים שעלו במבדקים ומקיים מעקב חלקי אחר תיקונם. זאת, שלא בהתאם לתפיסת ההגנה בסייבר של פיקוד העורף", כתב אנגלמן.
בהמלצותיו קרא אנגלמן לפיקוד העורף "להשלים את תהליך ניהול הסיכונים ולגבש תרחישי ייחוס בסייבר בהלימה לאיומים הממוקדים העדכניים הנשקפים למערכות הפיקוד. עליו לבנות תוכנית שכוללת בניית מערכי בקרה וניטור, להגנה מיטבית מאיומי הסייבר". לחטיבת ההגנה בסייבר הוא ממליץ "לוודא שפיקוד העורף מבצע תהליך מלא של ניהול סיכונים. מומלץ שהחטיבה והפיקוד יבחנו שנית את הצורך באימוץ תקן צה"ל למערכות מידע בפיקוד. על פיקוד העורף לבצע מעקב שוטף אחר תיקון כלל הליקויים במערכות שוע"ל. יש לפיקוד העורף תפקיד מרכזי בטיפול בעורף האזרחי בעתות חירום, ובפרט במלחמה הנוכחית. הגנה מפני איומי סייבר היא מרכיב קריטי ביכולת הפיקוד להוציא לפועל את משימותיו".

תגובת צה"ל

צה"ל מסר בתגובה כי הוא "רואה חשיבות עליונה בהגנה על כלל המערכות הפועלות בממד הסייבר, ומשקיע משאבים רבים כדי לחזק את ההגנה עליהן בשגרה ובחירום. המלחמה מביאה לשינויים ולהתפתחויות שונות בתחום איומי הסייבר על ישראל, צה"ל ושוע"ל, והצבא פועל בלא הרף לשיפור יכולות ההתמודדות עם האיומים ומפיק לקחים תוך כדי תנועה. פיקוד העורף מבצע מיקוד ותיעדוף להגנה על הנכסים והמשימות המבצעיות. הליך ניהול הסיכונים מתבצע בפרויקטים החדשים של הפיקוד – שלא נבחנו בביקורת. חטיבת ההגנה, מתוקף תפקידה כמתכללת תחום הסייבר, בתיאום עם פיקוד העורף, תגבש תרחיש ייחוס, על פי איומי הייחוס".